Республика Индия

Законодательство Индии в области информационных технологий представлено полноценной системой нормативных правовых актов, которыми, однако, не урегулирован или не в полной мере урегулирован ряд областей, таких как: защита интеллектуальных прав на контент в сети «Интернет», основания и условия ограничения доступа к сети «Интернет» для граждан и условия безопасности их биометрических персональных данных.

Оглавление

1. Статистические сведения, характеризующие особенности использования гражданами Индии сети «Интернет»

2. Нормативное правовое регулирование информационных технологий

2.1 Механизм блокирования открытого доступа к любой информации через компьютерные ресурсы

2.2. Приостановление предоставления телекоммуникационных услуг

2.3. Случаи ограничения доступа к сети «Интернет»

2.4 Проект правил регулирования социальных сетей и платформ

2.4.1. Политический скандал вокруг социальной сети Facebook

3. Нормативное правовое регулирование персональных данных

3.1 Государственные проекты, связанные с использованием персональных данных

4. Стратегические направления развития Индии в сфере кибербезопасности

5. Двустороннее сотрудничество между Россией и Индией

6. Выводы и рекомендации

1. Статистические сведения, характеризующие особенности использования гражданами Индии сети «Интернет»

Индия является вторым по величине онлайн-рынком в мире с более чем 560 миллионами интернет-пользователей, уступая только Китаю. Уровень проникновения Интернета в Индии в 2019 году составил примерно 41 % населения страны, что является существенным улучшением по сравнению с показателем в 31 % в 2018 году. На долю Индии приходится 21% общего мирового роста интернет-аудитории. Так, в 2019 году интернет-аудитория увеличилась практически на 100 миллионов человек.

 

п/п

Страна Абсолютный прирост пользователей (чел.) Относительный прирост пользователей (%)
1 Индия 97,885,011 21%
2 Китай 50,666,155 6,7%
3 США 25,379,895 8,8%
4 Индонезия 17,300,000 13%
5 Иран 16,241,877 29%
6 Украина 15,325,054 60%
7 Танзания 14,560,898 173%
8 Италия 11,490,731 27%
9 Бангладеш 10,158,000 12%
10 Бразилия 9,946,450 7,2%
11 Филиппины 9,000,000 13%
12 Аргентина 6,801,754 20%
13 Афганистан 5,694,586 142%
14 Турция 5,027,251 9,3%
15 Кот-д’Ивуар 4,529,978 69%
16 Камбоджа 4,500,000 56%
17 Германия 4,322,056 5,8%
18 Нигерия 3,572,903 3,8%
19 Испания 3,541,726 9%
20 Алжир 3,484,731 17%

Таб. 1. Прирост интернет-пользователей по странам в 2019 году в сравнении 2018 годом

По оценкам экспертов немецкого портала Statista, к 2023 году в стране будет более 876 миллионов пользователей сети «Интернет». Вместе с тем по предварительным подсчётам в августе 2020 около половины из 1,37 миллиарда индийцев имеют доступ к сети «Интернет» в этом году.

Однако доступность и объемы использования сети «Интернет» в стране в значительной степени варьируются в зависимости от таких факторов, как пол и социально-экономическое положение. Так, в 2019 году в сельской местности в Индии насчитывалось 290 миллионов интернет-пользователей по сравнению с 337 миллионами городских интернет-пользователей. Однако стоит отметить, что большинство индийских пользователей сети «Интернет» молодые люди в возрасте от 20 до 29 лет, чуть более высокая доля которых из сельской местности. В стране гораздо больше мужчин-пользователей сети «Интернет», чем женщин. Данный цифровой гендерный разрыв сильнее проявляется в сельских районах по сравнению с городскими.

Большая часть интернет-пользователей Индии имеет доступ к сети «Интернет» через свои мобильные телефоны. В 2019 году около 400 миллионов человек (30% процентов населения страны) составляли пользователи мобильного Интернета, и ожидается, что к 2023 году этот показатель возрастет до 500 миллионов человек и составит 35 %. Повышение доступности дешевых тарифных планов на передачу данных наряду с различными правительственными инициативами в Индии направлены на то, чтобы сделать доступ в сеть «Интернет» посредством мобильных устройств основным в стране. Примечательно, что сети 4G были наиболее широко использованы в городских и сельских районах Индии в 2019 году для получения доступа в сеть «Интернет».

К 2023 году в Индии предполагается почти 450 миллионов пользователей социальных сетей. Кроме того, ожидается, что доля населения Индии, имеющего доступ к социальным сетям, вырастет с 24 процентов в 2019 году до более 31 процента в 2023 году. Facebook является самой популярной социальной сетью в стране, имея около 280 миллионов пользователей, что является рекордным для Facebook показателем по количеству пользователей в одной стране.

2. Нормативное правовое регулирование информационных технологий

Основным законодательным актом Индии, регулирующим правоотношения в сфере информационных технологий, является Закон об информационных технологиях 2000 г., в который внесены существенные изменения в 2008 году. Закон об информационных технологиях (Information Technology Act, далее – Закон ITA) в основном касается электронных документов, цифровых подписей, определений правонарушений в области информационной безопасности, а также отдельных аспектов защиты персональных данных и ответственности за преступления в цифровой среде.

Закон ITA содержит положения, которые защищают конфиденциальность данных в сети «Интернет», однако при определенных условиях доступ к таким данным может быть предоставлен определенным лицам. Например, Законом ITA предусмотрены возможности перехвата сообщений уполномоченными органами власти, установления Правительством Индии национального стандарта шифрования, запрета анонимного использования сети «Интернет», а также урегулированы условия размещения контента в сети «Интернет». Законом ITA также установлены наказания за размещение материалов, содержащих детскую порнографию, хакерскую деятельность и мошенничество, стандарты защиты данных компаний, ведущих цифровой или онлайн бизнес. Закон ITA распространяет свое действие на преступления или правонарушения, совершенные внутри или вне Индии, если преступление касается компьютерных систем или компьютерных сетей, расположенных в Индии. Таким образом, Закон ITA имеет экстерриториальную сферу действия.

Цифровые подписи. Закон ITA (статья 3) предусматривает использование цифровых подписей для аутентификации электронных записей и документов с использованием асимметричного шифрования, так что электронная запись может быть проверена с использованием открытого ключа подписанта. В Индии выпуск цифровых подписей является обязанностью Контрольного удостоверяющего органа (CCA), который осуществляет выпуск цифровой подписи для конечных пользователей напрямую или через местные удостоверяющие центры: Национальный центр информатики, Институт развития и исследований в области банковских технологий и др.

Хакерские действия. Данный термин Законом ITA не определен, однако установлены конкретные действия, отнесенные к хакерским. Например, получение незаконного доступа к компьютеру, скачивание копий или информации, содержащейся в документах, повреждение компьютера вирусным программным обеспечением. За данное преступление грозит до 3 лет тюремного заключения.

Распространение детской порнографии. Закон ITA запрещает любые действия с цифровым контентом, изображающим детей в явно сексуальном виде (детского порнографического контента). Такими действиями являются публикация, передача, создание текста или изображений, сбор, поиск, просмотр, загрузка, реклама, продвижение, обмен детского порнографического контента. Кроме того, запрещается культивирование, соблазнение или побуждение детей к сексуальным действиям в сети «Интернет». Термин «дети» определяется как любое лицо в возрасте до 18 лет (Закон ITA, статья 67В). Вместе с тем согласно законодательству Индии (как и России) возраст сексуального согласия составляет 16 лет. Наказанием за указанные действия является штраф 1 млн рупий и/или лишение свободы на срок до 5 лет.

