Биометрические персональные данные, нюансы и тонкости обработки

Исключение в законе «О персональных данных», предложенное Минэкономики в дополнение к законопроекту о «регуляторных песочницах», разрешит в виде эксперимента обрабатывать личные данные граждан без их письменного согласия. Это грозит злоупотреблениями и рисками утечек, опасаются эксперты. Исключение нужно, например, для удаленного подключения сотовых абонентов, а к реализующим такие проекты организациям будут предъявлены повышенные требования, заверяют в Минэкономики.

Биометрические персональные данные могут обрабатываться без письменного согласия гражданина в случаях, установленных программой экспериментального правового режима, следует из пакета поправок Минэкономики, подготовленного в дополнение к законопроекту о «регуляторных песочницах» и опубликованного на regulation.gov.ru 17 июня. Соответствующее уточнение предлагается внести в закон «О персональных данных».

Основной законопроект о «регуляторных песочницах» Минэкономики сейчас дорабатывает ко второму чтению в Госдуме. О первом чтении «Ъ” сообщал 13 мая. Дополнительный пакет поправок сейчас проходит межведомственное согласование, уточнили в Минэкономики.

Само по себе согласие на обработку биометрических персональных данных останется обязательным, но в эпоху цифровой экономики неконструктивно требовать его исключительно в письменном виде на бумаге, пояснили «Ъ” в Минэкономики.

В случае принятия проекта можно будет использовать технологии удаленной биометрической идентификации, например, для дистанционного заключения договоров об оказании услуг связи без посещения салона оператора, указывают там (о соответствующем законопроекте Минэкономики, который поддерживают большинство операторов связи, «Ъ” сообщал 23 июня). При этом экспериментальный правовой режим налагает существенные ограничения на масштаб самого эксперимента, а к организациям, реализующим такие проекты, предъявляются повышенные требования, в том числе в части контроля и надзора, добавили в Минэкономики.

Сейчас письменное согласие — основное правовое основание для обработки биометрических данных в России, говорит учредитель Ассоциации российских специалистов по защите данных Алексей Мунтян. Применение иных правовых оснований создает потенциальную опасность злоупотреблений, так как гражданин фактически может утратить контроль за обработкой его данных, предупреждает он.

Сергей Собянин, мэр Москвы, в интервью ТАСС 4 июня

Использование данных социального мониторинга и пропусков возможно только в чрезвычайных ситуациях. В нормальной жизни это может расцениваться и, по сути, является нарушением прав граждан

Учитывая неразрывную связь биометрических данных с личностью и невозможность их замены в случае утечки, подобного рода либерализация видится весьма рискованной для гражданина, согласен заместитель председателя комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Александр Савельев. Учитывая, что биометрическая идентификация уже широко распространена в банковской и IT-сфере, утечка таких данных сопряжена, в частности, с рисками получения злоумышленниками доступа к счетам и аккаунтам граждан, добавляет директор Deloitte Legal в СНГ Екатерина Портман.

К вопросам безопасности обработки данных следует с особой тщательностью подходить при разработке цифровых экспериментов, полагает директор по правовым инициативам Фонда развития интернет-инициатив Александра Орехович. Компенсирующей мерой может стать введение права гражданина на заявление, по которому оператор биометрических данных будет обязан в установленный законом срок прекратить обработку этих данных без возможности ее повторного возобновления, предлагает Алексей Мунтян.

Минэкономики само могло бы выступить гарантом сохранности персональных данных граждан в рамках экспериментального правового режима — это не снимет все риски, но позволит возложить обязанность по обеспечению сохранности на государство, обладающее достаточным ресурсом для этого, считает Екатерина Портман.

В целом же технологические эксперименты с персональными данными допустимы и даже полезны, что показывает опыт Великобритании, где «песочницу» для технологических компаний запустили в прошлом году, рассуждает она.

Реалии цифрового мира и в России меняются так быстро, что социальные и регуляторные нормы не успевают за изменением технологий и законодатель вынужден создавать особые условия, говорит ведущий юрист IT-компании КРОК Антон Серяков. Изменения могут сильно упростить ситуацию, полагает директор компании Б-152 Максим Лагутин, подчеркивая, что важно путем публичных обсуждений четко определить цели и сферы, где возможна обработка биометрических персональных данных без письменного согласия, и проводить независимый внешний аудит.

Юлия Степанова

Где могут быть использованы физические сведения о гражданине

Биофизические информационные материалы могут понадобиться в различных сферах жизни, где требуется распознавание человека. Успешное применение биофизических особенностей граждан уже нашло себя в таких направлениях, как:

  • выдача биометрических загранпаспортов;
  • оформление виз в упрощенном порядке с применением биометрического распознавания;
  • дактилоскопическая регистрация иностранцев и граждан России;
  • идентификация в пропускных системах офисов и компьютерных системах, смартфонах и т. д.

Идентификация по биометрическим данным гораздо надежнее, чем визуальная. Например, сотрудник банка не сумеет отличить друг от друга близнецов, а биометрический анализ их голоса и изображения с большой долей вероятности сможет.

Что относится к биометрическим материалам

Отнесение информации к биофизическим данным требует соблюдения следующих условий:

  • сведения должны отображать информацию о субъекте;
  • применение указанной информации позволяет распознать человека.

К биофизическим индивидуальным свойствам относятся:

  • отпечатки пальцев и ладоней;
  • радужка оболочки глаз;
  • анализы ДНК;
  • образ лица;
  • особенности строения тела;
  • состояние психического здоровья;
  • рост;
  • вес.

Для распознавания гражданина необходима одна или больше поведенческих или физических особенностей. В постановлении № 722 к сведениям, подлежащим размещению в общей информационной системе индивидуальных данных, относятся:

  • фото- или видеоизображение лица гражданина;
  • данные голоса, полученные при помощи звукозаписывающих устройств.

По каким правилам собираются, обрабатываются и хранятся данные

Работа с индивидуальными сведениями граждан предполагает:

  • сбор;
  • хранение;
  • использование;
  • обновление;
  • защиту информации.

Эти процедуры регулирует приказ Минкомсвязи № 321.

Работа с персональными данными, в том числе биометрическими, осуществляется в следующем порядке:

  1. Уведомление оператором по сбору информации Роскомнадзора о том, что биометрические сведения будут собираться. Методические рекомендации по оповещению закреплены в приказе Роскомнадзора от 30.05.2017 № 94. Уведомление не требуется, если (п. 2 ст. 22 закона № 152-ФЗ):
  • сбор проводится в рамках трудового законодательства;
  • информация используется только для заключения сделки, стороной которой является субъект персональных сведений, и никуда не передается;
  • сведения ограничены Ф. И. О.;
  • в иных перечисленных в законе случаях.
  1. Получение письменного согласия субъекта персональной информации на сбор данных о нем. Без согласия информация может собираться в рамках (п. 2 ст. 11 закона № 152-ФЗ):
  • международных договоров о реадмиссии;
  • судопроизводства;
  • исполнения судебных решений;
  • обязательной дактилоскопической регистрации.
  1. Сбор сведений. Информацию должен получать уполномоченный сотрудник при личном присутствии человека. При этом создается биометрический шаблон, который подписывается электронной подписью и размещается в единой информационной системе.
  2. Хранение персональных биометрических шаблонов осуществляется не менее чем 50 лет со дня размещения в системе.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *