пятница, 30 апреля 2021 г.

Великобритания: Почтовая служба потерпела очередное поражение в суде в связи со скандалом вокруг ИТ-системы Horizon

Данная статья редактора журнала Computer Weekly по региону Европы, Ближнего Востока и Африки Карла Флиндерса (Karl Flinders – на фото) была опубликована на сайте журнала 17 декабря 2020 года.

Мой комментарий: Те, кто следит за громкими судебными процессами в Великобритании, знают, что некогда славившаяся своей беспристрастностью – и поэтому столь привлекательная для мирового бизнес-сообщества – британская Фемида в последнее время насквозь прогнила. Но приведенный материал интересен даже не этим (в конце концов, это не первый подобный скандал) – описанная ситуация лишний раз показывает, что слепая вера в надёжность технологий (а впоследствии – естественное желание скрыть допущенные из-за этого промахи) намного опаснее, чем собственно реальные дефекты в плане безопасности информационных систем.

Коллеги из ИТ примерно раз в полгода «выкатывают» очередные «абсолютно надёжные», «невзламываемые» решения и устраивают вокруг них соответствующие «танцы с бубнами» у финансовых костров. И если в эту шумиху начинают верить судьи, то горе тем несчастным, которые падут первыми жертвами сбоев и действий предприимчивых мошенников …

Апелляционный суд Англии и Уэльса (Court of Appeal) указал, что руководители структур, оказывающих почтовые услуги наряду с другими коммерческими услугами (subpostmasters - часто это владельцы газетных киосков и сельских магазинов. Далее для простоты я буду называть их «почтовые операторы» – Н.Х.) смогут обжаловать неправомерные приговоры на том основании, что Почтовая служба (Post Office) привлекала их к ответственности, несмотря на то, что ей было известно о невозможности проведения в их отношении справедливого судебного разбирательства.

Это еще одно судебное поражение Почтовой службы, оспорившей соответствующий запрос, в рамках затянувшегося скандала, связанного с почтовой информационной системой Horizon («Горизонт»).

Хотя это ещё не окончательное решение (последнее будет вынесено позже в письменном виде), судьи Апелляционного суда отметили, что если почтовые операторы, чьи дела были переданы ей Комиссией по пересмотру уголовных дел (Criminal Cases Review Commission, CCRC – занимается расследованием предполагаемых судебных ошибок – Н.Х.) захотят, чтобы случившееся с ними рассматривалось как «оскорбление общественной совести», - то у них будет такая возможность.

Данное решение означает, что Почтовая служба и правительство могут подвергнуться более тщательной проверке в связи с одной из крупнейших судебных ошибок в истории Великобритании.

В июне 2020 года дела в общей сложности 47 почтовых операторов, ошибочно признанных Почтовой службой виновными в финансовых преступлениях, были переданы на рассмотрение комиссии CCRC.

В течение 15-летнего периода, начавшегося вскоре после того, как разработанная компанией Fujitsu компьютерная система Horizon была внедрена в 2000 году в отделениях Почтовой службы, почтовых операторов отправляли в тюрьмы, штрафовали на крупные суммы, заставляли выполнять общественные работы, и многие из них стали банкротами вследствие необъяснимых недостач при бухгалтерском учёте.

Расследование, проведенное журналом Computer Weekly в 2009 году, позволило рассказать общественности истории пострадавших операторов. По их словам, убытки были вызваны ошибками, допущенными системой Horizon. Почтовая служба отрицала это, и многие почтовые операторы впоследствии были привлечены к ответственности за кражу и фальсификацию бухгалтерской отчётности, что стало одной из самых больших судебных ошибок в истории Великобритании.

Почтовая служба утверждала, что система Horizon работает надёжно, и категорически отрицала, что именно ошибки ИТ-системы вызывают необъяснимые ошибки в бухгалтерском учёте. Однако в ходе многомиллионного группового судебного процесса, в ходе которого была доказана правота утверждений операторов о том, что Horizon является причиной ошибок, - судья Высокого суда (High Court – одна из структур Верховного суда Англии – Н.Х.) Питер Фрейзер (Peter Fraser) описал позицию Почтовой службы как «эквивалентную настаиванию, в XXI веке, на том, что Земля плоская».

Комиссия CCRC заявила, что приговоры были потенциально необъективными по двум причинам. Первая (известная, как «основание 1» (limb 1)) заключалась в том, что используемые в ходе расследования компьютерные доказательства были потенциально ненадежными. Именно это основание первоначально было выбрано большинством заявителей для апелляции, и Почтовая служба уже заявила, что не будет его оспаривать. Приговоры, в том числе по уголовным обвинениям, шести операторам, подавших апелляцию в Королевский суд Саутуорка (Southwark Crown Court), на прошлой неделе, были отменены. Большинство оставшихся апеллянтов подадут апелляции в Апелляционный суд в марте 2021 года.

Но сегодня (17 декабря 2020 года) в Апелляционном суде адвокаты трёх почтовых операторов запросили разрешение на рассмотрение их апелляций по второй из возможных причин пересмотра дел комиссией CCRC. Они утверждали, что Почтовая служба заведомо знала, что почтовым операторам не может быть обеспечено справедливое судебное разбирательство, - но всё равно продолжала их преследование, что явилось «оскорблением общественной совести», согласно правилам CCRC (так называемое «основание 2» (limb 2)). Почтовая служба это оспорила.

Почтовыми операторами, которые просили разрешения на подачу апелляции по основанию 2, были Трейси Фелстед (Tracy Felstead), Джанет Скиннер (Janet Skinner) и Сима Мишра (Seema Misra). Все трое были отправлены в тюрьму после того, как были привлечены к ответственности Почтовой службой, и теперь они хотят, чтобы вопрос об «оскорблении общественной совести» был рассмотрен Апелляционным судом. Почтовая служба не включила эти три случая в группу дел, по которым, как она заявило, она не будет оспаривать апелляции.

Как сообщил в своих твитах из зала суда журналист-фрилансер Ник Уоллис (Nick Wallis), адвокаты этих трёх заявителей должны теперь до 15 января 2021 года представить схематичную аргументацию, показывающую, на каких аргументах будет построена апелляция. Другие апеллянты, желающие апеллировать на базе «основания 2», должны представить аналогичную схематичную аргументацию до 29 января 2021 года. Суд заявил, что апеллянты, который не представят подобную аргументацию, смогут затем апеллировать лишь на базе «основания 1».

Согласие суда с тем, что «основание 2» является уместным для подачи апелляции, усилит давление на правительство с целью заставить его разобраться со скандальной ситуацией, - высвечивая основные слабые места в правовой системе и выявляя ситуации потенциально злонамеренного судебного преследования. Это усугубит противоречия между Почтовой службой и её владельцем-правительством, разоблачив, кто, что и когда знал, и кто принимал ключевые решения.

Когда комиссия CCRC передала беспрецедентный по объёму групповой иск в Апелляционный суд, председатель комиссии Хелен Питчер (Helen Pitcher) следующим образом объяснила аргументацию CCRC: «Наш аргумент заключается в том, что это злоупотребление процедурой. Если у Вас появляется так много дел, относящихся к внедрённой ИТ-системе, то кто-то где-то должен был спросить – чья здесь вина, человека или ИТ-системы, и если это вина ИТ-системы, то что это означает?»

К этому Питчер добавила: «Если бы я была в Совете директоров Почтовой службы, я бы сказал своему руководителю юридического отдела: «Мне нужно, чтобы Вы пришли на заседание Совета и рассказали нам, как может появиться так много дел, подпадающих под одну и ту же категорию».

В суде интересы трёх почтовых операторов представляла адвокат Лиза Буш (Lisa Busch QC) из фирмы Cornerstone Barristers, которая заменила Пола Маршалла (Paul Marshall) из той же фирмы, слившего конфиденциальный документ по делу в столичную полицию.

Этот документ от 2013 года упоминался на предыдущем слушании в Апелляционном суде. В нем якобы содержится информация, которая могла повредить преследованию почтовых операторов. Документ, который не был предан гласности, был направлен одним из адвокатов в Почтовую службу и касался показаний свидетеля-эксперта в ходе судебных процессов над операторами, винившими компьютерную систему Horizon в ошибках бухгалтерского учета.

Объявляя о своем отказе от представления трех истцов, Маршалл заявил: «Тщательно и с тревогой изучив ход судебных слушаний 18 ноября, 19 ноября и 3 декабря 2020 года, а также условия приказа, отданного 3 декабря 2020 года, я считаю, что у меня нет возможности продолжать бесстрашно представлять моих клиентов в этом суде. Следовательно, я не могу выполнять свой профессиональный долг перед клиентами.»

«Соответственно, в интересах моих клиентов, чтобы в этих апелляциях в данном суде их представлял другой адвокат. Для моих клиентов очень прискорбно, что они лишены возможности быть представленными обеими выбранными ими адвокатами в результате событий 18-19 ноября и 3 декабря 2020 года».

