29 ноября 2022 г.

Трансграничка персональных данных после 1 марта. Инструкция по применению

Думаю, что абсолютно все, кто хоть немного в теме, знают, что с 1 марта 2023 года радикально меняется схема трансграничной передачи персональных данных. От уведомительной системы передачи мы переходим к разрешительной, причем разрешение фактически должно быть получено (ему равноценно отсутствие запрета или ограничений, что в любом случае предполагает уведомление Роскомнадзора) для каждого государства, в которое данные планируется передавать. Тем не менее у наших заказчиков и коллег предстоящая реформа по-прежнему вызывает много вопросов. Постараюсь в посте коротко ответить на наиболее частые.

Отвечать буду, как завещала в научно-практическом комментарии к закону незабвенная Антонина Аркадьевна Приезжева: исходя из буквального толкования, применяемого в правоприменительной практике «по умолчанию».

Первый (и постоянный, и самый частый) вопрос – а что такое трансграничная передача персональных данных? Пункт 11 статьи 3 отвечает на него просто и однозначно: передача на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. Что, любая передача? И электронное письмо тоже? Да, любая и мылом тоже. Как только ваш коллега где-нибудь в условной Кракожии получит письмо с вашими ФИО, должностью, номером телефона и адресом электронной почты, худшее уже случилось. Есть персональные данные, иностранное государство, иностранные лица: физическое – получатель письма и юридическое - его работодатель, которому принадлежит почтовый сервер. Все признаки трансграничной передачи в полном наличии. Ссылки на то, что письмо отправил работник, и это деяние не регулируется 152-ФЗ, исходя их пункта 1 части 2 статьи 1 закона, несостоятельны – переписка служебная, ведется в рамках должностных обязанностей, оператор в отношении всех данных в ней – работодатель, и под личные и семейные цели письмо никак не подпадает.

И все остальное – использование зарубежных облаков, ИСПДн за границей, как корпоративных, так и используемых только российским оператором (многие по-прежнему, но, я думаю, уже ненадолго, любят больше Salesforce, Taleo или, например, WorkDay), и бронирование гостиницы в booking.com для работника или работником, и покупка билетов на самолет для загранкомандировки – все это трансграничная передача. Как бы грустно это ни звучало.

Что же дальше? А дальше – строго по тексту новой редакции статьи 12 закона.      

Систематизируем все цели трансграничной передачи, заодно оцениваем, точно ли нам эти цели нужны или дешевле, проще и перспективнее, в том числе с точки зрения перспектив попадания в ту или иную группу тяжести, от чего-то отказаться вообще.

Составляем для каждой цели перечни передаваемых трансгранично персональных данных и оцениваем, точно ли все эти данные так необходимы для заявленной цели, а также какие у нас есть правовые основания передачи третьему лицу. Поклонники GDPR вспоминают, что так уважаемый в Евросоюзе законный интерес в России контроль и надзор убеждает не сильно, и скорее всего в большинстве случаев для каждого субъекта надо будет иметь согласие на передачу третьему лицу (смотрим прошлогоднее Информационное письмо Банка России и Роскомнадзора и еще раз перечитываем статью 88 ТК РФ).

Выявляем всех получателей персональных данных за рубежом: владельцев зарубежных систем, вычислительных мощностей, контрагентов, с которыми ведется переписка, в том числе входящих в международную группу компаний, фиксируем (или получаем, если не было раньше) их контакты, а также сведения о мерах по защите передаваемых персональных данных и об условиях прекращения их обработки. В какой форме, каком объеме и как – похоже, проблема российского оператора.

Определяем адекватность государства, в юрисдикции которого находится каждый получатель, для неадекватных, которым не посчастливилось попасть в Перечень, утвержденный приказом Роскомнадзора от 05.08.2022 № 128, – разбираемся с правовым регулированием обработки персональных данных (не стройте иллюзий: не пытаемся разобраться, а именно разбираемся, а вот как, для меня пока это тайна великая, особенно для обычного, рядового оператора, без мощного подразделения инхаус-юристов и учитывая цены на анализ зарубежного законодательства в юридических компаниях). Очень рекомендую завести специальную форму для фиксации всех этих данных, иначе потом могут возникнуть большие трудности. И не забываем, что уведомление о текущей трансграничной передаче надо направить в Роскомнадзор до 1 марта 2023 года. К этому же времени придется решить для себя все те проблемы, о которых я конспективно упомянул. Что времени еще много, только кажется. Мы с заказчиками пробуем.

О новой трансграничной передаче (в новую страну) уведомляем Роскомнадзор. В адекватные страны, не дожидаясь ответа надзора, данные отправляем, в отношении получателей в неадекватных, типа Штатов – ждем, не получим ли мы требования о запрете или ограничении передачи, и лишь, если их не будет – пишем свои «ненужные» письма. И никак иначе.

Все, что я написал выше, государственным и муниципальным органам знать не обязательно, для них будет отдельное постановление правительства. И, если их работники потратили время на чтение поста, трата была напрасной.

