CC BY
32Экономика. Право. Инновации. 2021. № 1. С. 85-90 Управление инновациями и интеллектуальной собственностью Economics. Law. Innovation. 2021. No. 1. P. 85-90 Innovation and intellectual property management
Научная статья УДК 34.096
doi: 10.17586/2713-1874-2021-1-85-90
ПРАВОВЫЕ ОСНОВЫ БИОМЕТРИЧЕСКИХ МЕТОДОВ АУТЕНТИФИКАЦИИ ЛИЧНОСТИ
Александр Александрович Кузнецов
Липецкий государственный технический университет, г. Липецк, Россия, [email protected] Язык статьи - русский
Аннотация: В работе обоснована необходимость формирования правовых основ биометрических методов аутентификации. Развитие современного общества связано с защитой информации и информационной безопасностью. Биометрические методы аутентификации представляют интерес как инновационная технология, использование которой должно иметь соответствующую правовую основу. Реализация необходимого программного обеспечения должно регулироваться отдельными положениями законодательства об авторских правах. Использование биометрических параметров человека должно также подчиняться законодательным актам. Обосновано разграничение в правовом аспекте двух понятий аутентификация и идентификация.Это связано с тем, что затрагивается возможность доступа как к персональным данным личности, так и к их финансовым активам, поскольку основная сфера использования биометрических параметров - получение государственных и банковских услуг. Рассмотрены нормативно-правовые акты, которые определяют возможность использования биометрических методов аутентификации. В работе сделаны практические выводы о необходимости выделения в российском законодательстве самостоятельной правовой категории биометрические персональные данные. Закрепить, что информация о субъекте персональных данных будет отнесена к биометрическим параметрам идентификации в случае её использования с целью установления личности.
Ключевые слова: биометрические методы аутентификации, идентификация человека, законодательные акты, государственные и финансовые услуги, персональные данные, законодательство об авторских правах, биометрические персональные данные
Ссылка для цитирования: Кузнецов А.А. Правовые основы биометрических методов аутентификации личности // Экономика. Право. Инновации. 2021. № 1. С. 85-90. http://dx.doi.org/10.17586/2713-1874-2021-1-85-90.
LEGAL BASIS OF BIOMETRIC METHODS OF IDENTITY AUTHENTICATION Alexander A. Kuznetsov
Lipetsk State Technical University, Lipetsk, Russia, [email protected] Article in Russian
Abstract: The paper substantiates the need to form the legal foundations of biometric authentication methods. The development of modern society is connected with the protection of information and information security. Biometric authentication methods are of interest as an innovative technology, the use of which should have an appropriate legal basis. The implementation of the necessary software must be regulated by separate provisions of copyright law. The use of biometric parameters of a person must also be subject to legal acts. The separation of the two concepts of authentication and identification in the legal aspect is justified. This is due to the fact that the possibility of access to both personal data of the individual and their financial assets is affected, since the main sphere of use of biometric parameters is the receipt of public and banking services. The regulatory legal acts that determine the possibility of using biometric authentication methods are considered. The paper draws practical conclusions about the need to distinguish an independent legal category of biometric personal data in the Russian legislation. To fix that the information about the subject of personal data will be attributed to biometric identification parameters if it is used for the purpose of establishing identity.
Keywords: biometric authentication methods, human identification, legislative acts, state and financial services, personal data, copyright legislation, biometric personal data
For citation: Kuznetsov A.A. Legal basis of biometric methods of identity authentication. Ekonomika. Pravo. In-novacii. 2021. No. 1. pp. 85-90. (in Russ.). http://dx.doi.org/10.17586/2713-1874-2021-l-85-90.