На пересмотр могут быть направлены гораздо больше обвинительных приговоров почтовым операторам. В комиссии CCRC сообщили, что, по последним подсчетам, на рассмотрении находятся 23 дела о привлечении к ответственности почтовых операторов. За прошедшие годы на основе данных системы Horizon к ответственности было привлечено около 900 человек.

Между тем, Комиссия по пересмотру уголовных дел Шотландии предприняла, по общему мнению, «необычный шаг», направив по своей инициативе письмо 73 людям, ранее приговоренным по уголовным обвинениям, которые потенциально связаны с ошибками в информационной системе Horizon Почтовой службы.

Карл Флиндерс (Karl Flinders)

Источник: сайт журнала Computer Weekly
https://www.computerweekly.com/news/252493818/Post-Office-suffers-latest-court-defeat-in-Horizon-IT-scandal

Печаль наших западных коллег-архивистов

28 апреля 2021 года в социальной сети LinkedIn американский ветеран в области стратегического управления информацией и э-раскрытия Дэвид Гейнон (David Gaynon – на фото) написал следующий пост:

Я не могу не задаться вопросом, является ли вот это ( http://www.nycarchivists.org/event-4266718 ) будущим архивного дела.

Мой комментарий: Ссылка ведёт на извещение об организованном 30 апреля – 2 мая 2021 года в Нью-Йорке «Круглым столом архивистов» (The Archivists Round Table of Metropolitan New York, Inc.) трёхдневном симпозиуме на тему «Специалист-практик: Архивное будущее в эпоху трансформационных перемен» (Practitioner: Archival Futures in an Age of Transformative Change). Программа мероприятия практически не упоминает традиционные вопросы архивного дела и делает упор на модные ныне политкорректность и инклюзивность.

Прошло несколько десятилетий с тех пор, как я работал в архивной сфере, - но программа этого мероприятия, похоже, исходит из предположения о том, что архивист не может быть нейтральным собирателем и обязан сделать выбор в пользу поддержки недопредставленных сообществ, - вместо поддержки отдельных лиц и организаций, которые финансируют деятельность архивов и имеют собственные программные цели. Что происходит, когда эти интересы вступают в конфликт?


На это ему не менее известный американский ветеран Питер Курилец (Peter Kurilecz) с печалью ответил: «К сожалению, это так и есть».

Хорошо, что до нас эта болезнь пока что не дошла …

Источник: LinkedIn
https://www.linkedin.com/posts/david-gaynon-1407117_archivists-round-table-of-metropolitan-new-activity-6792852480955957248-awLd

Об ограничениях на предоставление информации и документации аудиторской организации

В федеральном законе от 30 декабря 2008 №307-ФЗ «Об аудиторской деятельности» (ст.14 ч.2) установлено, что при оказании аудиторских услуг аудируемое лицо / лицо, заключившее договор оказания аудиторских услуг, обязано «содействовать аудиторской организации, индивидуальному аудитору в своевременном и полном проведении аудита и оказании сопутствующих аудиту услуг, создавать для этого соответствующие условия, предоставлять необходимую информацию и документацию (за исключением случаев, в которых Правительством Российской Федерации установлены ограничения на предоставление информации и документации)».

Данная оговорка была внесена в закон в декабре 2017 года в связи с тем, что из-за применения санкций в отношении российских компаний Правительство РФ целым рядом постановлений предоставило коммерческим организациям право не раскрывать и/или не предоставлять, вообще говоря, обязательную для раскрытия информацию, если это способно «подставить» их под санкции.

Поскольку та же информация, как правило, запрашивается и предоставляется при проведении аудиторских проверок, то постановлением Правительства РФ от 19 апреля 2021 года №622 «Об ограничениях на предоставление информации и документации аудиторской организации, индивидуальному аудитору» установлено, что:

В случае, если аудируемое лицо в соответствии с законодательством РФ не раскрыло информацию, подлежащую раскрытию (предоставлению), то оно не предоставляет её аудиторской организации находящейся под прямым или косвенным контролем (п.1):

  • иностранного гражданина;

  • лица без гражданства;

  • иностранного юридического лица;

  • международной компании либо

  • входящей в одну группу лиц с иностранным гражданином, лицом без гражданства, иностранным юридическим лицом, международной компанией

В п.1. постановления перечислены 14 Постановлений Правительства, в которых введены ограничения на предоставление информации.

В случае, если аудируемое лицо включено в сводный реестр организаций оборонно-промышленного комплекса, то оно не предоставляет информацию аудиторской организации, «находящейся под прямым или косвенным контролем …» (п.2).

В п.2. постановления перечислены 3 Постановления Правительства, в которых введены ограничения на предоставление информации.

Мой комментарий: В данном случае ценно то, что правительство перечислило 17 Постановлений, в которых введены ограничения на раскрытие информации с целью защиты коммерческих организаций от дальнейших санкционных атак.

Замечу, что я не вижу никакой логики в том, что отечественные аудиторские компании, контролируемые гражданами и компаниями РФ, считаются более благонадёжными. Неужели законодатель настолько наивен?

Источник: Консультант Плюс
https://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=382679

четверг, 29 апреля 2021 г.

Проект закона Евросоюза об искусственном интеллекте: Аспекты управления документами

21 апреля 2021 года Европейская комиссия представила свой законопроект об искусственном интеллекте (Artificial Intelligence Act, https://digital-strategy.ec.europa.eu/en/library/proposal-regulation-european-approach-artificial-intelligence ).

Полное название соответствующего 108-страничного документа - COM(2021) 206 final «Проект нормативно-правового акта Европейского парламента и Совета Европы, устанавливающего согласованные правила в отношении искусственного интеллекта (Закон об искусственном интеллекте) и вносящего изменения в некоторые законодательные акты Европейского Союза» (Proposal for a regulation of the European parliament and of the Council laying down harmonised rules on artificial intelligence (Artificial Intelligence Act) and amending certain Union legislative acts), с ним можно познакомиться здесь: https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=75788


Первое впечатление от его чтения у меня сложилось такое: исходя из самых благородных намерений, европейские законодатели придумали столько бюрократии, «рогаток» и ограничений, потенциально мешающих внедрению решений на основе искусственного интеллекта и делающих их разработку и внедрение более затратными и забюрокраченными, - что по сравнению с этим меркнет «слава» хорошо всем известного европейского законодательства о защите персональных данных. При этом ограничения устанавливаются не только для будущих продуктов, но и для уже существующих технологий – например, для систем видеонаблюдения в общественных местах для целей охраны правопорядка, если в них присутствуют элементы ИИ.

Обязательным для поставщиков услуг с использованием ИИ-систем высокого риска является создание системы менеджмента качества, включающую менеджмент риска (ст.17). Это, само собой, означает наличие отдельного большого «пласта» документов.

Преамбулу законопроекта почитать очень интересно и полезно, в ней неплохо схвачены известные проблемы, связанные с решениями на основе искусственного интеллекта, и с их применением в государственном управлении и деловой деятельности.

Несколько статей законопроекта непосредственно связаны с документированием и протоколирование. К сожалению, их уровень «не дотягивает» до уровня понимания проблем, который виден в преамбуле. Видно, кстати говоря, что европейский законодатель ничуть не лучше российского, и глупостей и несуразностей в тексте положений хватает.

Статья 11 «Техническая документация» (Technical documentation) вместе со взаимосвязанной с ней статьёй 18 «Обязанность разработать техническую документацию» (Obligation to draw up technical documentation), открывает нам глаза на то, что для ИИ-систем высокого риска (а это будут почти все сколько-нибудь интересные решения) техническая документация должна создаваться до предоставления ИИ-системы в качестве услуги или ввода в эксплуатацию. Ну кто бы мог подумать! При этом европейский законодатель, похоже, считает допустимым использовать системы низкого риска вообще без техдокументации :)

Интересно, что техническая документация систем высокого риска обязана содержать все необходимые сведения, позволяющие убедиться в соответствии систем требованиям данного закона.

Минимальный состав сведений, раскрываемых технической документацией, приведен в Приложении 4, входящем в состав отдельного документа, который доступен здесь: https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=75789

Статья 12 «Документирование» (Record-keeping) на самом деле содержит требования к протоколированию операций и ведению журналов аудита (логов).

Статья 50 «Сроки хранения документов» (Document retention) наглядно демонстрирует, что могут понапридумывать некомпетентные люди, дай им волю:


Переведу её текст полностью:

«Поставщик обязан в течение периода, заканчивающегося через 10 лет после того, как ИИ-система будет выведена на рынок или введена в эксплуатацию, сохранять и предоставлять в распоряжение национальных компетентных органов:

(а) Техническую документацию, указанную в статье 11;

(b) Документацию, относящуюся к системе менеджмента качества, упомянутой в статье 17;

(c) документацию об изменениях, одобренных органами оценки соответствия (notified bodies - под этим понимаются надлежащим образом аккредитованные органы по оценке соответствия, см. ст.3(22) – Н.Х.), где это уместно;

(d) решения и иные документы, выпущенные органами оценки соответствия где это уместно;

(e) Европейскую декларацию о соответствии, о которой говорится в статье 48.»