Остались нюансы. Поскольку среди наших клиентов много кредитных и прочих финансовых организаций, нюансы объясню на их примере. В соответствии с частью 5 статьи 5 закона «О национальной платежной системе» перевод денежных средств осуществляется в срок не более трех рабочих дней, начиная со дня списания денежных средств с банковского счета плательщика или со дня предоставления плательщиком наличных денежных средств. Роскомнадзору же на рассмотрение намерения осуществлять трансграничную передачу и подготовку ответа оператору дается 10 рабочих дней, при этом если Роскомнадзор захочет (а он имеет право) запросить дополнительную информацию о получателе и правовом регулировании его национальным законом, указанную выше, но не включаемую в уведомление, рассмотрение прекращается на срок получения этой информации от оператора – до 15 рабочих дней.  

А теперь вполне реальный сценарий. Клиент просит оправить его деньги получателю в государство, которое в уведомлении банка ранее не указывалось. Государство с адекватной защитой прав субъекта – банк деньги отправляет. Не обеспечивающее адекватной защиты – ждет и не отправляет. Какой закон банку в данной ситуации лучше нарушить – о персональных данных или о национальной платежной системе? А нарушить придется. 

И возвращаемся к первому сценарию. Государство с адекватной защитой. Но по причинам, указанным в частях 8 и 12 статьи 12, Роскомнадзор сообщает банку о запрете передачи. А деньги уже ушли. Теперь, в соответствии с частью 14 банк обязан обеспечить уничтожение иностранным банком-получателем ранее переданных ему персональных данных субъекта-отправителя. Вы прочитали все правильно. И да, это не смешно.

И что делать? Не знаю. Точнее – знаю. Исключить переводы денежных средств из-под регулирования статьей 12 152-ФЗ. Но это уже другая история. И не про мои рецепты.


25 июля 2022 г.

Три июньских постановления Правительства РФ про ЕБС и еще кое-какие инициативы в области биометрии. Часть 2. Еще больше биометрии в ЕБС

Продолжение. Часть 1 здесь.

Пока собирался написать второй пост про реформу ЕБС и реализующие ее новые постановления Правительства РФ, подоспел новый закон, меняющий условия использования персональных данных в целом и биометрических данных в частности.

Федеральным законом от 14.07.2022 N 325-ФЗ радикально изменена часть 18.23 статьи 14.1 трехглавого закона. Теперь в случае, если биометрические персональные данные соответствуют используемым в ЕБС, то есть изображению лица и (или) голосу (достаточно одного из двух видов биометрии), то госорганы, организации финансового рынка и вообще любые организации обязаны разместить полученную ими биометрию в ЕБС. При этом никакого согласия субъекта на такие действия (как размещение, так и использование Ростелекомом как оператором ЕБС) не требуется. При этом сдающие в ЕБС биометрию организации должны уведомить субъекта о свершившемся факте, а уж он сам может обратиться к Ростелекому с требованием о блокировании (это как, интересно? Биометрия в ЕБС будет, но использовать ее для аутентификации будет нельзя?) или уничтожении биометрических персональных данных.

Почему, на мой взгляд, этим законом радикально изменены условия использования персональных данных вообще и биометрических в частности?

Отменяются сразу несколько принципов закона «О персональных данных»:

·      ограничение обработки достижением конкретных, заранее определенных целей (часть 2 ст.5) (субъект дал согласие своему работодателю на использование изображения лица в СКУД для прохода на охраняемую территорию или банку для его идентификации при личном обслуживании, а будут использоваться эти данные в ЕБС совсем для других целей, на которые согласия не было);

·      запрет объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой (часть 3 ст.5) (цели прохода на территорию и узнавания для обращения по имени-отчеству в банке между собой заведомо не совместимы);

·      соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки (часть 5 ст.5) (в приведенных примерах при сборе персональных данных никаких целей, реализуемых в ЕБС (совершение определенных действий, подтверждение волеизъявления, подтверждение полномочия лица на совершение определенных действий – часть 18.2 ст.14.1 «трехглавого» закона) оператор не ставил).

Конструкция части 18.23 статьи 14.1 противоречит как букве, так и духу закона «О персональных данных». Закон реализует абсолютно четкую правовую конструкцию: обработка персональных данных всегда должна иметь законное основание, которым является согласие субъекта, а обработка без согласия может осуществляться только в случаях, оформленных в виде закрытых перечней для каждой категории персональных данных. Для биометрии этот закрытый перечень определен в части 2 статьи 11, которая содержит перечень случаев, в которых может быть предусмотрена обработка биометрии без согласия субъекта:

·      реализация международных договоров Российской Федерации о реадмиссии,

·      осуществление правосудия и исполнением судебных актов,

·      проведение обязательной государственной дактилоскопической регистрации,

·      случаи, предусмотренные законодательством Российской Федерации:

o   об обороне,

o   о безопасности,

o   о противодействии терроризму,

o   о транспортной безопасности,

o   о противодействии коррупции,

o   об оперативно-разыскной деятельности,

o   о государственной службе,

o   уголовно-исполнительным законодательством Российской Федерации,

o   законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию,

o   о гражданстве Российской Федерации,

o   законодательством Российской Федерации о нотариате.

