Biometric identification on the Internet: Trends of legal regulation in Russia and in foreign countries.pdf Число уникальных пользователей интернета достигло 4,66 млрд человек, что составляет 59,5% населения планеты1. Цифровые следы, оставляемые человеком в Сети, «позволяют создать его цифровую копию, которая может существовать и действовать в киберфизическом пространстве независимо от того, по-прежнему ли существует данное лицо в реальном мире» [1. С. 147]. В начале существования глобальная Сеть была анонимной: ее протоколы не предусматривали передачи данных о пользователях, а действия последних не требовали раскрытия личности. Поэтому задача соотнесения «виртуальных личностей», скрывавшихся под никнеймами и аватарами, с реальными людьми не была актуальной. Однако с появлением цифровых платформ, на которых стало возможным заказывать банковские и страховые продукты, пользоваться государственными услугами, заключать договоры, возникла потребность в идентификации пользователей в качестве реально существующих субъектов права. Для этого стали использоваться «привязанные» к телефонным номерам коды и пароли, электронные подписи и т.д. Биометрическая идентификация долгое время не получала распространения в интернет-среде, хотя именно она позволяет с высокой степенью достоверности соотносить виртуальную личность с физическим телом конкретного человека, стирая границу между офлайн- и онлайн-пространством. Причиной тому была высокая нагрузка на сети и устройства при обработке и хранении объемной и ресурсоемкой биометрической информации. Развитие технологий обработки данных (в том числе на основе искусственного интеллекта), появление информационных носителей нового поколения и «скоростных» сетей связи 4G и 5G открыло возможность широкого использования технологий удаленной биометрической идентификации и аутентификации. В основе концепции юридически значимой идентификации лица на основе его физиологических данных лежат работы французского правоведа и криминалиста А. Бертильона, обосновавшего возможность использования индивидуальных внешних признаков человека для регистрации преступников [2]. Еще одним основоположником биометрической идентификации считается современник Бертильона английский исследователь Ф. Гальтон, впервые описавший статистический инструментарий измерения и сопоставления антропометрических характеристик. Сущность технологии биометрической идентификации и аутентификации заключается в создании «контрольного шаблона», представляющего собой срез некоторых индивидуальных антропометрических и физиологических характеристик конкретного человека (например, черт лица, рисунка радужной оболочки глаза, папиллярных узоров, рисунка вен, голоса, пропорций тела, геномной информации и т.д.) для последующего «узнавания» данного человека путем сопоставления его характеристик с записями, хранящимися в «контрольном шаблоне»2. Несмотря на то, что узнавание человека по его внешним признакам (например, по лицу, фигуре, голосу) используется нами в повседневной жизни, о биометрической идентификации можно говорить в том случае, когда для этого применяются специальные программнотехнические средства и лежащие в основе их действия алгоритмы. По прогнозам экспертов, к 2024 г. порядка 66% населения мира будут использовать технологии биометрической идентификации в повседневной жизни. Катализатором развития удаленной биометрической идентификации в интернете послужила пандемия COVID-19: она стала активно использоваться, например, в сфере образования и в трудовых отношениях [3. P. 7]. Биометрическая идентификация в системах видеонаблюдения с функцией распознавания лиц применяется государствами для обеспечения национальной безопасности, в том числе в качестве меры противодействия террористическим угрозам и массовым беспорядкам [4. С. 348]. Потребность в биометрической идентификации существенно возрастает и с развитием «интернета вещей» (Internet of things). В совокупности с технологиями анализа биометрических данных он находит практическое применение в приложениях для «умных домов», финансового сектора, промышленности, здравоохранения и т.