УДК 004.01
Коновалов С.М.
студент факультета информационных технологий и анализа больших данных, Финансовый университет при Правительстве Российской Федерации
(г. Москва, Россия)
Научный руководитель: Резниченко С.А.
кандидат технических наук, доцент, доцент департамента информационной безопасности. Финансовый университет при Правительстве Российской Федерации
(г. Москва, Россия)
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ НА ЗАКОНОДАТЕЛЬНОМ УРОВНЕ, ОБЩИЕ ПРИНЦИПЫ И РОССИЙСКАЯ ПРАКТИКА
Аннотация: в статье рассмотрены способы защиты биометрических персональных данных на законодательном уровне различных государств. На основе проведенного анализа предложены меры по улучшению обеспечения безопасности биометрических данных на законодательном уровне в Российской Федерации.
Ключевые слова: биометрические персональные данные, информационная безопасность, защита персональных данных.
Биометрические персональные данные - это информация, которая связана с уникальными физиологическими и поведенческими характеристиками человека. Обработка такой информации может применяться для идентификации личности в различных областях, включая безопасность, медицину, банковскую сферу, страхование и прочее. Важность обработки биометрических
персональных данных обусловлена тем, что они могут быть использованы как мощный инструмент для обеспечения безопасности и защиты личности.
Во многих странах наблюдается тенденция к внедрению различного рода государственных систем для обработки биометрических персональных данных. Такие системы позволяют удостоверять личность граждан, осуществлять контроль на границах, обеспечивать безопасность на территории государства и улучшать качество оказываемых государственных услуг. В связи с этим встает вопрос о государственном регулировании и управлении подобными системами.
Примером первопроходцев в области правового регулирования вопросов биометрии являются США, где в нескольких штатах уже приняты нормативно-правовые акты для утверждения правил обработки и хранения биометрических персональных данных. Так, в Иллинойсе был принят Biometric Information Privacy Act (BIPA) в 2008 году, который действует по сей день. Закон предписывает компаниям, работающим в Иллинойсе, соблюдать определенные требования в отношении сбора и хранения биометрической информации. Например, компании должны получать согласие от физических лиц на сбор и использование их личных биометрических идентификаторов, своевременно уничтожать биометрические данные и безопасно хранить их. BIPA устанавливает строгие штрафы за нарушение этих правил - до $5000 за нарушение. Важно, что сила закона не распространяется на государственные органы, а действует исключительно на частные компании.
Одним из самых значимых законодательных актов на международном уровне можно считать европейский «General Data Protection Regulation». General Data Protection Regulation (GDPR) — это европейский закон, разработанный в 2018 году для защиты прав личных данных граждан. GDPR нацелен на защиту личной информации о человеке, включая его имя, адрес, электронную почту, фотографии и другие данные, которые предоставляют доступ к его личности.
Согласно GDPR: "Биометрические данные - это персональные данные, полученные в результате специальной технической обработки, которые касаются
физических, физиологических или поведенческих черт физического лица, а также делают возможной однозначную идентификацию этого физического лица или подтверждает ее, например, изображение лица или дактилоскопические данные." Стоит также отметить, что в рамках закона не предусмотрена отдельная статья, касающаяся правил обработки биометрических данных. В тексте закона условия обработки биометрических, генетических и «данных, касающихся здоровья» представлены в статье 9 как специальные категории персональных данных.
GDPR требует, чтобы организации, которые собирают и обрабатывают биометрические данные, соблюдали строгие принципы защиты данных. Например, они должны обеспечивать прозрачность обработки данных, давая пользователям подробную информацию о том, как будут использоваться их биометрические данные. Пользователи также должны давать свое явное согласие на использование своих биометрических данных.
Многие страны, такие как Израиль, Нигерия, Япония, Индия создали свои собственные нормативно-правовые акты на основе GDPR, и в них государственное регулирование вопросов, связанных с использованием биометрии также, не подразумевает внедрение отдельного закона.
В Российской практике обработка биометрических данных регулируется в рамках 152-ФЗ, в тексте которого предусмотрена отдельная статья, в которой рассматриваются условия их обработки. В соответствии с законом, биометрические данные подлежат обработке только с письменного согласия субъекта персональных данных, кроме случаев, предусмотренных в той же статье.
