Правовой режим биометрических персональных данных
Кривогин М. С.
Кривогин Максим Сергеевич / Krivogin Maxim Sergeevich - аспирант, лаборатория по информационному праву, факультет права,
Высшая школа экономики, г. Москва
Аннотация: в статье анализируется правовой режим биометрических персональных данных.
Рассматривается история правового регулирования и защиты биометрической информации как конфиденциальных сведений.
Abstract: the article analyzes legal regime of biometric personal data. Consider history of legal regulation and protection of biometric information as confidential data.
Ключевые слова: биомтерические, персональные данные, правовое регулирование.
Keywords: biometric, personal data, legal regulation.
Современный этап развития информационного общества предполагает открытость большинства источников данных. Однако, несмотря на то, что увеличение объемов обмена информацией и прозрачность деятельности субъектов вносят существенный вклад в дальнейшее развитие современного общества, они же представляют собой серьезную проблему в случае злоупотребления, особенно в отношении специальных категорий данных.
Одной из таких категорий, относящихся к конфиденциальной информации, выступают персональные данные. Сегодня законодатель определяет множество видов персональных данных: обезличенные, общедоступные, специальные и другие. Но наиболее чувствительными являются биометрические персональные данные, ввиду их неразрывной связи с их носителем - человеком.
Специфика биометрических персональных данных связана с тем, что большинство их разновидностей трудно поддаются изменению. Так, например, обычному человеку будет проблематично изменить свой основные характеристики отпечатков пальцев, либо сетчатки глаза, не говоря уже о ДНК.
Указанные особенности человека, ввиду их стабильности, представляют определенную ценность для государства, например, биометрические персональные данные могут использоваться государственными органами в целях выявления и предотвращения преступлений, идентификации человека.
Именно благодаря увеличению использования информационных средств обмена и развитию современных технологий, встает вопрос о правовом регулировании получения, передачи, хранения и использования биометрических персональных данных.
В настоящее время научно-технический прогресс способствует созданию новых видов междисциплинарных наук, необходимых для глубокого исследования проблем, которые невозможно решить в рамках одного направления исследований. Одной из таких наук является биометрика. Изначально под биометрикой понимали биологическую дисциплину, пользующуюся математическими приемами для количественного анализа биологических явлений - изменчивости и пр. [1]. Впоследствии биометрику стали определять как процесс сбора, обработки и хранения данных о физических характеристиках человека с целью его идентификации [2].
Легальное определение биометрии приводится в ГОСТ Р ИСО/ТО 13569-2007 [3], так, под биометрией понимаются автоматические методы, используемые для распознавания личности или подтверждения заявленной личности человека на основе физиологических или поведенческих характеристик. Биометрика исследует как физиологические признаки человека, так и его поведенческие характеристики, для идентификации конкретного индивида. К их числу относят: отпечатки пальцев, ДНК, сетчатку глаза, запах, голос, походку человека, его речь и др.
Первоначально в Российской Федерации отсутствовал комплексный правовой акт, защищающий как персональные данные граждан в целом, так и биометрические данные в частности. С введением в действие ФЗ «Об информации, информатизации и защите информации» от 20.02.1995 года [4], были впервые законодательно закреплены понятие персональных данных и их правовой режим [5, с. 37]. Так, под персональными данными понимались сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. На момент действия указанного нормативно-правового документа не существовало специального законодательного регулирования правового положения биометрических персональных данных.
Названная проблема не была обделена вниманием ученых-юристов. Так, например, И. Л. Бачило указывает, что «...сегодня нельзя обойти проблему правового режима такого класса информации, как биоинформация: отпечатки пальцев, зрачков глаз человека, его ДНК и другие элементы индивида, широко используемые в практике идентификации субъекта в самых разных областях его жизни и отношений с другими субъектами, нуждаются в установлении их правового режима, порядка использования и защиты» [6, с. 138].
Впервые правовой режим биометрических персональных данных был установлен в 2006 году с введением Федерального закона «О персональных данных» [7]. Так, под ними понимались сведения,
которые характеризуют физиологические особенности человека и на основе которых можно установить его личность. В отличие от обычных персональных данных, биометрические являются наиболее чувствительными, поскольку точно характеризуют субъекта и практически не подвержены изменениям.
Если по общему правилу, согласие на обработку персональных данных может быть дано в любой позволяющей подтвердить факт его получения форме, то для обработки биометрических данных, в связи с их особой чувствительностью, законодатель использует императивную норму об обязательном письменном согласии субъекта.
Под физиологическими характеристиками понимается любое свойство организма, относящееся к сфере физиологии [8]. Emilio Mordini отмечает, что наиболее часто идентификация человека происходит на основании следующих физиологических характеристик: отпечатков пальцев, сетчатки и радужной оболочки глаза, отпечатков рук, черт лица [9, c. 130].
С выходом восьмой редакции ФЗ «О персональных данных», в определение термина биометрические персональные данные были внесены существенные изменения [10]. Так, помимо физиологических сведений, характеризующих человека, были добавлены и биологические сведения.
Несмотря на то, что ряд зарубежных специалистов по биометрике используют биологические характеристики как родовое понятие, включающее в себя физиологические сведения как видовое понятие [11, с. 187; 12, c. 80], стоит согласиться с мнением Franjiehel Khoury, который относит биологические сведения в отдельную группу характеристик и понимает под ними молекулярное строение ДНК и группу крови [13, c. 7].