д. [5. P. 4461-4462]. Однако в отличие от паролей, которые легко сменить и которые не являются неотъемлемыми атрибутами личности, биометрические параметры, непосредственно связанные со своим субъектом-носителем, остаются неизменными на протяжении всей жизни человека; от них нельзя избавиться, их невозможно изменить [6. С. 38; 7. С. 110]. В случае компрометации биометрических идентификаторов (неправомерного завладения третьими лицами, в том числе утечек данных из баз хранения контрольных шаблонов) будет крайне сложно найти им альтернативу и восстановить нарушенные права потерпевших субъектов. Эта угроза приобретает особую актуальность при использовании биометрической идентификации в интернете, предполагающей передачу соответствующих данных по сетям общего пользования. Благодаря технологиям «облачного» хранения информации обработка биометрических данных нередко приобретает трансграничный характер [8. P. 12841285], а значит, потенциальный доступ к таким данным появляется у разных государств и частных операторов. Указанная особенность биометрических данных (наряду с другими свойствами, такими как универсальность, уникальность, устойчивость [7, 9]) возводит проблемы регулирования их оборота в разряд конституционно-правовых. От того, насколько адекватным является правовое регулирование в данной сфере, напрямую зависит реализация человеком базовых конституционных прав, таких как право на неприкосновенность частной жизни и ее уважение, право на личную тайну, право на имя, идентичность, достоинство и т.д. Правовое регулирование во всяком случае должно включать установление стандартов безопасности биометрических данных и гарантии реализации индивидами своих прав в связи с оборотом биометрических данных, а также механизмы защиты от злоупотреблений. Изучению особенностей регулирования биометрической идентификации и обработки биометрических данных посвящен ряд недавно вышедших работ отечественных ученых [7, 9, 10]. Вместе с тем научный интерес представляет также опыт иностранных государств в правовом регулировании указанной сферы. Тенденции развития законодательства разных стран позволяют говорить о формировании трех моделей регулирования. Они будут рассмотрены в настоящей работе на примерах США, Китайской Народной Республики и Европейского союза. Выбор материала для анализа является хотя и в некоторой степени произвольным (опыт других государств также достоин изучения), но вместе с тем не случайным: каждое из названных государственнополитических образований является в определенном смысле пионером в выработке соответствующей модели регулирования. Целью статьи является не только сравнительное изучение зарубежного опыта, но и оценка перспектив регулирования биометрической идентификации в законодательстве Российской Федерации в свете этого опыта. Соединенные Штаты Америки. Первая модель правового регулирования биометрической идентификации и обработки биометрических данных представлена Соединенными Штатами Америки (США). Особенности правовой системы данной страны с учетом федеративной формы государственного устройства и ведущей роли судебных прецедентов обусловили отсутствие в ней единообразного регулирования данной сферы. Многие аспекты регламентации обработки персональных данных (в том числе биометрических) здесь оставлены на усмотрение самих провайдеров интернет-услуг. Само же государственное регулирование остается крайне фрагментированным и ситуативным и нередко зависит от того, какую сферу представляет оператор, обрабатывающий биометрические данные. Специальных законов, регулирующих оборот биометрической информации, на федеральном уровне не существует. На биометрические данные распространяются режимы защиты личных данных, устанавливаемые многочисленными отраслевыми законодательными актами, в основе которых лежат Первая и Четвертая поправки к Конституции. В частности, гарантируется правовая защита личных данных, обрабатываемых в рамках деятельности федеральных органов исполнительной власти (Закон «О частной жизни» (Privacy Act), Закон «О защите частной жизни водителя» (The Driver's Privacy Protection Act)), оказания услуг медицинского страхования и медицинской помощи (Закон «О мобильности и подотчетности медицинского страхования» (Health Insurance Portability and Accountability Act)), финансовых услуг (Закон «О финансовой модернизации» (Financial Services Modernization Act, также известный как «закон Грэмма-Лича-Блайли», Стандарт защиты данных в сфере использования карт оплаты (Payment Card Industry Data Security Standard)), телекоммуникационных услуг (Закон «О защите конфиденциальности видео» (Video Privacy Protection Act), Закон «О политике кабельной связи» (Cable Communications Policy Act) и др.), образовательных отношений (Закон «О правах семьи в сфере образования и частной жизни» (Family Educational Rights and Privacy Act)), а