Введение: Вся история человечества связана с защитой информации от незаконного посягательства третьих лиц, распространение которой может нанести ущерб и причинить вред. В средние века тщательно охранялись данные об укреплении крепостей, которые имели продуманные способы защиты от врагов. Существует много легенд и поверий об охране тайны изобретения пороха. Великий русский химик Д.И. Менделеев раскрыл тайну бездымного пороха путём изучения железнодорожных перевозок сырья и продукции на завод для его изготовления. Анализируя полученную информацию, он не только сделал заключение о предполагаемом составе, но и предложил более усовершенствованный вариант для русской армии.
Развитие товарно-денежных отношений и создание банковской системы привело к необходимости разработки и создания систем безопасности от противоправного проникновения третьих лиц.
Развитие современного информационного общества и переход к новым компьютерным технологиям послужили причиной выработки новых видов и систем защиты. В качестве приоритетного направления развития информационной безопасности в кредитно-финансовой сфере, среди прочих, определена биометрия.
Существует несколько методов биометрической аутентификации. Особую актуальность приобретает использование именно физиологических и биологических, например, аутентификация по сетчатке глаза, по голосу и т.п. Но несмотря на это отсутствуют чёткое законодательное урегулирование данного вопроса. Всё это в полной мере определяет актуальность темы настоящей публикации. Именно использование биометрических параметров обеспечивает защиту персональных данных личности во всем широком спектре получаемых услуг.
Постановка задачи (Цель исследования). На основе анализа законодательства и судебной практики разработать практические предложения по совершенствованию правового использования биометрических методов аутентификации.
Исходя из поставленной цели были определены следующие задачи:
- дать правовую оценку законодатель-
Ных норм, регулирующих использование биометрических методов аутентификации;
- провести анализ законодательства и судебной практики, касающихся основ персональных данных;
- определить основные пути и направления совершенствования нормативно-правовых актов регулирующих применение биометрических параметров человека.
Методика исследования. При подготовке работы были использованы формально-юридический и сравнительно-правовой методы, метод правового регулирования и толкования правовых норм. Предпочтение отдано причинно-следственному анализу, который определяет характер влияния предлагаемой законодательной нормы на её эффективность в практическом использовании и урегулировании вопросов использования биометрических методов аутентификации.
Полученные результаты. В российском законодательстве только упоминается понятие «биометрическая аутентификация» [1]. Законодательные акты, регулирующие правовые аспекты информации, информационных технологий и защиты информации, деятельность нотариата, электронно-цифровую подпись и т.п. наделяют соответствующих субъектов возможностью использовать биометрическую систему для аутентификации конкретного индивидуума. Отдельные вопросы регулируются и другими отраслями права, например, уголовным. При этом отсутствует правовое закрепление этого понятия. Возникает закономерный вопрос, как можно использовать понятие, не имеющее единого правового определения?
Биометрические методы аутентификации относятся к одному из трёх типов аутен-тификационной информации. К ним относятся парольная, с помощью уникального предмета и биометрическая.
В основу биометрической аутентификации личности заложены физиологические характеристики, которые принадлежат конкретной личности и носят индивидуальный характер: отпечатки пальцев, радужная оболочка глаз, голос (голосообразование).
Указанные биометрические показатели изначально использовались в криминалистике, с целью установления личности преступников. Затем, в связи с угрозой со-
вершения террористических актов, биометрические методы аутентификации использовались для установления личности и причастности её к террористическим группировкам. С развитием цифрового общества вопрос аутентификации приобрёл особую актуальность. Это связано с необходимостью обеспечения доступа конкретного индивидуума к личным данным, финансовым и платежным документам и т.д.
В первом случае использование биометрических данных регулируется уголовно-процессуальным законодательством. А как определять законность использования биометрических данных при аутентификации участников цифрового оборота?
Все биометрические показатели хранятся в базе данных. Правовое регулирование понятия «база данных» относит к нему собрание литературных, художественных и иных произведений или материалов, а также факты и данные [2]. То есть формирование данных происходит в определенном порядке, основанном на индивидуальных признаках (биометрия).
Рассмотрим правовую основу основных биометрических показателей.
