CC BY
0Д. А. Петрова,
кандидат политических наук, доцент, доцент кафедры теории и истории государства и права Юридической школы Дальневосточного федерального университета
В. А. Папкова,
старший преподаватель кафедры теории и истории государства и права Юридической школы Дальневосточного федерального университета
D. A. Petrova,
Candidate of Political Sciences, Associate professor, Associate Professor of the Department of Theory and History of State and Law ofFar Eastern Federal University
petrova.dan@dvfu.ru V. A. Papkova,
Senior Lecturer of the Department of Theory and History of State and Law ofFar Eastern Federal University
papkova.va@dvfu.ru
о
DOI:
ОБРАБОТКА БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ В СВЕТЕ ИЗМЕНЕНИЯ ЗАКОНОДАТЕЛЬСТВА
Аннотация: в статье производится обзор новелл законодательства в области биометрических персональных данных по Федеральному закону от 29 декабря 2022 г. № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных...». В целях более системного изложения нормативно-правового материала в работе также принимаются во внимание подзаконные нормативные правовые акты, конкретизирующие положения федерального закона № 572-ФЗ.
Авторами систематизируются случаи применения биометрических персональных данных при самостоятельной регистрации данных субъекта персональных данных в Единой биометрической системе в зависимости от способа подтверждения личности в соответствии с постановлениями Правительства РФ. Приводится список ограничений для организаций, использующих собственные информационные системы с целью идентификации субъекта персональных данных.
Ключевые слова: персональные данные, биометрические персональные данные, Единая биометрическая система, идентификация, аутентификация.
BIOMETRIC PERSONAL DATA IN THE LIGHT OF NEW LEGISLATION
329
Abstract: the article reviews the novelties of legislation in the field of biometric personal data under Federal Law No. 572-FZ dated December 29, 2022 «On the identification and (or) authentication of individuals using biometric personal data...». In order to provide a more systematic presentation of the regulatory material, the work also takes into account subordinate regulatory legal acts specifying the provisions of Federal Law No. 572-FZ.
In this paper, the authors systematized the cases of the use of biometric personal data when personal data are registered in a Unified biometric system, depending on the method of identity verification in accordance with the regulations of the Government of the Russian
pob 35
Federation. The authors also provided a list ofrestrictions for organizations using their own information systems in order to identify the subject of personal data.
Keywords: personal data, biometric personal data, Unified biometric system, identification, authentication.
Вход по лицу, отпечатку пальца, оплата улыбкой и другие примеры применения технологий создают впечатление, что использование биометрических данных - атрибут лишь современного общества. Вместе с тем применение биометрических данных отнюдь не является достоянием современности, поскольку биометрические параметры как идентификатор человека находят свое документальное подтверждение уже в XVII в. в России. Так, в кабальных договорах 1626 и 1646 г. фиксируются словесные портреты людей, попадающих в личную зависимость [1, с. 42]. Электронная обработка биометрических данных - это достижение нашего технологического века, но использование биометрических данных как идентифицирующих чело-^ века параметров явление далеко не новое.
Привязка к идентификации выбрана законодателем РФ в качестве основного признака биометрических данных. Понятие биометрических персональных данных закреплено в ст. 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и определяется как сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и выводятся в особую категорию персональных данных.
В целях обеспечения информационно-технологического взаи-С модействия действующих и создаваемых информационных систем, ^ для идентификации личности клиента при предоставлении государ-§ ственных и коммерческих услуг в электронной форме в Российской ® Федерации используется Единая биометрическая система. С Система была создана в 2018 г. для сбора, хранения, обработки и использования биометрических персональных данных граждан при оказании дистанционных услуг, но статус государственной получила 30 декабря 2021 г. [7].
s
330
*
^ шение доступности услуг и сервисов, в том числе для маломобильных или проживающих в отдаленных регионах граждан [6].
В декабре 2022 г. приняты изменения [8], касающиеся сбора и размещения биометрических персональных данных, новеллой среди которых является возможность самостоятельного предоставления субъектом своих биометрических персональных без подтверждения
pj Основной целью Единой биометрической системы является повы-
сь
личности сотрудниками банков, многофункциональных центров предоставления государственных и муниципальных услуг или иных организаций.
