Новый университет. 2014. № 1 (35)
ISSN 2221-7347
УДК 343.3/.7
М.С. Кривогин
ПРАВОВОЙ режим биометрических персональных ДАННЫХ В УСЛОВИЯХ ИНФОРМАЦИОННОГО ОБЩЕСТВА
Статья посвящена анализу проблем правового регулирования биометрических персональных данных в условиях компьютеризированного общества. Основное внимание уделяется рассмотрению проблемных вопросов использования биометрических персональных данных в Интернете и социальных сетях.
Также дана квалификация использованию биометрических данных для идентификации пользователя с помощью мобильных телефонов. Рассматриваются поведенческие категории персональных данных и их правовой режим.
Ключевые слова: биометрические, персональные данные, поведенческие, режим, Интернет.
На современном этапе развития информационных технологий, в частности мобильных устройств, социальных сетей, онлайн сервисов и форумов, встает вопрос о правовом положении личности в цифровую эпоху. В общем виде, проблемы права и Интернета широко исследованы в работах А.Г. Серго, И.М. Рассолова и других специалистов. Но на текущий момент отсутствуют комплексные исследования правового регулирования использования биометрических персональных данных в сети Интернет.
Сегодня наибольшее количество персональных данных о пользователях Интернета собраны в социальных сетях. Они выражаются в информации, предоставляемой пользователем при регистрации, загрузке фото и видеофайлов, использовании приложений. В свою очередь часть из названных данных может быть отнесена к биометрическим персональным данным.
Согласно п. 2 ст. 11 ФЗ «О персональных данных» [1], если оператор не использует персональные данные пользователя для его идентификации, то они не могут быть отнесены к биометрическим. Например, в социальной сети «Вконтакте» пользователь после регистрации профиля может загрузить собственную фотографию на главную страницу, а также добавлять иные изображения в созданные виртуальные фотоальбомы. В данном случае администрацией социальной сети не проводится идентификация пользователя по фотографии, поскольку его предполагаемое имя (пользователь может указать вымышленные данные) уже известно. Также идентификация личности отсутствует в списке целей, для которых осуществляется обработка персональных данных пользователей социальной сети [2]. Таким образом, использование фотографий пользователя, без его идентификации, в социальной сети регулируется общими нормами Гражданского Кодекса РФ. Согласно п.1 ст. 152.1 ГК обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи) допускаются только с согласия этого гражданина. Такое согласие пользователь дает при принятии договора оказания услуг социальной сетью.
Роскомнадзор привел собственные разъяснения, которых необходимо придерживаться при отнесении фотографии к обычным персональным данным, либо биометрическим: «...необходимо принимать во внимание цель, которую преследует оператор при осуществлении действий, связанных с обработкой персональных данных, в том числе фотографического изо-бражения.если они используются оператором для установления личности субъекта персональных данных, то данная обработка должна осуществляться в строгом соответствии со ст. 11 Федерального закона "О персональных данных"» [3].
Другая социальная сеть «Facebook» имеет более расширенные функции по распознаванию изображений пользователей. Так, например, функция Tag Suggestions позволяет распозна-
© Кривогин М.С., 2014.
92
ISSN 2221-7347
Экономика и право
вать лица на фотографиях пользователя и предлагает ему отметить друзей [4]. У большинства пользователей на главной странице профиля социальной сети установлена собственная фотография. Программные средства социальной сети распознают лицо пользователя. Если другой пользователь загружает фотографию, где изображен его друг, то «Facebook» автоматически сравнивает лица на фотографии со списками друзей пользователя и предлагает их отождествить, путем принятия запроса о соответствии указанного на изображении лица профилю пользователя в социальной сети. В политике использования персональных данных, «Facebook» указывает весьма широкие рамки использования: «...мы можем использовать получаемую о Вас информацию не только для того, чтобы помочь другим пользователям видеть и находить информацию о том, что Вы делаете.». Но нормы российского Закона о защите персональных данных не применяются к названным отношениям, поскольку штаб-квартира «Facebook» расположена в Ирландии, где действуют собственные законы, не запрещающие указанную обработку персональных данных [5].
Современные устройства массового использования предлагают пользователю большой набор функций, особенно в сфере безопасности данных. Так, в новой версии мобильного телефона iPhone 5 s встроен специальный сенсор для сканирования отпечатков пальцев владельца устройства (TouchID). Данная функция предназначена для подтверждения того, что именно владелец телефона использует устройство. Если другой человек попытается воспользоваться телефоном, он должен пройти проверку тождественности персональных данных. Мобильный телефон сравнит информацию, хранящуюся в его памяти, и если информацию об отпечатках пальцев не совпадает, то другое лицо не сможет воспользоваться устройством.