Нарушение конфиденциальности и неприкосновенности частной жизни. Закон ITA (статья 72) предусматривает, что лицу, имеющему доступ к любой электронной записи, книге, реестру, корреспонденции, информации, документу или иному материалу, запрещается разглашение такой информации без согласия соответствующего лица. Наказание – штраф 100 тыс. рупий и/или лишение свободы на срок до 3 лет.

Регулирование деятельности интернет-кафе (Cyber Cafe). В последние несколько лет в Индии было большое количество случаев, когда интернет-кафе использовались для совершения различных киберпреступлений, например, неправомерного завладения паролем банковского счета и последующим снятием денежных средств с соответствующего банковского счета, отправкой электронных писем с целью запугивания получателей и др. В этой связи интернет-кафе считаются одним из ключевых посредников, деятельность которых необходимо было урегулировать.

Закон ITA предусмотрел определение «интернет-кафе», как любой организации, предоставляющей доступ в сеть «Интернет» любому лицу ходе своей деятельности, а также включил интернет-кафе в перечень интернет-посредников, распространив на интернет-кафе ряд требований, которые необходимо соблюдать интернет-посредникам (Закон ITA, статья «определения», пункты «m» и «n»).

Регулирование деятельности и ответственности посредника.

Посредником согласно Закону ITA является как любое лицо, которое от имени другого лица получает, хранит или передает информацию или предоставляет какую-либо услугу в отношении данной информации и включает в себя поставщиков телекоммуникационных услуг, Интернет-провайдеров, поисковые системы, сайты онлайн-платежей, сайты онлайн-аукционов, торговые онлайн-площадки и интернет-кафе.

Несмотря на то, что интернет-кафе признано посредником, но такие функции как размещения контента, сбора информации, агрегирование информации, осуществляет непосредственно не интернет-кафе, а иными интернет-посредниками, указанными в законе ITA, например, интернет-провайдерами.

Следует отметить, что статьей 79 Закона ITA интернет-посредникам предоставляется условный иммунитет от ответственности за действия третьих лиц.

Например, посредник освобождается от ответственности в отношении любой сторонней информации, данных или ссылок на информацию или данные, предоставляемых или размещаемых третьими лицами (статья 79 (1) Закона ITA). Обязательным условием в данном случае является отсутствие возможности контроля и мониторинга размещаемой и хранимой информации (статья 79 (1) Закона ITA).

Раздел 79 (3) Закона ITA предусмотрен режим «извещение и снятие», при котором посредник обязан удалять незаконный контент после получения сведений о его наличии на Интернет-ресурсе. Таким образом, посредник обязан действовать только после получения распоряжения суда или уведомления от соответствующего органа государственной власти. Посредник не обязан самостоятельно проводить оценку контента, который необходимо удалить или к которому требуется ограничить доступ. Данное положение также подтверждено правоприменительной практикой.

В развитие положений Закона ITA были приняты правила информационных технологий (Information technology rules), которые являются подзаконными актами и касаются 4 различных сфер:

правила информационных технологий, регулирующие методы и процедуры обеспечения безопасности и конфиденциальных персональных данных или информации, которые требуют от организаций, хранящих конфиденциальную личную информацию пользователей, поддерживать определенные стандарты безопасности;

правила информационных технологий, касающиеся правил для посредников, которые запрещают контент определенного характера в сети «Интернет», устанавливают нормы, которым должны следовать посредники в отношении контента, проходящего через их системы, а также устанавливают ответственность некоторых категорий посредников за обеспечение соответствия содержания информации на сайтах в сети «Интернет» положениям указанных правил.

правила информационных технологий, касающиеся принципов деятельности для интернет-кафе, которые обязывают регистрировать интернет-кафе в уполномоченном органе власти, вести журнал учетных данных пользователей и историю использования ими сети «Интернет»;

правила информационных технологий, касающиеся предоставления электронных услуг, которые позволяют Правительству определять порядок предоставления определенных услуг, таких как подача заявлений, выдача сертификатов и лицензий, в электронном виде.

Кибертерроризм. Статьей 69F Закона ITA предусмотрен такой состав преступления как «кибертерроризм», под которым понимается намерение поставить под угрозу единство, целостность, безопасность или суверенитет нации посредством запрета доступа лицу, уполномоченному получать доступ к ресурсам компьютера, или попытка проникнуть или получить доступ к ресурсу компьютера без разрешения, а также действия, связанные с установкой вредоносного программного обеспечения на компьютер, которые могут привести к смерти или травмам людей, повреждению или уничтожению имущества и др. Кибертерроризмом наказываются пожизненным лишением свободы.

Закон ITA утверждает Индийскую Группу реагирования на компьютерные инциденты (CERT-India) как национальное агентство по вопросам киберпреступности и описывает ее функции как организации, призванной обеспечить безопасность киберпространства. Состав и руководство группы назначается Правительством Индии, среди обязанностей группы можно выделить следующие:

Сбор и анализ информации о киберпреступности;

Прогноз и оповещения о киберпреступлениях;

Разработка и участие в исполнении чрезвычайных мер для обработки инцидентов кибербезопасности;

Координация действий по реагированию на киберинциденты;

Написание рекомендаций, заметок об уязвимостях и технических документов, касающихся методов, процедур, способов предотвращения, реагирования и отчетности в области информационной безопасности.

Любой поставщик услуг, посредник, центр обработки данных, юридическое или физическое лицо, обязан предоставить Группе CERT-India информацию по запросу. В случае, если непредставления информации поставщик услуг, юридическое или физическое лицо наказывается лишением свободы на срок до одного года или штрафом.

Пунктом 1 статьи 69 Закона ITA правительственные структуры наделяются полномочиями издавать распоряжения о перехвате, мониторинге и дешифровке любой информации, формируемой, передаваемой, получаемой или хранимой на любых компьютерных ресурсах и устанавливаются правовые обязательства и гарантии, относящиеся к таким действиям государства.

Кроме того, Закон ITA предоставляет право государственным учреждениям издавать распоряжения о блокировке открытого доступа к любой информации через компьютерные ресурсы, если, по их мнению, такая блокировка необходима или целесообразна в интересах суверенитета, целостности, безопасности Индии и ее международных отношений или в целях предупреждения побуждения к совершению соответствующих правонарушений, включая акты терроризма. (статья 69А Закона ITA).

В статье 69B специально назначенные государственные учреждения наделяются полномочиями контролировать, собирать и хранить данные или информацию, создаваемую, передаваемую либо получаемую с помощью любых компьютерных ресурсов.

2.1 Механизм блокирования открытого доступа к любой информации через компьютерные ресурсы

Механизм блокировки открытого доступа к любой информации через компьютерные ресурсы дополнительно регулируются Правилами информационных технологий, касающимися порядка и гарантий блокирования доступа общественности к информации, 2009 года.

Ключевые организации и должностные лица, принимающие участие в процедуре блокировки:

организация: правительственные министерства и ведомства, как на центральном уровне, так и на уровне штатов, а также агентства центрального правительства согласно Бюллетеню (Gazette, источник официального опубликования всех нормативных актов и юридически значимых заявлений Правительства).

уполномоченный сотрудник: Правительство Индии назначает путем уведомления в Бюллетене правительственное должностное лицо, в ранге не ниже ответственного секретаря, в качестве «уполномоченного сотрудника», с целью подготовки и направления распоряжения о блокировании доступа общественности к любой сгенерированной, переданной, полученной, хранящейся или размещенной информации на любом компьютерном ресурсе в соответствии со статьей 69A Закона ITA.

главный сотрудник: каждая правительственная организация для целей реализации правил назначает одного из своих должностных лиц в качестве главного сотрудника и сообщает об этом центральному Правительству и в Департамент информационных технологий Министерства связи и информационных технологий Индии, а также публикует данные о нем на официальном сайте организации.