Так, в соответствии с пп. 9-10 ст. 4 Федерального закона № 572-ФЗ физические лица вправе использовать для размещения в единой биометрической системе своих биометрических персональных данных мобильное приложение.
При использовании данных, размещенных в ЕБС субъектом самостоятельно, допускается разный объем действий в зависимости о* от возможности дистанционно подтвердить личность пользователя а и наличия ранее созданной записи в ЕСИА. § Максимальный перечень случаев возможного использования | предусмотрен для персональных данных, личность владельца кото- 1 рых подтверждена с использованием документа, удостоверяющего | личность гражданина РФ за пределами территории РФ, содержащего * электронный носитель информации с записанными на нем персо- ■§ нальными данными владельца паспорта, включая биометрические | персональные данные [8, п. 12 ст. 4]. | Полный перечень действий при подтверждении личности с помо- й щью загранпаспорта определен в постановлении Правительства РФ £ от 15 июня 2022 г. № 1067 [4]. В частности, можно использовать | данные для проведения идентификации и аутентификации при про- " ведении вступительных испытаний в вузах, осуществление безна- -Ц личных расчетов в сумме, не превышающей 5 тыс. рублей, включая § налог на добавленную стоимость и т.д. £ При наличии подтвержденной записи в ЕСИА и подтверждении | личности с использованием загранпаспорта нового поколения воз- а можно осуществление идентификации и (или) аутентификации с ис- £ пользованием мобильного приложения «Госуслуги» для обслуживания щ без предъявления документа, удостоверяющего личность, при личной | явке гражданина [2]. д
При отсутствии ранее созданной и подтвержденной записи в ЕСИА, вне зависимости от подтверждения личности, перечень
331
случаев возможного использования биометрии для идентификации и аутентификации ограничен участием в программах стимулирования
покупателей, осуществлением оплаты проезда на транспорте с ис- а -
пользованием информационных систем, проведением голосования § §
в электронной форме в рамках общих собраний собственников по- а -0' мещений в многоквартирных домах, обеспечением дополнительной аутентификации для доступа в личные кабинеты платформ и сервисов, оказывающих услуги электронной почты, доставки продуктов пита-
ШЬ Ь Ь.
ния, непродовольственных товаров, а также доставки дистанционным способом товаров посредством информационно-телекоммуникационной сети «Интернет» [3].
В случае, если личность субъекта не подтверждена загранпаспортом нового поколения, но передача данных подписана усиленной неквалифицированной электронной подписью (или до 1 января 2025 г. простой электронной подписью, ключ которой получен физическим лицом при личной явке при оказании государственных и муниципальных услуг) перечень случаев использования пополняется [3]: возможностью осуществления безналичных расчетов в сумме, не превышающей 2 500 рублей, использованием для дополнительной аутентификации клиента - физического лица при его дистанционном обслуживании кредитными и некредитными финансовыми организациями, осуществление прохода на территории государственных органов и организаций посредством СКУД (за исключением оборонки и КИИ), предоставление в аренду, в том числе краткосрочную
I
ГО
(не более месяца), транспортных средств для целей, не связанных с осуществлением физическим лицом предпринимательской деятельности (каршеринг), установление личности водителей легкового такси. Уникальность биометрических персональных данных, позволя-
1 §
со
2 ющая однозначно и неоспоримо установить личность, определяет ^ повышенные требования к их защите от неправомерного воздействия
и использования.
Следующая новелла законодательства в том, что в целях центра-^ лизации обработки и повышения безопасности обработки биометри-§ ческих персональных данных после 30 сентября 2023 г. организациям С запрещена обработка, включая сбор и хранение биометрических ^ персональных данных, используемых в целях идентификации лич-§ ности. После передачи данных в ЕБС хранящиеся в базах организаций ® данные должны быть уничтожены.
