CC BY
64DOI 10.47643/1815-1337_2023_10_277 УДК 347.12
ЗАЩИТА БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ: ПРОБЛЕМЫ ПРАВОВОГО РЕГУЛИРОВАНИЯ Protection of biometric personal data: problems of legal regulation
БУРЛАКА Светлана Николаевна,
старший преподаватель кафедры предпринимательского права, Уральский государственный экономический университет. 620144, Россия, Свердловская обл., г. Екатеринбург, ул. 8 Марта, 62/45. E-mail: snburlaka@mail.ru;
БЕЛЬДИНА Оксана Геннадьевна,
старший преподаватель кафедры гражданского права, Уральский государственный экономический университет. 620144, Россия, Свердловская обл., г. Екатеринбург, ул. 8 Марта, 62/45. E-mail: snburlaka@mail.ru;
Burlaka Svetlana Nikolaevna,
Ural State University of Economics Senior Lecturer of the Department of Business Law. 620144, Russia, Sverdlovsk region, Yekaterinburg, ul. 8 Marta, 62/45. E-mail: snburlaka@mail.ru;
Beldina Oksana Gennadievna,
Ural State University of Economics Senior Lecturer of the Department of Civil Law. 620144, Russia, Sverdlovsk region, Yekaterinburg, ul. 8 Marta, 62/45. E-mail: bfog@mail.ru
Краткая аннотация: Данная статья анализирует проблемы правового регулирования защиты биометрических персональных данных. Актуальность темы исследования заключается в огромной роли защиты кибербезопасности на сегодняшний момент в нашей стране. Говорится об основных тенденциях развития цифрового права в сфере защиты персональных данных граждан. При этом анализируются как плюсы, так и минусы новых законодательных реформ.
Abstract: This article analyzes the problems of legal regulation of the protection of biometric personal data. The relevance of the research topic lies in the huge role of cybersecurity protection at the moment in our country. It talks about the main trends in the development of digital law in the field of personal data protection of citizens. At the same time, both the pros and cons of the new legislative reforms are analyzed.
Ключевые слова: единая биометрическая система, биометрические персональные данные, кибербезопасность, субъект персональных данных.
Keywords: unified biometric system, biometric personal data, cybersecurity, personal data subject.
Для цитирования: Бурлака С.Н., Бельдина О.Г. Защита биометрических персональных данных: проблемы правового регулирования //Право и государство: теория и практика. 2023. № 10(226). С. 277-279. http://doi.org/10.47643/1815-1337_2023_10_277.
For citation: Burlaka S.N., Beldina O. G. Protection of biometric personal data: problems of legal regulation // Law and state: theory and practice. 2023. No. 10(226). pp. 277-279. http://doi.org/10.47643/1815-1337_2023_10_277.
Статья поступила в редакцию: 16.08.2023
Проблемы кибербезопасности на сегодняшний момент являются одними из ключевых в нашей стране. Только за прошедший год в семь раз увеличилось количество кибератак на российские цифровые сервисы и ресурсы. В числе пострадавших федеральные органы исполнительной власти и госкорпорации, а также средства массовой информации и геоинформационные системы, содержащие персональные данные. И, как следствие, решения в области защиты кибербезопасности входят сегодня в тройку лидеров.
Любая информация, которую пользователь оставляет в Интернете называется цифровым следом. В связи с возрастанием количества субъектов, которые имеют доступ к данным, увеличивается их доступность. Причем цифровой след - это не только информация, которую о себе оставляет пользователь, но и сгенерированные в отношении него данные в цифровой среде [2]. Например, с помощью цифрового следа отслеживается активность интернет - пользователей, в том числе с целью таргетирования рекламы или сбора различных аналитических данных. Так, каждый сайт собирает информацию о пользователе и его действиях в сети и сохраняет их на его устройстве в виде небольших файлов - куки (cookies). Куки существуют не только для удобства пользователей, но также позволяют сервисам собирать данные о пользователях, чтобы предлагать на их основе материалы и показывать рекламу, причем такие файлы нередко принадлежат не только владельцам ресурса, но и компаниям - партнерам ("сторонние файлы cookie").
Утечка информации с большей вероятностью становится возможной, если человек оставляет свои данные на множестве сервисов, что увеличивает возможность доступа со стороны мошенников. Но, тем не менее полностью скрыть цифровые следы в Интернете практически невозможно [3].
Другой крайне важной и актуальной темой в сфере защиты приватности является обработка биометрических персональных данных. Биометрические персональные данные представляют собой уникальные физические и биологические характеристики человека. Значение этих сведений огромно, так как они является основанием для установления личности субъекта персональных данных. Обработку биометрических персональных данных возможно производить только с письменного согласия субъекта. Существует прямой запрет на принуждение предоставления таких данных за исключением предусмотренных законом случаев. Также запрещен сбор и обработка биометрических данных из тех источ-
ПРАВО И ГОСУДАРСТВО: теория и практика. 2023. № 10(226)
ников, где не предусмотрена возможность получения предварительного согласия гражданина, например, с камер наблюдения. Законом предусмотрены исключения, это: осуществление правосудия и исполнение судебных актов; проведение обязательной государственной дактилоскопической или геномной регистрации и т.д.
