Биометрические персональные данные

С ростом использования мобильных устройств, социальных сетей и различных сервисов увеличивается количество собираемых биометрических данных (например, отпечатки пальцев, распознавание лиц, анализ голоса).

Биометрические персональные данные— уникальные физиологические и биологические характеристики человека, которые используются для установления или подтверждения личности.

История становления и развития законодательного регулирования института биометрических персональных данных

Широкое распространение биометрических технологий пришлось на начало первого десятилетия XXI века и было связано с возрастающей угрозой проведения террористических актов во многих странах мира^[1].

Ко времени массового распространения биометрических технологий в большинство стран Совета Европы уже ратифицировало Конвенцию № 108 «О защите физических лиц при автоматизированной обработке персональных данных» (1981), а страны, входящие в Европейский Союз — Директиву 95/46/EC от 24.10.1995 «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» . Их принятие было направлено на защиту прав граждан при обработке персональных данных, которые в зависимости от степени чувствительности подразделяются на две категории — обычные и специальные. Такое разделение в дальнейшем было воспринято многими странами мира и стало использоваться в национальных нормативно-правовых актах как образец надлежащего учета интересов субъектов персональных данных. Только несколько стран, включая Италию, Словению и Россию, внесли в законодательство обособленное регулирование для биометрических персональных данных еще до появления судебной практики в данной сфере^[2].

Впервые в законодательстве РФ категория «биометрические персональные данные» была упомянута в ч. 2 ст. 7 Федерального закона от 15 августа 1996 г. № 114-ФЗ «О порядке выезда из Российской Федерации и въезда в Российскую Федерацию»^[3]. Акцент в данном законе был сделан на самой возможности записывать на электронные носители информации персональные данные субъекта – владельца заграничного паспорта.

В начале 2000-х годов в России биометрические технологии только начинали развиваться, и правовая база в этой области была практически отсутствующей. Появление таких технологий, как отпечатки пальцев, распознавание лиц и радужки глаз, стало актуальным в контексте повышения уровня общественной безопасности и борьбы с преступностью. Однако на тот момент недостаток законодательных норм ограничивал использование биометрических данных^[4].

В 2006 году, когда был принят Федеральный закон «О персональных данных»^[5], понятие «биометрические персональные данные» интерпретировалось довольно ограниченно. К числу элементов, входящих в эту категорию, относились: радужка глаза, отпечатки пальцев, голос человека, информация о его росте, а также другие физиологические и биологические характеристики, которые могли быть собраны и зафиксированы на подходящих электронных носителях в соответствии с технологическими возможностями того времени.

С 2014 по 2018 годы наблюдался рост интереса к вопросам стандартизации и законодательного регулирования в области биометрических данных. В этот период была разработана концепция государственной программы «Цифровая экономика Российской Федерации», где особое внимание было уделено использованию биометрических технологий в государственных и частных секторах^[6].

Принятие Федерального закона от 29.12.2022 № 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" ^[7]стало важным шагом в развитии законодательства Российской Федерации в области защиты персональных данных и технологий идентификации. Этот закон не только регулирует использование биометрических данных, но и устанавливает правовые рамки для их обработки, что имеет большое значение в условиях стремительного развития технологий и увеличения объемов данных, которые обрабатываются в различных сферах жизни.

Сущность понятия «биометрические персональные данные»

Ст. 4 GDPR ( Генеральный регламент о защите персональных данных ЕС) содержит следующее определение биометрическим персональным данным. Биометрическими признаются персональные данные, полученные в результате специальной технической обработки, которые касаются физических, физиологических или поведенческих черт физического лица, а также позволяют произвести или подтверждают однозначную идентификацию этого физического лица^[8]. Регламент не включает в данную категорию генетические данные. Однако они выделяются в особую категорию охраняемых персональных данных наряду с биометрическими данными.

Понятие биометрических персональных данных в Российской Федерации на законодательном уровне закреплено в статье 11 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных». Согласно данной норме под биометрическими персональными данными понимаются «сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность»^[9]. Определение биометрических данных приводится также в ГОСТ Р ИСО/ТО 13569–2007, так, «биометрические персональные данные исследуют физиологические признаки человека и его поведенческие характеристики»^[10].

