CC BY
0
Затолокин Александр Александрович Стрельцов Вадим Вадимович
Административно-правовые аспекты государственного регулирования обработки биометрических персональных данных
Исследуются общественные отношения, возникающие в процессе сбора биометрических персональных данных, функционирования единой биометрической системы. Анализируется современная нормативная база (проекты) в сфере защиты персональных данных и биометрических персональных данных. Обосновывается необходимость применения мер административной ответственности за нарушение порядка обработки биометрических персональных данных. Делается акцент на обеспечение равного доступа к государственным, муниципальным или иным услугам, продаже товаров, выполнению работ как для лиц, предоставивших свои биометрические персональные данные, так и для лиц, отказавшихся от их предоставления. Обосновываются пути совершенствования механизмов государственного управления в рассматриваемой сфере, в том числе посредством применения мер административной ответственности.
Ключевые слова: биометрические персональные данные, идентификация и (или) аутентификация физических лиц, единая информационная система персональных данных, защита персональных данных (биометрических персональных данных), обеспечение права на равный доступ лиц к государственным, муниципальным или иным услугам, продаже товаров, выполнению работ.
Administrative and legal aspects of state regulation of biometric personal data processing
The social relations arising in the process of collecting biometric personal data, as well as in the process of functioning of a single biometric system, are investigated. Modern legislation (projects) in the field of personal data protection and biometric personal data are analyzed. The necessity of applying administrative liability measures for violations of the procedure for processing biometric personal data is substantiated. The emphasis is on ensuring equal access of citizens to state, municipal or other services, the sale of goods, the performance of works, both for persons who have provided their biometric personal data and for persons who have refused to provide them. The ways of improving the mechanisms of public administration in this area are substantiated, including through the application of administrative responsibility measures.
Keywords: biometric personal data, identification and (or) authentication of individuals, unified information system of personal data, protection of personal data (biometric personal data), ensuring the right to equal access of persons to state, municipal or other services, sale of goods, performance of works.
Вопросы, связанные с обработкой персональных данных, их защитой, в настоящее время являются крайне актуальными. Посредством персональных данных граждане вступают в различные социальные правоотношения, реализуя предоставленные им конституционные права. Неправомерное использование персональных данных является грубым нарушением прав и свобод человека и гражданина и, в свою очередь, образует состав либо административного правонарушения, либо преступления.
Государственное регулирование данной сферы осуществляется путем принятия соответствующих правовых норм и контроля (надзора) за их соблюдением. Основополагающим источником права, регламентирующим
общественные отношения в сфере обработки, защиты и распространения персональных данных, является Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных) [1], который ввел в правовое поле необходимые понятия, установил основополагающие принципы, механизмы обработки персональных данных, а также определил субъект контрольно-надзорной деятельности, наделив его широкими полномочиями.
В настоящее время федеральным органом исполнительной власти, осуществляющим соответствующие контрольно-надзорные функции и защищающим права субъектов персональных данных, является Федеральная служба по надзору в сфере связи и массовых
79
коммуникаций (Роскомнадзор) [2]. В полномочия сотрудников Роскомнадзора входит внушительный перечень мер государственного реагирования, среди которых и проведение проверок (плановых, внеплановых, контрольных), и осуществление иных контрольных (надзорных) мероприятий, и административно-юрисдикционная деятельность.
Несмотря на довольно серьезные результаты работы контрольного ведомства, в настоящее время все же имеют место нарушения Закона о персональных данных. Опыт «нерабочих дней» (локдауна) в период пандемии коронавируса не только повысил значимость удаленной коммуникации, но и продемонстрировал ее безальтер-нативность при определенных условиях. Даже невзирая на снятие коронавирусных ограничений, отдельные новеллы, принятые в период локдауна, сохраняют свою актуальность: дистанционное обучение в образовательных организациях; служебные совещания посредством сервисов видео-конференц-связи; покупки (продажи) товаров в интернет-магазинах и т.д. Для работы с различными интернет-ресурсами требуется регистрация и (или) заполнение формы обратной связи. В таких случаях граждане добровольно сообщают администраторам сайтов свои персональные данные, которые сегодня стали востребованным товаром: их похищают, покупают, перепродают.