Существуют разъяснения Роскомнадзора в отношении того, какие сведения считаются биометрическими персональными данными. Письмо Минцифры России от 28 августа 2020 г. № ЛБ-С-074-24059 также разъясняет условия, при наличии которых персональные данные признаются биометрическими. В соответствии с этим письмом персональные данные признаются биометрическими, если они признаны такими в силу положений нормативно-правовых актов; содержат характеристику физиологических и биологических параметров человека, на основании которых можно установить его личность. К таковым относятся, например, анализы ДНК, рост, вес, изображения (фотография и видеозапись) и т.д.
Не признаются биометрией следующие данные: фотография в личном деле работника; подпись лица, удостоверяющая договор; почерк, анализируемый в рамках почерковедческой экспертизы; результаты видеосъемки в публичных местах и т.д.
Биометрические персональные данные подразделяются на две категории: непосредственно биометрические данные - это, например, отпечатки пальцев, запись голоса и т. д., а также результаты математических вычислений [4]. Вследствие утечки непосредственных биометрических данных могут быть созданы поддельные фотографии, видео или аудиоматериалы. Банки и клиенты банков тоже могут столкнуться с проблемами, например, слепок голоса уже используется мошенниками для совершения незаконных финансовых операций с чужими денежными средствами [1]. С помощью поддельного голоса возможно позвонить в банк или крупному клиенту с целью авторизации банковской операции. Поэтому утечка именно биометрических персональных может иметь очень серьезные последствия. Биометрические данные как математические вычисления в виде формулы использовать сложно. Кража математических моделей несет в себе гораздо меньшие риски с точки зрения мошеннических действий.
На практике может произойти утечка машиночитаемых баз данных, создаваемых для обеспечения обработки биометрических персональных, обеспечив доступ к биометрии кому угодно. С технической точки зрения представляется маловероятным обеспечение абсолютной защиты данных. Цифровые технологии способствуют развитию не только законной деятельности, но и расширению возможностей мошенников и иных недобросовестных лиц. Крайне негативное влияние здесь имеет человеческий фактор. Известны случаи утечек данных, как вследствие незаконных действий работников различных организаций, так и в связи с обычной небрежностью граждан [5]. По статистике в 2022 году было незаконно опубликовано более 2 млрд. записей около 300 млн. персональных данных, шестнадцать процентов из которых содержали пароли.
Государство постоянно предпринимает меры по совершенствованию законодательства в сфере защиты персональных данных. В данный момент в нашей стране разработан законопроект об оборотных штрафах за утечки персональных данных. Законодателем предусмотрено наказание за подобные действия до 3% совокупной выручки компании, что, несомненно, будет способствовать более серьезному подходу компаний к процессу обработки персональных данных. Предполагается, что это повысит уровень защищенности данных. Хотя, существует вероятность того, что новые санкции могут привести не к усилению мер безопасности в компаниях, а к сокрытию информации об утечках баз данных.
Наиболее значимым в сфере защиты данных на сегодняшний момент является Закон № 572-ФЗ, который предусматривает создание Единой биометрической системы (ЕБС). В соответствии с этим законом единая биометрическая система замыкает на себе все процессы, связанные с идентификацией по биометрическим данным. Положения документа также регулирует правоотношения между различными субъектами при взаимодействии с ЕБС. ЕБС — это государственная цифровая платформа, на которой собраны биометрические данные граждан. Единая биометрическая система создана для регистрации и хранения биометрических персональных данных, а также идентификации или аутентификации физических лиц. На самом деле создана система была еще в 2018 году, а в 2021 году стала государственной информационной системой. Оператором ЕБС является АО «Центр биометрических технологий». Учредителями АО выступают «Ростелеком», Минцифры и Центробанк.
До 30 сентября 2023 г. все организации, в том числе банки обязаны передать имеющиеся биометрические данные (изображения и голос) в ЕБС, предупредив физических лиц за 30 дней. Но, крайне важно уточнить тот момент, что граждане самостоятельно определяют будут ли их данные храниться в ЕБС и также граждане имеют возможность потребовать удаления биометрии из ЕБС в любой момент. Кроме того, законодателем установлен запрет операторам на отказ гражданам в обслуживании при отсутствии согласия предоставить биометрические персональные данные и (или) дать согласие на их обработку, если такое предоставление не является обязательным. Использование биометрии в иных системах кроме ЕБС не допускается, что в значительной мере ограничивает возможности бизнеса в использовании биометрических данных для целей идентификации или аутентификации. При этом введен запрет на обработку биометрии иностранными организациями. Таким образом, идентификация, то есть процесс определения личности пользователя с использованием биометрии возможна теперь только через подключения к ЕБС. Аутентификация, то есть процесс проверки подлинности пользователя возможна либо через ЕБС, либо через аккредитованные организации. Законом предусмотрен ряд исключений, например, осуществления идентификации или аутентификации с привлечением уполномоченного сотрудника, использование иных биометрических данных кроме изображения и голоса.