Комитет по рассмотрению запроса о блокировке (далее – комитет) состоит из уполномоченного сотрудника, который является председателем комитета, и представителей (рангом не ниже ответственного секретаря) из Министерства юстиции, Министерства внутренних дел, Министерство информации и телерадиовещания и Группы реагирования на компьютерные инциденты (CERT-India).

Механизм блокировки.

Лицо подает жалобу уполномоченному сотруднику одним из двух способов:

через главного сотрудника: в этом случае лицо отправляет свою жалобу главному сотруднику правительственной организации, который, проверив формальные основания жалобы, отправляет ее уполномоченному сотруднику в установленном формате (прилагается к Правилам).

через главного секретаря штата: в этом случае лицо отправляет свою жалобу секретарю штата, а в случае его отсутствия советнику главы штата, для проверки, одобрения и последующего направления уполномоченному сотруднику.

Уполномоченный сотрудник лично напрямую не принимает жалоб на блокировку информации. Уполномоченный сотрудник обязан в течение 24 часов подтвердить получение жалобы, уведомив об этом отправителя жалобы.

Комитет рассматривает жалобу вместе с приложенной к ней информацией. Посредник или иное лицо, являющееся ответственным за размещение предлагаемой к блокировке информации, уведомляется уполномоченным сотрудником о поступлении жалобы. 48 часов предоставляется для направления пояснений по жалобе. Если посредник является иностранным лицом, он должен представить ответ на запрос в течение срока, указанного в запросе уполномоченным сотрудником.

Ответ посредника или иного ответственного за размещение информации лица на запрос может быть представлен как в письменной форме (для иностранных лиц только в письменной форме), так и лично. В данном ответе необходимо обосновать, почему контент не нарушает положения статьи 69А Закона ITA.

Если посредник не является лично или не представляет письменный ответ, комитет рассматривает жалобу и дает рекомендации уполномоченному сотруднику на основе имеющейся информации.

Комитет рассматривает жалобу и дает рекомендации через уполномоченного сотрудника секретарю Департамента информационных технологий Министерства информационных технологий (далее – секретарь) о блокировке доступа либо информирует об отсутствии оснований для блокировки.

Секретарь на основании рекомендаций комитета издает акт о блокировке доступа либо об отсутствии оснований для блокировки доступа соответствующей информации в сети «Интернет». В последнем случае уполномоченный сотрудник информирует об отказе в блокировке главного сотрудника, а главный сотрудник – лицо, подавшее жалобу.

Вся процедура должна быть выполнена в течение 7 дней с момента получения жалобы уполномоченным сотрудником.

Процедура блокировки в чрезвычайных ситуациях.

При чрезвычайной ситуации секретарь может передать временное распоряжение, содержащее рекомендацию о блокировке, уполномоченному сотруднику, изучает запрос и принимает решение о соответствии предлагаемой к блокировке информации параметрам статьи 69А Закона ITA. После рассмотрения запроса уполномоченным сотрудником и в случае согласия, соответствующая информация направляется секретарю, который может затем принять временную меру (распоряжение) о блокировке доступа к информации. Однако комитет должен рассмотреть вопрос о правомерности принятия временной меры (распоряжения) в течение 48 часов после ее принятия. На основании рекомендаций комитета секретарь либо примет окончательное распоряжение о блокировке либо об отмене временного распоряжения и разблокирует доступ. Вместе с тем следует отметить, что правила не определяют максимальный срок принятия на основании рекомендаций комитета окончательного распоряжения, что может повлечь злоупотребления со стороны органов государственной власти Индии.

В течение последних лет блокировке подвергались различные крупные ресурсы, причём иногда без каких-либо объяснений, как в случае с Typepad и Blogspot в 2011 году. В том же году временно были заблокированы все файл-хостинги, чтобы не допустить пиратского распространения фильма «Сингам». В 2012 году был заблокирован доступ к сервису Vimeo и нескольким торрент-сайтам. Также периодически блокировались сайты, аккаунты и группы в различных социальных сетях, связанные с политическими событиями и протестами против коррупции в стране. В 2013 году заблокировали несколько десятков порносайтов, в 2014 году — 472 файлообменника и файл-хостинга (по просьбе Sony). В 2015-2016 гг. Правительство Индии продолжило деятельность по блокировке порносайтов, а также достигло договоренности с Google, Microsoft и Yahoo! о фильтрации в своих поисковых выдачах для индийского сегмента сети «Интернет» всей информации об определении пола детей во время беременности и абортах.

В сентябре 2017 г. в Индии заблокировали сайт социальной сети «ВКонтакте». Данная блокировка стала временной мерой до получения властями страны от администрации «Вконтакте» гарантии удаления любых ссылок на игру «Синий кит», склоняющую подростков к суициду. На территории Индии было зафиксировано как минимум 10 случаев вовлечения подростков в данную игру, которые закончились самоубийствами (или попытками). Впоследствии Индия разблокировало российскую социальную сеть после получения соответствующих гарантий удаления соответствующего контента от администрации.

Одним из последних и наиболее ярких примеров блокировки стало решение Правительства Индии заблокировать 59 приложений из Китая, так как они наносят вред суверенитету и целостности страны.

Среди приложений, которые Министерство электроники и информационных технологий Индии потребовало запретить были сервис для создания и просмотра коротких видео TikTok, для которого Индия является крупнейшим зарубежным рынком; приложения для создания сообществ и видеозвонков от Xiaomi, крупнейшего производителя смартфонов в Индии; два приложения Alibaba Group (UC Browser и UC News); Club Factory, которая претендует на звание третьей по величине в Индии компании по электронной коммерции, мессенджер WeChat и другие (см. перечень ниже)

Настолько массовая блокировка именно иностранных приложений является первым случаем в Индии, равно как и в мире. Причиной такой блокировки стали многочисленные заявления от граждан Индии в отношении безопасности данных и нарушения конфиденциальности.

В Индии решили заблокировать TikTok, WeChat и ещё более 50 китайских приложений

Полный перечень запрещенных приложений

2.2. Приостановление предоставления телекоммуникационных услуг

В 2017 году Правительство Индии приняло «Правила временного приостановления предоставления телекоммуникационных услуг в случае чрезвычайных ситуаций или угрозы общественной безопасности», предусматривающие возможность отключения сети «Интернет» в Индии либо преднамеренную дестабилизацию ее работы со стороны государства. Данные правила представлялись властями Индии как временные. Разработчики в лице компетентных государственных органов не проводили публичных консультаций, который позволили бы экспертам исследовательских организаций прокомментировать проект данных правил, хотя данная процедура предусмотрена и обязательна в соответствии с положениями Закона о телеграфе и парламентской процедурой подготовки нормативных правовых актов в Индии.

Согласно указанным Правилам распоряжение о приостановлении предоставления телекоммуникационных услуг может быть вынесено должностным лицом высшего уровня, отвечающим за внутреннюю безопасность, как на уровне страны, так и на уровне штата. Поводом для отключения могут быть «непреодолимые чрезвычайные обстоятельства». Однако данное распоряжение может сохранять действие в течение 24 часов без разрешения Министерства внутренних дел Индии. При наличии такого разрешения максимальный срок действия распоряжения 5 дней, после чего основания данное распоряжение должно быть рассмотрено на предмет объективности и соответствия законодательству специальным комитетом, состоящим из высших должностных лиц законодательной, исполнительной и судебной власти, а также представителей штата. Приказы передаются операторам связи либо в письменной форме, либо по защищенным каналам.

2.3. Случаи ограничения доступа к сети «Интернет»

Правительство Индии объяснило законодательное закрепление ограничения доступа необходимостью защиты граждан от террористической угрозы и беспорядков. В 2017 году, после вступления в силу Правил, большая часть ограничений доступа пришлась на индийский штат Кашмир, который имеет спорный статус. Блокировки также совершались в Харьяне, Раджастхане, Уттар-Прадеше, Мадхья-Прадеше, Западной Бенгалии и Махараштре.