В качестве примеров утечек персональных данных (в частности, в результате хакерских атак) можно привести выявленную представителями управления Роскомнадзора в Интернете информацию о клиентах крупнейшей организации, специализирующейся на медицинских анализах [3], а также попавшую в сеть клиентскую базу крупнейшего интернет-ресурса заказа и доставки еды [4]. После подобных утечек персональные данные попадают в мошеннические центры обзвона абонентов и пополняют базу так называемого «пробива» людей. Следует обратить внимание на тот факт, что за подобные утечки обе организации были привлечены к административной ответственности по ч. 1 ст. 13.11 КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных» и понесли наказание в виде административного штрафа в размере 60 000 руб.
Востребованность персональных данных определяется возможностью их применения как на вполне законных основаниях, так и в противоправных целях.
Примером законного использования полученных персональных данных являются
различные маркетинговые технологии: это и продвижение товаров, и рассылка рекламных продуктов, и демонстрация всплывающих окон на интернет-сайтах. Даже когда лицо не заполняет никаких форм обратной связи, минимизирует регистрацию на сайтах, его персональные данные, а точнее информация, характеризующая его как интернет-пользователя (информация об интересах пользователя, о его действиях на сайтах), все равно собирается посредством так называемых файлов cookie.
Примером незаконного использования персональных данных могут служить случаи, когда злоумышленники, используя персональные данные третьих лиц, посредством функционала сайта микрофинансовых организаций в сети Интернет (онлайн-заем) оформляют договоры займа и получают денежные средства [5] либо когда на ничего не подозревающих граждан оформляются коммерческие предприятия. Так, на официальном сайте прокуратуры Ульяновской области в разделе новости содержится следующая информация: «...весной 2021 года в территориальный налоговый орган поступил пакет документов в целях внесения в Единый государственный реестр юридических лиц сведений о создании ООО "ЧУДНС". Он был удостоверен электронно-цифровой подписью местной жительницы. Вместе с тем прокуратурой выяснено, что данная женщина какие-либо документы с целью создания названной фирмы не подавала» [6].
Это лишь единичные примеры выявленных неправомерных использований персональных данных. К сожалению, в большинстве случаев подобные действия остаются латентными.
Кроме традиционных персональных данных, в последнее время участились случаи сбора голосовой биометрии (образцов голоса), в том числе посредством массового обзвона абонентов телефонной сети. Происходит подобный сбор по следующей схеме: оператор звонит абоненту и задает вопросы, подразумевающие ответ «да», после произнесения абонентом ожидаемого слова разговор прекращается. Как правило, подобную схему сбора голосовой биометрии реализуют мошенники, поскольку представители финансовых организаций осуществляют сбор биометрических данных в своих отделениях и с разрешения самих клиентов.
Следует отметить, что в настоящее время в Российской Федерации создана Единая биометрическая система (ЕБС), призванная упростить взаимодействие граждан с банками, медицинскими организациями, образовательными организациями, органами ис-
80
полнительной власти, нотариусами и иными организациями. Лицо, желающее сдать свои биометрические данные, может обратиться в любое отделение коммерческой организации (банки из списка на сайте Центра биометрических технологий), где операционист сделает фотографию и осуществит запись голоса [7]. Правовое регулирование вопросов сбора биометрических персональных данных, их использования, а также вопросов идентификации и аутентификации осуществляется Федеральным законом от 29 декабря 2022 г. № 572-ФЗ (далее - Закон о биометрии) [8]. Предшественником Закона о биометрии является принятый во время пандемии Федеральный закон от 8 июня 2020 г. № 168-ФЗ «О едином федеральном информационном регистре, содержащем сведения о населении Российской Федерации». Оба источника права отражают взятый государственным аппаратом курс на всеобщую цифровизацию и массовое внедрение искусственного интеллекта во все сферы общественной жизни [9]. Сущность цифровизации сводится к созданию полноценного цифрового профиля гражданина, при этом процедуры идентификации и аутентификации должны заменить личное присутствие человека и предъявление им паспорта в различных сферах жизнедеятельности.
Не рассматривая вопросы, получившие широкое распространение «в 2013 г. вокруг поголовного обеспечения населения универсальной электронной картой» [10], отметим, что цифровизация, бесспорно, имеет положительные моменты, обусловленные снижением времени на пользование различными государственными, финансовыми и социальными услугами, однако существуют определенные риски, обобщение которых позволяет разделить их на две категории.
