Участник:Darjadmitrievna/Черновик
С ростом использования мобильных устройств, социальных сетей и различных сервисов увеличивается количество собираемых биометрических данных (например, отпечатки пальцев, распознавание лиц, анализ голоса).
Биометрические персональные данные— уникальные физиологические и биологические характеристики человека, которые используются для установления или подтверждения личности.
История становления и развития законодательного регулирования института биометрических персональных данных
[править | править код]В 2006 году, когда был принят Федеральный закон «О персональных данных», понятие «биометрические персональные данные» интерпретировалось довольно ограниченно. К числу элементов, входящих в эту категорию, относились: радужка глаза, отпечатки пальцев, голос человека, информация о его росте, а также другие физиологические и биологические характеристики, которые могли быть собраны и зафиксированы на подходящих электронных носителях в соответствии с технологическими возможностями того времени.
Сущность понятия «биометрические персональные данные»
[править | править код]Понятие биометрических персональных данных на законодательном уровне закреплено в статье 11 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных». Согласно данной норме под биометрическими персональными данными понимаются «сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность»[1]. Определение биометрических данных приводится также в ГОСТ Р ИСО/ТО 13569–2007, так, «биометрические персональные данные исследуют физиологические признаки человека и его поведенческие характеристики»[2].
Наличие легальной дефиниции не препятствует существованию в научной доктрине различных определений понятия «биометрические персональные данные». Так, Н.И. Платонова в своей работе предложила следующее определение: «Сведения, которые характеризуют физиологические, физические и поведенческие особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления и подтверждения личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных»[3]. В то же время авторский коллектив, состоящий из С.В. Баженова, В.Е. Дивольда, А.А. Морозова и других, представил более краткое определение: «Биометрические персональные данные – сведения, которые характеризуют физиологические, биологические и поведенческие особенности человека, на основании которых можно установить его личность»[4].
Оба определения выделяют важный аспект, который не упоминается в легальной дефиниции биометрических персональных данных. В каждом доктринальном определении указана новая характеристика — поведенческие особенности. Так, некоторые корпорации используют так называемую «геймификацию» как дополнительный источник данных. Технологическое издание «Wired» отмечает, что действия геймеров в том или ином виде отслеживаются большинством игровых компаний. Анализу подвергаются самые разные данные, например, физические движения игрока — жесты, движения рукой или его поведение во время игры. В итоге подобный сбор информации позволяет идентифицировать по поведенческим привычкам не только самого игрока, но и его игрового персонажа[5].
Исходя из представленных определений можно выделить следующие признаки биометрических персональных данных:
- Биометрические данные присущи физическому лицу.
- Цель сбора и использования биометрических персональных данных – идентификация человека.
- Уникальность. Бесспорно, этот признак является базовым и основополагающим в определении биометрических данных человека. Каждая характеристика может быть отнесена к определенной группе, объединенной по общему признаку, однако при схожести не теряет своей уникальности.
- Изменчивость и невозможность изменений. Этот признак подчеркивает уникальность биометрических персональных данных. Так, мы можем сказать, что биометрические персональные данные, такие как дактилоскопическая информация, ДНК, не изменяются в течение жизни человека, и нет средств, способных их изменить, но фотоизображение на сегодняшний день не может удовлетворять признаку «неизменчивости», а наоборот, оно с большой долей вероятности подвержено изменениям (благодаря достижениям пластической хирургии, которая является общедоступной, возможно колоссальное преображение индивида по сравнению с исходным фотоизображением).
- Использование для идентификации: Биометрические данные предназначены для идентификации или аутентификации личности.
- Физиологические и поведенческие характеристики. Включают такие данные, как отпечатки пальцев, изображения лиц, голос, движения и другие физические или поведенческие маркеры.
Эти признаки позволяют отличать биометрические персональные данные от других типов персональной информации.
Правовая защита биометрических персональных данных
[править | править код]Наиболее значимым в сфере защиты данных на сегодняшний момент является Закон № 572-ФЗ, который предусматривает создание Единой биометрической системы (ЕБС). В соответствии с этим законом единая биометрическая система замыкает на себе все процессы, связанные с идентификацией по биометрическим данным. Положения документа также регулирует правоотношения между различными субъектами при взаимодействии с ЕБС. ЕБС — это государственная цифровая платформа, на которой собраны биометрические данные граждан. Единая биометрическая система создана для регистрации и хранения биометрических персональных данных, а также идентификации или аутентификации физических лиц. На самом деле создана система была еще в 2018 году, а в 2021 году стала государственной информационной системой. Оператором ЕБС является АО «Центр биометрических технологий». Учредителями АО выступают «Ростелеком», Минцифры и Центробанк.
