Комментарии.org Комментарии Российского законодательства
Научно-практический постатейный комментарий к Федеральному закону "О персональных данных"
Материал представляет собой постатейный научно-практический комментарий к Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных". В нем рассматриваются правоотношения, складывающиеся в процессе получения, хранения и обработки персональных данных на территории Российской Федерации.
Статья 11. Биометрические персональные данные

Комментарий к статье 11

1. Комментируемая статья регламентирует два основных вопроса: 1) понятие биометрических данных как особой разновидности персональных данных и 2) специальные основания для их обработки.
Дефиниция биометрических данных содержится в ч. 1 комментируемой статьи, в соответствии с которой биометрические данные представляют собой персональные данные, характеризующиеся наличием следующих признаков:
1) особое содержание таких данных: они характеризуют биологические или физиологические признаки лица, которые по общему правилу являются неизменными на протяжении всей жизни человека;
2) особая цель обработки таких данных оператором - установление личности субъекта.
В связи с указанными признаками следует указать ряд моментов.
Во-первых, указанные признаки должны присутствовать в совокупности, поскольку, к примеру, данные о состоянии здоровья лица также характеризуют его биологические признаки, но сами по себе не являются биометрическими данными. Аналогичным образом для установления личности субъекта могут использоваться и не биометрические данные, например электронная подпись.
Во-вторых, биометрические данные, как следует из второго признака, предполагают использование оператором специальных технических средств для анализа биометрических данных субъекта и их сопоставления с эталонными образцами. В этой связи, если идентификация субъекта происходит без использования таких данных, например, при визуальной оценке соответствующих физиологических признаков лица посредством сличения фотографии в документе с лицом, его предъявившим, квалифицировать такую фотографию как биометрические данные нельзя. В литературе справедливо отмечается, что "законодательное понятие биометрических данных предполагает не только наличие определенных сведений, содержащих информацию о физиологических и биологических особенностях человека, но также использование биометрических методов идентификации личности" <1>.
--------------------------------
<1> См.: Федеральный закон "О персональных данных": Научно-практический комментарий / Под ред. зам. руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой. М., 2015. С. 67.

В-третьих, для применения специального режима обработки биометрических данных необходимо, чтобы их обработка осуществлялась именно оператором. Как отмечается в разъяснениях Роскомнадзора, "отнесение сведений персонального характера к биометрическим персональным данным и их последующая обработка должны рассматриваться в рамках проводимых оператором мероприятий, направленных на установление личности конкретного лица" <1>. Если же биометрические данные хранятся и обрабатываются исключительно на устройстве пользователя, а оператору сообщаются лишь сведения о результатах идентификации, то говорить об обработке оператором биометрических данных нельзя. Такая ситуация может иметь место, в частности, при использовании различного рода сканеров отпечатков пальцев на смартфонах или ноутбуках. Поскольку пользователь сам создает эталонные отпечатки, которые хранятся на таком устройстве и впоследствии используются для сопоставления с вводимым отпечатком, то при условии, что у оператора не создается никакой базы данных отпечатков, говорить об обработке последним биометрических данных нельзя.
--------------------------------
<1> Разъяснения Роскомнадзора от 2 сентября 2013 г. "О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки" // "".

В-четвертых, точность идентификации лица зависит от характера используемой биометрической технологии, но сама по себе не влияет на квалификацию соответствующих данных в качестве биометрических при их соответствии признакам, указанным в законодательной дефиниции. В этой связи нельзя согласиться с мнением, высказанным представителями Роскомнадзора, что к биометрическим данным можно отнести только те сведения, которые безошибочно идентифицируют конкретное лицо, а следовательно, "фотография или видеоизображение человека, который является близнецом или чье внешнее сходство с иным человеком очевидно, а также в случаях осуществления пластических операций" не могут являться биометрическими персональными данными, так как не позволяют произвести "достоверную идентификацию субъекта" <1>.
--------------------------------
<1> См.: Федеральный закон "О персональных данных": Научно-практический комментарий / Под ред. зам. руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой. С. 66.