Первая категория рисков - это возможность утечки биометрических персональных данных и их дальнейшего противоправного использования. Приведенные примеры (оформление микрозайма, регистрация коммерческого предприятия) свидетельствуют о вероятности похищения персональных данных и неправомерного их использования. При этом биометрические персональные данные открывают практически безграничный доступ к множеству различных продуктов от имени конкретного лица, без прохождения каких-либо дополнительных процедур подтверждения личности. Иными словами, завладев биометрическими персональными данными, злоумышленники не будут ограничиваться онлайн-займом, а смогут распоряжать-
ся всем имуществом человека и заключать различного рода обременительные договоры.
Вторая категория рисков - это проблема соблюдения прав граждан, не желающих предоставлять свои биометрические данные в ЕБС и, соответственно, не имеющих возможности проходить процедуры идентификации и аутентификации. Здесь возрастают риски разделения общества на тех, кто может быстро и качественно получать различного рода услуги и продукты («отцифрованные»), и тех, кто в силу ментальности, слабой компьютерной грамотности и отсутствия технической возможности («неотцифрованные») будет этого лишен.
Нивелировать названные риски возможно путем принятия обеспечительных мер в виде административной ответственности как за нарушение порядка работы с биометрическими персональными данными, так и за нарушение прав граждан на добровольность сдачи биометрии.
В настоящее время в КоАП РФ имеется единственная статья - ст. 13.11 «Нарушение законодательства Российской Федерации в области персональных данных», части которой предусматривают административную ответственность за нарушение Закона о персональных данных. Однако справедливо будет отметить, что, учитывая сумму штрафных санкций (для юридических лиц от 60 000 до 100 000 руб.), данную норму нельзя назвать строгой. В целях обеспечения исполнения Закона о персональных данных и Закона о биометрии считаем необходимым внести в гл. 5 и 13 КоАП РФ следующие изменения:
дополнить ст. 13.11 КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных» частью 10 следующего содержания:
«Нарушение порядка обработки биометрических персональных данных -
влечет наложение административного штрафа на должностных лиц в размере от пятисот тысяч до восьмисот тысяч рублей; на юридических лиц - от шести миллионов до восемнадцати миллионов рублей»;
статью 5.62 КоАП РФ «Дискриминация» изложить в следующей редакции:
«Дискриминация, то есть нарушение прав, свобод и законных интересов человека и гражданина в зависимости от его пола, расы, цвета кожи, национальности, языка, происхождения, имущественного, семейного, социального и должностного положения, возраста, места жительства, отношения к религии, убеждений,
81
принадлежности или непринадлежности к общественным объединениям или каким-либо социальным группам, а равно в зависимости от возможности (желания) или невозможности (нежелания) прохождения идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, -влечет наложение административного штрафа на граждан в размере от одной тысячи до трех тысяч рублей; на юридических лиц - от пятидесяти тысяч до ста тысяч рублей».
Введение дополнительных административно-правовых мер не исключает применение уго-
1. О персональных данных: федер. закон от 27 июля 2006 г. № 152-ФЗ. Доступ из ИПО «Гарант». URL: https://study.garant.ru (дата обращения: 02.01.2023).
2. Официальный сайт Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). URL: https://rkn.gov.ru (дата обращения: 02.01.2023).
3. За утечку 300 гигабайт данных «Ге-мотест» оштрафован судом на 60 тысяч рублей [Электронный ресурс]. URL: https:// rg.ru/2022/07/25/za-utechku-300-gigabajt-dannyh-gemotest-oshtrafovan-sudom-na-60-tysiach-rublej.html (дата обращения: 03.01.2023).
4. Куда попадают «слитые» персональные данные [Электронный ресурс]. URL: https://rg.ru/2022/04/08/kuda-popadaiut-slitye-personalnye-dannye.html (дата обращения: 03.01.2023).
5. Решение Лермонтовского городского суда от 15 апр. 2020 г. № 2-124/2020 (Ставропольский край) [Электронный ресурс]. URL: https: sudact.ru/regular/doc/CCymrimoZLJ8/ (дата обращения: 02.01.2023).
6. Официальный сайт Генеральной прокуратуры Российской Федерации. URL: https:// epp.genproc.gov. ru/web/proc_73/mass-media/ news?item=63349024 (дата обращения: 02.01.2023).
7. Сайт Центра биометрических технологий. URL:https://bio.rt.ru/citizens/# (дата обращения: 02.01.2023).
8. Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Рос-
ловной ответственности в случаях установления фактов умышленного завладения биометрическими персональными данными и дальнейшего их использования в противоправных целях.