также личных данных несовершеннолетних пользователей интернета (Закон «О защите частной жизни детей онлайн» (Children's Online Privacy Protection Act)). Все указанные законы по-разному раскрывают содержание личных данных, распространяют действие на разные категории операторов и устанавливают различный порядок реализации субъектами своего права на защиту данных субъектом. В Законе «О частной жизни», регламентирующем обработку личных данных граждан и постоянных резидентов США федеральными органами исполнительной власти, биометрические данные признаются частью так называемой записи (record) - «отдельного элемента, базы или категории информации об индивиде, которая хранится агентством, в том числе информация об его образовании, финансовых операциях, истории болезни, информация о судимостях, а также трудовой истории, и которая содержит его имя или идентификационный номер, символ или другую идентифицирующую личность информацию, такую как отпечаток пальца, аудиозапись голоса или фотографию». Данный закон предусматривает возможность раскрытия информации, содержащейся в записи, исключительно при наличии письменного согласия субъекта данных, однако не предусматривает аналогичного требования к иным формам обработки, например, к сбору информации. Отсутствие правового регулирования условий раскрытия информации частными субъектами «позволяет органам государственной власти обойти установленные законом ограничения путем обращения к информации из негосударственных центров обработки» [11. P. 66]. Федеральное законодательство не предусматривает специальных требований к защите биометрической информации корпорациями и иными негосударственными объединениями. В частности, не существует единых требований к поставщикам интернет-услуг, в том числе порядка информирования пользователей о том, каким образом будет использоваться их личная информация [12. P. 297] (за исключением случаев обработки данных о несовершеннолетних, а также данных пользователей при предоставлении им финансовых услуг). В литературе отмечается необходимость принятия федерального закона, регулирующего порядок обработки биометрических данных физическими и юридическими лицами в процессе осуществления коммерческой деятельности [13. P. 161-192; 14. P. 637-671; 15. P. 328]. В 2020 г. в Сенат Конгресса США был внесен проект Национального закона о конфиденциальности биометрической информации (National Biometric Information Privacy Act), основывающийся на положительном опыте регулирования данной сферы на уровне отдельных штатов (в частности Иллинойса и Калифорнии). К настоящему моменту (декабрь 2021 г.) законопроект по-прежнему находится на рассмотрении Комитета Сената по судебной власти3. Отсутствие на федеральном уровне единообразного регулирования порядка обработки и защиты биометрических данных в частноправовых отношениях, в том числе в онлайн-пространстве, обусловило принятие соответствующих нормативных правовых актов на уровне штатов. В основном региональное законодательство сосредоточивается на вопросах сбора и обработки данных с помощью цифровых устройств, а также данных, связанных с биометрическими идентификаторами личности [16. P. 191]. В законодательной практике штатов сформировалось два подхода: первый предполагает принятие отдельного нормативного правового акта, предметом регулирования которого являются исключительно отношения по обработке и использованию биометрических данных (Иллинойс, Вашингтон, Техас); второй - создание механизмов защиты биометрической информации в рамках общего акта о защите персональных данных граждан штата (Калифорния, Нью-Йорк, Аризона, Луизиана, Орегон, Арканзас и др.). Штаты, избравшие первый подход, гарантируют особый режим защиты биометрической информации, отличный от защиты иных персональных данных. Так, например, в соответствии с п. 15 закона штата Иллинойс «О конфиденциальности биометрической информации» (Biometric Information Privacy Act) 2008 г. обработка биометрических идентификаторов оператором возможна только в случае, если субъект данных дал письменное согласие на такую обработку. При этом запрещаются продажа, сдача в аренду или иные способы передачи биометрических данных с целью получения прибыли. Законодательство штата Вашингтон и Техаса предоставляет субъекту обработки биометрической информации право ее использования в коммерческих целях только в случае получения на то согласия субъекта информации, однако законы не запрещают передачу биометрии третьим лицам, в том числе ее