Однако одним из самых существенных и значимых для Индии ограничений доступа к сети «Интернет» стало такое ограничение в Кашмире и Ладакхе.

Днем 04.08.2019 в Кашмирской долине и некоторых районах Джамму и Ладакха перестали функционировать сети сотовой связи, интернет-услуги и стационарные телефоны. Никаких официальных распоряжений, на основании которых такие действия были предприняты, населению этих регионов представлено не было. Жители Кашмира оказались в информационной блокаде. Действия Правительства Индии сделали для журналистов невозможным поиск новостей, репортерскую работу, публикацию и распространение интернет-изданий, а также распространение информации в целом, привели к заморозке интернет-порталов и новостных сайтов.

На основании статьи 32 Конституции Индии главный редактор Kashmir Times Анурадха Бхасин и лидер оппозиции в верхней палате индийского парламента, депутат от Джамму и Кашмира Гулам Наби Азад подали иски к правительству Индии в Верховный суд, с требованием обязать Правительство Индии отменить любые приказы, уведомления, указания и распоряжения, которые предусматривают блокировку всех средств связи – сети «Интернет», мобильной и стационарной телефонной связи. Истцы подчеркнули, что ограничения привели к нарушению прав на свободу передвижения, свободу слова и выражения мнений, на свободную торговлю и свободу вероисповедания.

Представлявший позицию Правительства Индии в суде Генеральный прокурор бывшего штата Джамму и Кашмир Тушар Мехта указал, что первоочередной обязанностью государства является обеспечение безопасности граждан и их имущества. По его мнению (официальная позиция Правительства), у истцов – в отличие от государства – не было полной информации о происходящих событиях в Кашмире, а для объективной оценки действий властей необходимо рассматривать их в контексте не только современности, но и исторического прошлого региона. Генеральный прокурор также указал, что государство стало жертвой как традиционного, так и «цифрового трансграничного терроризма», но даже в этих сложных условиях власти не нарушали право граждан на свободное перемещение, а некоторые из закрытых на время учреждений уже возобновили работу.

В штате Джамму и Кашмир сложилась ситуация, при которой ограничения могли быть оправданы в целях охраны безопасности. Касательно довода истцов о том, что ограничения можно было ввести в отношении конкретных лиц, Генеральный прокурор заявил, что невозможно отделить нарушителей от обычных граждан, чтобы их контролировать.

Говоря об отключениях связи и сети «Интернет», Генеральный прокурор подчеркнул, что в Джамму и Ладакхе сеть «Интернет» не отключалась. Также он сообщил, что социальные сети, через которые можно отправлять сообщения и общаться с несколькими людьми одновременно, могут быть использованы в целях побуждения к насильственным действиям.

Целью властей при ограничении доступа к сети «Интернет» было недопущение рассылки сообщений из-за границы с целью осложнения обстановки на местах. Кроме того, посредством сети «Интернет» можно передавать «фейковые» новости или изображения, используемые для побуждения к насилию, а также в «даркнете» существует возможность покупать оружие и запрещенные вещества.

Примечательно, что Генеральный прокурор не представил суду оригинала официального распоряжения о приостановлении предоставления телекоммуникационных услуг по запросу суда.

В связи с этим суд постановил, что

1) компетентные органы обязаны опубликовать все действующие распоряжения об отключении средств связи и сети «Интернет» и публиковать все распоряжения в будущем, чтобы пострадавшие могли опротестовать их в суде.

2) свобода слова и выражения мнений, а также право на работу, ведение торговли и предпринимательской деятельности с использованием сети «Интернет» пользуются конституционной защитой. Ограничение этих основных прав должно соответствовать Конституции Индии с учетом принципа пропорциональности.

3) приостановление интернет-услуг на неопределенный срок недопустимо.

4) любое распоряжение о приостановлении доступа к сети «Интернет» должно быть основано на принципе пропорциональности и не должно продляться сверх необходимого срока.

5) компетентные органы должны немедленно проверить все распоряжения, приостанавливающие работу интернет-сервисов. Распоряжения, не соответствующие закону, должны быть отменены.

24 января 2020 года (через две недели после того, как суд вынес данное решение) в Джамму и Кашмире заработал мобильный интернет, однако, в формате 2G. Более того, доступ был открыт только к сайтам из одобренного властями Индии списка; доступ к социальным сетям в Кашмире по-прежнему отсутствует.

Однако уже 18 февраля Отдел по борьбе с киберпреступностью полиции Кашмира начал расследование в отношении пользователей, обходящих запрет на использование социальных сетей при помощи VPN-сервисов. Несмотря на запрет VPN, заблокировать их работу у компетентных органов Индии не получилось. Основным ограничителем доступа к сети «Интернет» в настоящее время остается низкая скорость интернета.

2.4 Проект правил регулирования социальных сетей и платформ

В октябре 2019 года Правительство Индии предложило новые механизмы регулирования контента в сети «Интернет». Для реализации данных механизмов подготовлены изменения в правила информационных технологий, касающиеся правил для посредников. Основной целью указанных изменений является повышение ответственности посредников за размещаемый контент, а также обеспечение его прозрачности.

С одной стороны, технологии привели к экономическому росту и социальному развитию, с другой – фиксируется экспоненциальный рост ненавистнических высказываний, фейковых новостей, нарушения общественного порядка, антинародной деятельности, клеветнических публикаций и других незаконных действий с использованием интернет-платформ и социальных сетей. Поэтому разработка изменений и усиление надзора призвано помочь устранить постоянно растущие угрозы, а также защитить территориальную целостность, суверенитет и национальную безопасность Индии.

Объект правового регулирования в документе сформулирован весьма широко, что предполагает охват практически любой онлайн-компании – от социальных сетей и платформ электронной коммерции до интернет-провайдеров.

Предлагаемый индийскими властями набор регулятивных мер можно разделить на четыре блока:

1) требование от крупных онлайн-платформ, таких как Facebook, Google, Twitter отслеживания в течение 24 часов по запросу правоохранительного органа происхождения контента, который не соответствуют местным законам (в частности, нарушает приватность, пропагандирует ненависть либо вводит в заблуждение), а также блокировки пользователя и удаления контента (в течение 24 часов) сохранением удалённого контента в течение 180 дней в целях использования в рамках возможного расследования правоохранительными органами;

2) требование для любой платформы с более чем 5 миллионами пользователей, назначить контактное лицо, которое круглосуточно и ежедневно будет доступно для связи с представителями правоохранительных органов и их представителям для координации совместных действий;

3) установка у провайдеров автоматических технических устройств для мониторинга трафика, которые позволят изолировать индийцев от «противоправной информации» путем удаления из социальных сетей и платформ незаконного контента;

4) требование снизить стандарты шифрования сообщений в мессенджерах так, чтобы власти могли отследить отправителя.

Опыт ряда отраслей показал, что жесткое государственное регулирование сдерживает инновации, поскольку препятствует выходу новых предприятий и продуктов на рынок. Для Индии, которая остро нуждается в стартапах, инновациях и инвестициях, новые правила могут создать для этого препятствия.

Индийский кейс логично укладывается в мировой тренд усиления информационной безопасности. В случае принятия нового нормативного акта Индия, присоединится к растущему списку стран, регулирующих социальные сети, включая Австралию, Китай и Сингапур и ЕС. До настоящего времени указанный нормативной акт не принят.

2.4.1. Политический скандал вокруг социальной сети Facebook.

Оппозиционная партия «Индийский национальный конгресс» (Indian National Congress) обвинило руководство индийского подразделения социальной сети Facebook в предвзятой политике информационной безопасности в отношении сообщений и постов членов правящей Индийской народной партии (Bharatiya Janata Party), ведущих к разжиганию межнациональной розни.