Внесение подобных обеспечительных мер позволит, с одной стороны, повысить ответственность оператора биометрических персональных данных, а с другой - обеспечить равный доступ граждан ко всем благам циф-ровизации вне зависимости от возможности прохождения ими процедур идентификации и аутентификации.
1. On personal data: fed. law d.d. July 27, 2006 No. 152-FZ. Access from the IPO "Garant". URL: https://study.garant.ru (date of access: 02.01.2023).
2. Official website of the Federal Service for Supervision of Communications, Information Technology and Mass Communications (Roskomnadzor). URL: https://rkn.gov.ru (date of access: 02.01.2023).
3. For leaking 300 gigabytes of data, "Hemotest" was fined 60 thousand rubles by the court [Web resource]. URL: https://rg.ru/2022/07/25/ za-utechku-300-gigabajt-dannyh-gemotest-oshtrafovan-sudom-na-60-tysiach-rublej.html (date of access: 03.01.2023).
4. Where do the "merged" personal data fall [Web resource]. URL: https://rg.ru/2022/04/08/ kuda-popadaiut-slitye-personalnye-dannye.html (date of access: 03.01.2023).
5. Decision of Lermontovsky City Court d.d. Apr. 15, 2020 No. 2-124/2020 (Stavropol Territory) [Web resource]. URL: https: sudact.ru/regular/doc/ CCymrimoZLJ8/ (date of access: 02.01.2023).
6. Official website of the Prosecutor General's Office of the Russian Federation. URL: https:// epp.genproc.gov.ru/web/proc_73/mass-media/ news?item=63349024 (date ofaccess: 02.01.2023).
7. Website of the Center for Biometric Technologies. URL:https://bio.rt.ru/citizens/# (date of access: 02.01.2023).
8. On the identification and (or) authentication of Individuals using biometric personal data, on Amendments to Certain Legislative Acts of the Russian Federation and the Invalidation of Certain Provisions of Legislative Acts of the Russian Federation: fed. law d.d. Dec. 29 2022 No. 572-FZ. Access from the IPO "Garant". URL: https://study.garant.ru (date of access: 02.01.2023).
9. Putin declared the need for Russia's digital transformation [Web resource]. URL: https://
82
сийской Федерации: федер. закон от 29 дек. 2022 г. № 572-ФЗ. Доступ из ИПО «Гарант». URL: https://study.garant.ru (дата обращения: 02.01.2023).
9. Путин заявил о необходимости цифровой трансформации России [Электронный ресурс]. URL: https://tass.ru/ekonomika/10172635 (дата обращения: 02.01.2023).
10. Цацулин А.Н. Цифровизация населения как детерминант виртуального и реального рынка труда в условиях пандемии //ЭВР. 2020. № 3(65). URL: https://cyberleninka.ru/article/n/ tsifrovizatsiya-naseleniya-kak-determinant-virtualnogo-i-realnogo-rynka-truda-v-usloviyah-pandemii (дата обращения: 03.01.2023).
tass.ru/ekonomika/10172635 (date of access: 02.01.2023).
10. Tsatsulin A.N. Digitalization of the population as a determinant of the virtual and real labor market in a pandemic // EVR. 2020. No. 3(65). URL: https://cyberleninka.ru/article/n/ tsifrovizatsiya-naseleniya-kak-determinant-virtualnogo-i-realnogo-rynka-truda-v-usloviyah-pandemii (date of access: 02.01.2023).
СВЕДЕНИЯ ОБ АВТОРАХ
Затолокин Александр Александрович, кандидат юридических наук, доцент, доцент кафедры конституционного и административного права Краснодарского университета МВД России; e-mail: kiap_krdu@mvd.ru
Стрельцов Вадим Вадимович, кандидат социологических наук, преподаватель кафедры гражданского права и процесса Краснодарского университета МВД России; e-mail: kiap_krdu@mvd.ru
INFORMATION ABOUT AUTHORS
A.A. Zatolokin, Candidate of Sciences in Jurisprudence, Associate Professor, Assistant Professor of the Department of Constitutional and Administrative Law, Krasnodar University of the Ministry of the Interior of Russia; e-mail: kiap_krdu@mvd.ru;
V.V. Streltsov, Candidate of Sciences in Sociology, Lecturer of the Department of Civil Law and Process, Krasnodar University of the Ministry of the Interior of Russia; e-mail: kiap_krdu@mvd.ru
83
