Новые правила обработки биометрии для контроля и управления доступом на территорию

Бурное развитие информационных (цифровых) технологий в последние годы и десятилетия заставляет общество и государство уделять повышенное внимание сопутствующим рискам. В настоящее время сформировалось понимание о невозможности 100% защиты от инцидентов в цифровой среде, в том числе от утечек персональных данных, и о необходимости расходования ресурсов на профилактику и минимизацию количества инцидентов и скорейшее преодоление их негативных последствий.

Особое внимание уделяется безопасности и устойчивости обработки биометрических персональных данных – в силу как кратного роста утечек персональных данных в последние годы, так и значимых негативных последствий для людей от компрометации их биометрических данных. Скомпрометированные биометрические данные практически невозможно изменить и тем самым восстановить статус-кво неизвестности этих данных.

Российское государство начиная с 2020 г. проводит активное реформирование нормативного правового регулирования обработки персональных данных, последовательно принимая ряд федеральных законов (479-ФЗ, 572-ФЗ)^{1, 2} и подзаконных актов. Хотя сам процесс реформ еще нельзя считать завершенным, основные контуры обновленного регулирования уже вполне очевидны. Учитывая, что наиболее популярный сценарий обработки биометрических персональных данных связан с организацией контроля и управления доступом на определенную территорию или в определенные помещения, представляется уместным рассмотреть новые правила обработки биометрических данных именно в данном разрезе.

Основные функции ГИС ЕБС

Биометрические персональные данные и юридическая ответственность

С точки зрения различных типов сведений биометрические данные могут быть условно разделены на:

• статическую биометрию – физиологическая характеристика человека, то есть уникальное свойство, данное человеку от рождения, например рисунок вен, папиллярные узоры пальцев, радужная оболочка и сетчатка глаза, геномная информация (п. 3 ст. 1 242-ФЗ)³, фотография или видеоизображение лица;
• динамическую биометрию – поведенческая характеристика человека, например голос, подпись, показывающая физиологическо-поведенческие характеристики (степень нажатия, направление движений, штрих и прочие аспекты), поведенческие паттерны (например, нажатие клавиш или походка).

Правовая дефиниция биометрических данных закреплена в ч. 1 ст. 11 152-ФЗ⁴ и подразумевает необходимость одновременного наличия следующих трех квалифицирующих признаков биометрии:

1. Сведения о физиологических и биологических особенностях человека.
2. Позволяют установить личность человека.
3. Используются для установления личности человека.

Вышеприведенное определение на первый взгляд дает исчерпывающий набор признаков, позволяющих четко выделить биометрические данные среди всех остальных персональных данных, но анализ действующей нормативной правовой базы РФ, правоприменительной и судебной практики показывает обманчивость первого впечатления. Так, в ч. 1 ст. 11 152-ФЗ прямо не указано, что с помощью биометрических персональных данных оператор может не только установить (идентифицировать) личность субъекта данных, но и удостоверить (аутентифицировать) его личность. Ни в 152-ФЗ, ни в 572-ФЗ явно не указывается на достоверную идентификацию субъекта как на необходимый признак биометрических данных, хотя наличие ошибок идентификации неизбежно.
Все биометрические технологии характеризуются такими параметрами, как False Accept Rate (процент ошибочного разрешения доступа) и False Reject Rate (процент ошибочного отказа в доступе). В законодательстве РФ отсутствует квалифицирующий критерий применения специальных технических средств (средств автоматизации) для получения эталонных образцов биометрических данных физического лица и последующего автоматизированного (автоматического) сопоставления эталонных образцов с получаемыми/предъявляемыми биометрическими данными.

Юридическая ответственность за неправомерную обработку биометрических персональных данных, предусмотренная Кодексом об административных правонарушениях РФ:

• штраф до 700 тыс. руб. за отсутствие письменного согласия на обработку биометрических персональных данных (ч. 2 ст. 13.11 КоАП РФ);
• штраф до 1 млн руб. за нарушение требований в области размещения биометрических персональных данных в ЕБС (ст. 13.11.3 КоАП РФ).

В настоящее время также обсуждается как введение уголовной ответственности за неправомерный сбор биометрических сведений⁵, так и внесенные в Госдуму 4 декабря законопроекты об установлении административной (штраф 15–20 млн руб. или 0,1–3% от годового оборота компании)⁶ и уголовной⁷ ответственности за инциденты с персональными данными, включая биометрию.

Автоматическая (автоматизированная) идентификация и аутентификация с использованием биометрии

Принятие 572-ФЗ оформило отдельный правовой режим осуществления идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, который не распространяется на так называемую неавтоматизированную биометрическую идентификацию и аутентификацию, если в ее осуществлении участвует уполномоченное должностное лицо (некоторые примеры рассматриваются в таблице). Кроме того, требования 572-ФЗ не распространяются на автоматическую обработку биометрических сведений в целях:

• оперативно-розыскной, контрразведывательной или разведывательной деятельности;
• обороны страны, обеспечения безопасности государства и охраны правопорядка, реализации внешней политики;
• функционирования государственной системы миграционного и регистрационного учета, а также изготовления, оформления и контроля обращения документов, удостоверяющих личность;
• обеспечения санитарно-эпидемиологического благополучия.

572-ФЗ регулирует автоматическую идентификацию и аутентификацию физических лиц с использованием биометрических персональных данных и государственной информационной системы "Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных" (ЕБС), оператором которой является АО "Центр Биометрических Технологий" (ЦБТ).

