XV Международная студенческая научная конференция Студенческий научный форум - 2023

В современном мире проблема регулирования, использования и распространения персональных данных стоит особенно остро, государство проводит последовательную политику по их защите, однако часто появляется информации об очередной утечке данных из сервисов доставки продуктов, товаров. Многие уже привыкли к таким новостям, однако утечка данных из медицинском лаборатории «Гемотест» вновь возбудило общественность, ведь в сети появились не только данные об адресах или заказах клиентов.

Медицинская лаборатория «Гемотест» занималась сбором анализов, отметим, что информирование клиентов о результатах осуществлялась путем использования личного кабинета. Данные клиентов утекли в сеть и еще не до конца понятен весь масштаб ущерба, поскольку не понятно, как именно будут использованы указанные сведения. Конечно, компании безостановочно работают над усовершенствованием систем безопасности, однако «взломщики» также улучшают свои навыки.

Одновременно с этим в конце 2022 года Государственная дума РФ принимает закон о биометрической системе, который предусматривает создание единой базы биометрических данных нашего государства. Указанный законопроект получил неоднозначную оценку, дискуссии касались вопросов необходимость получения согласия граждан для включения данных в указанную базу, этического компонента, внедрения биометрической базы через порт «ГосУслуги» и другие. Однако основные опасения была связаны с защитой указанных данных от мошеннических и хакерских атак.

Именно теме безопасности биометрических систем мы посвятим указанную работу, постараемся обозначить основные риски использования биометрических данных, определить проблемы, существующие в указанной отрасли и предложить пути их решения.

Кроме того, биометрические технологии встречаются нам и в повседневной жизни, например, мы может разблокировать телефон, воспользоваться государственными сервисами, услугами интернет-банкинга путем использования отпечатка пальцев, черт лица, голосом. Указанное явно говорит о широком использовании биометрических данных и острой необходимости их контроля со стороны государства.

В рамках указанной темы предлагаем разобрать правовые аспекты использования биометрических систем, уделив существенное внимание новому федеральному закону.

Нормально-правовая база биометрических данных до принятия нового федерального закона была скудна и регулировалась только отдельными положениями из федерального законодательства.

Первоначально определение понятия «биометрические персональные данные» дано в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных», согласно ст. 11 указанного закона биометрическими персональными данными являются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных.¹

В рамках указанной статьи законодатель отмечается, что обработка биометрических персональных данных возможна только при наличии согласия лица, чьи биометрические данные могут быть распространены, причём такое согласие должно быть выражено исключительно в письменной форме.

Однако российское законодательство содержит ряд исключений, которые предусматривают использование биометрических данных без согласия лица. Указанные исключения содержатся в указанном выше федеральном законе, а именно в ст. 6, среди них можно выделить следующие: обработка персональных данных, связанная с выполнение возложенных на государство функции (исполнение международных договор, судопроизводство и др.), необходима для защиты жизни и здоровья граждан, выполнения законной деятельно журналистов или СМИ и ряд других.

Необходимо указать, что несмотря на законодательное регулирование обработки персональных данных, требования к хранению указанных материалов содержатся в подзаконном акте и регулируются Постановлением Правительства.

Несмотря на указанные положения законодательство о персональных данных нуждалось в доработке, что вылилось в обсуждение, а затем принятие Федерального закона от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации».

Указанный закон еще на стадии обсуждения подвергался критике, например, 12 декабря 2023 года глава РПЦ Святейший Патриарх Кирилл направил председателю ГД РФ письмо в котором указал, насколько велики риски при использовании биометрических данных, отметив, что их сбор возможен только с обязательного согласия физических лиц.

Председатель Государственной Думы также отметил, что забор биометрических данных возможен только с предварительно согласия лица, указав также, что обращения граждан не остаются без внимания и конечный вариант законопроекта был существенно доработан, в частности, были исключены неопределённости толкования, выработан целый комплекс механизмов для защиты персональных данных граждан.

В ст. 1 Федерального закона от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации» содержатся положения, которые указывают на каких конкретно сферы не распространяется действие настоящего федерального закона, в частности указанные закон не распространяется на оперативно-розыскную деятельность, функционирование миграционного и регистрационного учета, обеспечение санитарно-эпидемиологического благополучия и ряд других.

Фактически указанный федеральный закон регулируют отношения, связанные с осуществлением обработки биометрических данных государственными органами, банковских сектором и другими видами бизнеса.

Во второй статье законодатель дал определение ряду понятий, которые действительно необходимы не только для действия указанного федерального закона, но и для ряда других правовых коллизий, существовавших в судебной практике, в частности дано определение таким понятиям как: «единая биометрическая система», «аутентификация», «единая система идентификации и аутентификации» и ряд других. Указанные термины будут способствовать правильному применению принято федерального закона.

Принципиальное положение Федерального закона от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации» содержится в ст. 3. Законодатель указывает, что сбор биометрических данных возможен только с согласия гражданина, причем отказ от такой процедуры не может являться поводом для отказа в предоставлении государственных, банковских и других услуг.

Кроме того, законодатель предусмотрел возможность отказа от согласия на обработку и хранение биометрических данных, путем запроса на блокировку и удаление уже собранных данных.