Голос. С медицинской точки зрения правильнее было бы сказать - речевой голос. Законодательное определение этого понятия отсутствует. В медицине речевой голос представляет собой совокупность звуков, которые характеризуются высотой, силой и тембром. В четвертой части Гражданского кодекса РФ указано, что голос представляет собой один из видов фонограммы. Всем хорошо известны выступления артистов разговорного жанра и пародии. Например, хорошо известный в СССР пародист Виктор Чистяков обладал голосом, который мог аутентично петь как мужские, так и женские музыкальные партии. Использование речевого голоса в качестве единственного источника определения личности является нецелесообразным в силу возможности его подделки с помощью аудиозаписи или похожего воспроизведения другим лицом. Необходимо внести дополнения в субъективное право, которое определит правомочия по установлению запрета по использованию индивидуальности голоса, его изменение и установит контроль за использованием записей голоса.
Дактилоскопия. Идентификация личности по следам пальцев рук. В качестве правового основания использования являются законодательные акты, регулирующие вопрос дактилоскопической регистрации в стране. В основном это касается деятельности органов исполнительной власти и федеральных исполнительных учреждений по получению, учёту, хранению и выдаче дактилоскопической информации [3]. Дактилоскопическая информация определяется законодательством как биометрические персональные данные, в которых отображены особенности строения папиллярных узоров пальцев и ладоней рук.
Радужная оболочка глаз. Законодательство о персональных данных относит к биометрическим персональным данным радужную оболочку глаз. Само это понятие носит больше медицинский характер, чем правовой. Использование радужной оболочки глаз как биометрической характеристики индивидуальных особенностей человека используется в криминалистике и опять же касается уголовно-правовых вопросов.
Таким образом, основная задача использования биометрических данных состоит в защите персональной информации от несанкционированного доступа и противоправного использования в противовес интересам их законного обладателя.
Биометрические параметры должны присутствовать у каждого субъекта, только в этом случае они могут считаться критерием распознавания личности. Они должны быть удобны для измерения и определения показателей принадлежности тому или иному гражданину. Биометрические параметры должны отвечать требованиям уникальности.
Правовое регулирование механизма биометрической идентификации началось с момента внесения изменений в законодательные акты в декабре 2017 года [4]. Они коснулись в основном финансовой и банковской сфер, сферы информации и защиты информационных ресурсов, страховании и т.п.
Рассмотрим правовые аспекты биометрической аутентификации на примере законодательства о персональных данных [5].
Законодательный акт о персональных данных относит к ним биометрические показатели, которые характеризуются физиоло-
гическими и биологическими особенностями. Основная цель их использования, как отмечалось ранее - установление личности субъекта персональных данных.
Законодатель определил, что биометрическая аутентификация личности происходит только при наличии письменного согласия субъекта персональных данных. Возможна их обработка и без получения такого согласия.
Данный вопрос вызывает много споров. Основной из них: как определить биометрические данные, которые возможно использовать без письменного согласия субъекта персональных данных?
Для ответа на поставленный вопрос обратимся к судебной практике Верховного суда РФ [6].
Рассматривая дело о признании недействительным предписания Управления Федеральной службы по надзору в сфере связи, технологий и массовых коммуникаций в части, связанной с нарушением обработки биометрических персональных данных, а именно, использования фотографии со служебного пропуска без соответствующего письменного согласия субъекта персональных данных, суд разъяснил следующее.
Фотография на служебном пропуске, которая дает право работнику проходить на рабочее место, относится к биометрическим персональным данным конкретного субъекта. Она подпадает под категорию персональных данных, подлежащих обработке для идентификации субъекта. Это закреплено в законодательстве о персональных данных [7]. Фотография представляет собой изображение конкретного работника и позволяет его идентифицировать как субъекта с конкретными персональными данными (фамилия, имя, отчество; число, месяц и год рождения и т.п.). Следовательно, необходимо оформить соответствующее письменное разрешение на обработку биометрических персональных данных.