Необходимо уточнить, за использование ЕБС коммерческие организации будут вынуждены платить, хотя фактически речь идет о данных, которые они сами собрали у своих клиентов. Поэтому можно утверждать, что новая цифровая платформа - это по сути платный сервис.
На сегодняшний момент закон предусматривает передачу в ЕБС только изображения и записи голоса. Но вполне возможно, что с 1 сентября 2024 года законодатель расширит этот перечень биометрических данных.
Постановление Правительства РФ от 25 мая 2023 года № 815 определяет перечень случаев, когда запрещена аутентификация с использованием биометрии. К таковым относятся: доступ к государственным информационным системам; проведение вступительных испытаний в
образовательных организациях; телемедицина; продажа лекарственных препаратов; государственные и муниципальные услуги и т.д.
Новые законодательные инициативы конечно же имеют множество положительных аспектов. Так, с помощью ЕБС создается инфраструктура различных сервисов для населения. В первую очередь, это удобство для самих пользователей. Человек через различные гаджеты может подтвердить свою личность, что позволит совершать различные сделки, не выходя из дома. А также оплата проезда в общественном транспорте, и даже совершение покупок, оплата услуг, для кого это является огромным плюсом. Если говорить про значение новвоведений для различных организаций и публичных органов, то здесь также необходимо отметить такие явные плюсы, как скорость сверки и удостоверения личности человека при осуществлении различных юридически значимых действий. В области охраны правопорядка новые правила помогут быстро и эффективно выявить преступников и иных правонарушителей.
Далее следует отметить, что новые положения закона могут повлечь за собой и негативные моменты. Так, получается, что кроме публичных органов доступ к ЕБС получил широкий круг лиц, это например, нотариусы, предприниматели, оказывающие услуги дистанционно, то есть доступ к биометрии может получить практически любой сильно заинтересованный человек. Мошеннические схемы с доступом к биометрии могут выйти на новый уровень. Профессиональные мошенники без особого труда смогут, использовав запись голоса, оформить кредит, списать деньги с карты и т.д. Поэтому огромным минусом создания новой системы является безопасность биометрических персональных данных человека и корректность их использования. Хотя ряд специалистов уверяет, что биометрические данные в ГИС ЕБС защищены по самым высоким государственным стандартам информационной безопасности. Но, тем не менее, степень эффективности и безопасности единой биометрической системы покажет будущее.
На наш взгляд в сфере правового регулирования защиты биометрических данных существуют пробелы - это использование так называемой серой зоны биометрии, то есть дактилоскопии, рисунков вен, размеров рук и т.д. негосударственными субъектами. Нужна конкретизация их правового статуса: то есть возможность их обработки частными организациям.
Таким образом, целью создания новой государственной цифровой платформы является повышение доступности различных услуг и сервисов, в том числе для маломобильных граждан и граждан, проживающих в отдаленных регионах. Решение законодателя объединить все данные в единой системе направлено также на защиту биометрических персональных данных пользователей, что крайне важно в современных реалиях. Но, как и любое новшество существование новой системы влечет за собой как плюсы, так и возможные минусы.
Библиография:
1. Берлин С.И., Батори Г.А., Копылова Д.В. Биометрия в банковской сфере. Исследования вопроса безопасности хранения биометрических данных // Вестник Академии знаний. 2019. № 32(3). С. 330-336.
2. Варламова Н.В. Цифровые - новое поколение прав человека? // Труды Института государства и права РАН. 2019. Т. 14. № 4. С. 9-46.
3. Грудцына Л.Ю. Цифровое будущее права: к вопросу об аддитивных технологиях // Журнал российского права. 2021. № 7. С. 5-14.
4. Платонова Н.И. Современные правовые подходы к пониманию биометрических данных // Информационное право. 2018. № 1. С. 22-27.
5. Протасов П.А. Биометрия в банковской системе РФ // Вестник Томского государственного университета. 2020. № 49. С. 141-148.
References:
1. Berlin S.I., Bathory G.A., Kopylova D.V. Biometrics in the banking sector. Research on the security of biometric data storage // Bulletin of the Academy of Knowledge. 2019. No. 32 (3). pp. 330-336.
2. Varlamova N.V. Digital - a new generation of human rights? // Proceedings of the Institute of State and Law of the Russian Academy of Sciences. 2019. Vol. 14. No.
4. pp. 9-46.
3. Grudtsyna L.Yu. Digital future of Law: on the issue of additive technologies // Journal of Russian Law. 2021. No. 7. pp. 5-14.
4. Platonova N.I. Modern legal approaches to understanding biometric data // Information Law. 2018. No. 1. pp. 22-27.
5. Protasov P.A. Biometrics in the banking system of the Russian Federation // Bulletin of Tomsk State University. 2020. No. 49. pp. 141-148.