Наличие легальной дефиниции не препятствует существованию в научной доктрине различных определений понятия «биометрические персональные данные». Так, Н.И. Платонова в своей работе предложила следующее определение: «Сведения, которые характеризуют физиологические, физические и поведенческие особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления и подтверждения личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных»^[11]. В то же время авторский коллектив, состоящий из С.В. Баженова, В.Е. Дивольда, А.А. Морозова и других, представил более краткое определение: «Биометрические персональные данные – сведения, которые характеризуют физиологические, биологические и поведенческие особенности человека, на основании которых можно установить его личность»^[12].

Оба определения выделяют важный аспект, который не упоминается в легальной дефиниции биометрических персональных данных. В каждом доктринальном определении указана новая характеристика — поведенческие особенности. Так, некоторые корпорации используют так называемую «геймификацию» как дополнительный источник данных. Технологическое издание «Wired» отмечает, что действия геймеров в том или ином виде отслеживаются большинством игровых компаний. Анализу подвергаются самые разные данные, например, физические движения игрока — жесты, движения рукой или его поведение во время игры. В итоге подобный сбор информации позволяет идентифицировать по поведенческим привычкам не только самого игрока, но и его игрового персонажа^[13].

Исходя из представленных определений можно выделить следующие признаки биометрических персональных данных:

1. Биометрические данные присущи физическому лицу.
2. Цель сбора и использования биометрических персональных данных – идентификация человека.
3. Уникальность. Бесспорно, этот признак является базовым и основополагающим в определении биометрических данных человека. Каждая характеристика может быть отнесена к определенной группе, объединенной по общему признаку, однако при схожести не теряет своей уникальности.
4. Изменчивость и невозможность изменений. Этот признак подчеркивает уникальность биометрических персональных данных. Так, мы можем сказать, что биометрические персональные данные, такие как дактилоскопическая информация, ДНК, не изменяются в течение жизни человека, и нет средств, способных их изменить, но фотоизображение на сегодняшний день не может удовлетворять признаку «неизменчивости», а наоборот, оно с большой долей вероятности подвержено изменениям (благодаря достижениям пластической хирургии, которая является общедоступной, возможно колоссальное преображение индивида по сравнению с исходным фотоизображением).
5. Использование для идентификации. Биометрические данные предназначены для идентификации или аутентификации личности.
6. Физиологические и поведенческие характеристики. Включают такие данные, как отпечатки пальцев, изображения лиц, голос, движения и другие физические или поведенческие маркеры.

Критерии отнесения сведений к биометрическим персональным данным

Письмо Минцифры России от 28 августа 2020 г. № ЛБ-С-074-24059 разъясняет условия, при наличии которых персональные данные признаются биометрическими. В соответствии с этим письмом персональные данные признаются биометрическими, если они:

• признаны такими в силу положений нормативно-правовых актов;
• содержат характеристику физиологических и биологических параметров человека, на основании которых можно установить его личность.

К таковым относятся, например, анализы ДНК, рост, вес, изображения (фотография и видеозапись)^[14].

Однако данный подход содержания биометрических персональных данных подвергается критики. Так, трудно согласиться с позицией Минцифры России относительно отнесения данных о весе и росте человека к биометрическим данным, поскольку указанные параметры изменяются в течение жизни, да и в целом поддаются фальсификации без особого труда. Например, хорошо известно, что всего лишь изменив осанку, можно заметно повлиять на величину роста. Сутулость, которая зачастую является привычкой, может значительно уменьшить рост в глазах других, в то время как правильная осанка и выпрямление спины придают дополнительный сантиметр или два. Кроме того, элементы гардероба, такие как обувь на высоком каблуке, также способны увеличить рост. Вес также является показателем, который подвержен колебаниям в течение всего дня. К примеру, если взвесить себя утром, когда организм только что проснулся, вес будет значительно отличаться от показателей, полученных вечером.

Постановление Правительства РФ от 30 июня 2018 г. № 772 к биометрическим персональным данным относит изображение лица человека, полученные с помощью фото-, видеоустройств и данные голоса человека, полученные с помощью звукозаписывающих устройств^[15].

Согласно разъяснениям Роскомнадзора не признаются биометрией следующие данные:

• Фотографии, подписи и почерк работника в личном деле не считаются биометрическими персональными данными, так как их обработка не предназначена для установления личности.
• Рентгеновские и флюорографические снимки из медицинской карты также не являются биометрическими данными, если не используются для установления личности^[16].