Одной из уникальных особенностей государственного регулирования биометрических систем в РФ является принятие 572-ФЗ, устанавливающего правила идентификации и аутентификации лиц с использованием биометрических данных. Закон №572-ФЗ, которым была установлена единая система биометрических данных, был подписан 29 декабря 2022 года. Единая
биометрическая система (ЕБС) - это комплекс технологических решений и баз данных, основанный на использовании биометрических технологий для идентификации и аутентификации граждан. Система позволяет установить достоверность личности на основе ее физиологических и поведенческих характеристик, таких как отпечатки пальцев, голос, лицо, сетчатка глаза и др.
Закон о единой системе биометрических данных включает ряд положений, в том числе:
• ограничение перечня видов собираемой биометрии, включая изображение лица и образец голоса;
• запрет на принудительный сбор данных;
• право граждан на отзыв ранее данного согласия на обработку биометрических данных в любой момент;
• механизм проверки гражданами сведений о согласии на обработку биометрических данных, а также всех действий, совершенных с их данными;
• запрет на сбор геномной информации;
• запрет на трансграничную передачу собранных данных.
Согласно закону, сбор и обработка биометрических данных осуществляются с помощью Единой биометрической системы («ЕБС»). В региональном сегменте оператором биометрической информации может выступать только государственное учреждение или государственное унитарное предприятие (ГУП).
В целом, общим для многих стран можно выделить отсутствие специализированных законов по обработке и использованию биометрических персональных данных. Те единичные случаи, которые встречаются в современной практике либо имеют отношение к конкретной системе (в основном государственной), либо не распространяются на территории всего государства. Большинство стран ограничивается стандартными правилами обработки персональных данных, предусмотренными существующими законами, вроде GDPR и 152-ФЗ, но в связи с тенденцией к стремительному развитию
использования биометрии, подобный подход рискует перестать быть эффективным.
На примере принятия 572-ФЗ можно увидеть, что решением вопроса по работе с биометрическими данными в России сейчас активно занимаются. Однако большое количество проблем, касающихся определения четких критериев отнесения данных к биометрическим, их категорирование, а также предусмотрение правил их обработки для разных видов операторов остаются либо не до конца проясненными, либо нерешенными.
Есть два довольно явных способа решения подобных вопросов:
1. Разработать единый закон "О биометрических персональных данных", и ввести в нем полноценный перечень данных, попадающих под категорию биометрии; правила их обработки для государственных и муниципальных органов; правила обработки для юридических лиц и корпораций; меры ответственности за нарушение предъявленных требований.
2. Разработать несколько различных нормативно-правовых актов, для отдельного решения каждого из вопросов, связанных с биометрическими данными, по примеру В1РА, регулирующего только аспекты деятельности частных организаций.
Принимая во внимание огромный уровень внедрения биометрических технологий во все аспекты человеческой жизни, можно с уверенностью заявить, что защита биометрических данных в настоящее время страдает во всем мире из-за неполной правовой регламентации. Отсутствие тщательного и единого подхода в определении списка характеристик, которые могут включаться в категорию биометрических данных, недостатки в существующих законах, а также унификация правил обработки всех категорий персональных данных, приводит к огромному количеству факторов риска нарушения их целостности и хищения. Необходимость сопровождения технологического прогресса соответствующим совершенствованием правового регулирования в конкретной
области не вызывает сомнений, и только государство может установить рамки, определяющие регулируемый объект, чтобы обеспечить его должную защиту.
СПИСОК ЛИТЕРАТУРЫ:
1. Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ (последняя редакция) - Доступ из справ.-правовой системы КонсультантПлюс. -Текст: электронный.
2. Федеральный закон от 29.12.2022 N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" - Доступ из справ.-правовой системы КонсультантПлюс. - Текст: электронный.
3. Consolidated text: Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (Text with EEA relevance). OJ L 119, 4.5.2016, p. 1-88.
4. Illinois Biometric Information Privacy Act (BIPA) of 2008, 740 ILCS 14.
5. Biometric Information Privacy Act (BIPA) [Электронный ресурс]. URL: https: //www. aclu-il. org/en/campaigns/biometric-information-privacy-act-bipa (Дата обращения 17.05.2023).
Konovalov S.M.
Financial University under Government of Russian Federation
(Moscow, Russia)
Scientific advisor: Reznichenko S.A.
Financial University under Government of Russian Federation
(Moscow, Russia)
ENSURING SECURITY OF BIOMETRIC PERSONAL DATA AT LEGISLATIVE LEVEL, GENERAL PRINCIPLES & RUSSIAN PRACTICE
Abstract: the article discusses ways to protect biometric personal data at the legislative level of various states. Based on the analysis, measures to improve the security of biometric data at the legislative level in the Russian Federation are proposed.
Keywords: biometric personal data, information security, personal data protection.