До 30 сентября 2023 г. все организации, в том числе банки были обязаны передать имеющиеся биометрические данные (изображения и голос) в ЕБС, предупредив физических лиц за 30 дней. Но, крайне важно уточнить тот момент, что граждане самостоятельно определяют будут ли их данные храниться в ЕБС и также граждане имеют возможность потребовать удаления биометрии из ЕБС в любой момент. Кроме того, законодателем был установлен запрет операторам на отказ гражданам в обслуживании при отсутствии согласия предоставить биометрические персональные данные и (или) дать согласие на их обработку, если такое предоставление не является обязательным. Использование биометрии в иных системах кроме ЕБС не допускается, что в значительной мере ограничивает возможности бизнеса в использовании биометрических данных для целей идентификации или аутентификации. При этом введен запрет на обработку биометрии иностранными организациями. Таким образом, идентификация, то есть процесс определения личности пользователя с использованием биометрии возможна теперь только через подключения к ЕБС. Аутентификация, то есть процесс проверки подлинности пользователя возможна либо через ЕБС, либо через аккредитованные организации. Законом предусмотрен ряд исключений, например, осуществления идентификации или аутентификации с привлечением уполномоченного сотрудника, использование иных биометрических данных кроме изображения и голоса.
На сегодняшний момент закон предусматривает передачу в ЕБС только изображения и записи голоса.
Закон создает существенное препятствие для использования биометрических технологий малыми компаниями. Так, требование "о минимальном размере собственного капитала в 500 млн (пп. 2 2 п. 2 ст. 17) для прохождения аккредитации делает ее невозможным большей части коммерческого сообщества. Помимо этого, закон содержит ряд требований к техническим устройствам, осуществляющим | операции по распознаванию биометрических данных. В настоящий момент по требованиям, установленным для аккредитации, аккредитовано только 16 крупных компаний, среди которых такие гиганты, Сбербанк и ВТБ.
Законодательством (ст. 13.11.3 КоАП) предусмотрена и ответственность за размещение и обновление организациями биометрических персональных данных в государственной информационной системе с нарушением установленных требований, которая выражается в наложении административного штрафа на должностных лиц в размере от 100 до 300 тыс. рублей, юридических лиц - от 500 тыс. до 1 млн рублей.
Запрет аутентификации на основе биометрических персональных данных:
[править | править код]Постановлением Правительства РФ от 25.05.2023 № 815 утвержден Перечень случаев, при которых аутентификация с использованием информационных систем организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, не допускается:
- Проведение вступительных испытаний при приеме на обучение, промежуточной и итоговой аттестации в организации, осуществляющей образовательную деятельность.
- Оказание медицинской помощи, а также проведение консилиумов, консультаций, дистанционного медицинского наблюдения за состоянием здоровья пациента с применением телемедицинских технологий.
- Отпуск, в том числе дистанционный, лекарственных препаратов для медицинского применения по рецепту на лекарственный препарат, оформленному медицинскими работниками.
- Предоставление государственных и муниципальных услуг, осуществление государственных и муниципальных функций.
- Предоставление доступа к государственным информационным системам.
- Установление личности физического лица в случаях, когда в соответствии с законодательством Российской Федерации требуется предъявление документа, удостоверяющего личность такого физического лица.
- Получение информированного добровольного согласия на медицинское вмешательство или отказ от медицинского вмешательства, а также отражающих состояние здоровья пациента медицинских документов (их копий) и выписок из них.
- Проведение медицинских осмотров с использованием медицинских изделий, обеспечивающих автоматизированную дистанционную передачу информации о состоянии здоровья работников и дистанционный контроль состояния их здоровья[6].
Правовые проблемы отнесения сведений к биометрическим персональным данным
[править | править код]Основная проблема заключается в том, что не всякая физическая или биологическая характеристика может трактоваться в качестве биометрических персональных данных. Это подтверждается и правоприменительной практикой.
- В одном случае фотографии на пропуске суды расценивают как биометрические персональные данные. Например, в деле №А42-342/2017 Арбитражный суд Северо-Западного округа указал, что такие фотографии характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность. Верховный Суд РФ впоследствии подтвердил позицию суда нижестоящей инстанции, отметив, что предприятие не получило согласие субъектов на обработку биометрических персональных данных[7].
- Довольно широкую публичную огласку получило дело Алены Поповой. В апреле 2018 г. Тверской суд привлек ее к административной ответственности за одиночный пикет у Госдумы с требованием отставки депутата. По словам А.П., полицейские, не спрашивая документы, обратились к ней по имени и предложили проехать в участок. Однако Савеловский районный суд г. Москвы не признал использование данных городских систем видеонаблюдения незаконной обработкой биометрических персональных данных. Судом было установлено, что Департамент информационных технологий г. Москвы не проводил мероприятий, непосредственно направленных на установление личности на основе материалов видеонаблюдения. Такие действия осуществлялись органами полиции, которые по закону вправе обрабатывать биометрические персональные данные без согласия субъекта. . В государственной информационной системе «Единый центр хранения и обработки данных» (ЕЦХД) нет персональных данных граждан, в том числе и биометрических. Алгоритм, который используют в центре, сравнивает изображение от видеокамер с фотографией, предоставленной правоохранительными органами. Персональные данные при этом ДИТ не передаются[8].
- В другом деле гражданка С. пожаловалась на гражданку М., которая без согласия осуществляла видеосъемку на камеру мобильного телефона с участием первой. Территориальное управление Роскомнадзора отказало в возбуждении дела, установив, что видеозапись не содержит сведений, позволяющих идентифицировать гражданку С. как конкретного субъекта персональных данных, что свидетельствует об отсутствии нарушений положений закона о персональных данных, в связи с чем доводы жалобы были опровергнуты районным и областным судом[9].