Таким образом, по указанным критериям России к биометрическим персональным данным можно отнести следующие характеристики: дактилоскопические данные, радужную оболочку глаз, анализы ДНК, рост, вес, фотографию, видеозапись и др.

Однако в мире сегодня этот перечень не может быть исчерпывающим. еще в 2018 году в проведенном Центральным банком Российской Федерации обзоре международного рынка биометрических технологий и их применения в финансовом секторе приводилось следующее соотношение по использованию биометрических персональных данных: отпечатки пальцев (составляют более 50% всего объема рынка); изображение лица (21,6%); изображение радужной оболочки глаза (10,2%); голос (4%); рисунок вен (3%); геометрия ладони, ДНК и иное (около 7%) . Но сегодня, в 2024 году, этот перечень значительно расширился. Этому, в первую очередь, способствовала ситуация с распространением COVID-19, которая послужила катализатором в развитии рынка систем, использующих биометрические персональные данные. Наибольшее развитие в области использования таких данных отмечено в Китае. Так, при идентификации и аутентификации личности в КНР получило распространение сканирование ушных раковин, геометрической формы руки, рисунка вен^[17].

Правовая защита биометрических персональных данных

Наиболее значимым в сфере защиты данных на сегодняшний момент является Закон № 572-ФЗ, который предусматривает создание Единой биометрической системы (ЕБС).

• В соответствии с этим законом единая биометрическая система замыкает на себе все процессы, связанные с идентификацией по биометрическим данным. Положения документа также регулирует правоотношения между различными субъектами при взаимодействии с ЕБС. ЕБС — это государственная цифровая платформа, на которой собраны биометрические данные граждан. Единая биометрическая система создана для регистрации и хранения биометрических персональных данных, а также идентификации или аутентификации физических лиц. На самом деле создана система была еще в 2018 году, а в 2021 году стала государственной информационной системой. Оператором ЕБС является АО «Центр биометрических технологий». Учредителями АО выступают «Ростелеком», Минцифры и Центробанк. До 30 сентября 2023 г. все организации, в том числе банки были обязаны передать имеющиеся биометрические данные (изображения и голос) в ЕБС, предупредив физических лиц за 30 дней. Но, крайне важно уточнить тот момент, что граждане самостоятельно определяют будут ли их данные храниться в ЕБС, также граждане имеют возможность потребовать удаления биометрии из ЕБС в любой момент. Кроме того, законодателем был установлен запрет операторам на отказ гражданам в обслуживании при отсутствии согласия предоставить биометрические персональные данные и (или) дать согласие на их обработку, если такое предоставление не является обязательным. Использование биометрии в иных системах кроме ЕБС не допускается, что в значительной мере ограничивает возможности бизнеса в использовании биометрических данных для целей идентификации или аутентификации. При этом введен запрет на обработку биометрии иностранными организациями. Таким образом, идентификация, то есть процесс определения личности пользователя с использованием биометрии стала возможной только через подключения к ЕБС. Аутентификация, то есть процесс проверки подлинности пользователя возможна либо через ЕБС, либо через аккредитованные организации. На сегодняшний момент закон предусматривает передачу в ЕБС только изображения и записи голоса.
• Закон создает существенное препятствие для использования биометрических технологий малыми компаниями. Так, требование "о минимальном размере собственного капитала в 500 млн (пп. 2 2 п. 2 ст. 17) для прохождения аккредитации" делает ее невозможным большей части коммерческого сообщества. Помимо этого, закон содержит ряд требований к техническим устройствам, осуществляющим операции по распознаванию биометрических данных. В настоящий момент по требованиям, установленным для аккредитации, аккредитовано только 16 крупных компаний, среди которых такие гиганты, Сбербанк и ВТБ.
• Законодательством (ст. 13.11.3 КоАП) предусмотрена и ответственность за размещение и обновление организациями биометрических персональных данных в государственной информационной системе с нарушением установленных требований, которая выражается в наложении административного штрафа на должностных лиц в размере от 100 до 300 тыс. рублей, юридических лиц - от 500 тыс. до 1 млн рублей.