В отличие от общепринятых в литературе определений биометрических данных, ФЗ «О персональных данных» прямо не упоминает в легальном определении такой тип не менее важных данных, как поведенческие. Одни авторы считают, что поведенческие данные относятся непосредственно к физиологическим персональным данным, а именно к динамическим биометрическим характеристикам человека [14]. Зарубежные исследователи выделяют поведенческие данные в отдельную самостоятельную категорию, не относящуюся к физиологическим [15, c. 23]. Необходимо отметить, что исходя из динамики развития законодательства о персональных данных, можно предположить, что в дальнейшем каждый из трех видов биометрических данных будет законодательно закреплен в законе.
Поведенческие персональные данные способны идентифицировать человека по манере его походки, ведению разговора, подписи, способу печати символов на клавиатуре и др. [16, с. 12]. Несмотря на то, что указанный тип данных не может сравниться в точности идентификации с биологическими или физиологическими данными, нерешенные вопросы правового регулирования его использования могут привести к злоупотреблениям недобросовестными субъектами.
Второе нововведение в названную редакцию Закона существенно расширило возможности использования биометрических персональных данных человека. Если в предыдущей редакции ФЗ «О персональных данных» обязательным условием для любой обработки биометрических данных являлось наличие письменного согласия субъекта, то действующая редакция требует согласие, только если эти данные используются оператором для установления личности субъекта. Иными словами, если ранее сбор отпечатков пальцев с использованных человеком предметов (например, ручки дверей в магазинах) мог быть произведен только с согласия их владельца, данного в письменной форме, то в настоящее время нет запрета на указанные действия, при условии что при этом не происходит установление личности субъекта.
Таким образом, стоит согласиться с мнением Ю. В. Травкина, который считает, что «биометрические данные... неприменимые для идентификации конкретного лица, выводят эти данные из-под понятия персональных данных», приводя пример в отношении генетического кода человека - «Возможно смоделировать, скажем, с помощью компьютера некую генетическую модель, по определению уникальную и потенциально применимую к абстрактному человеку, однако идентифицировать эти данные с генетическим кодом одного из проживающих на Земле людей представляется практически неосуществимым» [17, c. 246]. Поэтому при определении того, является ли биометрическая информация персональными данными, необходимо учитывать возможную степень идентифицируемости индивида на основании имеющихся сведений.
Литература
1. Биометрика [Электронный ресурс] // Словарь иностранных слов русского языка. URL: http://dic.academic.ru/dic.nsf/dic_fwords/49896/%D0%B1%D0%B8%D0%BE%D0%BC%D0%B5%D1%82% D1%80%D0%B8%D0%BA%D0%B0 (дата обращения: 17.08.2015).
2. Биометрия [Электронный ресурс] // Юридический словарь. URL: http://dic.academic.ru/dic.nsf/lower/13255 (дата обращения: 17.09.2015).
3. ГОСТ Р ИСО/ТО 13569-2007. Финансовые услуги. Рекомендации по информационной безопасности. М.: Стандартинформ, 2009. № 7.
4. Об информации, информатизации и защите информации: Федеральный закон от 20.02.1995 №24-ФЗ // СЗРФ. 1995. № 8. ст. 609.
5. Терещенко Л. К. Правовой режим персональных данных и безопасность личности. // Закон. 2013. № 6. С. 37.
6. Бачило И. Л. Информационное право. Учебник для магистров. Гриф МО РФ. 3-e изд. М: Юрайт, 2013. 576 с.
7. О персональных данных: Федеральный закон от 27.07.2006 (ред. от 23.07.2013) № 152-ФЗ // СЗРФ. № 31. ст. 3451.
8. Функциональная (физиологическая) характеристика [Электронный ресурс] // Физическая антропология. Иллюстрированный толковый словарь. URL: http://enc-dic.com/word/f/Funkcionalnaja-fiziologicheskaja-harakteristika-16197.html (дата обращения: 11.08.2015).
9. Mordini E., Tzovaras Second Generation Biometrics: The Ethical, Legal and Social Context. New York: Springer, 2012. 353 pp.
10. О внесении изменений в Федеральный закон «О персональных данных»: Федеральный закон от 25.07.2011 №261-ФЗ // СЗРФ. № 31. ст. 4701.
11. Selected Quality Metrics for Digital Passport Photographs [Электронный ресурс] // Eurographics Digital Library. URL: http://diglib.eg.org/EG/DL/dissonline/doc/gonzalez.pdf (дата обращения 12.08.2015).
12. Waymond R. Biometric and Auditing Issues Addressed in a Throughput Model. NY: Information Age Publishing, 2011. 374 pp.
13. Franjieh Iris Biometric Model for Secured Network Access. NY: CRC Press, 2013. 220 pp.
14. Амелин Р. В., Волков Ю. В., Марченко Ю. А. Комментарий к Федеральному закону от 27.06.2006 № 152-ФЗ «О персональных данных» (постатейный). СПС КонсультантПлюс, 2013.
15. Newbold R. Newbold's Biometric Dictionary For Military And Industry. 2nd ed. NY: Authorhouse, 2008. 236
pp.
16. Gavrilova M., Monwar M. Multimodal Biometrics and Intelligent Image Processing for Security Systems. NY: IGI Gloabal, 2013. 232 pp.
17. Травкин Ю. В. Персональные данные. М.: Амалданик, 2007. 432 с.