продажу, и не определяют форму получения согласия. Например, в Техасе оператор может продавать биометрические данные в случае «исчезновения или смерти» пользователя. В штате Вашингтон разрешено продавать биометрические данные третьим лицам, если последние «по контракту обещают» не раскрывать информацию [17. P. 602]. В случае нарушении закона в Иллинойсе субъект может сам обратиться в суд. В двух других штатах предусмотрен публичный механизм защиты нарушенного права -путем обращения в суд прокурора штата. В числе жалоб, подаваемых в суды Иллинойса, присутствуют жалобы на использование систем видеонаблюдения; на сайты и приложения, которые используют программы распознавания лиц или требуют загрузки образцов голоса и т.д. [18. P. 44]. Законы большинства штатов, которые избрали вторую модель регулирования защиты биометрических данных, часто применяют к биометрической информации общий режим защиты персональных данных. Закон штата Калифорния «О частной жизни потребителя» (California Consumer Privacy Act) 2018 г. не налагает на операторов особых обязательств в отношении биометрической информации, при этом предусматривает режим подразумеваемого согласия на обработку любых данных и их продажу. Закон гарантирует субъектам широкий перечень прав: получать информацию о собранных персональных данных, требовать удаления персональных данных, отказаться от продажи персональной информации. В законодательстве штата Арканзас определены лишь минимальные стандарты защиты персональных данных -обеспечение физической безопасности в разумном объеме, уничтожение информации в разумные сроки после достижения целей обработки, уведомление о факте утечки информации. В Орегоне закон направлен только на защиту персональной информации от кражи, однако не предоставляет субъекту информации права контролировать ее обработку. Различается от штата к штату и содержание понятия биометрической информации. Закон Калифорнии «О частной жизни потребителя» трактует такую информацию предельно широко - «психологические, физические и поведенческие особенности личности, включая ДНК, которые могут быть использованы самостоятельно или в совокупности с иной идентифицирующей информацией с целью установления личности субъекта». Биометрической информацией признаются любые данные, из которых могут быть извлечены идентификаторы, такие как цифровое изображение лица, образец голоса, а также особенности нажатия клавиш или ритма, особенности походки или ее ритма, сон, состояние здоровья, информация о физических нагрузках и т. д. - все, что содержит идентифицирующую конкретного человека информацию. В Иллинойсе в соответствии с разделом 10 названного выше закона штата биометрической признается любая информация, в основе которой лежит биометрический идентификатор человека - независимо от того, как эта информация собирается, конвертируется, хранится или передается. Под биометрическими идентификаторами понимаются сканы радужной оболочки, сетчатки глаза и руки, отпечатки пальцев, образец голоса, геометрия лица. Не признаются в качестве биометрических идентификаторов почерк, фотографии лица, демографические данные, описания внешности (рост, вес, цвет волос и глаз), татуировок, пробы анализов, отбираемые с целью научного исследования, а также донорские органы. Аналогичный подход используется в Техасе. В штате Вашингтон понятие биометрических идентификаторов еще уже. К таковым относятся «данные, полученные в результате автоматических измерений биологических характеристик человека, таких как отпечаток пальца, образец голоса, сетчатка глаза, радужная оболочка или другие уникальные биологические образцы или характеристики, которые используются для идентификации конкретного человека». Исключение из категории биометрических идентификаторов геометрии лица, а также признание в качестве таковых лишь информации, собираемой в процессе автоматических измерений, оставляют субъектов уязвимыми перед технологиями распознавания. Вопрос о законности использования в интернет-приложениях алгоритмов распознавания лиц возник и в Иллинойсе. В решении по делу «Монро против Шаттерфлай» (Monroy v. Shutterfly, Inc.) 2017 г. суд округа признал тот факт, что «информация, полученная путем сканирования фотографии истца, не может быть признана в качестве биометрической, так как закона штата Иллинойс исключает фотографию из перечня биометрических идентификаторов». Однако суд не согласился с доводом ответчика, что биометрические идентификаторы могут быть получены только лично: «Отпечатки пальцев и сканы сетчатки глаза могут быть получены из изображений и фотографий... и даже если определенные виды биометрических идентификаторов не могут быть извлечены из фотографий в настоящий момент, учитывая скорость технологического развития, преждевременно говорить о том, что получение соответствующих данных не может быть реализовано в будущем». В результате суд признал наличие нарушений в действиях ответчика - администрации социальной сети «Шаттерфлай», которая не предоставила пользователям исчерпывающую информацию о порядке обработки биометрических идентификаторов и биометрической информации. Китайская Народная Республика. Китайская Народная Республика (КНР) служит иллюстрацией следующей модели правового регулирования биометрической идентификации, особенностями которой являются создание централизованных государственных биометрических баз и широкое вовлечение в этот процесс как государственных органов, так и частных компаний. В отличие от США, в Китае регулирование рассматриваемой сферы осуществляется централизованно. Однако и здесь долгое время (до ноября 2021 г.) не существовало специального закона, посвященного обработке персональных данных: вопрос регулировался главным образом правовыми актами в сфере безопасности. В 2016 г. был принят Закон «О кибербезопасности», глава IV которого посвящена вопросам сбора, обработки и защиты личных данных пользователей операторами сетей. В соответствии со ст. 31 Закона коммуникационные и информационные услуги, финансовая сфера и «электронное правительство» образуют критически важную информационную инфраструктуру государства, нарушение безопасности которой может поставить под угрозу национальную безопасность, национальное благосостояние, общественные интересы. Поэтому китайский подход к вопросам организации киберпространства «отличается большей концентрированностью государства на вопросах кибербезопасности, чем это характерно для стран западной демократии» [19. P. 4]. Это проявляется в том числе в принятии мер по борьбе с анонимностью и установлении обязанности всех пользователей раскрывать свою подлинную личность при использовании глобальной Сети. Данный императив получил отражение и в регулировании сбора и последующей обработки биометрических данных интернет-пользователей. Статья 76 Закона «О кибербезопасности» понимает под «личной информацией» «все виды информации, записанные в электронном виде или с помощью других средств, взятые отдельно или вместе с другой информацией, достаточные для идентификации личности физического лица, включая, помимо прочего, полные имена, даты рождения, национальные идентификационные номера, биометрические данные, информацию о месте жительства, номере телефона и т.д.». Признавая биометрические данные разновидностью личной информации, Закон не предусматривает специального режима их защиты и предоставляет операторам широкие возможности самостоятельно определять правила обработки личной информации, закрепляемые в собственных политиках обработки личной информации. В 2021 г. в Китае вступили в силу сразу два закона - 1 сентября и 1 ноября соответственно: «О безопасности данных» и «О защите персональных данных». Раздел II последнего посвящен особенностям обработки «чувствительных» данных, к которым, помимо прочего, относится и биометрическая информация. Большинство норм этого раздела отсылают к другим законам и содержат лишь рамочное регулирование. В частности, ст. 29 Закона требует получения от субъекта данных отдельного согласия на сбор «чувствительной» информации, а ст. 30 обязывает операторов уведомлять субъектов о целях сбора информации и о том, какое влияние сбор такой информации может оказать на их права и интересы (Закон предусматривает в ст. 18, что нормативными правовыми актами могут предусматриваться исключения из этого правила). Отдельно регулируется порядок сбора персональных данных операторами интернет-платформ со значительным числом пользователей. Они должны создавать системы контроля защиты данных в соответствии с установленными государственными требованиями, принимать правила платформ в соответствии с принципами прозрачности, ясности и справедливости, регулярно публиковать отчеты о деятельности в области защиты персональных данных и т.