УДК 342.951:351.82
ПРОБЛЕМЫ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ В УСЛОВИЯХ ЦИФРОВОЙ ЭКОНОМИКИ
Кирильчик Е. В.
Восточно-Сибирский филиал Российского государственного университета правосудия, г. Иркутск, Россия
Белованс Е. В.
Частное общеобразовательное учреждение «Образовательный комплекс "Точка будущего"», г. Иркутск, Россия
Аннотация. Описывается проблема, связанная с использованием биометрических персональных данных в условиях складывающихся отношений цифровой экономики. Указывается на причины использования биометрии для нужд субъектов правоотношений в новых условиях. Сделан вывод о необходимости совершенствования терминологического аппарата закона, а также унификации правоприменительной практики.
Ключевые слова: биометрические персональные данные, судебная практика, цифровая экономика.
PROBLEMS OF ENSURING THE PROTECTION OF BIOMETRIC PERSONAL DATA IN THE DIGITAL ECONOMY
Kirilchik E. V.
East Siberian Branch of the Russian State University of Justice, Irkutsk, Russian Federation
Belovans E. V.
Private educational institution "Educational complex "Point of the Future", Irkutsk, Russian Federation
Abstract. The article describes the problem associated with the use of biometric personal data in the conditions of the emerging relations of the digital economy. The authors point out the reasons for the use of biometrics for the needs of legal entities in new conditions and come to conclusions about the need to improve the terminological apparatus of the law, as well as the unification of law enforcement practice. Keywords: biometric personal data, judicial practice, digital economy.
К сожалению, в материалах дела не описывается, каким именно образом ответчиком был получена электронная подпись С., которой он воспользовался, чтобы подписать названный договор и стать новым собственником. Зато указано, что сделка по отчуждению спорной квартиры произведена в электронном виде с использованием усиленной квалифицированной электронной подписи истца. Примечательным
представляется тот факт, что при выдаче квалифицированного сертификата
идентификация заявителя проводится при его личном присутствии, что прямо указано в п. 1 ч. 1 ст. 18 Федерального закона от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи»2. Следует также отметить, что «аналогом» личного
https: / / mos-gorsud.ru/rs/babushkinskij/services/cases/civil / details/7ae9082f-aeec-49b9-9822-2bd1eae932e0?participants =%D1%81%D0/oB0%D0/oBB%D1%82%D0%BE%D0%B2%D1 %810/oD0%BA%D0%B8%D0%B9& (дата обращения: 28.05.2022).
2 Об электронной подписи : федер. закон от 6 апр. 2011 г. № 63-ФЗ (ред. от 02.07.2021) // КонсультантПлюс : справочная правовая система.
Цифровая экономика и «светлое» цифровое будущее являют нам новые примеры своего несовершенства и показывают новые возможности не только использовать пробелы в законодательстве, но и «обмануть» информационные системы. Кажется, что это будущее уже наступило, когда похищение квартиры через Интернет не является случаем, далеким от действительности. Так, С. (истец) узнал о том, что больше не является собственником принадлежащей ему квартиры, из квитанции об оплате жилищно-коммунальных услуг. Из материалов дела Бабушкинского районного суда г. Москвы № 2-3237/19 известно, что М. (ответчик) стал новым собственником его квартиры на основании договора дарения от 28 сентября 2018 г., заключенного посредством
электронной подписи истца. Однако С. никаких сделок по отчуждению квартиры не совершал, договор дарения не подписывал, электронную подпись не получал1.
1 Информация по делу № 02-3237/2019 // Официальный портал судов общей юрисдикции города Москвы URL:
Рис. Структура российского и мирового рынков биометрических технологий
присутствия здесь является предоставление паспортных данных (иного документа, удостоверяющего личность гражданина Российской Федерации за пределами территории Российской Федерации) и биометрических персональных данных (далее также — биометрия) или путем предоставления сведений из единой системы идентификации и аутентификации (далее — ЕСИА) и единой биометрической системы (ЕБС).