В законодательной дефиниции биометрических данных нигде не указывается на достоверную идентификацию субъекта как на необходимый признак таких данных, говорится лишь об их использовании для идентификации субъекта. С технической точки зрения все биометрические технологии характеризуются такими параметрами, как FAR (False Accept Rate - процент ошибочного разрешения доступа) и FRR (False Reject Rate - процент ошибочного отказа в доступе) <1>, что уже указывает на неизбежное наличие ошибок идентификации даже при использовании биометрических данных.
--------------------------------
<1> Opinion 3/2012 on developments in biometric technologies. Article 29 Data Protection Working Party. 27 April 2012. P. 6.

Немаловажен и тот факт, что законодательство о персональных данных направлено в том числе на минимизацию рисков ошибок при обработке персональных данных, в связи с чем предусматривает за субъектом право на уточнение таких данных, тем самым оно уже предполагает возможную ошибочность персональных данных. Учитывая "высокочувствительный" характер биометрических данных и обусловленные ими повышенные риски использования таких данных для совершения мошенничества или "кражи личности" (identity theft), дискриминации или скрытой слежки, необходимость законодательного контроля за их обработкой является очевидной. Особенно это актуально в связи с развитием технологий искусственного интеллекта, позволяющих определить, что на двух фотографиях изображен один и тот же человек безотносительно к ориентации лица и степени освещенности <1>.
--------------------------------
<1> Согласно имеющимся данным Facebook уже разработал экспериментальную систему, которая позволяет дать правильный ответ при решении указанной задачи в 95,25% случаев. См.: Форд М. Роботы наступают: развитие технологий и будущее без работы. М., 2016. С. 129.

Таким образом, целенаправленное сужение понятия биометрических данных посредством включения в него дополнительного критерия однозначной идентификации лица противоречиво не только с точки зрения буквы закона и технологического подхода, но и с точки зрения целей законодательной политики в сфере персональных данных.
2. Биометрические методы аутентификации обычно разделяют на две основные группы:
1) статические, которые основаны на физиологической (статической) характеристике человека, т.е. уникальном свойстве, данном ему от рождения;
2) динамические, в основе которых лежит поведенческая характеристика человека.
К первой группе можно отнести следующие виды биометрических данных: рисунок вен (vein pattern recognition); отпечатки пальцев; радужную оболочка глаза, ДНК; фотографию или видеоизображение лица при их использовании системой распознавания лица (facial recognition system).
Ко второй группе можно отнести голос человека при его использовании системой распознавания голоса; динамическую подпись лица, показывающую физиологическо-поведенческие характеристики лица при совершении подписи (степень нажатия, направление движений, штрих и прочие аспекты) <1>.
--------------------------------
<1> См. подробнее: Dynamic signature. National Science and Technology Council. 2006 // www.biometrics.gov/documents/dynamicsig.pdf.

Разумеется, для признания вышеуказанных данных биометрическими они должны быть предварительно получены от конкретного субъекта, оцифрованы и записаны на соответствующий носитель информации.
Вряд ли можно согласиться с отнесением веса и роста человека к биометрическим данным, как это сделано в разъяснениях Роскомнадзора <1>, поскольку указанные параметры изменяются в течение жизни субъекта и могут быть без особой сложности фальсифицированы, в связи с чем они не могут иметь существенного идентифицирующего потенциала и не используются сами по себе в биометрических системах.
--------------------------------
<1> Разъяснения Роскомнадзора от 2 сентября 2013 г. "О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки" // "".