14.08.2020 The Wall Street Journal выпустил статью о том, как политическая принадлежность пользователей влияет на реализацию политики информационной безопасности Facebook. В материале, в частности, фигурировали прямые цитаты сотрудников индийского подразделения Facebook, которые сообщали о получении инструкций непосредственно от директора по публичной политике индийского подразделения Facebook госпожи Анкхи Дас. Сотрудникам было предписано не применять санкции за нарушения правил общения в Facebook в случае, если нарушения совершались политиками из правящей партии Индии, поскольку применение соответствующих санкций могло навредить перспективам развития и интересам Facebook в Индии.

Ключевым обвинением в адрес индийского подразделения Facebook стало отсутствие санкций со стороны социальной сети в отношении заявления Тайгера Раджи Сингха, члена правящей партии Индии, в отношении индийских мусульман.

Тайгер Раджа Сингх опубликовал пост в Facebook, где призывал к расстрелу мусульман-рохинджа, угрожал разрушить мечети и называл индийских мусульман «предателями». К марту 2020 года команда внутренней безопасности Facebook признала Сингха не только нарушителем правил общения в Facebook, которое может повлечь разжигание ненависти, но и опасным пользователем. В случае попадания в категорию «опасных пользователей», служба безопасности Facebook принимает во внимание не только посты, но и деятельность человека вне социальной сети и ее возможные последствия.

Согласно выводам ответственных сотрудников-наблюдателей Facebook риторика Раджи Сингха c учетом особенностей индийского общества может привести к вспышкам реального насилия. Таким образом, его аккаунт должен быть навсегда заблокирован на платформах компании по всему миру.

По информации The Wall Street Journal, несмотря на настойчивые требования сотрудников-наблюдателей Facebook, ответственных за безопасность платформы, госпожа Анкхи Дас не позволила осуществить блокировку. Раджа Сингх продолжает активно действовать в социальных сетях и у него сотни тысяч подписчиков.

Более того, госпожа Анкхи Дас и Facebook предъявляются претензии относительно обеспечения правящей партии Индии «режима наибольшего благоприятствования» в вопросах, связанных с выборами. В качестве примера приводится случай, когда Facebook за несколько дней до начала выборов в нижнюю палату Парламента Индии в апреле 2019 года провела мероприятия по удалению недостоверной информации. К такой информации были отнесены публикации и посты, связанные с пакистанскими военными, а также с индийской оппозиционной партией «Индийский национальный конгресс».

В Индии проживает самое большое количество зарегистрированных пользователей Facebook и WhatsApp в мире. Совсем недавно Марк Цукерберг подписал крупнейшую инвестиционную сделку за всю историю Facebook и приобрел 9,99% акций индийской компании Reliance Jio за 5,7 млрд долларов. Принадлежащий Facebook мессенджер WhatsАpp, для которого Индия также является крупнейшим рынком с 400 миллионами пользователей, ждет разрешения государственных органов на запуск собственной платежной платформы.

В этой связи последствия данного политического скандала могут привести к существенным финансовым и репутационным потерям.

3. Нормативное правовое регулирование персональных данных

Закон ITA предусматривает требования о разумных методах и процедурах безопасности корпоративными организациями, обладающими, обрабатывающими или передающими любые конфиденциальные персональные данные или информацию, их содержащую, а также ответственность за неспособность защитить такие данные. Однако указанные положения не определяют понятия «персональные данные», ограничившись лишь указанием на необходимость определения перечня таких данных Правительством Индии на уровне подзаконного акта.

Такой подзаконный акт был принят в 2011 году в виде указанных ранее Правил информационных технологий, устанавливающих методов и процедуры обеспечения безопасности конфиденциальных персональных данных или информации, содержащей такие данные (далее – Правила 2011 года).

Правила 2011 года относят к конфиденциальным персональным данным 6 типов данных и 2 типа информации, содержащей такие данные:

Конфиденциальные персональные данные Информация, содержащая конфиденциальные персональные данные (далее – информация ПД)
  1. пароль;
  2. финансовая информация, такая как банковский счет, кредитная карта, дебетовая карта или другие платежные данные;
  3. состояние физического, физиологического и психического здоровья;
  4. сексуальная ориентация;
  5. медицинские записи и история болезни;
  6. биометрическая информация;
  1. любые детали, касающиеся конфиденциальных персональных данных и предоставленные юридическому лицу для предоставления услуги;
  2. любая информация, полученная в соответствии с вышеуказанными пунктами корпоративным лицом для обработки, хранения или обработки в соответствии с договором или иным образом;

Таким образом, любой документ или другой фрагмент данных, который содержит хотя бы один из первых шести категорий конфиденциальных персональных данных, которые предоставляются юридическому лицу для оказания каких-либо услуг или выполнения в соответствии с контрактом каких-либо действий, также будут конфиденциальными персональными данными.

Следует отметить, что Правила 2011 года распространяются на сбор, хранение и обработку персональных данных как в электроном виде, так и на бумажном носителе, а также на те персональные данные, которые были собраны до принятия Правил 2011 года.

Политика конфиденциальности

Все юридические лица или любое лицо, действующее от имени юридического лица, которые собирают, получают, владеют, хранят или обрабатывают конфиденциальные персональные данные или информацию ПД обязаны принять и реализовывать политику конфиденциальности. Такая политика конфиденциальности должна быть доступна для просмотра субъектам конфиденциальных персональных данных и опубликована на веб-сайте юридического лица. Политика конфиденциальности должна четко определять методы и процедуры организации в отношении сбора, получения, владения, хранения, передачи, обработки и защиты конфиденциальных персональных данных и информации ПД.

Обязательства при сборе персональных данных

При сборе конфиденциальных персональных данных оператор таких данных должен получить предварительное согласие субъекта таких конфиденциальных персональных данных. Субъекту конфиденциальных персональных данных в соответствии с законом предоставляется возможность отзыва согласия на их обработку. В случае отзыва согласия лицо, владеющее конфиденциальными персональными данными, обязано удалить такие данные.

Поскольку согласие на сбор данных требуется только для конфиденциальных персональных данных, можно сделать вывод, что это положение не применяется к информации ПД, что может быть использовано компаниями в своих интересах или стать основанием злоупотребления. Лицо, владеющее конфиденциальными персональными данными, собранными на основании согласия, обязано удалить такие данные при отзыве согласия.

Правила 2011 года предусматривают, что для раскрытия конфиденциальных персональных данных любому третьему лицу требуется предварительное разрешение субъекта конфиденциальных персональных данных. Такое предварительное разрешение может содержаться в договоре между поставщиком конфиденциальных персональных данных и лицом, в соответствии с которым конфиденциальные персональные данные были предоставлены юридическому лицу.

Однако существует ряд исключений из правила относительно необходимости предварительного разрешения перед раскрытием каких-либо конфиденциальных персональных данных:

если такие конфиденциальные персональные данные запрашиваются в письменной форме государственными органами с целью проверки личности или для предотвращения, обнаружения, расследования преступлений, а также судами в рамках судебного процесса. Запрос должен сопровождаться обязательством не публиковать и не передавать такие конфиденциальные персональные данные любому другому лицу;

когда раскрытие информации требуется в соответствии с действующим законодательством.

Штрафы за нарушение Правил 2011 года

Правила 2011 года не предусматривают никаких штрафов за их нарушение.

Однако раздел 72A Закона ITA предусматривает для любого лица, включая посредника, которое раскрывает персональные данные без согласия субъекта таких данных, а также с намерением причинить этому лицу убытки, наказание в виде лишения свободы на срок до трех лет или штраф, который может достигать пяти тысяч рупий или и того, и другого. Раздел 43A Закона ITA также предусматривает выплату компенсации за любую халатность со стороны юридического лица в поддержании разумных методов и процедур безопасности, если такая халатность приводит к убыткам, но не предусматривает уголовного наказания.