Конечно, в какой-то степени данная правовая позиция может показаться спорной, но следует подойти к этому вопросу с правовой точки зрения. Гражданский кодекс Российской Федерации в ст. 152.1 определяет, что использование фотографии конкретного лица допустимо с его согласия, которое должно
быть выражено в письменной или устной форме. Фотография характеризует конкретные физиологические особенности человека, по которым можно его установить, например, разрез глаз, форма носа и губ, овал лица, расположение ушей, внешнее фенотипи-ческое проявление и т.п. При обработке фотографии в цифровом формате с помощью компьютерных программ происходит идентификация гражданина.
Таким образом, фотография относится к категории биометрических персональных данных, на использование которых требуется письменное согласие.
Реализация Верховным судом Российской Федерации положений законодательства о персональных данных свидетельствует о том, что данная правовая категория заслуживает самостоятельной правовой характеристики в рамках отдельного нормативно-правового акта.
Ещё один вопрос, на который следует обратить внимание, это разграничение понятий аутентификация и идентификация.
Идентификация представляет собой определение конкретного субъекта с помощью идентификатора, который используется для входа в операционную систему или в сервис электронной почты. В качестве такого идентификатора могут использоваться номер телефона субъекта, номер паспорта или иного документа, удостоверяющего личность.
Аутентификация представляет собой проверку подлинности пользователя. Это происходит с помощью трех основных показателей:
- пароль (комбинация цифр, символов, знаков и т.п.);
- определенное устройство, можно сказать, ключ доступа к персональной информации;
- биометрические данные (физиологические и биологические особенности человека).
Казалось бы, эти два понятия не имеют ничего общего. Развитие современных технологий позволяет определить конкретного субъекта персональных данных при системной взаимосвязи процедур идентификации и аутентификации. Благодаря использованию биометрических показателей, аутентифика-
ция (проверка) позволит установить субъекта с большей степенью достоверности, чем идентификация.
Но всё это не имеет под собой законодательной основы. Ранее уже отмечалось, что вопрос правового регулирования и использования биометрических показателей происходит с помощью множества законодательных актов из различных отраслей права, например, уголовного, гражданского и т.п. Это приводит к отсутствию надлежащего правового регулирования всех вопросов, касающихся биометрических персональных данных. Наглядным примером является судебная практика.
Именно на законодательном уровне необходимо определить, что относится к биометрическим персональным данным, порядок их использования и передачи третьим лицам, правовое положение органа, который будет выступать оператором биометрических персональных данных. Важность принятия такого закона определяется использованием инновационных технологий в области биометрической аутентификации.
Ещё одно направление, при котором будет использоваться законодательный акт о биометрических персональных данных, это формирование цифровой личности. Данный
Список источников
1. Гражданский кодекс Российской Федерации (часть первая): Федеральный закон от 30 ноября 1994 г. № 51-ФЗ (редакция от 8 декабря 2020 г.): [принят Государственной Думой 21 октября 1994 г.] // СПС «КонсультантПлюс» [Электронный ресурс]. - Режим доступа: http://www.consultant.ru/ document/cons_doc_LAW_5142/
2. О юридической охране баз данных (96/9СЕЕ): Директива Европейского Парламента и Совета от 11.03.1996 // Сборник Европейских директив и регламентаций по интеллектуальной собственности (авторское право и смежные права). 1997. С. 79.
3. О государственной дактилоскопической регистрации в Российской Федерации: Федеральный закон от 25 июля 1998 г. № 128-ФЗ (последняя редакция): [принят Государственной Думой 3 июля 1998 г.] // СПС «КонсультантПлюс» [Электронный ресурс]. - Режим доступа: http://www.consul tant.ru/document/cons_doc_LAW _19562/
4. О внесении изменений в отдельные законодательные акты Российской Федерации: Федераль-
вопрос будет являться предметом другого исследования.
Выводы. В последнее десятилетие широкое распространение получило использование персональных данных во всех сферах жизнедеятельности человека для установления конкретного субъекта.