Учитывая, как часто и в каком объеме в современном мире происходит «утечка» персональных данных граждан с сайтов органов государственной власти, с ЕСИА «Госуслуги», следует отметить, что перечень документов, необходимых для получения электронной подписи для физического лица, не является надежным и включает данные таких трех документов, как: паспорт, СНИЛС, ИНН. Указанные данные, полностью или в части, в настоящее время предоставляются гражданами значительному количеству операторов (в значении Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»1 (далее — Закон о персональных данных)), которые не всегда наилучшим образом осуществляют защиту таких данных. Сказанное приводит к выводу о том, что для ответчика в приведенном примере не составило труда получить электронную подпись.
По прогнозам J'son & Partners Consulting 2018 г., в структуре российского рынка использование биометрических технологий (отпечаток пальца, изображение лица, рисунок вен ладони, картина кровеносных сосудов сетчатки глаза, голос) должно было составить немалый процент (рис.) [5].
По данным Ростелекома, выполняющего функцию оператора ЕБС, по состоянию на конец 2020 г.:
— биометрические данные в ЕБС можно было сдать в 13,3 тыс. отделений 231 банка, охватывающих 95 % населенных пунктов России;
— в базе ЕБС находилось около 160 тыс. образцов лица и голоса граждан;
— дистанционные услуги по биометрии предоставляли 11 банков.
По данным Центрального банка России, на начало 2022 г.:
— в системе ЕБС зарегистрировано более 236 тыс. пользователей;
— биометрические данные в ЕБС можно сдать в 13 тыс. отделений 217 банков.
Учитывая вышеприведенные
статистические данные, можно утверждать, что масштаб проблемы пока виден лишь издали, но о защите биометрических персональных данных граждан следует всерьез задуматься уже сегодня. Возможно, по этой причине крупнейшие банки, которые анонсировались партнерами проекта по сбору биометрических данных в ЕБС, оказались отстранены от участия в нем2. Для более четкого понимания авторы видят необходимым уточнить, что биометрические персональные данные стали использоваться в целях ускорения систем обработки данных и повышения качества и надежности систем контроля управления доступом. Биометрия активно используется различными мобильными приложениями для идентификации, а также аутентификации и
1 О персональных данных : федер. закон от 27 июля 2006 г. № 152-ФЗ (ред. от 02.07.2021) // КонсультантПлюс : справочная правовая система.
2 Власти допустили отказ от привлечения банков в госсистему сдачи биометрии / / РБК: новости. 2022. 13 янв. URL:
https://www.rbc.ru/technology_and_media/13/01/2022/61de
e5749a79473ae992a9fe?ysclid=l4dltpksdu59478805
(дата обращения: 05.06.2022).
верификации пользователей. Одними из первых собирать и обрабатывать биометрию для указанных целей начали банки, а теперь использование биометрических персональных данных происходит массово и повсеместно, пример тому — обычные смартфоны.
Тема использования биометрических персональных данных достаточно
дискуссионная, но главным вопросом, по мнению многих ученых-правоведов, является легальное определение термина
«биометрические персональные данные», которое закреплено в п. 1 ст. 11 Закона о персональных данных и звучит следующим образом: «Сведения, которые характеризуют физиологические и биологические
особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта
персональных данных». Обоснованной представляется позиция, согласно которой законодатель при формулировании данной нормы-дефиниции допустил ошибку и использовал рядом как однопорядковые родовое (биологические особенности) и видовое (физиологические особенности) понятия. Российский законодатель не отнес поведенческие особенности человека к биометрическим данным. Формально включение видового понятия «поведенческие особенности» в приведенное определение биометрических персональных данных не требуется, поскольку оно уже заложено в родовое понятие «биологические
особенности». Однако в ряде стран имеет место отдельное выделение указанного видового понятия в легальном определении биометрических персональных данных (Хорватия, Испания, Аргентина, некоторые страны Европейского союза). Открытым остается и вопрос отнесения к биометрическим данным таких сведений, как сведения о татуировках, пирсинге, шрамах и т. д. В научной литературе можно встретить и иную классификацию, содержащую три вида биометрических данных: физиологические, поведенческие и промежуточные. К последним относят распознание голоса и речи
[4].
Другими наиболее обсуждаемыми вопросами являются замена цифровой
идентификации граждан на биометрическую и создание цифровой модели человека.