Достоинства и недостатки использования биометрических персональных данных
[править | править код]Достоинства
[править | править код]Так, с помощью ЕБС создается инфраструктура различных сервисов для населения. В первую очередь, это удобство для самих пользователей. Человек через различные гаджеты может подтвердить свою личность, что позволит совершать различные сделки, не выходя из дома. А также оплата проезда в общественном транспорте, и даже совершение покупок, оплата услуг, для кого это является огромным плюсом. Если говорить про значение новвоведений для различных организаций и публичных органов, то здесь также необходимо отметить такие явные плюсы, как скорость сверки и удостоверения личности человека при осуществлении различных юридически значимых действий. В области охраны правопорядка новые правила помогут быстро и эффективно выявить преступников и иных правонарушителей.
Еще одним аргументом в пользу ЕБС может служить позиция, уже давно высказанная в юридической литературе: довольно часто при масштабных чрезвычайных происшествиях, в последствии которых возникает большое количество пострадавших, не представляется возможным идентифицировать жертвы катастрофы из-за значительных повреждений их тел. В таких случаях аккумулированная база биометрических данных позволит создать условия для своевременного опознания погибших и отыскания без вести пропавших.
Недостатки
[править | править код]Далее следует отметить, что использование биометрических персональных данных может повлечь и негативные последствия. Так, получается, что кроме публичных органов доступ к ЕБС получили широкий круг лиц, это, например, нотариусы, предприниматели, оказывающие услуги дистанционно, то есть доступ к биометрии может получить практически любой сильно заинтересованный человек. Мошеннические схемы с доступом к биометрии выходят на новый уровень. Профессиональные мошенники без особого труда могут, использовав запись голоса, оформить кредит, списать деньги с карты и т.д. Поэтому огромным минусом создания новой системы является безопасность биометрических персональных данных человека и корректность их использования. Хотя ряд специалистов уверяет, что биометрические данные в ГИС ЕБС защищены по самым высоким государственным стандартам информационной безопасности.
- ↑ Статья 11. Биометрические персональные данные \ КонсультантПлюс . www.consultant.ru. Дата обращения: 11 ноября 2024.
- ↑ ГОСТ Р ИСО/ТО 13569-2007 Финансовые услуги. Рекомендации по информационной безопасности (с Поправкой) - docs.cntd.ru . docs.cntd.ru. Дата обращения: 11 ноября 2024.
- ↑ Платонова Наталья Игоревна. Современный подход к пониманию персональных данных // Право и современные государства. — 2017. — Вып. 5. — С. 9–16. — ISSN 2307-3306.
- ↑ Баженов С. В, Дивольд В. Е, Морозов А. А, Попов Д. В, Сафронов Д. М, Серов А. В. Создание Концепции национальной Системы биометрической идентификации личности // Труды Академии управления МВД России. — 2020. — Вып. 2 (54). — С. 41–53. — ISSN 2072-9391.
- ↑ Игорь Александрович Терещенко. Биометрические персональные данные: проблемы и перспективы определения понятия // Закон и право. — 2024. — Вып. 2. — С. 186–192. — ISSN 2073-3313.
- ↑ Постановление Правительства РФ от 25.05.2023 N 815 "Об утверждении перечня случаев, при которых аутентификация с использованием информационных систем организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, не допускается, и перечня случаев, при которых допускается использование биометрических персональных данных, согласие физического лица на обработку которых подписано простой электронной подписью, правом создания (замены) и выдачи ключа которой в порядке, предусмотренном законодательством Российской Федерации в области использования электронных подписей, обладает организация, осуществляющая аутентификацию на основе биометрических ..." | ГАРАНТ . base.garant.ru. Дата обращения: 11 ноября 2024.
- ↑ Постановление Арбитражного суда Северо-Западного округа от 21.11.2017 N Ф07-11732/2017 по делу N А42-342/2017 Требование: О признании недействительным предписания об устранении выявленных нарушений. Обстоятельства: Выявлены нарушения ФЗ "О персональных данных". Решение: Требование удовлетворено частично, поскольку отсутствие в согласиях на обработку персональных данных срока их действия не свидетельствует о нарушении требований закона, а действия предприятия (сбор, оформление (размещение), использование фотографий) подпадают под понятие обработки персональных данных, однако согласия лиц на обработку их фотографий в нарушение требования закона предприятием не получено. КонсультантПлюс. Дата обращения: 11 ноября 2024.
- ↑ Суд посчитал, что технологии распознавания лиц не нарушают законодательство о персональных данных . www.advgazeta.ru. Дата обращения: 11 ноября 2024.
- ↑ Постановление Четвертого кассационного суда общей юрисдикции от 16.10.2020 N 16-894/2020 Категория спора: Привлечение к административной ответственности. Требования: О признании незаконным отказа в возбуждении дела об административном правонарушении. Решение: Отказано. КонсультантПлюс. Дата обращения: 11 ноября 2024.