Законопроект о персональных данных (в разработке)

Проект был разработан по аналогии с Общим положением о защите данных GDPR и опубликован для обсуждения в июле 2018 г. 11.12.2019. министр электроники и информационных технологий Индии представил обновленный вариант проекта закона о защите конфиденциальных персональных данных, который предполагает:

смягчить ограничения на локализацию и передачу данных;

расширить область влияния на анонимные и «неличные» данные;

внести корректировку правовых оснований для обработки данных;

разработать новую политику конфиденциальности;

смягчить уголовные наказания;

расширить права личности;

создать «песочницу» для поощрения исследований и разработки новых технологий в области кибербезопасности.

3.1 Государственные проекты, связанные с использованием персональных данных

Система идентификации и аутентификации граждан Индии Aadhaar.

Краткое описание.

Каждый гражданин может использовать систему Aadhaar для авторизации, в том числе с помощью биометрических данных (отпечатка пальца и/или скана радужной оболочки глаза). Кроме того, система предоставляет возможность электронной подписи eSign. Сами документы можно загрузить, передать, хранить в специальном облачном хранилище и платформе для выпуска документов и их сертификации DigiLocker. Персональные данные пользователей Aadhaar защищены от недобросовестного использования. Aadhaar также делает возможным использование унифицированного платежного интерфейса.

История создания Aadhaar

Еще совсем недавно у большинства граждан Индии отсутствовало свидетельство о рождении, без которого невозможно было идентифицировать личность. Данный факт приводил к тому, что государственные пособия не доходили до конченых получателей и часто оставались в руках посредников.

В 2008 году был запущен Aadhar – проект, принцип работы которого во многом похож на номера социального страхования в США. Однако Aadhaar должен был предоставить гражданам более широкие возможности. Правительство Индии заявляло, что программа будет добровольной и в первую очередь предназначена для малообеспеченных граждан, которых нужно обеспечить продуктами и другими базовыми товарами.

Спустя 10 лет Aadhaar, в которой хранятся фотографии, имена, адреса, отпечатки пальцев, снимки радужной оболочки глаза и уникальные 12-значные номера граждан, стала крупнейшей в мире системой идентификации с биометрическими данными.

Из примерно 1,3 млрд граждан Индии идентификационную карту Aadhaar имеют 99% взрослых в стране. По оценке Правительства Индии, Aadhaar уже помогла сэкономить около $5 млрд.

Действующий и перспективный функционал

В рамках проекта объединенного платежного интерфейса UPI, который также разработан правительством в сотрудничестве с Aadhaar, многие жители страны, не имеющие счета в банке, впервые для себя открыли для себя финансовые услуги. При помощи запущенного Правительством приложения BHIM миллионы граждан смогли расплачиваться электронными деньгами вне зависимости от того, в каком банке они имеют счета. Перевод средств в BHIM так же прост, как отправка текстового сообщения. Кроме того, оплачивать покупки можно с помощью сканирования QR-кодов. Данное приложение постепенно вытесняет из обихода граждан практически все операции с наличными.

На следующем этапе развития системы, который получил название Aadhaar Enabled Payments System, предполагается, что смартфоны станут ненужными. Люди смогут оплачивать покупки, проводя пальцем по специальному терминалу, который вместо пластиковых карт будет считывать отпечатки.

Правительство Индии предоставило возможность гражданам хранить водительские удостоверения в электронном виде в приложении DigiLocker, чтобы избавить людей от необходимости везде носить с собой бумажные документы.

Кроме того, в настоящее время разрабатывается комплекс мер по внедрению возможности оформления для пожилых граждан медицинских карт, прикрепленных к номерам в Aadhaar. В них будет храниться информация о состоянии здоровья пациента, доступ к которой смогут получать доктора.

Безопасность системы

В базе данных Aadhaar неоднократно выявлялись фальшивые записи. Известно немало случаев, когда идентификационные номера в Aadhaar появлялись у животных. Карту Aadhaar однажды нашли даже у индуистского бога Ханумана. Причиной наличия фальшивых записей является тот факт, что базу данных Aadhaar никогда не проверяли на устойчивость ко взлому, о чем сообщали многие эксперты по безопасности, правозащитники, юристы и политики.

Кроме того, в Aadhaar не используются базовые принципы криптографии, и о системе безопасности проекта вообще известно очень немного. Представляется целесообразным открыть доступ к коду Aadhaar (что является привычной практикой в технологической сфере), что специалисты по безопасности могли бы проверить уровень безопасности, оценив риски и угрозы.

Добровольность или обязательность использования Aadhaar

Специалисты и эксперты указывают на агрессивность проникновения Aadhaar в другие системы. Например, студенты большинства индийских штатов, желающие сдавать национальный тест для поступления на медицинские специальности (NEET) получили уведомление от образовательного совета о необходимости сообщить номер в системе Aadhaar. Наличие регистрации в системе Aadhaar стало обязательным условием для студентов, желающих сдавать экзамен для поступления на инженерные специальности (JEE) в большинство технических университетов страны.

Верховный суд Индии вынес постановление с требованием к Правительству Индии о необходимости привязки номеров мобильных телефонов всех абонентов в стране (около 1 млрд) к их картам в Aadhaar. Новые абоненты смогут активировать контракт с мобильным оператором только через базу данных Aadhaar.

Подключение к системе Aadhaar, предоставление своих биометрических и иных персональных данных изначально было добровольным, однако впоследствии стало «добровольно-принудительным». Так, малообеспеченных людей подключали к системе Aadhaar и получали их данные, установив на уровне нормативных правовых актов положения о том, что государственные услуги и субсидии доступны только после регистрации и только при обращении в электронной форме.

Более того, наличие номера в Aadhaar является обязательным для получения зерна в рамках Акта о национальной продовольственной безопасности. Регистрация в Aadhaar стала обязательной для оплаты газа по льготным расценкам.

Правозащитные организации Индии беспокоит, что данные Aadhaar будут использованы для массовой слежки, этнических чисток и другой тайной деятельности. С учетом объема персональных данных, которые содержатся в системе Aadhaar, они могут быть использованы для психопрофилирования населения.

Система распознавания лиц

В конце октября 2019 года Правительство Индии объявило о планах запустить крупнейшую в мире систему распознавания лиц. Согласно проекту, полиция 29 штатов страны и семи союзных территорий будет иметь доступ к единой централизованной базе данных, которая облегчит поиск преступников и пропавших без вести людей.

Масштабы предлагаемой системы изложены в документе, опубликованном Национальным бюро регистрации преступлений. Предполагается, что система распознавания лиц сможет сопоставлять изображения, полученные от растущей сети камер видеонаблюдения, с базой данных, в которую войдут фотографии преступников, фотографии из паспортов и изображения, собранные различными государственными структурами, включая систему Aadhaar.

Система также позволит осуществлять поиск на основе фотографий, загруженных из газет, изображений, отправленных гражданами, или фотороботов подозреваемых преступников. Кроме того, система будет распознавать лица на записях из закрытых систем видеонаблюдения и оповещать полицию при выявлении людей из черного списка. Полицейских планируется оснастить портативными мобильными устройствами, которые позволят сфотографировать лицо интересующего человека и мгновенно найти его в национальной базе данных с помощью специального приложения.

Предполагается, что новая система распознавания лиц может сыграть очень важную роль в поиске преступников, пропавших без вести лиц и при опознавании трупов. Кроме того, система поможет полицейским «выявлять преступные структуры» и должна снизить криминогенный фон.