Необходимо отметить, что опыт создания таких баз данных уже имеется. Например, в Соединенных Штатах Америки (далее — США) существует база биометрических
персональных данных, созданная
Федеральным бюро расследований (ФБР) и содержащая записи более чем о 100 млн людей. Также планируется совершенствование такой базы путем дополнения большим объемом биометрических данных (сетчатка глаза, фотографии лиц, отпечатки ладоней, голосовые записи и т. п.). Основная цель сбора и обработки таких данных — оценка угроз, которые представляет каждый отдельный человек (или несколько лиц в совокупности), и превенция преступлений путем использования профайлинга. Дискуссия о том, насколько гуманным и соответствующим
международному праву, законодательству США является данный способ снижения криминогенного потенциала общества, останется за плоскостью исследования [2].
В тех же США, где цифровой идентификатор в виде номера социального страхования используется уже много десятилетий, выделяют даже особый вид преступлений — identity theft («кража личности», или, точнее, идентичности). Средство идентификации в виде простого указания заранее заданной комбинации цифр дискредитировало себя еще в
докомпьютерную эпоху. Номер социального страхования (как и любой другой) может служить надежным идентификатором лишь при условии, что имеются средства идентификации, позволяющие достоверно установить его подлинность для контрагента в сделке, правообладателя и т. п. [3, с. 95—96].
Помимо названных есть и другие причины перехода на биометрическую идентификацию в ближайшем будущем.
Однако следует подчеркнуть, что по изучаемому вопросу сложилась неоднозначная судебная практика: суды не всегда сходятся во мнениях, что именно считать нарушением Закона о персональных данных в отношении биометрических персональных данных.
Так, государственное областное унитарное предприятие «Учебно-спортивный центр» Комитета по физической культуре и спорту Мурманской области (далее — Предприятие, Заявитель) неоднократно обращалось в
Арбитражный суд с административным исковым заявлением к Управлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Мурманской области (далее — Управление, Ответчик) об оспаривании предписаний1.
Основанием для названных предписаний было в том числе указание в локальном нормативном акте Заявителя и в договоре оказания услуг необходимости предоставления фотографии на пропуск для посещения бассейна.
Суд первой инстанции не усмотрел в представленных доказательствах
подтверждений нарушения п. 1 ст. 11 Закона о персональных данных и пришел к выводу об отсутствии у Управления оснований для выдачи предписания по устранению такого нарушения.
Обоснованность вывода суда
подтверждается тем, что ссылка Управления по Мурманской области на наличие необходимости предоставления фотографии на пропуск в локальном нормативном акте и договоре не свидетельствует о фактическом предоставлении таких фотографий и их обработке для установления личности субъекта биометрических персональных данных, кроме того, на представленных копиях пропусков в качестве доказательства отсутствуют фотографии клиентов.
Суды апелляционной и кассационной инстанций не согласились с мнением нижестоящего суда и пришли к иным выводам. По мнению вышестоящих судов, Заявитель и суд первой инстанции не учли, что Заявитель не отрицал исполнение правил посещения бассейна в части оформления и применения пропусков с фотографиями, настаивая в суде на необязательности получения письменного согласия посетителя по двум причинам: фотографии остаются у посетителей и используются на бумажном носителе.
В опровержение названных Заявителем доводов суды высших инстанций указывали, что под обработкой персональных данных
1 Экономические споры по административным правонарушениям. Определения Верховного Суда РФ № 307-КГ18-101, Ф07-11732/2017, 13АП-12966/2017, А42-342/2017 // Официальный сайт информационной системы «Мой арбитр». URL:
https://kad.arbitr.ru/Card/f2ba9d7a-13ce-493c-ba04-a14c927a4c7c (дата обращения: 12.06.2022).
понимается любое действие (операция) или совокупность действий (операций),
совершаемых и без использования средств автоматизации, включая сбор, использование, передачу (распространение, предоставление, доступ) персональных данных. В данном случае пропуск с фотографией, характеризующей физиологические и биологические особенности человека (относящейся к биометрическим
персональным данным), позволяет установить, принадлежит ли данному лицу предъявляемый пропуск, на основе чего можно установить его личность путем сравнения фото с лицом предъявителя пропуска и на основе указываемых владельцем пропуска фамилии, имени и отчества. То есть эти данные используются оператором для установления личности субъекта персональных данных в случае сомнения в том, что пропуск предъявляется его действительным владельцем, а потому он используется оператором для установления личности субъекта
персональных данных и данная обработка должна осуществляться в строгом соответствии со ст. 11 Закона о персональных данных.