д. Ни один нормативный акт не регулирует детально порядок передачи личной информации о пользователях операторами органам государства. Лишь Закон «О безопасности данных» 2021 г. в ст. 38 указывает, что государственные органы, собирающие или использующие данные для реализации своих полномочий, должны действовать исключительно в рамках, предписанных правовыми актами, и сохранять конфиденциальность персональных данных и личной информации. Закон «О защите персональных данных» также предусматривает некоторые правила, в частности обязанность органов государства уведомлять субъектов об обработке их данных. В то же время такое уведомление не требуется, если оно, например, будет «препятствовать органу власти осуществлять возложенные на него законом полномочия» (ст. 35). Расплывчатость подобных формулировок создает для государства фактически безграничные возможности по сбору и обработке личной информации, касающейся физических лиц, в том числе их биометрических персональных данных, и использовать их для целей биометрической идентификации. В 2017 г . неправительственная организация Human Rights Watch обвинила китайскую компанию iFlytek в формировании для правительства НКНР базы данных образцов голосов граждан страны4. Несмотря на то, что никакого официального подтверждения этих подозрений представлено не было, логика законодательства Китая не исключает возможности обращения государственных органов к частным организациям, в том числе операторам интернет-платформ, за содействием при формировании биометрических баз, причем без ведома субъектов, к которым относится эта информация. Таким образом, концепция правового регулирования обработки биометрических данных в онлайн-пространстве построена на сочетании двух начал: с одной стороны, формирование высоких стандартов обработки биометрических данных частными организациями, с другой - предоставление фактически неограниченных возможностей их использования государством в национальных интересах. Несмотря на то, что принятые в 2021 г. законодательные акты во многом воспроизводят положения, присутствующие, в частности, в Общем регламенте Европейского союза по защите персональных данных, названная концепция осталась неизменной: частные интересы в ней во многом подчинены публичным интересам, реализуемым государством и его органами. В рамках данной концепции осуществляется формирование государственной биометрической базы, причем активную роль в этом также играют частные компании - провайдеры интернет-услуг. Самым популярным приложением среди населения Китая является WeChat, его используют 78% населения страны. WeChat представляет собой виртуальное пространство, в котором пользователи могут искать и получать информацию, общаться, играть, осуществлять финансовые транзакции и получать государственные услуги, в том числе доступ к правосудию. Использование многих функций приложения (в том числе в сфере финансов и госуслуг) требует идентификации субъекта с помощью сканирования геометрии его лица. В ряде регионов страны данное приложение используется и в качестве электронного удостоверения личности (в скором времени, вероятно, данная функция будет реализована на всей территории НКНР). В результате в Китае создается единая биометрическая база данных, контролируемая государством, но используемая для осуществления идентификации клиентов финансовыми и другими частными компаниями. Существующие в Китае государственные требования устанавливают, что при использовании программ распознавания лиц биометрические данные должны храниться отдельно от других идентификационных данных субъектов. Вместе с тем практически не ограниченный законом доступ государства к таким сведениям, обрабатываемым частными операторами, во многом ставит под сомнение существование в данной стране неприкосновенности частной жизни. Европейский союз. В странах Европейского союза (ЕС) реализована еще одна модель правового регулирования биометрической идентификации. В отличие от Китая, где во главу угла поставлены вопросы обеспечения безопасности, в ЕС на первый план выходит обеспечение неприкосновенности частной жизни субъектов и обеспечения конфиденциальности их личных данных. Как и в США, правовое регулирование порядка обработки персональных данных (в том числе биометрических) осуществляется в ЕС на двух уровнях, однако законодательство верхнего (наднационального) уровня отличается от федерального законодательства США тем, что является кодифицированным. Оно представлено главным образом Общим регламентом по защите персональных данных (General Data Protection Regulation - GDPR, далее также Регламент). На уровне отдельных стран также существует национальное законодательство, но оно не должно противоречить Регламенту. В