Заключение Комитета Государственной Думы Федерального Собрания РФ по информационной политике, информационным технологиям и связи на проект федерального закона N 404786-8 "О внесении изменений в отдельные законодательные акты Российской Федерации"

Досье на проект федерального закона

Комитет Государственной Думы по информационной политике, информационным технологиям и связи рассмотрел внесенный депутатами Государственной Думы А.Г. Аксаковым, А.Н. Свистуновым, О.Д. Димовым и другими проект федерального закона N 404786-8 "О внесении изменений в отдельные законодательные акты Российской Федерации" (назначен соисполнителем по законопроекту Решением Совета Государственной Думы от 24 июля 2023 года, протокол N 118) в части вопросов, отнесенных к ведению Комитета и отмечает следующее.

Законопроектом вносятся изменения в федеральные законы от 22 апреля 1996 года N 39-ФЗ "О рынке ценных бумаг", от 7 мая 1998 года N 75-ФЗ "О негосударственных пенсионных фондах", от 13 июля 2015 года N 222-ФЗ "О деятельности кредитных рейтинговых агентств в Российской Федерации и о внесении изменений в статью 76.1 Федерального закона "О Центральном банке Российской Федерации (Банке России)" и признании утратившими силу отдельных положений законодательных актов Российской Федерации", от 2 декабря 1990 года N 395-I "О банках и банковской деятельности", от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", от 30 декабря 2004 года N 218-ФЗ "О кредитных историях", от 19 июля 2007 года N 196-ФЗ "О ломбардах", от 2 июля 2010 года N 151-ФЗ "О микрофинансовой деятельности и микрофинансовых организациях", от 30 декабря 2008 года N 307-ФЗ "Об аудиторской деятельности" и Закон Российской Федерации от 27 ноября 1992 года N 4015-I "Об организации страхового дела в Российской Федерации". Проектом федерального закона вышеуказанные законодательные акты дополняются определениями понятий "поставщик услуг аутсорсинга информационных технологий и облачных услуг", "услуги аутсорсинга информационных технологий", "облачные услуги". При этом соответствующие субъекты правоотношений (участники рынка ценных бумаг, негосударственные пенсионные фонды, кредитные рейтинговые агентства, кредитные организации, страховые организации, ломбарды, микрофинансовые организации и др.) наделяются правом поручать поставщикам услуг аутсорсинга с учетом ограничений, установленных законодательством Российской Федерации, осуществление размещения, хранения и иной обработки информации, иных сведений, устанавливаемых и собираемых в рамках своей деятельности, за исключением сведений, отнесенных к государственной тайне, без получения согласия лиц, к которым относятся указанные сведения, с использованием принадлежащих поставщикам услуг аутсорсинга информационных технологий и облачных услуг информационных систем и их компонентов на основании заключенных с поставщиками услуг аутсорсинга информационных технологий и облачных услуг договоров.

Центральный банк Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации и федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий устанавливает требования к порядку привлечения и взаимодействия с поставщиками услуг аутсорсинга информационных технологий и облачных услуг, в том числе в части требований к информационным системам поставщиков услуг аутсорсинга информационных технологий и облачных услуг в целях обеспечения защиты информации и операционной надежности банковских услуг. Также Центральный банк Российской Федерации по согласованию с вышеуказанными федеральными органами исполнительной власти наделяется контрольными функциями за соблюдением кредитными организациями обязательных требований к информационным системам поставщиков услуг аутсорсинга информационных технологий и облачных услуг.

Следует обратить внимание, что законопроектом не предусматривается какой либо механизм государственного контроля и надзора со стороны уполномоченных федеральных органов исполнительной власти за соблюдением законодательства поставщиками услуг аутсорсинга информационных технологий и облачных услуг.

Предусмотренное законопроектом осуществление размещения, хранения и иной обработки информации, иных сведений, устанавливаемых и собираемых в рамках своей деятельности, за исключением сведений, отнесенных к государственной тайне, без получения согласия лиц, к которым относятся указанные сведения требует конкретизации, о каких именно лицах будут размещаться сведения, и каков состав таких сведений о лице во всех статьях законопроекта, которыми вносятся изменения в вышеуказанные законодательные акты. В случае, если предполагается размещение и обработка в информационных системах поставщиков услуг аутсорсинга информационных технологий и облачных услуг сведений о лицах, являющихся персональными данными, то обработка персональных данных во всех случаях осуществляется с согласия субъекта персональных данных на обработку его персональных данных в соответствии с частью 1 статьи 6 Федерального закона "О персональных данных".