3. Чувствительный характер биометрических данных, невозможность их "замены" в случае компрометации по причине их неразрывной связи с личностью обусловливают особый порядок их обработки. Комментируемая статья содержит исчерпывающий перечень оснований для обработки таких данных, к числу которых относятся:
1) согласие субъекта персональных данных в письменной форме;
2) реализация международных договоров о реадмиссии;
3) осуществление правосудия и исполнение судебного акта;
4) случаи, предусмотренные
- публичным законодательством РФ:
об обороне;
о безопасности;
о противодействии терроризму;
о транспортной безопасности;
о противодействии коррупции;
об оперативно-розыскной деятельности;
о государственной службе;
- уголовно-исполнительным законодательством РФ;
- законодательством РФ о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации.
Таким образом, в числе оснований для законной обработки биометрических данных закон указывает лишь основания публично-правового характера и согласие субъекта. Частные лица, в том числе коммерческие организации, могут обрабатывать биометрические данные для собственных нужд только с согласия субъекта персональных данных. Так, например, фотография и видеоизображение лица как таковые не являются биометрическими данными, но становятся ими при использовании оператором специализированных систем распознавания лиц в различных целях, в том числе для обеспечения безопасности. Такого рода системы установлены в некоторых объектах транспортной инфраструктуры (в аэропортах, на станциях метро) в целях обеспечения транспортной безопасности <1>. Однако применение таких технологий может осуществляться и коммерческими организациями, например, при использовании фотографий, размещенных в социальных сетях в собственных приложениях, использующих функционал распознавания лиц на таких фотографиях (например, приложение Find Face), и любыми другими лицами при использовании видеоизображения, обрабатываемого специальным приложением в совокупности с устройствами "добавленной реальности" (например, Google Glass) <2>. Поскольку использование таких технологий сопряжено с достаточно явным вмешательством в частную жизнь человека, а обрабатываемые данные о физиологических параметрах лица, используемых для его идентификации, охватываются понятием биометрических данных, необходимо получение согласия этих лиц на обработку их данных подобными приложениями или устройствами. При этом следует отметить, что соответствующее согласие может быть дано и через представителя субъекта персональных данных, несмотря на отсутствие прямого упоминания об этом в ч. 2 ст. 11 комментируемой статьи. Возможность дачи согласия на обработку персональных данных через представителя прямо предусмотрена в ч. 1 ст. 9 Закона о персональных данных и потенциально применима к любым видам персональных данных. К тому же иной подход повлечет невозможность реализации гражданами своих прав, например невозможность получения биометрического паспорта несовершеннолетними гражданами.
--------------------------------
<1> См. п. 10 ст. 7 Постановления Правительства РФ от 16 июля 2016 г. N 678 "О требованиях по обеспечению транспортной безопасности, в том числе требованиях к антитеррористической защищенности объектов (территорий), учитывающих уровни безопасности для различных категорий объектов транспортной инфраструктуры и транспортных средств морского и речного транспорта".
<2> См.: A Wearable Face Recognition System on Google Glass for Assisting Social Interactions. Computer Vision - ACCV 2014 Workshops Singapore, Singapore, November 1 - 2, 2014, Revised Selected Papers. Part III. P. 419 - 433.

4. При этом следует отметить, что сам по себе факт наличия такого основания не освобождает оператора от необходимости соблюдения иных положений Закона о персональных данных, в частности его принципов (недопустимость использования таких данных для иных целей, минимизация данных, ограничение хранения таких данных и пр.). В этой связи если биометрические данные используются для целей обеспечения транспортной безопасности, то они не могут использоваться для преследования лиц, которые не оплатили проезд, поскольку в последнем случае речь идет о неисполнении обязательств по гражданско-правовому договору, а не о нарушении требований транспортной безопасности. Вместе с тем Закон о персональных данных не позволяет обрабатывать биометрические данные для целей, связанных с исполнением гражданско-правовых договоров, или по иным основаниям, которые могли бы легитимировать эту обработку. Таким образом, вызывает сомнения законность планов по использованию камер с системой распознавания лиц для преследования безбилетников в московском метрополитене <1>.
--------------------------------
<1> В метро появятся "черные списки зайцев" // Vesti.ru 5 февраля 2013 г.: http://www.vesti.ru/doc.html?id=1024401.

5. Комментируемая статья не предусматривает возможности субсидиарного применения положений ГК РФ в отношении регулирования порядка использования изображения гражданина, в частности положений ст. 152.1 ГК РФ о случаях допустимости использования такого изображения без согласия гражданина. Положения ГК РФ в данном случае регулируют иные по своей природе отношения - отношения гражданско-правового характера, связанные с защитой нематериальных благ как особого объекта гражданских прав (ст. 128 ГК РФ). В этой связи вряд ли можно согласиться с мнением, изложенным в разъяснениях Роскомнадзора, о применимости данных положений к отношениям, связанным с получением согласия на обработку биометрических данных <1>. Нормы законодательства о персональных данных в рассматриваемом контексте носят самостоятельный и самодостаточный характер, хотя в перспективе им бы не помешала дополнительная гибкость с учетом развивающихся технологий и масштабов использования данных, которые могут быть квалифицированы как биометрические.
--------------------------------
<1> Разъяснения Роскомнадзора от 2 сентября 2013 г. "О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки" // "".

Безымянная страница

Rambler's Top100
На правах рекламы:

Copyright 2007 - 2018 гг. Комментарии.ORG. All rights reserved.
При использовании материалов сайта активная гипер ссылка  обязательна!