Профессионалы понимают, что техническую документацию необходимо сохранять в течение всего срока эксплуатации ИИ-системы, который вполне может превысить 10 лет (особенно если, как это иногда бывает, под маркой «модернизации» система целиком заменяется на новую), - а после этого ещё в течение максимального из применимых сроков исковой давности (если, скажем, ИИ-система использовалась для принятия решений, вследствие которых был причинён вред здоровью, то срок исковой давности вообще может отсутствовать – так что владельцу ИИ-системы придётся считать риски). При этом, естественно, должны быть завершены все судебные дела и расследования, к которым документация может иметь отношение.

Разочаровывает отсутствие статей о создании и сохранении документов, объясняющих принятые ИИ-системой решения – хотя в преамбуле соответствующая проблема упомянута в пункте 38.

На более легкой ноте отмечу, что выход Великобритании из Евросоюза уже понемногу сказывается на качестве английского языка. Так, в п.5.2.3 на стр.13 появился вновь изобретенный термин «recording keeping» (вместо правильного recordkeeping).

Источник: сайт Еврокомиссии
https://digital-strategy.ec.europa.eu/en/library/proposal-regulation-european-approach-artificial-intelligence
https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=75788
https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=75789


Германия: Начата работа над новой редакцией стандарта DIN 31647 «Сохранение доказательной силы документов, подписанных криптографическими подписями»

В январе 2021 года немецкий национальны орган по стандартизации DIN сообщил о начале работы по пересмотру стандарта DIN 31647 «Информация и документация -  Сохранение доказательной силы документов, подписанных криптографическими подписями» (Information und Dokumentation - Beweiswerterhaltung kryptographisch signierter Dokumente, самоназвание на английском языке: Information and documentation - Preservation of evidence of cryptographically signed documents), см. https://www.din.de/en/wdc-proj:din21:327638939

Новый документ заменит ныне действующую редакцию DIN 31647:2015, см. https://www.din.de/en/getting-involved/standards-committees/nid/publications/wdc-beuth:din21:229134562 ).

Данный стандарт не получил пока что широкой известности; куда более известно рассматривающее примерно те же вопросы немецкое Техническое руководство TR 03125 «Сохранение доказательной силы документов, подписанных с использованием криптографических методов» (Beweiswerterhaltung kryptoraphischsignierter Dokumente, TR-ESOR, о котором см. мой пост http://rusrim.blogspot.com/2011/03/blog-post_4397.html и страницу документа https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr03125/TR-03125_node.html ).

В документе сформулированы технические требования и требования по безопасности, обеспечивающие долговременную сохранность подписанных усиленными электронными подписями и печатями электронных документов, с поддержкой действительности электронных подписей и печатей.

В аннотации на документ сказано следующее:

«Настоящий стандарт определяет технические и относящиеся к безопасности требования к долговременной сохранности подписанных электронными цифровыми (усиленными электронными) подписями документов, обеспечивая юридическую силу электронной цифровой подписи.

С этой целью в документе описаны конкретные функции типовой системы для обеспечения сохранения доказательной силы документов, подписанных криптографическими подписями доказательств «криптографически подписанных» документов.

Стандарт DIN 31647 следует модели «Открытой архивной информационной системы» (OAIS), в частности, в отношении использования информационных пакетов.

Стандарт описывает основные требования к информационным пакетам, используемым обеспечивающим долговременную сохранность электронным архивом, с целью сбора и сохранения информации, необходимой для сохранения доказательной силы документов.

Ответственность за разработку настоящего документа несёт рабочая группа NA 009-00-15 AK «Управление документами и обеспечение долговременной доступности цифровых информационных объектов» (Schriftgutverwaltung und Langzeiterfügbarkeit digitaler Informationsobjekte, на английском языке - Records management and long-term availability of digital information objects), входящая в состав технического комитета DIN «Информация и документация».»

Напомню, что содержание текущей версии стандарта DIN 31647:2015 следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Функциональные требования к системе, обеспечивающей сохранение доказательной силы
Приложение A (справочное): Архивные пакеты с криптографическими доказательствами
Приложение B (справочное): Примеры использования
Библиография

Источник: сайт DIN
https://www.din.de/en/wdc-proj:din21:327638939

Требования к содержанию согласия на обработку «персональных данных, разрешенных для распространения»

Приказом Роскомнадзора от 24 февраля 2021 года №18 утверждены «Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения», которые вступают в силу с 1 сентября 2021 года и действует до 1 сентября 2027 года.
 
Согласие должно содержать следующую информацию:

  • Фамилия, имя, отчество (при наличии) субъекта ПДн;

  • Контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта ПДн);

  • Сведения об операторе-организации - наименование, адрес, указанный в Едином государственном реестре юридических лиц, идентификационный номер налогоплательщика, основной государственный регистрационный номер (если он известен субъекту ПДн);

  • Сведения об операторе - физическом лице - фамилия, имя, отчество (при наличии), место жительства или место пребывания;

  • Сведения об операторе-гражданине, являющемся индивидуальным предпринимателем, - фамилия, имя, отчество (при наличии), идентификационный номер налогоплательщика, основной государственный регистрационный номер (если он известен субъекту ПДн);

  • Сведения об информационных ресурсах оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта ПДн;

  • Цель (цели) обработки персональных данных;

  • Категории и перечень персональных данных, на обработку которых дается согласие субъекта ПДн:

    • Персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных);

    • Специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости);

      Мой комментарий: Статья 10 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» не включает в специальные категории ПДн сведения о судимости. Роскомнадзор, таким образом, самовольно ужесточает требования законодательства, что недопустимо!

    • Биометрические персональные данные;

    • Категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов (заполняется по желанию субъекта ПДн);

    • Условия, при которых полученные ПДн могут передаваться оператором, осуществляющим их обработку, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных (заполняется по желанию субъекта ПДн);

    • Срок действия согласия.

Мой комментарий: Реальное исполнение «изобретенных» из самых лучших побуждений, но крайне обременительных и практически неисполнимых требований к получении согласий и их содержанию (в сочетании с возможностью данные согласия в любой момент отозвать) привело бы в ступор всю цифровую экономику, а также остановило бы весь интернет и социальные сети. Поэтому нарушают и будут нарушать все, в результате чего создается коррупциогенная ситуация, когда кого-то можно сурово наказать, а кому-то простить…

Если бы подобные требования к управлению согласиями государство и общество восприняли на полном серьёзе, то можно было бы хотя бы утешиться тем, что потребность в специалистах нашей профессии многократно увеличилась бы (но я таких надежд не питаю).

Согласно поговорке, тост на охоте должен быть коротким, как выстрел. Согласие на обработку ПДн тоже должно быть максимально простым и понятным, не превращаясь в многостраничные талмуды, которые на практике читают только зануды-юристы, и только тогда, когда дело доходит до скандала и суда.

Откровенно говоря, я бы предпочла, чтобы законодатель «протрезвел», вспомнил, что он сам в свободное от законотворчества время делает в интернете, и ответил для начала на простые житейские вопросы: Является ли размещение ПДн в открытой учётной записи в социальной сети согласием по умолчанию на их дальнейшее распространение и повторную обработку в самых различных целях (по логике законодателя, нет)? И если нет, является ли теперь нарушением закона «О персональных данных» любое нажатие кнопки «репост», «ретвит» и т.п.?

Источник: Консультант Плюс
https://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=382687 

среда, 28 апреля 2021 г.

В США, наконец, появился федеральный законопроект по защите персональных данных, часть 2

(Окончание, начало см. http://rusrim.blogspot.com/2021/04/1_0104328716.html )

Получение явного согласия (opt-in consent) и политика защиты неприкосновенности частной жизни

Законопроект основан на концепции несомненного, явного и добровольного согласия, исходя из того, что организации, которые собирают, передают, хранят, обрабатывают, продают или делятся чувствительными персональными данными, должны информировать потребителей о своих действиях посредством политики обеспечения защиты и использования персональных данных. После уведомления, субъект должен дать недвусмысленное согласие на сбор данных.

В дополнение к вышеупомянутому требованию об использовании «простого и понятного английского языка», соответствующие политики должны ясно и чётко соответствовать руководствам Федеральной комиссии по торговле (FTC) и, где это уместно, должна использовать визуализацию для облегчения их понимания пользователем. Организации не вправе взимать с пользователей плату за доступ к таким политикам.

Политика обязана включать:

  • Контактную информацию организации, собирающей и обрабатывающей данные;

  • Цель обработки данных;

  • Категории собираемых данных;

  • Категории третьих лиц, которым будут передаваться данные;

  • Каким образом субъекты могут отозвать согласие или просмотреть и получить собранные у них данные;

  • Могут ли субъекты экспортировать свои данные на другие веб-платформы после доступа к ним;

  • Меры, предпринятые для защиты данных от несанкционированного доступа или получения.

Здесь есть оговорка: если потребитель соглашается на продажу или раскрытие своих данных третьей стороне, то организация не несёт ответственности за несоблюдение этой третьей стороной установленных в согласии ограничений.