В рамках другого спора по изучаемой теме М. осуществляла видеосъемку на камеру мобильного телефона с участием С. без уведомления последней об осуществлении видеозаписи. С. обратилась в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Астраханской области (далее — Управление по Астраханской области) с заявлением о привлечении М. к административной ответственности по ч. 6 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях (далее — КоАП РФ), полагая, что нарушены требования ч. 1 ст. 11 Закона о персональных данных в связи с отсутствием ее согласия на обработку биометрических данных. Здесь суды трех инстанций согласились с Управлением по Астраханской области и пришли к единому выводу и о том, что изображение гражданина на видеозаписи не является биометрическими персональными данными, сам по себе видеоматериал не может расцениваться как распространение персональных данных неопределенному кругу лиц, поскольку не содержит сведений, позволяющих
идентифицировать гражданина как
конкретного субъекта персональных данных1.
Иным примером использования
биометрических персональных данных без надлежащего согласия может быть использование установленной проходной системы с камерами, распознающими лица посещающих определенное место. Так, муниципальное автономное
общеобразовательное учреждение «Средняя общеобразовательная школа "Мастерград"» г. Перми (далее — Учреждение), использующее подобную систему, было признано виновным в совершении административного
правонарушения, предусмотренного ч. 5 ст. 13.11 КоАП РФ. Однако суд кассационной инстанции направил дело на новое рассмотрение ввиду того, что суды низших инстанций надлежащим образом не установили обстоятельства, имеющие значение для правильного разрешения дела по существу, составляющие объективную сторону состава указанного административного правонарушения. В ходе рассмотрения дела не были установлены обстоятельства получения согласия родителей (законных представителей) учащихся на обработку биометрических персональных данных их
несовершеннолетних детей. Как известно из представленных материалов дела, защитник Учреждения указывал на то, что получено согласие всех родителей (законных представителей) на обработку биометрических персональных данных их
несовершеннолетних детей, учащихся в данном общеобразовательном учреждении, но мировым судьей и судьей районного суда в нарушение процессуальных требований правовая оценка не дана2.
Понимание ст. 11 Закона о персональных данных, которое исходит только из того, что отсутствие ссылки на ч. 1 ст. 9 указанного закона влечет невозможность применения данной нормы к институту представительства, по нашему мнению, является ошибочным. Закон, как и любой нормативный правовой акт, обладает определенной логикой изложения, и его нормы, расположенные
неслучайно в заданной последовательности, надлежит толковать в системной взаимосвязи, если иное не предусмотрено этим самым законом. В связи с этим законодатель предусмотрел ситуацию, когда субъект персональных данных недееспособен и может выразить согласие на обработку биометрических персональных данных в письменной форме посредством своего представителя (с соответствующим
полномочием, предоставленным ему дееспособным субъектом персональных данных), а также ситуацию, когда субъект персональных данных является
несовершеннолетним или признан в установленном порядке недееспособным, вследствие чего согласие на обработку его биометрических персональных данных в письменной форме выражается от имени субъекта персональных данных его законным представителем. В ином же случае складывается ситуация, при которой указанные категории физических лиц оказываются лишены права быть представленными в соответствующих отношениях своими законными представителями [6, с. 155—156].
Другой проблемой обеспечения защиты биометрических персональных данных является защита биометрии, которую пользователи социальных сетей намеренно загружают в такие сети, что неизбежно порождает ее неконтролируемое
использование. Верховный Суд РФ по этому поводу выразил свою позицию еще в 2018 г., указав, что сбор и обработка персональных данных, содержащихся в социальных сетях «ВКонтакте», «Одноклассники», «МойМир», «Инстаграм»3, «Твиттер» и на других интернет-порталах, являются недопустимыми ввиду нарушения п. 1 ч. 1 ст. 6 Закона о персональных данных, а содержащиеся на таких ресурсах персональные данные (в том числе биометрия) не являются
общедоступными4.
С аналогичным вопросом столкнулся и Верховный суд США, который так же, как и в приведенном ранее примере, согласился с доводами нижестоящих инстанций. Спор
1 Постановление Четвертого кассационного суда общей юрисдикции от 16 окт. 2020 г. № 16-894/2020 // КонсультантПлюс : справочная правовая система.