Запрет аутентификации на основе биометрических персональных данных

Постановлением Правительства РФ от 25.05.2023 № 815 утвержден Перечень случаев, при которых аутентификация с использованием информационных систем организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, не допускается:

1. Проведение вступительных испытаний при приеме на обучение, промежуточной и итоговой аттестации в организации, осуществляющей образовательную деятельность.
2. Оказание медицинской помощи, а также проведение консилиумов, консультаций, дистанционного медицинского наблюдения за состоянием здоровья пациента с применением телемедицинских технологий.
3. Отпуск, в том числе дистанционный, лекарственных препаратов для медицинского применения по рецепту на лекарственный препарат, оформленному медицинскими работниками.
4. Предоставление государственных и муниципальных услуг, осуществление государственных и муниципальных функций.
5. Предоставление доступа к государственным информационным системам.
6. Установление личности физического лица в случаях, когда в соответствии с законодательством Российской Федерации требуется предъявление документа, удостоверяющего личность такого физического лица.
7. Получение информированного добровольного согласия на медицинское вмешательство или отказ от медицинского вмешательства, а также отражающих состояние здоровья пациента медицинских документов (их копий) и выписок из них.
8. Проведение медицинских осмотров с использованием медицинских изделий, обеспечивающих автоматизированную дистанционную передачу информации о состоянии здоровья работников и дистанционный контроль состояния их здоровья^[18].

Правовые проблемы отнесения сведений к биометрическим персональным данным

Основная проблема заключается в том, что не всякая физическая или биологическая характеристика может трактоваться в качестве биометрических персональных данных.  Это подтверждается и правоприменительной практикой.

• В одном случае фотографии на пропуске суды расценивают как биометрические персональные данные. Например, в деле № А42-342/2017 Арбитражный суд Северо-Западного округа указал, что такие фотографии характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность. Верховный Суд РФ впоследствии подтвердил позицию суда нижестоящей инстанции, отметив, что предприятие не получило согласие субъектов на обработку биометрических персональных данных^[19].
• Довольно широкую публичную огласку получило дело Алены Поповой. В апреле 2018 г. Тверской суд привлек ее к административной ответственности за одиночный пикет у Госдумы с требованием отставки депутата. По словам А.П., полицейские, не спрашивая документы, обратились к ней по имени и предложили проехать в участок. Однако Савеловский районный суд г. Москвы не признал использование данных городских систем видеонаблюдения незаконной обработкой биометрических персональных данных. Судом было установлено, что Департамент информационных технологий г. Москвы не проводил мероприятий, непосредственно направленных на установление личности на основе материалов видеонаблюдения. Такие действия осуществлялись органами полиции, которые по закону вправе обрабатывать биометрические персональные данные без согласия субъекта. В государственной информационной системе «Единый центр хранения и обработки данных» (ЕЦХД) нет персональных данных граждан, в том числе и биометрических. Алгоритм, который используют в центре, сравнивает изображение от видеокамер с фотографией, предоставленной правоохранительными органами. Персональные данные при этом ДИТ не передаются^[20].
• В другом деле гражданка С. пожаловалась на гражданку М., которая без согласия осуществляла видеосъемку на камеру мобильного телефона с участием первой. Территориальное управление Роскомнадзора отказало в возбуждении дела, установив, что видеозапись не содержит сведений, позволяющих идентифицировать гражданку С. как конкретного субъекта персональных данных, что свидетельствует об отсутствии нарушений положений закона о персональных данных, в связи с чем доводы жалобы были опровергнуты районным и областным судом^[21].

Преимущества и недостатки применения биометрических систем

Достоинства использования биометрических систем

1. Удобство для пользователей. Биометрические данные позволяют пользователям подтверждать свою личность с помощью различных гаджетов, что значительно упрощает процесс совершения сделок и получения услуг.
2. Скорость и эффективность. Для организаций и публичных органов внедрение биометрических систем (ЕБС) обеспечивает быструю сверку и удостоверение личности. Это особенно важно при осуществлении юридически значимых действий, где время имеет критическое значение.
3. Высокая степень достоверности определения лица.

Риски обработки биометрических персональных данных

1. Существует риск дискриминации граждан, которые не сдали биометрию.
2. Физиологические, биологические и поведенческие характеристики человека могут использоваться с целями, на которые он не давал согласия.
3. Проблема замены характеристик. Замена биометрической характеристики человека занимает длительное время, а в ряде случаев просто невозможна.

Заключение

Таким образом, использование биометрических данных поднимает множество этических и правовых вопросов, связанных с правом на личную жизнь и защиту персональных данных. Важно находить баланс между удобством и безопасностью, а также разрабатывать эффективные механизмы защиты данных, чтобы минимизировать риски и обеспечить защиту прав граждан.