Все персональные данные, включая и биометрические, подлежат особой правовой защите, поскольку их получение третьими лицами может быть использовано в противоправных целях и причинить ущерб субъекту персональных данных.
Регулирование процесса использования биометрических персональных данных необходимо закрепить на законодательном уровне.
Основная характеристика биометрических персональных данных - их уникальность. Они принадлежат конкретному индивидууму, фактически это - его биологические и физиологические характеристики, которые неотделимы от конкретного субъекта и могут претерпевать определенные изменения из-за возраста.
Отдельного внимания заслуживает правовая реализация использования биометрических персональных данных при формировании цифровой личности.
References
1. The Civil Code of the Russian Federation (Part One): Federal Law No. 51-FZ of November 30, 1994 (as amended on December 8, 2020): [adopted by the State Duma on October 21, 1994]. SPS «Consultant-Plus». Available at: http://www.consultant.ru/ docu-ment/cons_doc_LAW_5142/ (in Russ.).
2. On the Legal Protection of Databases (96/9SEM): Directive of the European Parliament and of the Council of 11.03.1996. Collection of European Directives and Regulations on Intellectual Property (Copyright and Related Rights). 1997. Р. 79. (in Russ.).
3. On State Fingerprinting Registration in the Russian Federation: Federal Law No. 128-FZ of July 25, 1998 (latest version): [adopted by the State Duma on July 3, 1998].SPS «ConsultantPlus». Available at: http: //www .consultant.ru/ document/ cons_doc_LAW _19562/ (in Russ.).
4. On the Introduction of Amendments to Certain Legislative Acts of the Russian Federation: Fede-
ный закон от 31 декабря 2017 № 482-ФЗ(последняя редакция): [принят Государственной Думой 20 декабря 2017 г.] // СПС «Консультант-Плюс» [Электронный ресурс]. - Режим доступа: http: //www.consultant.ru/document/cons_doc_LAW _286744/
5. О персональных данных: Федеральный закон от 27 июля 2006№152-ФЗ(последняя редакция): [принят Государственной Думой 8 июля 2006 г.] // СПС «КонсультантПлюс» [Электронный ресурс]. -Режим доступа: http://www.consultant.ru/ document/cons_doc_LAW_61801/
6. Определение Верховного Суда РФ от 05.03.2018 № 307-КГ18-101 по делу № А42-342/2017 // СПС «КонсультантПлюс» [Электронный ресурс]. - Режим доступа: http://www. consultant.ru/
7. Аверченков В.И. Защита персональных данных в организации: Монография / В.И. Аверченков, М.Ю. Рытов, Т.Р. Гайнулин. - 3-е изд. стереотип. - М.: Флинта, 2016. - 124 с.
ral Law No. 482-FZ of December 31, 2017 (latest revision): [adopted by the State Duma on December 20, 2017]. SPS «ConsultantPlus». Available at: http: //www .consultant.ru/ document/cons_doc_LAW _286744/ (in Russ.).
5. On personal data: Federal Law No. 152-FZ of July 27, 2006 (latest version): [adopted by the State Duma on July 8, 2006]. SPS «ConsultantPlus». Available at: http://www.consultant.ru/document/ cons_doc_LAW_61801/ (in Russ.).
6. Ruling of the Supreme Court of the Russian Federation of 05.03.2018 No. 307-KG 18-101 in case No. A 42-342/2017. SPS «ConsultantPlus». Available at: http://www.consultant.ru/ (in Russ.).
7. Averchenkov V.I. Personal Data Protection in an Organization: Monograph / V.I. Averchenkov, M.Yu. Rytov, T.R. Gaynulin. 3rd edition, stereotyped. Moscow: Flinta. 2016. 124 p. (in Russ.).
Статья поступила в редакцию 10.02.2021; одобрена после рецензирования 15.02.2021; принята к публикации 24.02.2021. The article was submitted 10.02.2021; approved after reviewing15.02.2021; accepted for publication 24.02.2021.