2 Постановление Седьмого кассационного суда общей юрисдикции от 24 июля 2020 г. № 16-2185/2020 // КонсультантПлюс : справочная правовая система.
3 Деятельность организации «Мета», которой принадлежат сети «Инстаграм» и «Фейсбук», признана экстремистской и запрещена на территории Российской Федерации.
4 Определение Верховного Суда РФ от 29 янв. 2018 г. № 305-КГ17-21291 по делу № А40-5250/2017 // КонсультантПлюс : справочная правовая система.
разрешился не так давно — в начале 2020 г., а суть его состояла в следующем: по заявлению истцов социальная сеть «Фейсбук» без предварительного уведомления либо согласия ее пользователей осуществляла сбор и хранение биометрических данных путем использования технологии автоматического распознавания лиц посредством сканирования загруженных пользователями фотографий. Ответчик апеллировал доводами о том, что сбор и хранение биометрической информации без уведомления или согласия пользователей не повлекли за собой причинения вреда в реальном мире (real-world harms), например, в виде отказа в трудоустройстве или даже простого беспокойства. Однако такие доводы, как верно замечает профессор Д. Е. Богданов, в наше время являются всего лишь «циничной аргументацией», но право на защиту в данном случае возникло именно потому, что истцам не была предоставлена возможность выразить свой отказ на сбор, обработку и хранение их биометрических данных [1, с. 681—682].
Подводя итог проведенному
исследованию, авторы работы пришли к следующим выводам. Во-первых, статья Закона о персональных данных, определяющая понятие биометрии, нуждается в существенной доработке с учетом названных замечаний, во-вторых, для формирования четкого механизма защиты помимо конкретной терминологии требуются некоторые разъяснения Пленума Верховного Суда РФ или Роскомнадзора в целях унификации правоприменительной
практики: возможен ли институт представительства в отношении
несовершеннолетних, должны ли
пользователи социальных сетей давать в письменной форме согласие на обработку биометрических персональных данных. Ответы на эти и многие другие вопросы в ближайшем будущем потребуются для всех
лиц, участвующих в стремительно развивающихся отношениях цифровой экономики.
Список литературы
1. Богданов Д. Е. Технодетерминизм в частном праве: влияние биопринтинга на развитие концепции защиты права на цифровой образ // Вестник Пермского университета. Юридические науки. 2020. № 4. С. 678-704.
2. Ларионова В. А. Информационный брокер как новый субъект информационного права в эпоху BIG DATA // Право в сфере Интернета : сб. ст. / отв. ред. М. А. Рожкова. М. : Статут, 2018. 528 с. Доступ из СПС «КонсультантПлюс».
3. Лисаченко А. В. Идентификация субъектов гражданских правоотношений: новые проблемы и некоторые решения // Российский юридический журнал. 2019. № 5. С. 91-99.
4. Платонова Н. И. Современные правовые подходы к пониманию биометрических данных // Информационное право. 2018. № 1. С. 22-26. Доступ из СПС «КонсультантПлюс».
5. Покатаева Е. ЕБС для всех, или Все для ЕБС // Банковское обозрение. 2021. № 2. С. 75-79. Доступ из СПС «КонсультантПлюс».
6. Терещенко Л. К. Государственный контроль в сфере защиты персональных данных // Право. Журнал Высшей школы экономики. 2018. № 4. С. 142-161.
Кирильчик Елена Валерьевна - преподаватель кафедры общетеоретических и государственно-правовых дисциплин, Восточно-Сибирский филиал Российского государственного университета правосудия, г. Иркутск, Россия, e-mail: kirilchik_ev@mail.ru
Kirilchik Elena Valeryevna - Lecturer of the Department of General Theoretical and State-Legal Disciplines, East Siberian Branch of the Russian State University of Justice, Irkutsk, Russian Federation, e-mail: kirilchik_ev@mail.ru
Белованс Елизавета Владимировна - помощник юриста, Частное общеобразовательное учреждение «Образовательный комплекс "Точка будущего"», г. Иркутск, Россия, e-mail: belovans.liza@mail.ru
Belovans Elizaveta Vladimirovna - Legal Assistant, Private educational institution "Educational complex "Point of the Future", Irkutsk, Russian Federation, e-mail: belovans.liza@mail.ru