Мой комментарий: Это, как говорится, даже не «дыра в заборе», а полное отсутствие забора.

Согласие по умолчания с правом отзыва (opt-out consent)

В то время, как потребители должны дать явное согласие (opt-in) на любые действия, связанные с чувствительными персональными данными (которые примерно соответствуют нашей категории специальных персональных данных – Н.Х.), такого рода требования не применяются в отношении «нечувствительных» (non-sensitive) персональных данных. Тем не менее, потребители могут запретить обработку таких данных. Операторы и обработчики должны уважать запросы на запрет обработки/отзыв согласия на обработку, и передавать такие запросы всем третьим сторонам, которым они раскрыли данные. Если третья сторона не соблюдает требования, оператор не несет за это ответственности.

Взаимоотношения оператора и обработчика

Для того, чтобы можно было проводить обработку данных, между обработчиком и оператором должен быть заключен обязывающий договор, подробно регламентирующий, каким образом обработчик может обрабатывать данные.

Обработчики вправе передавать чувствительную персональную информацию субподрядчикам только в целях предоставления последними услуг. При таких обстоятельствах они вправе сделать это только после предоставления оператору возможности возразить против этого.

Аудит

Законопроект требует, чтобы все использующие чувствительные персональные данные операторы, обработчики и третьи стороны, проводили аудит с привлечением объективной, независимой и квалифицированной третьей стороны не реже одного раза в два года. Такой аудит должен показать, была ли организация признана соответствующей требованиям, - и это решение должно быть обнародовано. Аудиты обязаны охватывать / включать:

  • Меры и средства контроля и обеспечения защиты персональных данных, безопасности и использования данных, внедренные и поддерживаемые организацией;

  • В какой мере эти меры и средства контроля и управления соответствуют размеру и сложности операций с данными и характеру данных;

  • Подтверждение того, что эти меры и средства контроля и управления эффективно защищают безопасность и конфиденциальность данных.

Аудит должен учитывать все существенные изменения в политике организации обеспечения неприкосновенности частной жизни и использования данных. Материалы аудита должен быть предоставлен в FTC немедленно, и Генеральному прокурору штата - в течение десяти дней с момента запроса.

Организации, которые используют чувствительную персональную информацию, относящуюся к 250 тысячам или менее лицам в год, освобождаются от требований аудита. Кроме того, требование об аудите не применяется в случае обработки данных, разрешенной Законом о справедливой кредитной отчетности (Fair Credit Reporting Act), или же в целях:

  • Предупреждения или выявления преступной деятельности;

  • Совершенствования способности оператора оказывать услуги, или для выявления ошибок в них;

  • Защита интересов человека;

  • Исполнения требований законодательства;

  • Мониторинга или обеспечение соблюдения соглашений между операторами, обработчиками и третьими сторонами;

  • Защиты собственности, услуг или информационных систем от несанкционированного доступа;

  • Ввиду «существенного общественного интереса», такого, как научные, исторические исследования или исследования в сфере общественного здравоохранения;

  • Для завершения запрошенной потребителем транзакции, для выполнения которой была собрана персональная информация;

  • Проведения отзыва продукции или гарантийного обслуживания.

Мой комментарий: Иными словами, если обработка данных проводится в благородных целях, то проверять соблюдение элементарных мер безопасности и конфиденциальности уже не надо!

Правоприменение

Исполнение данного закона будет обеспечивать Федеральной комиссия США по торговле (FTC). В случае непреднамеренного нарушения FTC уведомит нарушителя и даст ему 30 дней на устранение нарушения.

Если FTC не предпринимает никаких мер, то генеральный прокурор штата вправе подать иск в том случае, если предполагается, что нарушение закона нанесло ущерб штату или его жителям, - направив письменное уведомление о таких действиях в FTC.

Мой комментарий: Далеко не всё в европейском законодательстве о защите персональных данных (и в скопированном с него российском законодательстве) вызывает у меня восторг, но по сравнению с американским законопроектом им можно считать шедеврами юридической мысли. Возникает и вопрос о том, зачем американцы вносят законопроект, который явно противоречит европейскому законодательству и лишь обострит противостояние Евросоюза и США в вопросах защиты персональных данных, их трансграничного хранения и обработки.

Источник: сайт ассоциации ADCG
https://adcg.org/at-last-us-proposes-federal-data-privacy-law/ 

Федеральные архивы Швейцарии открыли коды своего решения для обеспечения онлайн-доступа

В апреле 2021 года Федеральные архивы Швейцарии выложили на сайте Github и разрешили использовать в качестве открытого кода свой программный продукт «Виадук» (Viaduc). Напомню, что у этого учреждения уже есть репутация поставщика авторитетных решений на основе открытого кода, таких, как формат SIARD для долговременного хранения реляционных баз данных и инструменты для работы с ним. Ниже приводится перевод аннотации продукта на сайте Github.

Решение Viaduc возникло как проект по разработки решения для онлайн-доступа к материалам Федеральных архивов Швейцарии (Swiss Federal Archives, SFA). Онлайн-доступ к SFA можно охарактеризовать как цифровой читальный зал: решение может выполнять большинство задач по обеспечению публичной доступности архивных документов на цифровой платформе архива - см. Руководство пользователя платформы (User Handbook - Online access to the Federal Archives recherche.bar.admin.ch , https://www.bar.admin.ch/dam/bar/en/dokumente/kundeninformation/Benutzerhandbuch-Webportal.pdf.download.pdf/Benutzerhandbuch-Webportal.pdf ).
 


В число основных функциональных возможностей и компонентов данного решения входят:

  • Поиск по общедоступным метаданным и первичным данным;

  • Поиск по защищённым метаданным и первичным данным для авторизованных пользователей;

  • Аутентификация пользователей и дифференцированные уровни доступа к метаданным и первичным данным;

  • Скачивание рабочей копии первичных данных в виде дистрибутивного информационного DIP-пакета;

  • Заказ цифровых копий архивных документов;

  • Подготовка рабочей копии включает:

    • Распознавание текста (OCR) в отсканированных графических образах OCR;

    • Преобразование формата из архивного в пользовательский;

  • Хранение публичных рабочих копий в буферной памяти (кеше);

  • Подача запросов на предоставление доступа к защищённым делам;

  • Предоставление авторизованным лицам по запросу временного доступа к документам;

  • Обеспечение доступа государственных органов и учреждений к их собственным документам;

  • Серверное приложение для управления заказами, запросами на предоставление доступа, административным доступом и иными настройками;

Чтобы архивное сообщество могло извлечь пользу из соответствующих инвестиций, знаний и решений различных проблем, Федеральные архивы Швейцарии решили сделать исходный код данного решения доступным.

Источник: сайт Github
https://github.com/SwissFederalArchives/cmi-viaduc

Закон «О персональных данных»: Согласия на обработку разрешенных для распространения персональных данных

В большом комплекте законов, подписанных Президентом РФ 30 декабря 2020 года, есть и федеральный закон от 30 декабря 2020 года №519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных». Новые положения уже вступили в силу 1 марта 2021 года.

В пояснительной записке авторы законопроекта отмечают, что «действующая правовая конструкция Федерального закона «О персональных данных» позволяет третьим лицам осуществлять сбор и последующее неконтролируемое использование указанных персональных данных на интернет-сайтах в целях, отличных от цели их первоначального распространения, а равно с ориентиром на иные целевые аудитории, что нарушает принцип целеполагания, установленный статьей 5 Федерального закона «О персональных данных».

Закон «О персональных данных» был дополнен новым понятием: «персональные данные, разрешенные субъектом персональных данных для распространения».

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

1.1) персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом.

Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных (ч.9 ст.9).

Мой комментарий: Появился на свет новый вид согласия, которое субъект ПДн должен будет оформлять – иными словами, новая головная боль для операторов персональных данных, да и для специалистов по управлению документами тоже.

Авторы законопроекта отмечали в пояснительной записке, что «согласие субъекта персональных данных выступает в качестве исключительного правового основания на обработку персональных данных, сделанных общедоступными, содержание которого в обязательном порядке должно включать в себя перечень интернет-ресурсов оператора, на которых планируется размещать общедоступные персональные данные. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень общедоступных персональных данных по каждой категории персональных данных, указанной в согласии».

Важным моментом является то, что с согласия субъекта ПДн могут обрабатываться и специальные категории ПДн (п.2 ч.2 ст.10)

Закон дополнен новой статьей 10.1 «Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения», в которой описан порядок получения такого согласия.

Согласие оформляется отдельно от иных согласий субъекта ПДн на обработку его персональных данных. Оператор обязан обеспечить субъекту ПДн возможность определить перечень разрешенных им для распространения персональных данных по каждой категории ПДн, указанной в согласии (ч.1).

Обязанность предоставить доказательства законности последующего распространения или иной обработки таких ПДн лежит на каждом лице, осуществившем их распространение или иную обработку:

  • В случае раскрытия ПДн неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия (п.2);

  • В случае, если ПДн оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы (п.3).