Учитывая, что обработке могут подлежать персональные данные российских граждан, полагаем необходимым предусмотреть в законопроекте, что поставщиками могут быть только лица, находящиеся под контролем российских субъектов (по аналогии как это установлено частью 8 статьи 10.7 Федерального закона "Об информации, информационных технологиях и о защите информации"). Предлагаем также предусмотреть в законопроекте полномочия Банка России по установлению дополнительных требований к поставщикам.

В проекте федерального закона отсутствует прозрачный механизм отбора поставщиков услуг аутсорсинга информационных технологий и облачных услуг и критерии такого отбора. Кроме того, отсутствуют ограничения для поставщиков услуг аутсорсинга информационных технологий и облачных услуг (включая их программно-аппаратные составляющие) в части иностранного участия, в том числе иностранных государств и территорий, совершающих в отношении Российской Федерации недружественные действия. Не предусмотрен в законопроекте и приоритет отечественных поставщиков услуг аутсорсинга информационных технологий и облачных услуг (включая внедрение отечественных ИТ-решений). Полагаем, что поставщиком услуг аутсорсинга информационных технологий и облачных услуг должна быть имеющая государственную аккредитацию российская организация, осуществляющая деятельность в области информационных технологий.

Полагаем, что нуждается в дополнительной проработке ограничение для поставщиков услуг аутсорсинга информационных технологий и облачных услуг на обработку сведений, составляющих государственную тайну. Таким образом, указанные поставщики смогут обрабатывать сведения, составляющие любые другие виды тайн (коммерческую, частной жизни, служебную, врачебную, адвокатскую, нотариальную и др.).

В определениях законопроекта "услуги аутсорсинга информационных технологий", "облачные услуги" предоставление услуг осуществляется на основании договора "третьим лицом", что вносит правовую неопределенность, поскольку договорные отношения предусмотрены между двумя сторонами, учитывая, что определение понятия "поставщик услуг аутсорсинга информационных технологий и облачных услуг" предполагает возможность привлечения субподрядчика. При этом в соответствии со статьей 706 Гражданского кодекса Российской Федерации ответственность несет подрядчик (генеральный подрядчик), а не субподрядчик.

Законопроектом предлагается определить в законах, регулирующих деятельность организаций, поднадзорных Банку России, понятия терминов "поставщик услуг аутсорсинга информационных технологий и облачных услуг", "услуги аутсорсинга информационных технологий", "облачные услуги", которые по своей сути являются общими для всех организаций, а не только для указанных организаций. В связи с этим, целесообразно в законопроекте урегулировать правоотношения, с оказанием обозначенных услуг, используя терминологию, предусмотренную гражданским и информационным законодательством.

Согласно проектируемому законопроектом подпункту 31 пункта 1 статьи 2 Федерального закона "О рынке ценных бумаг", условие о наличии у поставщика лицензии на осуществление деятельности по технической защите конфиденциальной информации может не применяться в случае, если указанный поставщик входит в банковскую группу финансовой организации, заказавшей услуги у поставщика. Полагаем указанное положение необоснованным, в связи с чем предлагаем исключить его из законопроекта.

Законопроектом предусматривается внесение изменений в федеральные законы, регулирующие деятельность ломбардов, бюро кредитных историй, рейтинговых агентств и других подобных организаций, касающихся возможности поручать поставщикам оказывать услуги аутсорсинга информационных технологий и облачных услуг. При этом пояснительная записка к законопроекту не содержит обоснование потребности указанных организаций в услугах поставщика. Полагаем целесообразным ограничить регулирование законопроекта только в отношении тех финансовых организаций, для которых данное регулирование актуально в настоящее время.

Также следует отметить, что законопроектом предлагается дополнить Федеральный закон "О Центральном банке Российской Федерации (Банке России)" статьями 57.5-1 и 76.4-3, однако в указанный Федеральный закон уже включены статьи 57.5-1 и 76.4-3 с принятием Федерального закона от 13 июня 2023 года N 243-ФЗ "О внесении изменений в Федеральный закон "О Центральном банке Российской Федерации (Банке России)".

Председатель комитета

А.Е. Хинштейн