4. Стратегические направления развития Индии в сфере кибербезопасности

Национальная политика в области кибербезопасности (далее – Национальная политика КБ), утвержденная правительством Индии 02.07.2013, является первым индийским доктринальным документом, который призван обеспечить комплексное и единое видение политических приоритетов индийского государства, частного сектора и общества в целом в отношении кибербезопасности, а также задать направление и обозначить для согласованной и систематической деятельности по претворению такого видения в реальность.

Национальная политика КБ является важной промежуточной ступенью к выработке индийской Национальной стратегии кибербезопасности, активная разработка которой ведется в настоящее время.

Ключевая роль в обеспечении кибербезопасности для индийских пользователей, бизнеса и государственных органов в Национальной политике КБ закрепляется за частным сектором как стороной, обладающей необходимым опытом, технологиями, потенциалом создания инноваций и саморегулирования для решения подобной задачи в общенациональном масштабе при активном содействии государства.

Основными целями Национальной политики КБ являются:

формирование высокого уровня доверия и уверенности в ИТ-системах и транзакциях в киберпространстве путем улучшения качества и усиления внедрения информационных технологий во всех секторах экономики;

реализация мероприятий, направленных на обеспечение соответствия политики Индии в сфере информационной безопасности мировым стандартам;

разработка нормативной базы для обеспечения безопасности киберпространственной экосистемы;

развитие механизмов получения информации об угрозах для инфраструктуры информационно-коммуникационных технологий, создание сценариев реагирования на национальном и отраслевом уровнях;

усиление защиты и устойчивости критически важных компонентов национальной информационной инфраструктуры через обеспечение эффективного функционирования Национального центра защиты информационной инфраструктуры (NCIIPC) и распределения прав на проектирование, приобретение, разработку, использование и эксплуатацию информационных ресурсов;

разработка передовых технологий в сфере безопасности, способствующие широкому распространению безопасных продуктов информационно-коммуникационных технологий для удовлетворения требований национальной безопасности;

создание инфраструктуры для тестирования и проверки безопасности ИТ-продуктов;

проведение мероприятий по подготовке кадров в области кибербезопасности;

предоставление налоговых льгот предприятиям для принятия стандартов безопасности;

обеспечение защиты информации во время ее обработки, хранения и передачи в целях защиты конфиденциальных персональных данных и уменьшения экономических потерь из-за киберпреступности;

обеспечение эффективного предотвращения, расследования и судебного преследования киберпреступности и расширения возможности правоохранительных органов, в том числе посредством актуализации соответствующего законодательства;

создание культуры кибербезопасности и конфиденциальности;

укрепление глобального сотрудничества в сфере кибербезопасности.

В рамках реализации мероприятий по созданию механизмов раннего предупреждения угроз безопасности, управления уязвимостями и ответа на угрозы безопасности функционирует Группа экстренного реагирования на компьютерные инциденты (CERT-India). С целью защиты национальной инфраструктуры создан Национальный центр защиты критически важной информационной инфраструктуры (NCIIPC).

Миссией «Центра NCIIPC» является принятие всех необходимых мер для содействия защите критической информационной инфраструктуры от несанкционированного доступа, воздействия, использования, обнародования, разрушения, нарушения функциональности через согласованную координацию, синергию и повышение защищенности безопасности информации на основе согласованной координации, взаимодействия и повышения информационности всех заинтересованных сторон.

Функции «Центра NCIIPC»:

осуществление деятельности в качестве государственной головной организации, ответственной за все меры по защите критической информационной инфраструктуры страны;

разработка рекомендаций, направленных на снижение уязвимости критической информационной инфраструктуры от кибертерроризма, кибервойны и других угроз;

выявление всех критических элементов информационной инфраструктуры;

стратегическое обеспечение деятельности Правительства Индии по реагированию на киберугрозы безопасности в отношении критической информационной инфраструктуры;

координация, обмен данными, мониторинг, сбор, анализ и прогноз угроз на национальном уровне по критической информационной инфраструктуре для раннего предупреждения и оповещения;

помощь в разработке соответствующих планов, разработка стандартов, обмен передовым опытом и совершенствование закупок, связанных с защитой критической информационной инфраструктуры;

разработка стратегии защиты, политик, оценок уязвимостей и аудита, методологий и планов по их распространению и внедрению для защиты критической информационной инфраструктуры;

проведение научных исследований и развития смежных видов деятельности для защиты критической информационной инфраструктуры;

разработка и организация программ обучения и информирования, развитие аудита и органов по сертификации для защиты критической информационной инфраструктуры;

разработка и реализация национальных и международных стратегий сотрудничества в целях защиты критической информационной инфраструктуры;

разработка рекомендаций в области защиты критической информационной инфраструктуры, предупреждения и ликвидации последствий по согласованию с заинтересованными сторонами и тесной координацией с группой реагирования на чрезвычайные ситуации (CERT – India), и др.

В июне 2018 года правительство штата Телангана на юге Индии в партнерстве с Советом безопасности данных Индии (DSCI) создало Центр передового опыта по кибербезопасности (CoE), внимание которого сосредоточено на стратегических областях, включая инновации, предпринимательство и наращивание кадрового потенциала.

Направления работы Центра:

Создание инновационной экосистемы на государственном уровне,

Сотрудничество с существующими инкубаторами и акселераторами развития,

Наращивание технологического потенциала.

Стратегия кибербезопасности (в разработке)

Стратегия кибербезопасности была представлена на 12-ом Саммите по безопасности Индии «На пути к новой национальной стратегии кибербезопасности» 29.08.2019. Стратегия в настоящее время опубликована для обсуждения профессиональным сообществом. На её осуществление будет выделено 5 трлн. долл. Самым важным требованием к интернет-безопасности, обозначенным в стратегии, является развитие эффективной координации между министерствами, а также обеспечение защиты критической национальной инфраструктуры и вовлеченность в реализацию мероприятий в сфере информационной безопасности в равной степени как государственного, так и частного сектора.

Программа «Цифровая Индия»

Программа «Цифровая Индия» действует в стране с 2006 г.

Принципы и методология программы:

Управление инфраструктурой информационных и коммуникационных технологий осуществляется государством. Государство также способствует развитию и становлению стандартов и руководящих принципов, оказывает техническую поддержку, наращивает потенциал в этой области, проводит научно-исследовательские и опытно-конструкторские работы.

Увеличение объемов, переработка, использование интегрированных и совместимых систем, а также развертывание новых технологий, таких как облачные хранилища, будут проводиться в целях улучшения качества предоставления государственных услуг гражданам;

Регионам будет предоставлена возможность введения проектов, специфичных для каждого региона в отдельности, в зависимости от их социально-экономических потребностей;

Поддержка в выполнении проектов цифрового управления частными предпринимателями;

Создание и внедрение уникальных идентификационных кодов для облегчения идентификации, аутентификации и начисления пособий;

Реструктуризация «Национального информационного центра» будет проводиться с целью улучшения качества информационной поддержки граждан на государственном и региональном уровнях;

Минимум в 10 министерствах должна быть создана должность ИТ-директора для более быстрой реализации различных проектов электронного управления. Директора будут управлять вопросами, касающимися информационных технологий в соответствующем министерстве.

Структура управления программой включает в себя управляющий комитет, возглавляемый премьер-министром, консультативную группу, Правительственный комитет по экономическим вопросам, комитет по контролю выполнения программы, комитет по незапланированным расходам, совет руководителей реализации целей проекта.

В рамках программы «Цифровая Индия» занимаются созданием инфраструктуры электронного правительства. Заслуживает внимания тот факт, что индийские власти используют программное обеспечение с открытым исходным кодом (Open Source) для построения электронного правительства. Бесплатное и открытое ПО должно считаться приоритетным для всех новых проектов электронного государственного управления, реализуемых федеральными ведомствами и властями штатов Индии. ИТ-системы, которые работают на базе «закрытого» ПО, должны будут перейти на Open Source.