В случае, если из предоставленного согласия не следует, что субъект ПДн:

  • Согласился с распространением, - такие персональные данные обрабатываются оператором, которому они предоставлены, без права распространения (п.4);

  • Не установил запреты и условия на обработку ПДн или если в предоставленном согласии не указаны категории и перечень ПДн, для обработки которых он устанавливает условия и запреты, - такие ПДн обрабатываются оператором, которому они предоставлены, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц (п.5).

Согласие может быть предоставлено оператору (п.6):

  • Непосредственно;

  • С использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных (с 1 июля 2021 года).

Правила использования информационной системы уполномоченного органа, в том числе порядок взаимодействия субъекта ПДн с оператором, определяются Роскомнадзором (п.7).

Молчание или бездействие субъекта ПДн ни при каких обстоятельствах не может считаться согласием (п.8).

В согласии субъект ПДн вправе установить запреты на передачу данных оператором неограниченному кругу лиц (кроме предоставления доступа), а также запреты на их обработку или условия обработки (кроме получения доступа) неограниченным кругом лиц. Отказ оператора в установлении субъектом ПДн запретов и условий не допускается (п. 9).

Оператор обязан в срок не позднее трех рабочих дней с момента получения согласия опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц ПДн, разрешенных субъектом персональных данных для распространения (п.10).

Установленные субъектом ПДн запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки ПДн в государственных, общественных и иных публичных интересах, определенных законодательством РФ (п.11).

Передача (распространение, предоставление, доступ) ПДн должна быть прекращена в любое время по требованию субъекта ПДн. Данное требование должно включать в себя: (п.12)

  • Фамилию, имя, отчество (при наличии),

  • Контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также

  • Перечень персональных данных, обработка которых подлежит прекращению.

Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.

Действие согласия прекращается с момента поступления оператору такого требования (п.13).

Субъект ПДн вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных им для распространения, к любому лицу, их обрабатывающему, в случае несоблюдения положений настоящей статьи или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) ПДн в течение трех рабочих дней с момента получения требования или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу (п.14).

Требования статьи не применяются в случае обработки ПДн в целях выполнения возложенных законодательством РФ на федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления функций, полномочий и обязанностей (п.15).

Мой комментарий: Борьба за защиту персональных данных набирает обороты, и можно ожидать, что судебная практика обогатиться новыми интересными делами. Насколько эффективны будут новые нормы в плане защиты персональных данных, покажет только жизнь, - пока же я могу только посочувствовать операторам, которым придётся дополнительно оформлять согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Замечу также, что оформление и исполнение условий согласи настолько сложны и забюрократизированы, а возможность отзыва согласия в любой момент делает обработку подобных персональных данных настолько построенной «на песке», - что, как мне кажется, куда проще (как мы уже наблюдаем на практике) устанавливать порядок обработки определенных категорий ПДн в специальных отраслевых законах, избегая тем самым необходимости исполнять общие требования закона «О персональных данных»…

Источник: Консультант Плюс
https://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=372682

вторник, 27 апреля 2021 г.

В США, наконец, появился федеральный законопроект по защите персональных данных, часть 1

Данная заметка Тима Крино (Tim Crino – на фото) была опубликована 24 марта 2021 года на сайте американской Ассоциации по стратегическому управлению данными, защитой персональных данных и кибербезопасностью» (Association for Data and Cyber Governance, ADCG).

Наконец-то, в законодательный орган США внесён всесторонний федеральный законопроект о защите персональных данных, инициатором которого стала член Палаты представителей от Демократической партии и штата Вашингтон Сьюзан ДельБене (Suzan DelBene). Законопроект, известный под названием «Закон о прозрачности информации и контроле над персональными данными» (Information Transparency and Personal Data Control Act, ITPDCA, см.  https://delbene.house.gov/uploadedfiles/delbene_privacy_bill_final.pdf ), обеспечивает защиту «нашей наиболее чувствительной персональной информации, включая финансовую, медицинскую, генетическую, биометрическую, геолокационную информацию, сведения о сексуальной ориентации, о гражданстве и иммиграционном статусе, номера социального страхования, сведения о религиозных убеждениях и информацию, относящимся к детям в возрасте до 13 лет».

Законопроект ITPDCA стремится создать сбалансированную, «высокой пробы» концепцию защиты неприкосновенности частной жизни, которая «дополняла бы мировые стандарты». Закон направлен на установление прав потребителей в общенациональном масштабе, и на предоставление федеральным властям ресурсов, необходимых тем для защиты потребителей от мошенничества с использованием данных. Ниже приведена информация, которую Вам нужно знать об этом законопроекте.

Мой комментарий: Законопроект зарегистрирован под номером H.R.1816 и с названием «Потребовать от Федеральной комиссии по торговле (Federal Trade Commission) принять нормативные акты, относящиеся к чувствительной персональной информации, и для иных целей» (To require the Federal Trade Commission to promulgate regulations related to sensitive personal information, and for other purposes), см. https://www.congress.gov/bill/117th-congress/house-bill/1816?s=1&r=1


Ключевые элементы

Согласно опубликованному пресс-релизу (см. https://delbene.house.gov/uploadedfiles/delbene_consumer_data_privacy_bill_fact_sheet.pdf , 18 стр., для доступа может потребоваться анонимайзер – Н.Х.), законопроект включает шесть ключевых элементов:

  • Политики обеспечения неприкосновенности частной жизни должны быть написаны и предоставлены на простом и понятном английском языке;

  • У пользователей должна иметься возможность дать явное согласие (opt-in) до того, как компании начнут использовать их чувствительную личную информацию неожиданным образом;

  • Организации обязаны раскрывать сведения о всех третьих сторонах, которым была предоставлена информация, включая причины предоставления им информации;

  • Законопроект пытается предотвратить появление противоречащих друг другу законов штатов посредством создания целостного национального стандарта защиты персональных данных;

  • Если Федеральная комиссия по торговле (FTC) предпочтёт не применять правила в отношении нарушения, совершённого впервые, то прокурорам штата должно быть дано право наказывать за нарушения;

  • Каждые два года организации должны предоставлять результаты аудита по вопросам защиты неприкосновенности частной жизни, проводимого нейтральной третьей стороной.

Мой комментарий: У нас бы в отношении последнего пункта сразу бы стали кричать (вполне обоснованно!) об обезумевшей бюрократии и распиле :) Правда, показушная жестокость этого требования затем сводится на ноль целым «букетом» исключений.

Права потребителей

Говоря коротко, законопроект направлен на то, чтобы предоставить потребителям возможность контроля над своими данными. У потребителей будет право на получение ясной и доступной информации о практике обеспечения безопасности и неприкосновенности частной жизни. У них будет право ожидать от организаций безопасного и ответственного обращения с их данными; использования их способами, которые «согласуются с контекстом, в котором потребители предоставляют данные»; и уважения «разумных ограничений» на то, какие данные организации могут собирать и хранить.

Как и в других известных законах о защите неприкосновенности частной жизни, в законопроекте содержится положение о том, что потребители должны иметь возможность доступа и исправления персональных данных, в удобных для использования форматах.

(Окончание следует, см. http://rusrim.blogspot.com/2021/04/2_0175967660.html )

Источник: сайт ассоциации ADCG
https://adcg.org/at-last-us-proposes-federal-data-privacy-law/ 

ФНС: В приеме обязательного экземпляра бухгалтерской отчетности за 2020 год на бумажном носителе налоговые органы должны были отказать

Письмо Федеральной налоговой службы от 15 марта 2021 г. № ВД-4-1/3258@ «О представлении бухгалтерской (финансовой) отчетности в налоговый орган в электронном виде» показывает, что в нашей стране даже обязательные требования можно порой не соблюдать.

ФНС в этом письме вновь обратила внимание на то, что, начиная с 2020 отчетного года, бухгалтерская отчетность должна представляться в налоговый орган всеми экономическими субъектами только в электронном виде.

Представление экономическим субъектом обязательного экземпляра отчетности за 2020 год на бумажном носителе, в том числе субъектами малого предпринимательства, является основанием для отказа в его приеме.

Однако по результатам анализа данных, содержащихся в государственном информационном ресурсе бухгалтерской (финансовой) отчетности (БФО), было обнаружено, что налоговыми органами примерно в 15 тысяч случаев произведён прием отчетности за 2020 год на бумажном носителе, что недопустимо и не соответствует законодательству. В итоге налогоплательщики получили квитанции о приёме, но их отчетность не была опубликована на ресурсе БФО.

Одновременно ФНС сообщила, что допустим прием налоговыми органами аудиторских заключений к отчетности за 2019 год на бумажном носителе. В то же время по итогам анализа было обнаружено, что порядка 5 тысяч принятых на бумажном носителе аудиторских заключений не были опубликованы в АИС-Налог 3 и в ресурсе БФО.