С Таким образом, идентификация с использованием биометрических персональных данных осуществляется исключительно посредством 332 единой биометрической системы и единой системы идентификации ' и аутентификации в соответствии с ч. 1 ст. 9 Федерального закона № 572-ФЗ.
® Аутентификацию физических лиц на основе биометрических персональных данных организации могут осуществлять как посредством использования единой биометрической системы в соответствии со ст. 10 Федерального закона № 572-ФЗ, так и с использованием своих информационных систем в соответствии с ч. 1 ст. 16 Федерального закона № 572-ФЗ.
Таким образом, при осуществлении идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц Федеральным законом № 572-ФЗ предусматривается обязательное взаимодействие с единой биометрической системой - либо в формате непосредственного использования единой биометрической системы для идентификации и (или) аутентификации, либо в формате взаимодействия с единой биометрической системой с целью получения векторов единой биометрической системы для
аутентификации (ст. 16, ч. 6,7). Вектора организация получает по за- О
просу организаций в ЕБС. =5
Для обработки получаемых из ЕБС персональных данных орга- О
низации получают аккредитацию и должны соответствовать опреде- Щ
ленным критериям [4]. "I
Случаи использования биометрических персональных данных |
с использованием собственных информационных систем законода- |
тельно ограничены [5]. ■§
Единая биометрическая система создавалась с целью упрощения |
и улучшения процессов идентификации и аутентификации личности £
в целях предоставления как государственных, так и коммерческих й
услуг, а также повышения уровня безопасности в различных обла- £
стях. Закон создает существенное препятствие для использования |
биометрических технологий малыми компаниями. Так, требование "
о минимальном размере собственного капитала в 500 млн (пп. 2 2|
п. 2 ст. 17) для прохождения аккредитации делает ее невозможным §
большей части коммерческого сообщества. Помимо этого, закон со- £
держит ряд требований к техническим устройствам, осуществляющим |
операции по распознаванию биометрических данных. В настоящий 5
момент по требованиям, установленным для аккредитации, аккреди- О£
товано только 16 крупных компаний, среди которых такие гиганты, Щ
как Сбербанк и ВТБ [6]. |
Законодательством (ст. 13.11.3 КоАП) предусмотрена и ответствен- д ность за размещение и обновление организациями биометрических
персональных данных в государственной информационной системе 333 с нарушением установленных требований, которая выражается в наложении административного штрафа на должностных лиц в размере от 100
до 300 тыс. рублей, юридических лиц - от 500 тыс. до 1 млн рублей. 5 э
Открытым остается вопрос, подходит ли под формулировку статьи слу- § чаи, когда данные размещены в ЕБС без нарушений, однако продолжают 5 обрабатываться на оборудовании организаций. В связи с кратким промежутком времени с момента принятия Федерального закона № 572-ФЗ практика воплощения указанной статьи еще не сложилась.
ШЬ Ь Ь
При принятии изменений основной целью законодателя являлось повышение безопасности личных данных граждан, однако очевидно, что указанные изменения могут рассматриваться как выгодные крупным компаниям. Так, закон вводит прямой запрет на обработку персональных данных вне аккредитации (только для крупных компаний), но разрешает аккредитованным организациям предоставлять услуги для неаккредитованных компаний на платной основе. Согласно разъяснениям, приведенным в постановлении Пленума Верховного Суда РФ от 4 марта 2021 г. № 2 «О некоторых вопросах, возникающих в связи с применением судами антимонопольного законодательства», условия, которые иной участник рынка не принял бы, исходя из своих разумно понимаемых экономических (коммерческих) интересов, и которые позволяют доминирующему на субъекту извлекать выгоду посредством ограничения свободы ведения экономической деятельности его контрагентов, могут быть признаны навязанными, невыгодными.
§ а значит, открывается возможность компаниям, получившим аккре
I
5
го
В реалиях, определяемых обсуждаемым законом, у компаний, не имеющих возможности получить аккредитацию нет законного основания для обработки биометрических персональных данных,
Таким образом, вводимые новшества замедлят внедрение новей-
дитацию, злоупотреблять своим положением на рынке и навязывать условия при предоставлении услуг доступа к биометрическим данным.