В ст. 3 указанного закона конкретно определен перечень того, что именно будет размещено в единой биометрической системе: изображение лица и запись голоса человека, следовательно аутентификация в государственных и банковских системах возможна только с использование указанных данных. Также указанная статься содержит положения запрещающий сбор геномной информации, а также сведений составляющий государственную тайну.

Единая биометрическая система является абсолютно новым термином для российского законодательства, однако фактически ее аналоги уже существовали, например при подписании договора на банковское обслуживание нас просят сфотографироваться, при консультации для получения некоторых государственных и муниципальных услуг по телефону оператор указывает нам на то, что разговор будет записан и так далее.

С вступлением в силу нового федерального закона указанные выше биометрические данные будут переданы в единую систему, указанная передача должна быть осуществлена до 30 сентябре 2023 года, что говорится в ст. 26 настоящего федерального закона, причем ст. 15 указывает на то, что граждане должны быть проинформированы о начале процедуры передачи данных не менее чем за 30 дней, но официально формы информирования о такой передаче законом не предусмотрено, что может вызвать ряд проблем, например такое уведомление может прийти на почту, которую гражданин давно не использует, соответственно возникает вопрос будет ли такое уведомление считаться надлежащим.

Согласия на передачу таких данных в единую систему закон не предусматривает, однако у граждан существует возможность направить возражение, но официальной формы, сроков рассмотрения, условий принятие такого возражения закон не содержит, что также может привести к ряду судебных споров.

Статья 26 указанного закона обязует органы, организации, ИП и нотариусов уничтожить все копии биометрических данных в месячный срок, что, по-видимому, позволит пресечь незаконное распространение биометрических данных и обеспечить их сохранность от утечек.

Интересным для изучения является также введенный новым законом вектор единой биометрической системы, которые фактически представляет собой некий числовой код, который содержит персональные данные физического лица в зашифрованном виде.

Фактически закон говорит о том, что исходные биометрические данные физических лиц могут храниться в ЕБС только с их согласия, однако вектор такого ограничения не имеет, также ст. 11 указанного федерального закона фактически разрешает хранение вектора без согласия лица.

Кроме того, ст. 19 Федерального закона от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации» указывает на обязанность оператора ЕБС всеми законными способами защищать персональные данные от взлома, однако о векторах также не упоминается.

Однако возникает закономерные вопрос можно ли из векторов восстановить первичные персональные данные или же это возможно только при использовании специальных программ, что крайне важно в случаи их кражи и незаконного распространения.

Согласно закону, доступ к единой биометрической системе могут получить юридические лица, ИП и нотариусы, однако для такого доступа необходимо получение аккредитации. Законодатель предусмотрел широкий перечень обязательных требований для ее получения, среди которых: наличие лицензий на разработку, производство и распространение криптографических средств; наличие в собственности аппаратных шифровальных средств; наличие в штате организации не менее двух работников, осуществляющих деятельность по аутентификации на основе биометрических персональных данных, имеющих высшее образование в области IT или информационной безопасности, также предусмотрены проверки со стороны федеральных органов исполнительной власти, Центрального Банка РФ и других.

Рассмотрев законодательство РФ в области регулирования биометрических баз данных мы можем сделать следующие выводы: во-первых, до принятия нового федерального закона в указанной сфере правового регулирования существовали пробелы, фактически биометрические данные могла собирать любая организация, причем такие базы часто подвергались хакерским атакам и взломам. Принятие федерального закона позволило ликвидировать децентрализованный сбор и хранение биометрических данных.

Во-вторых, принятый закон содержит ряд коллизий, например использование, хранение и распространение векторов биометрической системы требует доработки.

Кроме того, указанные закон не дает понимание существует ли какая-то специальная ответственность для оператора ЕБС в случае незаконного распространения или утечки биометрических данных.

В заключение, следует сказать о том, что проблема сохранности, распространения и использования биометрических и других персональных данных стоит особенно остро в современном мире. Только системная работа законодателей, программистов и других экспертов позволит обеспечить надлежащее хранение и обработку данных о населении Российской Федерации.

Список используемой литературы:

Федеральный закон от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации» //  Текст Федерального закона опубликован на «Официальном интернет-портале правовой информации» (www.pravo.gov.ru) 29 декабря 2022 г.;

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»// Текст Федерального закона опубликован в "Российской газете" от 29 июля 2006 г. № 165;

Распоряжение Правительства РФ от 30.06.2018 № 1322-р «Об утверждении формы согласия на обработку персональных данных, необходимых для регистрации гражданина Российской Федерации в единой системе идентификации и аутентификации, и биометрических персональных данных гражданина Российской Федерации в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации» // СПС КонсультантПлюс;

Кастельс М. Информационная эпоха: экономика, общество и культура / Пер. с англ. под науч. ред. О. И. Шкаратана. — М.: ГУ ВШЭ, 2000. — 608 с.

Капустин Д.В. Правовое обеспечение и риски использования биометрических систем // Вестник науки. 2022. №1 (46). URL: https://cyberleninka.ru/article/n/pravovoe-obespechenie-i-riski-ispolzovaniya-biometricheskih-sistem (дата обращения: 18.01.2023).

Код для цитирования: Скопировать