В этой связи ФНС России поручила своим Управлениям по субъектам федерации и межрегиональным инспекциям по крупнейшим налогоплательщикам, совместно с подведомственными организациями, провести мероприятия, без привлечения соответствующих экономических субъектов, по урегулированию сложившейся ситуации с целью отражения в АИС Налог-3:

  • Принятой на бумажном носителе отчетности за 2020 отчетный год, посредством массового ввода бумажных документов с формированием xml-файлов;

  • Скан-образов принятых налоговыми органами на бумажном носителе аудиторских заключений к отчетности за 2019 отчетный год.

Для справки: Автоматизированная информационная система ФНС России (АИС «Налог-3») представляет собой единую информационную систему ФНС России, обеспечивающую автоматизацию деятельности ФНС России в том числе прием, обработку, предоставление данных и анализ информации, формирование информационных ресурсов налоговых органов, статистических данных, сведений, необходимых для обеспечения поддержки принятия управленческих решений в сфере полномочий ФНС России и предоставления информации внешним потребителям.

Во избежание повторного возникновения указанных ситуаций и для обеспечения полноты ресурса БФО, ФНС поручила провести работу с нижестоящими налоговыми органами по недопущению приема отчётности на бумажном носителе, а также дополнительную работу по разъяснению порядка её сдачи для организаций, на которые федеральным законом «О бухгалтерском учете» возложена обязанность представлять обязательный экземпляр отчетности в налоговый орган в целях формирования государственного информационного ресурса бухгалтерской (финансовой) отчетности.

Источник: Консультант Плюс
https://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=EXP;n=765090

понедельник, 26 апреля 2021 г.

ЮНЕСКО открыла публичное обсуждение показателей жизнестойкого обеспечения долговременной сохранности информации

Данное извещение было распространено 2 апреля 2021 года через ряд информационных каналов, в том числе через новостную рассылку Международного совета архивов (МСА).

Показатели жизнестойкого обеспечения долговременной сохранности информации (Indicators for Sustainable Information Preservation)

Публичное обсуждение


Региональное бюро для Западной Африки – Сахеля организации Объединенных наций по вопросам образования, науки и культуры (ЮНЕСКО - UNESCO) инициировало разработку набора показателей для оценки жизнестойкости / устойчивости деятельности по обеспечению долговременной сохранности информации, с целью оказания поддержки государствам-членам ЮНЕСКО в соответствии с целями программ «Информация для всех» (Information for All Programme, IFAP, https://en.unesco.org/programme/ifap – обеспечение долговременной сохранности информации) и «Память мира» (Memory of the World, MOW, https://en.unesco.org/programme/mow - сохранение документального наследия).

Многие показатели сформулированы в соответствии с принятой в 2015 году «Рекомендацией ЮНЕСКО об обеспечении сохранности и доступности документального наследия, в том числе в цифровой форме» (UNESCO Recommendation concerning the Preservation of, and Access to, Documentary Heritage, including in Digital Forms, November 2015, см.  http://portal.unesco.org/en/ev.php-URL_ID=49358&URL_DO=DO_TOPIC&URL_SECTION=201.html , русский текст доступен по адресу https://unesdoc.unesco.org/ark:/48223/pf0000244675.page=22 ; я упоминала о ней здесь: http://rusrim.blogspot.com/2016/09/blog-post_12.htmlН.Х.).

Мой комментарий: На сайте ЮНЕСКО доступен ещё ряд связанных с «Рекомендацией» документов, в том числе:

При определении состава показателей был принят во внимание ряд других отчётов и наборов показателей для этой сферы деятельности. Предлагается считать деятельность по обеспечению долговременной сохранности информации жизнестойкой / устойчивой, если она:

  • Основана на правах (Rights based) и поддерживает права (такие, как свобода самовыражения, право на информацию, право на неприкосновенность частной жизни и т.д.);

  • Открыта для всех (Open for all), позволяя любому получать от неё отдачу, вносить свой вклад и т.д. (открытые стандарты / нормы, отсутствие барьера для вхождения, открытые знания о обеспечении долговременной сохранности информации и т.д.);

  • Доступна для всех (Accessible to all), обеспечивая инклюзивность, благоприятствуя этническому и социокультурному многообразию (diversity), гарантируя понятность, возможность доверять и удобство использования и т.д.;

  • Вовлекает многочисленные заинтересованные стороны (Multiple stakeholders supported). Это означает, что возможности для обеспечения сохранности информации используются и соответствующие проблемы решаются посредством вовлечения и взаимодействия с множеством заинтересованных сторон (таких, как правительства, государственные учреждения, организации гражданского общества, частный сектор, сообщества и т.д.);

  • Является жизнестойкой (Resilience) - адаптируется к изменениям (в технологиях, условиях ведения деятельности и т.д.), способна осуществлять менеджмент риска и восстановление после катастроф;

  • Ориентирована на длительную перспективу (Long-term oriented): обеспечение сохранности информации гарантирует её доступность, достоверность, понятность и пригодность к использованию сейчас и для будущих поколений.

Мой комментарий: Первые четыре показателя – это известные «принципы ROAM», продвигаемые ЮНЕСКО по разным поводам в т.ч. как показатели универсальности Интернета, см. https://en.unesco.org/internet-universality-indicators

Мы приглашаем Вас высказать своё мнение о проекте списка показателей, особенно по следующим вопросам:

  • Являются ли, на ваш взгляд, данные показатели разумными? Отражают ли они лучшие современные практики?

  • Какие дополнительные показатели могли бы быть полезны? Есть ли в документе бесполезные показатели?

  • Какие фактические источники и доказательства Вы бы использовали для оценки эффективности деятельности с использованием показателей?

 Описание полного набора показателей можно скачать по адресу: http://bit.do/indicatorsInfoPreserv . Пожалуйста, укажите внесённые Вами правки изменения, отредактировав данный Word-документ в режиме отслеживания изменений; или же изложите свои идеи в электронном письме и отправьте его по адресу indicators.dakar@unesco.org . Также Вы можете добавить свои предложения непосредственно в версию документа в Google Docs по адресу https://drive.google.com/file/d/1VdKdctRbCQpf_MulCMzQeKa6iZq4WJ7S/view  

Мы будем благодарны, если Вы пришлёте свои замечания и предложения до 1 мая 2021 года.

Контакты:
Региональное бюро ЮНЕСКО для Западной Африки – Сахеля (UNESCO Regional Office for West Africa – Sahel), отдел коммуникаций и информации
электронная почта: indicators.dakar@unesco.org   

Источник: сайт Общества американских архивистов (SAA)
https://connect.archivists.org/communities/community-home/digestviewer/viewthread?GroupId=1435&MessageKey=2d0bac71-c3c8-4bcb-b5b9-800cf6cb2b08

Европейские стандарты поддерживают амбиции Евросоюза в области искусственного интеллекта

Данная новость была опубликована 21 апреля 2021 года на сайте Европейского комитета по стандартизации CEN.

21 апреля 2021 года Европейская комиссия представила свой долгожданный новый законопроект об искусственном интеллекте (EU Artificial Intelligence Act, https://digital-strategy.ec.europa.eu/en/library/proposal-regulation-european-approach-artificial-intelligence ). Такое повышенное внимание к искусственному интеллекту со стороны Еврокомиссии не только выводит на первый план важные вопросы, связанные с дальнейшим развитием и безопасным развертыванием этой технологии, но и создаёт возможности для обеспечения цифрового суверенитета Европы в будущем.

Европейские стандарты играют ключевую роль в решении этих вопросов и в поддержке развертывания искусственного интеллекта в Европе. Для организации и развития усилий по стандартизации по этому вопросу, европейские органы по стандартизации CEN и CENELEC учредили объёдинённый технический комитет CEN-CENELEC JTC21 «Искусственный интеллект» (Artificial Intelligence), см. https://www.cencenelec.eu/news/brief_news/pages/tn-2021-013.aspx

Мой комментарий: Интересно, что до недавнего времени Евросоюз вполне удовлетворялся активным участием в соответствующих структурах Международной организации по стандартизации (ИСО) и других международных органов по стандартизации.


Теперь – и это уже не первый случай – Евросоюз начинает создавать параллельные конкурирующие структуры, которым придётся бороться за имеющихся в очень ограниченном количестве квалифицированных экспертов.

Возможно, причинами такого поведения стало то, что в последнее время усилилось присутствие в ИСО Китая и стран Юго-восточной Азии; а также желание создать стандарты, лучше согласованные с законодательством Евросоюза. Однако, с моей точки зрения, национализм и сектантство в стандартизации инновационных технологий, в том числе искусственного интеллекта, никому на пользу не пойдёт – и в первую очередь самому Евросоюзу, который сейчас уже не сможет полагаться на игравших очень большую роль экспертов из Великобритании.


Этот технический комитет объединит экспертов, которые будут реализовывать и руководить развитием рекомендаций, содержащимися в ответе CEN и CENELEC на Белую книгу Еврокомиссии по искусственному интеллекту  ( https://ftp.cencenelec.eu/EN/News/PolicyOpinions/2020/CEN-CLC_AI_FG_White-Paper-Response_Final-Version_June-2020.pdf ) и в «Дорожной карте» CEN и CENELEC по искусственному интеллекту ( https://ftp.cencenelec.eu/EN/EuropeanStandardization/Sectors/AI/CEN-CLC_FGR_RoadMapAI.pdf ). Объединенный технический комитет, работу секретариата которого будет поддерживать датский орган по стандартизации DS, будет отвечать за разработку и принятие стандартов для искусственного интеллекта и взаимосвязанных с ним данных, а также давать рекомендации другим техническим комитетам, которых интересует искусственный интеллект.