Федеральным и государственным органам предписаны преференции для открытого программного обеспечения при государственных закупках. В случае наличия желания или необходимости использования иных продуктов государственные заказчики обязаны объяснить причины выбора таких решений.

Помимо экономии средств, дополнительным фактором, побудившим Правительство Индии перейти на Open Source, является желание осуществлять стратегический контроль над программами электронного управления в долгосрочной перспективе.

Однако не все средства предоставления государственных услуг гражданам и бизнесу будут построены на открытых продуктах. Предусмотрены исключения в тех областях, где с функциональной точки зрения невозможно использование софта с открытым исходным кодом или нет достаточного опыта для внедрения таких решений. Кроме того, преференции для Open Source могут быть сняты в случаях, когда речь идет о срочных и стратегически важных проектах. Для указанных целей может быть использовано коммерческое ПО, созданное индийскими разработчиками.

5. Двустороннее сотрудничество между Россией и Индией

15.10.2016 между Правительством Российской Федерации и Правительством Республики Индия было подписано соглашение о сотрудничестве в области обеспечения безопасности в сфере использования информационно-коммуникационных технологий (далее – Соглашение).

Стороны в соглашении определили основных угрозы в области обеспечения безопасности в сфере использования ИКТ, имеющие для них существенное значение и требующие особого внимания. Среди них:

1) вредоносное использование ИКТ, направленное на подрыв суверенитета, нарушение территориальной целостности и создание угрозы международному миру, правам человека, свободе выражения мнений, безопасности и стратегической стабильности;

2) вредоносные атаки на критическую информационную инфраструктуру, которые могут подорвать безопасное и стабильное функционирование глобальных и национальных информационно-коммуникационных сетей, в том числе действия, способные нанести экономический вред;

3) террористические акты, в том числе пропаганда терроризма и вербовка для осуществления террористической деятельности, совершаемой с использованием ИКТ;

4) преступные деяния, совершаемые с использованием ИКТ;

5) распространение информации с использованием ИКТ с целью нарушить общественный порядок, общинное и социальное согласие и подорвать осуществление государственного управления;

6) угрозы безопасному и стабильному функционированию глобальной и национальной информационной инфраструктуры, имеющие природный и (или) техногенный характер.

Соглашением определены основные направления сотрудничества, общие принципы и механизмы сотрудничества, а также урегулированы вопросы конфиденциальности данных, финансирования и разрешения споров по данному соглашению.

6. Выводы и рекомендации

В Индии существует система нормативных правовых актов, регулирующая различные сферы, в том числе, информационных технологий, незаконного контента, социальных сетей и мессенджеров, персональных данных, электронной подписи, интернет-кафе и т.д. Следует также отметить, что в Индии приняты или в ближайшее время будут приняты стратегические документы по кибербезопасности и защите от киберугроз. Вместе с тем, существуют не урегулированные или не в полной мере урегулированные вопросы, среди них, защита интеллектуальных прав на контент в сети «Интернет», основания и условия ограничения доступа к сети «Интернет» для граждан, условия безопасности биометрических персональных данных.

Интересным с точки зрения применения в РФ является механизм блокировки контента в чрезвычайной ситуации, который предусмотрен в законодательстве Индии и уже неоднократно применялся на практике. Последним случаем, который заслуживает внимания, является блокировка 59 приложений из Китая. Настолько массовая блокировка иностранных приложений является первым случаем в Индии, равно как и в мире. Причиной такой блокировки стали многочисленные заявления от граждан Индии в отношении безопасности данных и нарушения конфиденциальности.

В Индии также существует опыт массовых ограничений доступа к сети «Интернет». Наиболее существенным и длительным стало ограничение доступа с 04.08.2019 по 24.01.2020 в Кашмирской долине и некоторых районах Джамму и Ладакха. Перестали функционировать сети сотовой связи, интернет-услуги и стационарные телефоны. После чего был подан иск в суд и данное ограничение было признано незаконным. Через две недели после того, как суд вынес решение, заработал мобильный интернет, однако, в формате 2G. Более того, доступ был открыт только к сайтам из одобренного властями Индии списка; доступ к социальным сетям в Кашмире по-прежнему отсутствует.

Однако Отдел по борьбе с киберпреступностью полиции Кашмира начал расследование в отношении пользователей, обходящих запрет на использование социальных сетей при помощи VPN-сервисов. Несмотря на запрет VPN, заблокировать их работу у компетентных органов Индии не получилось. Основным ограничителем доступа к сети «Интернет» в настоящее время остается низкая скорость.

Следует обратить внимание на предложенные в октябре 2019 года Правительством Индии новые механизмы регулирования контента в сети «Интернет», которые также возможно применить и в России. Для реализации данных механизмов подготовлены изменения в правила информационных технологий, касающиеся правил для посредников. Основной целью указанных изменений является повышение ответственности посредников за размещаемый контент, а также обеспечение его прозрачности.

Предлагаемый индийскими властями набор регулятивных мер можно разделить на четыре блока:

1) требование от крупных онлайн-платформ, таких как Facebook, Google, Twitter отслеживания в течение 24 часов по запросу правоохранительного органа происхождения контента, который не соответствуют местным законам (в частности, нарушает приватность, пропагандирует ненависть либо вводит в заблуждение), а также блокировки пользователя и удаления контента (в течение 24 часов) сохранением удалённого контента в течение 180 дней в целях использования в рамках возможного расследования правоохранительными органами;

2) требование для любой платформы с более чем 5 миллионами пользователей, назначить контактное лицо, которое круглосуточно и ежедневно будет доступно для связи с представителями правоохранительных органов и их представителям для координации совместных действий;

3) установка у провайдеров автоматических технических устройств для мониторинга трафика, которые позволят изолировать индийцев от «противоправной информации» путем удаления из социальных сетей и платформ незаконного контента;

4) требование снизить стандарты шифрования сообщений в мессенджерах так, чтобы власти могли отследить отправителя.

Индийский кейс логично укладывается в мировой тренд усиления информационной безопасности. В случае принятия нового нормативного акта Индия, присоединится к растущему списку стран, регулирующих социальные сети, включая Австралию, Китай и Сингапур и ЕС. До настоящего времени указанный нормативной акт не принят.

Представляется интересным опыт Индии в рамках государственного проектов, связанных с использованием персональных данных. Каждый гражданин может использовать систему Aadhaar для авторизации, в том числе с помощью биометрических данных (отпечатка пальца и/или скана радужной оболочки глаза). Кроме того, система предоставляет возможность электронной подписи eSign. Сами документы можно загрузить, передать, хранить в специальном облачном хранилище и платформе для выпуска документов и их сертификации DigiLocker. Так, в настоящее время там хранятся водительские удостоверения в электронном виде, что избавило людей от необходимости ношения с собой бумажных документов. Aadhaar также делает возможным использование унифицированного платежного интерфейса. На следующем этапе развития системы, который получил название Aadhaar Enabled Payments System, люди смогут оплачивать покупки, проводя пальцем по специальному терминалу, который вместо пластиковых карт будет считывать отпечатки.

В конце 2019 года Правительство Индии объявило о планах запустить крупнейшую в мире систему распознавания лиц. Согласно проекту, полиция 29 штатов страны и семи союзных территорий будет иметь доступ к единой централизованной базе данных, которая облегчит поиск преступников и пропавших без вести людей. Предполагается, что система распознавания лиц сможет сопоставлять изображения, полученные от растущей сети камер видеонаблюдения, с базой данных, в которую войдут фотографии преступников, фотографии из паспортов и изображения, собранные различными государственными структурами, включая систему Aadhaar. Фактически это 95% населения страны.

Поделиться