Как работает биометрическое законодательство в России

Пермская гражданская палата > Склад лайфхаков для гражданских активистов > Защита информационных и цифровых прав > Как работает биометрическое законодательство в России

Технологии помогают людям следить друг за другом…

За вами следит государство, частные компании и госорганы используют данные, пока вы и ваши друзья их открываете. Российские законодатели уже не раз принимались за регулирование обращения с персональными данными, но про биометрические данные упоминали вскользь, а вот теперь добрались до них подробнее. Рассказываем, что говорят российские законы о биометрических персональных данных, что изменят новые приказы Минкомсвязи и как вам защитить свои данные.

Что случилось?

В Минкомсвязи готовят два проекта нормативных документов по регулированию биометрических персональных данных:

    • приказ «Об утверждении методики проверки соответствия предоставленных биометрических персональных данных физического лица…»;
  • приказ «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации…».

Ведомство завершает разработку проектов нормативных актов, окончен этап проведения общественных обсуждений и независимой антикоррупционной экспертизы.

Были ли в России законы о том, что такое биометрические данные и как с ними обращаться?

Мы писали о том, как работают биометрические законы в других странах. В России персональные данные, в том числе биометрические, упоминаются в нескольких правовых актах.

Федеральный закон «О персональных данных» определяет, что персональные данные — это любая информация, которая прямо или косвенно относится к физическому лицу — субъекту персональных данных.

В пункте 5 постановления Правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» персональные данные делятся на:

    • общедоступные данные (присутствуют в открытых источниках — адресных книгах и т. д.);
    • специальные категории персональных данных (те, которые по общему правилу нельзя обрабатывать — о расе, религии и т .д.);
    • биометрические данные;
  • иные данные.

У Роскомнадзора есть разъяснения «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки» и Методические рекомендации по тому, как уведомлять уполномоченный орган о начале обработки персональных данных и о внесении изменений в ранее представленные сведения.

К биометрическим персональным данным, по разъяснениям Роскомнадзора, относятся сведения, которые характеризуют физиологические и биологические особенности человека, уникальны, не изменяются и позволяют устанавливать личность

    • отпечатки пальцев,
    • отпечатки ладони,
    • анализы ДНК,
    • образ лица,
    • радужная оболочка глаз,
    • особенности строения тела, отдельных органов и тканей,
    • отпечатки пальцев,
    • радужная оболочка глаз,
    • анализы ДНК,
    • состояние психического здоровья,
    • рост,
    • вес,
  • фотография и видеозапись.

Фотография в системе охраны, которая позволяет идентифицировать человека при проходе на территорию организации, относится к биометрическим персональным данным. К ним же относится и фотография в паспорте.

Деление персональных данных на биометрические и остальные условно. Из тех же разъяснений Роскомнадзора мы узнаём, что рентгеновские или флюорографические снимки пациента не являются биометрическими персональными данными до тех пор, пока органы следствия и дознания не начинают использовать их для установления личности конкретного лица.

Если сотрудник банка при вашем обращении сканирует паспорт на подлинность через специальное устройство, это тоже не обработка биометрических данных, так как при этом не устанавливают личность. Обработка сведений в таких случаях, когда оператор сканирует паспорт, но личность не устанавливает, проводится по общим требованиям федерального закона «О персональных данных».

Какие нормы защищают мои биометрические персональные данные?

Конвенция Совета Европы № 108 «О защите физических лиц в отношении автоматизированной обработки персональных данных», которую ратифицировала Россия. Предусматривает охрану персональных данных при их автоматизированной обработке, говорит о праве субъекта на персональные данные.

Статья 23 Конституции РФ гарантирует каждому право на неприкосновенность частной жизни, личную и семейную тайну. Эта норма определяет границы, которые оператор персональных данных не вправе переступать при получении и при обработке информации о человеке.

Статьи 137 и 272 УК РФ говорят об уголовной ответственности за незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации. По этим же статьям вас могут и осудить, как историка Михаила Супруна, если кому-то покажется, что вы разглашаете личную информацию. Об этом мы рассказывали в докладе о доступе к информации в России.

Закон «О персональных данных» устанавливает перечень данных, обработка которых запрещена, кроме особых случаев: о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья и интимной жизни. Исключительные случаи, при которых такие данные могут обрабатывать: если реализуется международный договор Российской Федерации, осуществляется правосудие, исполняются судебные акты, и в других случаях, предусмотренных законодательством РФ об обороне, безопасности и противодействии терроризму.

Биометрические данные по тому же закону, могут обрабатываться только при наличии согласия в письменной форме от субъекта персональных данных. Согласие должно быть осознанным и без принуждения, быть конкретным и определенным: какие данные и кому передаются. Например, участники гражданского и уголовного процессов могут возражать против приобщения видеозаписи к гражданскому или уголовному делу, если запись велась с нарушением закона. Работодатель должен получить письменное согласие работника на обработку персональных данных, чтобы разместить фото на пропуске. Об этом говорит определение ВС от 05.03.2018 № 307-КГ18-101.

Организации при обработке информации о физических лицах обязаны принимать организационные и технические меры для её защиты от неправомерного или случайного доступа. Закон о персональных данных обязывает все компании–операторы персональных данных назначить лицо, ответственное за организацию их обработки.

По общему правилу, оператор не может передавать персональные данные третьим лицам без согласия субъекта персональных данных. Без согласия позволяется передавать информацию правоохранительными органам.

Из разъяснений Роскомнадзора следует, что согласие на обработку персональных данных нельзя получить по телефону или через смс-сообщения.

Персональные данные россиян, по 242-ФЗ, можно обрабатывать только с использованием размещенных в России баз данных. Сведения о месте нахождения таких баз оператор персональных данных должен направлять в Роскомнадзор. За нарушение порядка обработки информации по решению суда доступ к сайту блокируют.

Кодекс административных правонарушений (КоАП) предусматривает штраф за нарушение порядка обработки персональных данных (ст. 13.11). Юридические лица могут заплатить от 30 тысяч до 50 тысяч рублей за обработку персональных данных в непредусмотренных законом случаях и от 15 до 75 тысяч рублей за обработку персональных данных без письменного согласия.

С 25 мая все операторы данных, которые работают с персональной информацией о гражданах ЕС, должны выполнять новые правила GDPR (General Data Protection Regulation), мы уже писали о них. Они затронут многие российские компании, обрабатывающие персональные данные граждан ЕС — тех, кто не ведёт бизнес в ЕС, не затронут. Новые правила объединяют и ужесточают все ранее существовавшие в европейских странах нормы защиты персональных данных. Компании, управляющие персональными данными, получат огромные штрафы, если не смогут обеспечить безопасность данных. Санкции нарушителям нового европейского регламента строже, чем в КоАП: до 20 млн евро или 4 % от мирового годового оборота за финансовый год.

Что изменят новые приказы Минкомсвязи?

Вводятся нормы, которых раньше не было

Приказ об утверждении порядка обработки параметров биометрических персональных данных для идентификации описывает технические моменты, которые раньше не были прописаны в нормативных документах.

Приказ Минкомсвязи определяет:

    • Как будут обрабатывать параметры биометрических персональных данных для идентификации. В проекте приказа прописаны требования к качеству изображений, чтобы по ним можно было идентифицировать человека: ракурс, выражение лица, размеры, яркость, размер файла — и такие же требования к записи голоса: частота дискретизации, код сжатия, длительность, эмоционально-психологическое состояние.
    • Как будут размещать и обновлять биометрические персональные данные в новой единой биометрической системе.Биометрические персональные данные будут хранить в новой системе три года, затем образцы придется обновлять.
  • Какими должны быть технологии и технические средства, чтобы обрабатывать биометрические персональные данные для идентификации Например, они должны защищать от подбора.

Проект приказа «Об утверждении методики проверки соответствия предоставленных биометрических персональных данных физического лица» описывает возможность идентификации человека через сравнение его биометрических данных с теми, которые содержатся в единой системе (ЕБС). Человек предоставляет свою биометрию в госорган, банк или другую организацию, а организация через оператора ЕБС проверяет, можно ли по этим данным его идентифицировать. Методика описывает алгоритм определения степени соответствия данных, которые предоставил человек при обращении, тем, которые уже содержатся в ЕБС. Степень взаимного соответствия данных для применения удаленной идентификации должна составлять 0,99996.