Стандарты важны для развития искусственного интеллекта по ряду причин:

  • Они передают знания и опыт, связанные с новой технологией, обеспечивая тем самым безопасность продуктов и услуг;

  • Они по своей сути разрабатываются как инклюзивные и ориентированные на рынок инструменты поддержки европейского законодательства, - посредством поддержки «Новой законодательно-нормативной базы» (New Legislative Framework, https://ec.europa.eu/growth/single-market/goods/new-legislative-framework_en ), - принося тем самым пользу единому европейскому рынку и уменьшая препятствия для торговли.

Стандарты укрепляют доверие и стимулируют инновации для всех заинтересованных сторон: для крупных европейских коммерческих организаций, малого и среднего бизнеса, структур гражданского общества, экологических активистов и разрабатывающих политики лиц. По этой причине CEN и CENELEC готовы поддержать Еврокомиссию в её усилиях, связанной с содействием безопасному и жизнеспособному внедрению искусственного интеллекта на благо всего Евросоюза.

Для получения дополнительной информации свяжитесь с г-ном Константом Колером (Constant Kohler) по адресу ckohler@cencenelec.eu .

Источник: сайт CEN
https://www.cen.eu/news/brief-news/Pages/NEWS-2021-012.aspx

Требования к информационному взаимодействию информационных систем при проведении государственного контроля

Постановлением Правительства Российской Федерации от 6 марта 2021 года № 338 утверждены «Требования к информационному взаимодействию информационных систем, указанных в частях 1 и 2 статьи 17 Федерального закона «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации».

Информационное взаимодействие информационных систем контроля (надзора) осуществляется на основе принципов обеспечения полноты и достоверности информации, предоставляемой и получаемой в рамках информационного обмена, а также обеспечения конфиденциальности информации ограниченного доступа (п.2).

Информационное взаимодействие осуществляется с помощью (п.3):

  • Единой системы межведомственного электронного взаимодействия; либо

  • Посредством интеграции информационных систем контроля (надзора).

Информационное взаимодействие информационных систем контроля (надзора) осуществляется одним из следующих способов (п.4):

  • Посредством направления запросов о предоставлении информации и предоставления ответов на них в форме электронных документов

  • В автоматическом или автоматизированном режимах без направления запросов о предоставлении информации.

В целях организации информационного взаимодействия контрольные (надзорные) органы вправе заключать соглашения об информационном взаимодействии, определяющие в том числе (п.5):

  • Способ информационного взаимодействия в соответствии с пунктом 4 настоящего документа;

  • Особенности организации и технические условия информационного взаимодействия;

  • Состав сведений, обмен которыми предлагается осуществлять при информационном взаимодействии.

Информационные системы контроля (надзора) должны обеспечивать (п.6):

  • Защиту информации, содержащейся в иной информационной системе, от неправомерного уничтожения, блокирования, модификации либо копирования посредством применения организационных и технических мер защиты информации, а также посредством осуществления контроля за эксплуатацией информационной системы;

  • Соблюдение установленных законодательством РФ сроков хранения информации в форме электронных документов путем ее резервного копирования и обеспечения возможности ее восстановления из резервных копий;

  • Автоматизированное ведение и обязательное хранение не менее одного года электронных журналов учета времени и фактов размещения, изменения и удаления информации, а также отражения содержания вносимых изменений и информации о лицах, осуществивших указанные действия.

При информационном взаимодействии документы и (или) сведения предоставляются в виде электронных документов, подписанных усиленной квалифицированной электронной подписью оператора информационной системы контроля (надзора), в формате XML или PDF, а также в иных машиночитаемых форматах (п.8).

Федеральная государственная информационная система «Единый портал государственных и муниципальных услуг (функций)» осуществляет функцию взаимодействия с гражданами и юридическими лицами при информационном взаимодействии информационных систем контроля (надзора). Взаимодействие контрольных (надзорных) органов может осуществляться также через региональные порталы государственных (муниципальных) услуг (функций) (п.9).

Информационные системы контроля (надзора) должны обеспечивать передачу необходимых сведений в (п.10):

  • Единый реестр видов федерального государственного контроля (надзора), регионального государственного контроля (надзора), муниципального контроля;

  • Единый реестр контрольных (надзорных) мероприятий, единый реестр проверок, государственную информационную систему «Типовое облачное решение по автоматизации контрольной (надзорной) деятельности» в части информационной системы досудебного обжалования.

На основании сведений, содержащихся в едином реестре видов контроля, формируются справочники и классификаторы, которые в автоматическом режиме используются при внесении сведений в (п.11):
  • Единый реестр контрольных (надзорных) мероприятий;

  • Единый реестр проверок;

  • Информационную систему досудебного обжалования;

  • Государственную информационную систему;

  • Единый портал;

  • Региональные порталы государственных и муниципальных услуг;

  • Ведомственные информационные системы контрольных (надзорных) органов.

В целях мониторинга и анализа осуществления государственными органами и органами местного самоуправления контрольных (надзорных) функций операторами обеспечивается направление сведений из указанных информационных систем в государственную автоматизированную информационную систему «Управление» (п.12).

В рамках информационного взаимодействия с информационными системами контроля (надзора) обеспечивается реализация основных функций следующих информационных систем (п.13):

  • Единый реестр видов контроля;

  • Единый реестр проверок, единый реестр контрольных (надзорных) мероприятий;

  • Ведомственные информационные системы контрольных (надзорных) органов, государственная информационная система;

  • Информационная система досудебного обжалования;

  • Система «Управление»;

  • Реестр обязательных требований.

Под осуществлением информационного взаимодействия понимается использование федеральной единой системы межведомственного электронного взаимодействия и подключаемых к ней региональных систем межведомственного электронного взаимодействия (п.14).

Информационные системы контроля (надзора) получают информацию с использованием систем (методов, комплексов) дистанционного контроля, в том числе информационных систем мониторинга за оборотом товаров, подлежащих обязательной маркировке средствами идентификации, и мониторинга движения лекарственных препаратов для медицинского применения (п.15).

Передача в рамках межведомственного информационного взаимодействия информационных систем контроля (надзора) документов и (или) сведений осуществляется с учетом требований законодательства РФ о государственной и иной охраняемой законом тайне (п.16).

Мой комментарий: Федеральный закон от 31 июля 2020 года № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации» предусматривает серьезные изменения в процессы организации государственного контроля, в том числе создание и ведение целой группы новых реестров и информационных систем, которые будут обеспечивать всю эту непростую деятельность.

Источник: Консультант Плюс
http://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=378980

воскресенье, 25 апреля 2021 г.

Всемирный банк опубликовал аналитический отчёт «Интероперабельность блокчейнов»

Как сообщил сайт группы «Всемирный банк» (World Bank Group), в середине марта был опубликован (и в настоящее время стал доступен на сайте) аналитический отчёт «Интероперабельность блокчейнов» (Blockchain Interoperability) объёмом 62 страницы, см. https://documents.worldbank.org/en/publication/documents-reports/documentdetail/373781615365676101/blockchain-interoperability (прямая ссылка на PDF-файл: http://documents1.worldbank.org/curated/en/373781615365676101/pdf/Blockchain-Interoperability.pdf ).

В аннотации на документ отмечается:

«В данной публикации рассказывается о результатах первоначальных исследований, проведенных Лабораторией технологий и инноваций (Technology & Innovation Lab) группы «Всемирный банк» в партнерстве с Консультативной группой по цифровым технологиям (Digital Advisory Unit) Международного валютного фонда (IMF), по вопросам интероперабельности блокчейнов и по изучению ряда взаимосвязанных подходов и усилий, предпринимаемых блокчейн-новаторами и другими учреждениями.

В отчете описаны варианты использования (use cases) и технические подходы различных блокчейн-платформ, используемые для обмена информацией и активами, а также рассказано об экспериментах, которые группа проводила в области обеспечения интероперабельности. В документе также выделены проблемы обеспечения интероперабельности, которые требуют дополнительного внимания, и даны рекомендации для специалистов-практиков.»

Содержание документа следующее:

Часть 1: Обоснование необходимости интероперабельности блокчейнов

Часть 2: Текущее положение дел с интероперабельностью блокчейнов

  • Существующие стандарты

  • Прошлые проекты и внедрения в финансовом секторе

Часть 3: Концепция интероперабельности блокчейнов

  • Деловая точка зрения

  • Технологическая точка зрения

  • Точка зрения безопасности и риска

  • Правовые соображения

Часть 4: Проведенные рабочей группой исследования и извлечённые уроки

Часть 5: Заключительные соображения и последствия для международного развития

Глоссарий

Дополнительные пояснения (различные определения понятия «интероперабельность блокчейнов» - Н.Х.)

Приложения

  • Проект Jasper (Банк Канады - Bank of Canada)

  • Проект Ubin (Денежно-кредитное управление Сингапура - Monetary Authority of Singapore, MAS)

  • Проект Stella

Источник: сайт Всемирного банка
https://documents.worldbank.org/en/publication/documents-reports/documentdetail/373781615365676101/blockchain-interoperability
http://documents1.worldbank.org/curated/en/373781615365676101/pdf/Blockchain-Interoperability.pdf

На официальном сайте Евросоюза вновь вспомнили о спецификациях MoReq2

Слышали ли Вы, уважаемые коллеги, о «Типовых требования к управлению электронными документами - Спецификациях MoReq2» (Model requirements for the management of electronic records - MoReq2 specification), разработанных под руководством Марка Фреско (Marc Fresko) в 2008 году и дважды переведённых на русский язык (сами спецификации и их переводы изначально были в открытом доступе)?

Если не слышали, то многое потеряли – это, наверное, были последние в мире хорошо продуманные, взвешенные, разумные и всесторонние требования к системам управления электронными документами, радом с которыми, несмотря на неизбежное устаревание MoReq2 за более чем 10 лет, и близко не лежали ни новые международные разработки, ни отечественные разработки Минкомсвязи и Росархива.

После 2008 года, и особенно после фееричного провала последующего европейского проекта MoReq-2010, сам MoReq2, его многочисленные переводы и вообще упоминания о нём постепенно и без лишнего шума исчезли из интернета, в том числе с сайтов его правообладателя – Европейской Комиссии.

Но что-то, видимо, меняется в «датском королевстве», и вот на днях я обнаружила возвращение странички MoReq2 на сайте издательского управления Евросоюза, см. https://op.europa.eu/en/publication-detail/-/publication/88982ee4-e160-4070-b9ae-dce1486035db , с которого можно скачать - нет, не сам документ, а его первые две страницы, в том числе на ряде европейских языков.


Спецификации MoReq2 на английском языке в настоящее время доступны по адресу https://arxivers.com/wp-content/uploads/2018/07/Tec_MoReq2_en-Normativa-tècnica.pdf ; а в переводе на русский язык:
Источник: сайте издательского управления Евросоюза
https://op.europa.eu/en/publication-detail/-/publication/88982ee4-e160-4070-b9ae-dce1486035db

Судебная практика: Последствия использования электронной подписи руководителя органа власти без его ведома, часть 2

(Окончание, начало см. http://rusrim.blogspot.com/2021/04/1_0906022711.html )

Позиция Судебной коллегии по гражданским делам Верховного Суда Российской Федерации

Судебная коллегия по гражданским делам Верховного Суда Российской Федерации в марте 2018 года (определение №42-КГ18-8) отметила, что приведенные выводы судов первой и апелляционной инстанций основаны на неправильном применении норм материального права, регулирующих спорные отношения, и сделаны с существенным нарушением норм процессуального права.

Обязанность же суда заключается в том, чтобы, сохраняя независимость, объективность и беспристрастность, на основании исследования и оценки представленных сторонами спора доказательств по правилам статей 67, 71 ГПК РФ выяснить все обстоятельства законности привлечения сотрудницы к дисциплинарной ответственности в виде увольнения со службы в Следственном комитете путем проверки наличия указанного Следственным комитетом основания увольнения, в том числе решить вопрос о квалификации конкретных действий истца как нарушающих Присягу сотрудника Следственного комитета Российской Федерации.

Между тем судом первой инстанции нормативные положения, регулирующие основания и порядок привлечения сотрудников Следственного комитета к дисциплинарной ответственности, не были применены в их взаимосвязи и с учетом их содержания; не была дана надлежащая правовая оценка действиям Следственного комитета в части законности увольнения сотрудницы за нарушение Присяги сотрудника Следственного комитета РФ на основании заключения по результатам служебной проверки.

Судом первой инстанции не было принято во внимание, что основанием для назначения служебной проверки явилась информация о возможном неэффективном расходовании должностными лицами СУ СК России по Республике Калмыкия бюджетных средств, выделенных на покупку земельного участка и расположенного на нем нежилого здания.

Однако по результатам служебной проверки было установлено, что действия сотрудницы состояли в том, что она разместила в единой информационной системе в сфере закупок на официальном сайте отчет об исполнении государственного контракта, подписав его электронной подписью заместителя руководителя СУ СК России по Республике Калмыкия без согласия последнего.

Такие действия сотрудницы нельзя расценивать как неэффективное расходование бюджетных средств, поскольку на момент размещения отчета государственный контракт был заключен, сделка прошла государственную регистрацию, денежные средства в качестве оплаты были перечислены продавцу объекта недвижимости.

Соответственно, вывод суда первой инстанции о том, что заключением по результатам служебной проверки подтверждается наличие оснований для увольнения сотрудницы за ненадлежащее исполнение служебных обязанностей, является ошибочным.

По мнению судебной коллегии, вывод суда первой инстанции о том, что факт нарушения Присяги сотрудника Следственного комитета РФ действительно имел место и подтвержден заключением по результатам служебной проверки, нельзя признать правомерным, так как он сделан без надлежащей правовой оценки фактических обстоятельств, установленных при проведении служебной проверки.

Судебная коллегия по гражданским делам Верховного Суда Российской Федерации не согласилась и с выводом суда первой инстанции о несоблюдении сотрудницей положений статьи 10 федерального закона от 6 апреля 2011 г. №63-ФЗ «Об электронной подписи», так как по смыслу этой нормы перечисленные в ней обязанности владельца ключа ЭП, в том числе по недопущению его использования без его согласия, касаются самого владельца ЭП, то есть в данном случае - заместителя руководителя СУ СК России по Республике Калмыкия, которому был выдан сертификат открытого ключа электронной цифровой подписи.

Вывод суда первой инстанции о том, что нарушение истцом Присяги сотрудника Следственного комитета РФ выразилось в том, что сотрудницей не были соблюдены положения закона «Об электронной подписи», не основан на законе.

Судебная коллегия по гражданским делам Верховного Суда Российской Федерации отменила решение Элистинского городского суда Республики Калмыкия и апелляционное определение судебной коллегии по гражданским делам Верховного Суда Республики Калмыкия.

Дело было направлено на новое рассмотрение в суд первой инстанции - Элистинский городской суд Республики Калмыкия.

Позиция Элистинского городского суда (Республика Калмыкия) (круг второй)

Элистинский городской суд Республики Калмыкия в июне 2019 года по делу №2-1197/2019 на этот раз сделал вывод о том, что заключением по результатам служебной проверки не подтверждается наличие оснований для увольнения сотрудницы за ненадлежащее исполнение служебных обязанностей, выразившееся в неэффективном расходовании бюджетных средств, как указано в приказе Председателя Следственного комитета об увольнении.

Суд пришел к выводу о том, что факт нарушения сотрудницей Присяги не имел место и не подтверждён заключением по результатам служебной проверки, при проведении служебной проверки эти обстоятельства не установлены.

Суд отметил, что доказательства несоблюдения ею положений ст.10 федерального закона «Об электронной подписи» также не были приведены, так как по смыслу этой нормы закона перечисленные в ней обязанности владельца ключа электронной подписи, в том числе по недопущению его использования без его согласия, касаются самого владельца электронной подписи, то есть в данном случае - заместителя руководителя СУ СК России по Республике Калмыкия.

Суд:

  • Удовлетворил частично исковые требования сотрудницы;

  • Признал недействительным (незаконным) пункт 3 заключения служебной проверки;

  • Признал незаконным приказ Председателя Следственного комитета Российской Федерации и приказ руководителя Следственного управления Следственного комитета РФ по Республике Калмыкия об освобождении сотрудницы от замещаемой должности, её увольнении и прекращении действия трудового договора;

  • Восстановил её в должности инспектора отдела по приёму граждан и документационному обеспечению Следственного управления Следственного комитета РФ по Республике Калмыкия.

Суд постановил, что его решение в данной части подлежит немедленному исполнению.

Со Следственного управления Следственного комитета РФ по Республике Калмыкия в пользу сотрудницы взыскано более 1 млн. рублей.

Мой комментарий: Мораль этого судебного дела такова: использование для подписания документов УКЭП руководителя без его документированного согласия несёт с собой серьезные риски, даже если это сделано по распоряжению другого руководителя.

Источник: Сайт Элистинского городского суда Республики Калмыкия / сайт Верховного Суда Республики Калмыки/  Консультант Плюс / cайт «Судебные и нормативные акты РФ»
https://vs--kalm.sudrf.ru/modules.php?name=sud_delo&srv_num=1&name_op=doc&number=208969&delo_id=5&new=0&text_number=1
https://vs--kalm.sudrf.ru/modules.php?name=sud_delo&srv_num=1&name_op=doc&number=208969&delo_id=5&new=5&text_number=1
http://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=ARB;n=579691
https://sudact.ru/regular/doc/MY4KI5owjoJ9/