Сложившаяся ситуация не согласуется с многими положениями
Стратегии развития информационного общества в России на 2017-
^ 2030 года, в частности, не соответствует главному способу обеспе-
Ё чения эффективности цифровой экономики - внедрению технологии
3 обработки данных, что должно позволить уменьшить затраты при га
3 производстве товаров и оказании услуг. со
! -
С ших технологий в коммерческом секторе, вынуждая организации
малого и среднего бизнеса нести дополнительные расходы, обращаясь 334 в аккредитованные компании и принося им прибыль. Пострадают ' и государственные образовательные организации, активно разраба-су тывающие и внедряющие новые технологии.
® Принятие рассматриваемого закона поднимает вопрос о доминирующем положении крупных отечественных компаний при работе с биометрическими персональными данными, что согласно Закону о защите конкуренции недопустимо. Идеальным решением ситуации была бы отмена принятых нововведений. Компромиссным стал бы вариант убрать из текста закона положение об уставном капитале
аккредитуемых компаний и отменить возмездное предоставление доступа к Биометрической системе. Таким образом, государство сохранило бы контроль над распространением биометрических данных (как заявлено) и не допустило бы монополии крупных компаний в этой области.
Список литературы:
1. Галиуллина, Д. Р. История развития биометрических документов о в России / Д. Р. Галиуллина // Вестник науки и образования. - 2015. - № 9 О (11). -С. 42-43. %
2. О случаях и сроках использования биометрических персональных О данных, размещенных физическими лицами в единой биометрической си- о стеме с использованием мобильного приложения единой биометрической ® системы: постановление Правительства РФ от 15 июня 2022 г. № 1067. - s URL: https://base . garant, ru/404846015/ (дата обращения: 27.04.2024). %
3. О размещении физическими лицами своих биометрических пер- g сональных данных в единой биометрической системе с использованием Ц мобильного приложения единой биометрической системы: постановление о Правительства РФ от 15 июня 2022 г. № 1066. - URL: https://base . garant, g ru/404846041/ (дата обращения: 27.04.2024). |
4. Об утверждении Правил аккредитации организаций, осущест- * вляющих аутентификацию на основе биометрических персональных | данных физических лиц, оснований ее приостановления и прекращения S и признании утратившим силу постановления Правительства Российской " Федерации от 20 октября 2021 г. № 1799: постановление Правительства РФ Т от 22 мая 2023 г. № 810. - URL: https://www. consultant . ru/document/cons_doc_ ® LAW_447677/ (дата обращения: 27.04.2024). g
5. Об утверждении перечня случаев, при которых аутентификация g с использованием информационных систем организаций, осуществляю- | щих аутентификацию на основе биометрических персональных данных g физических лиц, не допускается, и перечня случаев, при которых допу- | скается использование биометрических персональных данных, согласие g физического лица на обработку которых подписано простой электронной g подписью, правом создания (замены) и выдачи ключа которой в порядке, Т предусмотренном законодательством Российской Федерации в области g использования электронных подписей, обладает организация, осуществляющая аутентификацию на основе биометрических персональных дан- 335 ных физических лиц: постановление Правительства РФ от 25 мая 2023 г.
№ 815. - URL: https://base . garant . ru/406940108/ (дата обращения: 27.04.2024). . А
6. Сайт Единой государственной системы. - URL: https://ebs . ru/about/ g ^ (дата обращения: 27.04.2024). % |j
7. О внесении изменений в статью 15.3 Федерального закона «Об инфор- g g мации, информационных технологиях и о защите информации» и статьи 3
и 5 Федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации» (с изм. на 29 декабря 2022 г.): федеральный закон от 30 декабря 2021 г. № 441-ФЗ // Электронный фонд правовых
и нормативно-технических документов. - URL: https://docs . cntd . ru/docume nt/727700119?section=status (дата обращения: 27.04.2024).
8. Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации: федеральный закон от 29 декабря 2022 г. № 572-ФЗ. - URL: https://www. garant . ru/products/ipo/prime/doc/405951675/ (дата обращения: 27.04.2024).