За ошибки при установлении личности по биометрическим данным будет предусмотрена ответственность

Её понесёт уполномоченное лицо органа или организации, которое допустит ошибку.

Новые нормы по биометрии пилотно реализуют в оказании банковских услуг

Хотя они носят абстрактный характер и применимы и в других сферах. ЦБ уже заявил, что банки будут регистрировать клиентов, передавших свои изображение лица и голос в единой биометрической системе (ЕБС) и в единой системе идентификации и аутентификации (ЕСИА). Клиент сможет пользоваться удалённой идентификацией и получать банковские услуги, не заходя в банк. Удалённая идентификация должна заработать уже с 30 июня 2018 года по всей России, когда вступят в силу положения нового федерального закона.

После банков подобные базы могут создать и в других сферах

Идентифицировать личность по биометрическим особенностям возможно, только если  есть система учёта данных с достоверными результатами первичной идентификации. Именно такую систему и собираются создать. Есть мнение, что создание таких систем настолько глубоко затрагивает права граждан, включая право на семейную тайну, тайну усыновления, медицинскую тайну, неприкосновенность личности, что лучше такие базы вообще не создавать и запретить.

Правоохранители получат доступ к новым базам

У них и так есть доступ не только в государственные, но и коммерческие базы данных.

Что я сам могу сделать для защиты своих биометрических персональных данных?

Очевидно, вы не сможете остановить создание баз данных, которое запланировало государство, и не сможете помешать правоохранителям знать про вас практически всё. Но если вы хотите защитить свои биометрические данные, насколько это вообще возможно, вам помогут те же советы, что и с другими видами персональных данных.

Не рассказывайте о себе слишком много

Помните, что вы сами решаете, что и кому о себе рассказывать. Будьте внимательны, когда называете своё имя, фамилию, отчество, паспортные данные, телефон, адрес, возраст, дату рождения, отдаёте фотографию, образец голоса, логинитесь с помощью отпечатка пальца или Face ID. Такие данные позволяют установить местонахождение человека, его маршруты, распорядок дня, любимые места.

Будьте внимательны к тому, какую информацию о вас собирают соцсети

Недавно Конгресс США поделился письмом от Facebook, в котором соцсеть признаётся, какие данные собирает от пользователей. Недавний скандал с Facebook из-за утечки персональных данных 50 млн американцев заставляет задуматься, какие данные вы отдаёте соцсетям и где они могут оказаться потом (да где угодно).

Пользуйтесь надёжными паролями и защищайте свои устройства

Пароль — базовый способ защиты ваших данных. К его выбору стоит подходить аккуратно. Примитивные наборы цифр, слова, в том числе изменённые, какие-либо из ваших личных данных, заключённые в вашем пароле, заинтересованными во взломе лицами подбираются достаточно быстро с помощью специального софта. Более подробно о выборе пароля и защите устройств можно прочитать в нашем спецпроекте об информационной безопасности.

Интересуйтесь, кто и какую информацию собирает о вас

Российское законодательство даёт возможность субъекту персональных данных получать информацию, касающуюся обработки его персональных данных: оператор персональных данных обязан предоставить эту информацию по запросу.

Каждый имеет право знать, какие государственные органы или частные лица контролируют информацию о нём. Если хранится неправильная информация либо её сбор и обработка противоречат закону, человек может потребовать изъятия такой информации.

Используйте право на забвение

Это право даёт любому, про кого собирали, хранили или обрабатывали данные или который сам опубликовал личную информацию, право требовать прекращения выдачи этих данных. В некоторых случаях можно подать в Google, Mail.ru, Яндекс, запрос на удаление определенных URL, указав причины: распространение информации с нарушением законодательства РФ, недостоверность либо неактуальность представленных данных.

13 мая 2014 суд Европейского союза постановил, что граждане Евросоюза имеют право обратиться к поисковым системам с запросом об удалении ссылок на информацию, которая, по их мнению, более не является актуальной либо недостоверна. Таким было решение по делу  «Марио Костеха Гонсалеса против Google». Марио обратился с просьбой удалить ссылки на статью о продаже его дома с торгов в счет уплаты долгов и добился своего.


Источник: Команда29