Нормы 572-ФЗ запрещают обработку биометрических персональных данных для идентификации и аутентификации физических лиц в иных информационных системах, включая информационные системы коммерческих и некоммерческих организаций (коммерческие биометрические системы – КБС). Единственная поблажка для организаций – это возможность получения из ЕБС и хранения в КБС биометрических векторов, формально не являющихся биометрическими персональными данными и формируемых в ЕБС путем математического преобразования биометрических данных по определенному законодательством алгоритму.

Право получать биометрические векторы из ЕБС и хранить их предоставляется исключительно организациям, прошедшим непростую и дорогостоящую процедуру аккредитации. Кроме того, КБС нельзя использовать и для сбора исходных биометрических данных – теперь это возможно только в МФЦ, отделениях банков и официальном мобильном приложении ЕБС.
В итоге все желающие осуществлять на территории РФ автоматическую биометрическую идентификацию и аутентификацию столкнулись с выбором между двумя моделями взаимодействия с ЕБС:

• транзакционная модель взаимодействия – когда биометрические данные и биометрические векторы хранятся в ЕБС и там же осуществляется биометрическая идентификация (установление личности физического лица для создания его индивидуального профиля на основе получаемых из ЕБС и ЕСИА⁸ идентификационных персональных данных) и аутентификация (определение владельца индивидуального профиля и/или подтверждение, что за услугой обратился владелец индивидуального профиля);
• векторная модель взаимодействия – когда биометрические данные хранятся в ЕБС и там же осуществляется биометрическая идентификация, а биометрические векторы (ранее полученные из ЕБС) хранятся в КБС, в которой также производится биометрическая аутентификация. Стоит отметить, что реализация транзакционной модели возможна как на базе принадлежащей самой организации КБС, так и в рамках использования КБС соответствующих аккредитованных организаций⁹.

В таблице представлено описание правовых аспектов нескольких сценариев обработки фотографического изображения и иных персональных данных посетителей организации для обеспечения их однократного и/или многократного прохода на охраняемую территорию посредством системы контроля и управления доступом (СКУД).

Таблица. Сценарии обработки фотографического изображения посетителей организации

¹ Федеральный закон от 29.12.2020 г. № 479-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации".

² Федеральный закон от 29.12.2022 г. № 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации".

³ Федеральный закон от 03.12.2008 г. № 242-ФЗ "О государственной геномной регистрации в РФ".

⁴ Федеральный закон от 27.07.2006 г. № 152-ФЗ "О персональных данных".

⁵ См. https://www.interfax.ru/russia/878530

⁶ См. https://sozd.duma.gov.ru/bill/502104-8

⁷ См. https://sozd.duma.gov.ru/bill/502113-8

⁸ Федеральная государственная информационная система "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме".

⁹ См. https://digital.gov.ru/ru/activity/govservices/29/

¹⁰ Названия сценариев условны.

¹¹ В письме Роскомнадзора от 29.08.2022 г. № 08-78032 указано, что дополнительным критерием возможности отнесения фотографического изображения лица к биометрическим ПД является указание на такую возможность в том или ином правовом акте. Вместе с этим Роскомнадзор сослался на ГОСТ Р ИСО/МЭК 19794-5–2013 как на источник толкования 152-ФЗ.
В октябре 2022 г. в одном из писем Роскомнадзора озвученная позиция была частично дезавуирована: "…в некоторых случаях к биометрическим персональным данным относится фотография, содержащаяся в системе контроля и управления доступом при проходе на территорию оператора, что подтверждается Определением Верховного Суда РФ от 05.03.2018 г. № 307-КГ18-101 по делу № А42-342/2017".

¹² Данная позиция ориентирована на суть биометрических технологий (см. международный стандарт ГОСТ ISO/IEC 2382-37–2016, где биометрия – это автоматическое распознавание индивидов, основанное на их биологических и поведенческих характеристиках), подтверждается актуальной на 2021 г. правоприменительной практикой Роскомнадзора и отменой Роскомнадзором (см. письмо от 19.11.2021 г. № 09-78548) своих разъяснений от 2013 г., в которых заявлено, что фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, относятся к биометрическим ПД.

¹³ Данная позиция ориентирована на букву закона согласно ст. 11 152-ФЗ о ПД, подтверждается Определением Верховного Суда РФ от 05.03.2018 г. № 307-КГ18-101 по делу № А42-342/2017, согласно которому фотография на пропуске признана биометрическими ПД.

¹⁴ Система контроля и управления доступом.

¹⁵ В зависимости от выбранной позиции в отношении квалификации категории ПД: для общей – ч. 1 ст. 6, для биометрической – ст. 11.

¹⁶ Хотя данная позиция не соответствует сути биометрических технологий, но отраслевой регулятор и надзорный орган публично заявили противоположную позицию (см. письма Минцифры России от 17.07.2020 г. № ОП-П24-070-19433, Минкомсвязи России от 28.08.2020 г. № ЛБ-С-074-24059, Роскомнадзора от 10.02.2020 г. № 08АП-6782).

¹⁷ Аутентификация вне ЕБС запрещена для следующих организаций: оборонно-промышленных, атомно-энергопромышленных, ядерно-оружейных, химических, топливно-энергетических, транспортно-инфраструктурных, категорированных по ЧС, режимных, владеющих объектами КИИ (с использованием сторонних КБС).

Опубликовано в журнале "Системы безопасности" № 6/2023

Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>

Фото: freepik.com