статье 4 GDPR биометрические данные определяются как «персональные данные, полученные в результате специальной технической обработки, которые касаются физических, физиологических или поведенческих черт физического лица, а также позволяют произвести или подтверждают однозначную идентификацию этого физического лица, например изображение лица или дактилоскопические данные». Регламентом устанавливается специальный режим обработки биометрических данных, предполагающий общий запрет на совершение с ними каких-либо действий, кроме случаев, когда такая обработка прямо допускается. Среди оснований обработки биометрических данных названы явное согласие субъекта данных в рамках одной или нескольких определенных целей, исполнение обязанностей контролера в сфере трудового законодательства, социального обеспечения и социальной защиты субъекта данных, защита жизненно важных интересов субъекта в случаях, когда сам субъект не в состоянии (физически или юридически) высказать свое явное согласие, обработка данных, которые субъект явным образом сделал публичными, обработка в рамках осуществления правосудия, важного публичного интереса и т.д. Этот перечень не является закрытым: государства - члены Европейского союза могут в своих законодательных актах предусмотреть и иные случаи обработки биометрических данных. Применительно к онлайн-пространству наибольший интерес представляют два основания обработки биометрических данных: согласие субъекта персональных данных и размещение таких данных самим субъектом публично. Концепция согласия в соответствии с GDPR значительно отличается от тех, которые применяются в Соединенных Штатах Америки или в Китае и предполагает соблюдение не только принципов информированности и явности его выражения, но также принципов свободы и конкретности. В соответствии с Методическими рекомендациями Европейского Совета по защите персональных данных согласие необходимо рассматривать как «свободное» только в случае, если субъекту представляется реальная возможность: - отказаться от дачи согласия, не испытывая страха несения негативных последствий; - отозвать согласие, при этом процедура отзыва должна быть такой же простой, как и предоставления согласия. Если согласие дается во исполнение договора, оно не должно являться неизменным условием такого договора, исполнение которого не может быть связано с наличием или отсутствием согласия. Кроме того, субъект персональных данных не должен находиться в социальной или экономической зависимости от контролера персональных данных. Важным требованием к согласию на обработку биометрических данных (как и других «чувствительных» персональных данных) является его конкретность. В соответствии со ст. 9 Регламента согласие быть явным по отношению к одной или нескольким целям обработки. Субъекту данных должна быть предоставлена возможность высказать согласие или отказаться от его предоставления в отношении каждой из целей в отдельности, а сама формулировка цели обработки должна быть сформулирована предельно четко. Требование конкретности препятствует созданию единых баз биометрических данных, доступ к которой могли бы получать различные юридические лица при оказании услуг клиенту, как это практикуется в Китае, а с недавнего времени и в России. Публичное размещение субъектом информации о себе в сети Интернет в ЕС не рассматривается в качестве достаточного основания для обработки биометрических данных. Пользователь может разместить в социальной сети свое изображение, аудиозапись голоса или фотографию своей руки, однако данные электронные записи не рассматриваются в качестве биометрических данных, поскольку таковые - как следует из приведенного выше определения - могут быть получены только в результате специальной технической обработки. В то же время извлечение биометрических данных из указанной личной информации, размещенной в интернете, может осуществляться при наличии иных оснований, предусмотренных ст. 9 Регламента. Применительно к поставщикам интернет-услуг в большинстве случаев единственным основанием для этого остается согласие субъекта данных. С учетом существующего регулирования поставщики интернет-услуг, зарегистрированные в ЕС, значительно реже прибегают к обработке биометрических данных, нежели компании, зарегистрированные в Соединенных Штатах Америки или в некоторых странах Азии. Российская Федерация. Регулирование обработки биометрических данных в Российской Федерации в настоящее время в большей степени тяготеет к модели, выбранной Китаем и рядом других стран Азии (Сингапуром, Индией, Турцией и др.). В основе регулирования лежит ст. 