Модели регулирования биометрии в разных странах

Постоянный автор нашего журнала в данной статье рассматривает основные модели регулирования использования биометрии, при этом детально останавливается на факторах, влияющих на доверие граждан к ее применению в разных сферах.

Продолжая тему предыдущей статьи "Социальные аспекты биометрии", я попытался выяснить, в чем схожесть и различие законодательства других стран в области биометрии в части прав и обязанностей граждан. Оказалось, что такая научная работа была ранее выполнена [1] и опубликована в 2022 г., она достаточно подробно раскрывает особенности правовых основ регулирования биометрии.

Основные модели регулирования использования биометрической информации

В соответствии с исследованием, представленным авторами, в настоящее время в мире сформировались три основные модели регулирования использования биометрической информации. Каждая модель основана на определенной конституционно-правовой концепции и устанавливает баланс между интересами личности в части сохранения неприкосновенности частной жизни и государственными (публичными) интересами.

Американская модель

Первая концепция – американская, основана на идее свободы субъектов в распоряжении своими биометрическими данными. Государство исходит из необходимости саморегулирования в сфере обработки биометрической информации, оставляя широкий простор для установления правил и процедур в пользовательских соглашениях и политиках (одним словом, полная свобода – "анархия"?). Государство обеспечивает лишь минимально необходимые законодательные гарантии соблюдения прав гражданина в наиболее чувствительных сферах – финансовых услугах, отношениях с участием несовершеннолетних.

Азиатская модель

Вторая концепция, получившая название "азиатская", рассмотрена на примере Китая, она характерна для других стран этого региона – Турции, Объединенных Арабских Эмиратов, Сингапура, Бахрейна, Пакистана, Бангладеш и начинает применяться в ряде африканских стран. Основное действующее лицо в данной модели – государство. Оно строит регулирование таким образом, чтобы собирать данные о пользователях через частных провайдеров интернет-услуг и операторов связи и формировать централизованные базы биометрической информации для их использования в целях удаленной идентификации субъектов как в государственных интересах или при предоставлении публичных услуг, так и при обращении субъектов к негосударственным операторам, имеющим доступ к таким базам.

Пользовательские соглашения и политики, принимаемые операторами обработки данных в интернет-пространстве, должны соответствовать жестким государственным стандартам. Как отмечают авторы, смысл такого регулирования заключается прежде всего в обеспечении государственной (национальной) безопасности.

Европейская модель

Третья концепция – "европейская". Она признает необходимость детального регулирования обработки биометрической информации, однако, в отличие от предыдущей концепции, нацелена на защиту интересов субъектов в сохранении неприкосновенности частной жизни. Концепция фактически отрицает идею единой базы персональных биометрических данных для обеспечения идентификации пользователей в онлайн-пространстве, в том числе в связи с тем, что создание подобных централизованных баз не может обеспечить достаточного уровня безопасности данных о пользователях. Риски нарушения приватности в случае утечки данных рассматриваются в этом случае как неоправданные.

Фото двойников, которые не являются родственниками

Регулирование оборота биометрической информации в России

Законодательное регулирование оборота биометрической информации в России в значительной мере основано на второй концепции и развивается в рамках азиатской модели. Такая модель, вероятно, в большей степени (в сравнении с двумя другими моделями) способствует максимально широкому внедрению технологий биометрической идентификации в онлайн-среду.

Активное внедрение электронных сервисов, в том числе и биометрических технологий, существенно повышает удобство предоставления услуг и их оплаты. (Уже и не представляю, что бы я делал, если бы пришлось снова ходить в СберБанк оплачивать счета за квартиру.) Однако внедрение цифровых сервисов несет в себе опасность взлома цифровых данных и, соответственно, потери финансов, или недвижимости, или репутации.

Думаю, что никто не будет возражать против того, что тайна частной жизни также должна быть сохранена абсолютно.

Чувствительность биометрических данных

Следует отметить, что биометрические персональные данные в случае их обработки в онлайн-сервисах имеют три существенные особенности, которые делают их особенно чувствительными:

1. При компрометации личную биометрию не изменить.
2. Биометрические характеристики при их оцифровке имеют вероятностную (статистическую) погрешность.
3. Такие биометрические модальности, как изображение лица и голос, фактически являются общедоступными.

Таким образом, к обработке персональных биометрических данных необходимо относиться с особой осторожностью.

В качестве примера того, что биометрические данные несут в себе вероятностную погрешность, хочу привести фото двойников, которые не являются родственниками [2].

После просмотра данных фотографий возникает вопрос: можно ли использовать изображение лица в качестве единственного фактора при получении финансовых услуг?

Внедрение биометрии и доверие граждан к ее использованию

Биометрия активно внедряется в нашу жизнь, сервисы с ее использованием – проход в метро, покупки в магазине работают и используются гражданами, однако доверие к биометрическим сервисам остается не таким высоким, как хотелось бы. В предыдущих статьях – [3], [4] я уже высказывал мнение, что граждане должны быть осведомлены о возможных рисках использования биометрических технологий и иметь возможность давать свое согласие лишь в тех случаях, когда считают это целесообразным, например только для оплаты проезда или покупки в магазине. Сейчас у наших граждан такая возможность, к сожалению, отсутствует.

В европейском регламенте GDPR [5] (Генеральный регламент по защите персональных данных, Статья 6) отмечено, что "обработка является законной только в таком объеме и только тогда, если … субъект данных дал согласие на обработку своих персональных данных для одной или нескольких конкретных целей".

Если мы хотим, чтобы граждане больше доверяли Единой биометрической системе и чаще использовали биометрию, необходимо информировать их о рисках использования биометрических технологий и, соответственно, предоставлять гарантии безопасности и гарантии компенсаций в случае неправомерного использования их персональных биометрических данных.

Возвращаясь к научной работе [1], упомянутой в начале статьи, хочу закончить цитированием мнения авторов, с которым полностью согласен: "…регулирование обработки биометрической информации и порядка биометрической идентификации в интернете, вводимое в нашей стране, должно учитывать не только позитивный опыт Китая или Сингапура в части технических решений, но и принятые Россией международные обязательства по защите прав личности".

Обеспечение защиты прав граждан (например, в соответствии с требованиями GDPR) неизбежно приведет к доверию граждан к использованию биометрических технологий.

Список литературы

1. Кузнецова С.С., Мочалов А.Н., Саликов М.С. "Биометрическая идентификация в интернете: тенденции правового регулирования в России и за рубежом". Вестник Томского государственного университета. 2022. № 476. С. 257–267.
2. https://adme.media/articles/bliznecy-kotoryene-yavlyayutsya-rodstvennikami-vozmozhno-lieto-kanadskij-fotograf-uveren-chto-da-1813465/
3. https://www.secuteck.ru/articles/socialnyeaspekty-biometrii
4. https://plusworld.ru/journal/2024/plas-6-314-2024/otsenka-riskov-pri-ispolzovanii-biometricheskikh-tekhnologiy-libo-vezde-libo-nigde/
5. https://ogdpr.eu/ru/gdpr-2016-679/glava-2-printsipy/statya-6-zakonnost-obrabotki

Опубликовано в журнале "Системы безопасности" № 5/2024

Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>

Фото: ru.freepik.com