В большинстве случаев TouchID используется как ключ для доступа владельца к собственному смартфону, при этом информация не передается на сторонние сервисы [6]. Таким образом, распознавание отпечатков пальцев применяется для личного использования владельцем телефона. В соответствии с п.2 ч.1 ст.1 Закона о персональных данных, Действие настоящего Федерального закона не распространяется на отношения, возникающие при обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных. Аналогичное регулирование должно применяться в случае использования специального программного обеспечения для доступа к управлению электронным устройством по фотографии владельца [7]. К этой же категории персональных данных относится возможность установления фотографии абонента на набираемый телефонный номер, с учетом того, что интересы лица, изображенного на фотографии, не должны нарушаться.
Одним из наиболее перспективных методов использования поведенческих персональных данных в компьютерной сфере является идентификация пользователя по его клавиатурному почерку. При этом учитываются следующие особенности набора символов, по которым можно отождествить личность по почерку: количество ошибок при наборе, интервалы между нажатиями клавиш, время удержания клавиш, число перекрытий между клавишами, степень аритмичности при наборе, скорость набора [8]. Также возможна идентификация пользователя по перемещению и щелчкам компьютерной мышкой. При этом эксперименты показали, что погрешность определения пользователя в среднем равна 1,3% [9].
Учитывая, что в Интернете существует множество сервисов для владельцев сайтов, предназначенных для анализ трафика посетителей, например Яндекс.Вебвизор [10], можно сказать, что вышеупомянутые поведенческие данные пользователей могут быть использованы владельцами сайтов без их ведома. Сервис от Яндекса, Вебвизор, записывает перемещения пользователей по страницам сайта, их клики на ссылки, ввод данных с клавиатуры. Также в других базах данных могут храниться сведения о времени посещения сайта, операционной системе пользователя, месте его нахождения, устройства с которого был осуществлен вход на сайт, адрес электронной почты и другие данные.
Поведенческие характеристики человека относятся к биометрической информации в научном смысле этого слова, но являются обычными персональными данными, с позиции законодательного регулирования в РФ. Из рассмотренных примеров можно сделать вывод, что по-
93
Новый университет. 2014. № 1 (35)
ISSN 2221-7347
веденческие данные несут в себе возможность идентификации их владельца. Предполагается, что правильным шагом законодателя было бы их отнесение к категории биометрических персональных данных, с необходимостью получения письменного согласия на для последующей обработки.
Библиографический список
1. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 23.07.2013) «О персональных данных» [Электронный ресурс]. Режим доступа: http://base.consultant.ru.
2. Вконтакте [Электронный ресурс]. Режим доступа: http://vk.com/terms.
3. Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки» [Электронный ресурс]. Режим доступа: http://base.consultant.ru.
4. Documentica.org [Электронный ресурс]. Режим доступа: http://dokumentika.org/lt/specialiosios-tarnybos/facebook-zapustil-raspoznavanie-lichnosti-po-fotografii.
5. Громадська шщатива [Электронный ресурс]. Режим доступа: http://pdp.net.ua/irlandiya-proverit-facebook-na-bezopasnost-zaschity-dannyx.
6.iPhone 5s: Using Touch ID [Электронный ресурс]. Режим доступа:
http://support.apple.com/kb/HT5883.
7. FaceLock for apps [Электронный ресурс]. Режим доступа:
https://play.google.com/store/apps/details?id=com.facelock4apps.
8. Разработка системы анализа клавиатурного почерка [Электронный ре-сурс].Режим_доступа:_http://elib.bsu.by/bitstreamЛ23456789/7362/1/Разработка%20системы%20анализа% 20клавиатурного%20почерка.pdf.
9. An Efficient User Verification System via Mouse Movements [Электронный ресурс]. Режим доступа: http://www.cs.wm.edu/~hnw/paper/ccs11.pdf.
10. Вебвизор в Яндекс.Метрике [Электронный ресурс]. Режим доступа: https://metrika.yandex.ru/promo/webvisor.
Статья поступила в редакцию 29.01.2014. * ***
КРИВОГИН Максим Сергеевич - студент, Орловский государственный аграрный университет.
***
UDC 343.3/.7
M.S. Krivogin
LEGAL REGULATION OF BIOMETRIC PERSONAL DATA IN THE INFORMATION SOCIETY
The research of legal problems of biometric personal data on the information society is considered in the article. Main focus is on the problematic issues of use of biometric personal data on the Internet and social networks. In addition, a qualification of use of biometric data for user’s identification using mobile phones is mentioned. In the article considered behavior metric categories ofpersonal data and it’s legal regime.
Keywords: biometric, personal data, behavioral, regime, the Internet.
94