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных), согласно которой биометрическими персональными данными признаются сведения, которые, во-первых, характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность, и, во-вторых, используются оператором персональных данных для установления личности субъекта5. Важно отметить, что действие указанного Закона распространяется на обработку не любых сведений, относящихся к физиологическим и биологическим характеристикам индивида, а именно тех, которые используются для его идентификации [10. С. 87; 20. С. 253]. Часть 1 ст. 11 Закона о персональных данных устанавливает правило, согласно которому обработка биометрических данных возможна только с согласия субъекта. Вместе с тем в ч. 2 содержится ряд исключений. Не требуется получать согласие в следующих случаях: - в связи с реализацией международных договоров Российской Федерации о реадмиссии; - при осуществлении правосудия и исполнении судебных актов; - в связи с проведением обязательной государственной дактилоскопической регистрации; - если обработка биометрических данных предусмотрена законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе; уголовноисполнительным законодательством, законодательством о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве, а также о нотариате. Таким образом, в России биометрическая идентификация субъектов может осуществляться без их согласия только в публично-правовых отношениях и если это специально предусмотрено федеральным законом [20. С. 262]. В иных ситуациях (в том числе в частноправовых отношениях, включая идентификацию пользователей интернет-сервисов) получение согласия является обязательным условием. В отличие от США, где регулирование обработки биометрических данных допускается как на федеральном уровне, так и на уровне штатов, в России регулирование прав человека, информационных технологий, а также обеспечение безопасности личности при обороте цифровых данных относятся к сфере исключительного федерального ведения (п. «в», «и», «м» ст. 71 Конституции РФ). С 29 декабря 2020 г. к числу оснований обработки биометрических данных без согласия субъекта добавилось установление личности гражданина, обратившегося за совершением нотариальных действий, в соответствии с законодательством РФ о нотариате (федеральные законы от 27 декабря 2019 г. № 480-ФЗ и от 30 декабря 2020 г. № 537-ФЗ). Данное нововведение связано с созданием в России единой биометрической системы и открытия к ней доступа нотариусов с целью биометрической идентификации граждан. Федеральным законом от 31 декабря 2017 г. № 482-ФЗ в Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее - Закон об информации) была введена ст. 14.1, регулирующая использование информационных технологий в целях идентификации граждан Российской Федерации, в том числе на основе биометрических персональных данных. Именно в ней был законодательно установлен правовой режим единой биометрической системы (ЕБС) - централизованной государственной базы данных, содержащей биометрические контрольные шаблоны, предназначенные для идентификации граждан без их личного присутствия. В связи с изменениями, внесенными в Закон об информации Федеральным законом от 29 декабря 2020 г. № 479-ФЗ, установленные в нем требования были распространены на идентификацию любых физических лиц, а не только граждан РФ. Создание ЕБС было анонсировано Минкомсвязи России еще в 2016 г., и в последующие годы проходила последовательная подготовка законодательной почвы для реализации этой инициативы. Отбор биометрических данных для их внесения в ЕБС допускается только государственными органами, банками и другими организациями в случаях, когда это предусмотрено федеральными законами; с согласия лица и при его личном присутствии. В последующем обращение к ЕБС для аутентификации лица (путем сопоставления его биометрических данных с хранящимся в системе контрольным шаблоном) может осуществляться и иными организациями и индивидуальными предпринимателями, а также нотариусами. При этом Закон содержит следующие требования: - лицо должно выразить согласие на проведение его аутентификации путем обращения к ЕБС (за исключением проведения аутентификации нотариусами); - организации и индивидуальные предприниматели, использующие ЕБС для аутентификации физических лиц, должны отвечать установлен

Скачать электронную версию публикации