Никаких отсылок к законодательству об информации, информационных технологиях, о защите информации, о банках и банковской деятельности, об акционерных обществах и др., на основании которого можно использовать данные из ЕБС для аутентификации субъектов, здесь нет.

Форма согласия на обработку данных в ЕБС предусмотрена законом и определена распоряжением Правительства № 1322-р. Там тоже нет ни слова о согласии на перенос данных в ЕБС из других систем.

На мой взгляд, такой произвольный подход к использованию одного из самых чувствительных для граждан вида персональных данных подрывает веру в правовую систему в целом и законодательство в частности.

У подобного подхода может быть много отрицательных последствий. Вот одно из них. В новой редакции говорится о том, что передать данные в виде изображения лица в ЕБС должны, в том числе, государственные органы из своих государственных информационных систем. Постановлением Правительства РФ от 04.03.2010 № 125 определен перечень персональных данных, записываемых на чип биометрического загранпаспорта. Среди них цветное цифровое фотографическое изображение лица владельца документа, которое прямо в Постановлении отнесено к биометрическим персональным данным владельца документа, хотя биометрическая аутентификация по лицу при пересечении границы пока не проводится.

Это значит, что изображения лиц всех счастливых обладателей загранпаспортов нового образца должны быть перенесены в ЕБС. Может, кто-то уже получал уведомление об этом, предусмотренное законом?

Ну, а теперь про второе Постановление Правительства от 15.06.2022 № 1067, направленное на наполнение ЕБС новыми данными – о случаях и сроках использования биометрических персональных данных, размещенных в ЕБС физическими лицами самостоятельно в порядке, который мы рассмотрели в предыдущем посте. Документ вызывает вопросы сразу же по прочтении. Как он соотносится с Постановлением Правительства от 23.10.2021 № 1815, определившим перечень случаев обработки биометрических персональных данных в информационных системах организаций? Дополняет его? Это открытый или закрытый перечень? Ну, и так далее.

Допустимые случаи использования следующие:

а) экзамены в вузах;

б) операции с использованием платежных карт в организациях торговли и сферы услуг на сумму не более 1000 рублей;

в) дополнительная аутентификация клиента организациями финансового рынка при дистанционном обслуживании при условии, что такой клиент ранее был идентифицирован этой организацией финансового рынка (то есть сдав биометрию самостоятельно, обратиться за услугой дистанционно в банк, клиентом которого субъект не является, не получится);

г) аутентификации клиента - физического лица организациями финансового рынка при его обслуживании при личном присутствии (то есть лично получить услугу в банке можно и без паспорта, если клиент уже был идентифицирован в порядке, уставленным статьей 7 антиотмывочного закона);

д) оплата проезда в г. Москве (в Питере и других городах почему-то нельзя, видимо, системы идентификации у них не той системы);

е) проход на территорию госорганов и организаций посредством СКУД за исключением довольно объемного списка организаций, включая объекты КММ, дошкольные и общеобразовательные организаций;

ж) заключение договоров об оказании услуг связи посредством сети Интернет;

з) выдача персонифицированной карты на посещение спортивных соревнований (активно обсуждаемый сейчас по стадионам ID болельщика, который категорически не хотят получать наиболее радикальные из них);

и) аутентификация на портале госуслуг.

Перспективы пугающие. Сдав биометрию с использованием мобильника, к видеокамере и микрофону которого, а также к каналу связи не выдвигается никаких требований, в отличие от систем сдачи биометрии, например, в банках, которые должны соответствовать требованиям Минцифры, можно зайти в банк представиться клиентом Пупкиным и снять деньги без паспорта, или войти на охраняемую территорию вуз, получит симку на кого-то другого и так далее.

Использовать самостоятельно сданную в ЕБС биометрию можно не более 3 лет, обновлять надо добровольно. Видимо, напоминать никто не должен, в чем я сильно сомневаюсь.

Но какие только риски не примешь ради наполнения ЕБС! И это мы еще до обсуждения инициативы Банка России об обязательной опции сбора биометрии в мобильных приложениях российских банков не добрались.

4 июля 2022 г.

Три июньских постановления Правительства про ЕБС и еще кое-какие инициативы в области биометрии. Часть 1

В июне Правительством России приняты три новых постановления, касающиеся функционирования Единой биометрической системы. Учитывая новость Банка России о необходимости «полной перезагрузки» ЕБС в течение двух ближайших лет, такая активность говорит, с одной стороны, о фактическом провале программы поголовной максимальной фиксации данных граждан страны, обеспечивающих отслеживание их передвижения (биометрия лица) и использование средств связи (биометрия голоса) (на конец 2021 году в системе было немногим больше 200 тысяч аккаунтов), а с другой – о крайней важности этой программы для государства. И банковские услуги, конечно, здесь совсем ни при чем.

Начнем с перезагрузки. Цитирую первого зампреда Банка России О.Н. Скоробогатову по РИА Новости: «Единая биометрическая система, которая была создана в 2018-2019 году, в этом и в следующем году будет полностью «перезагружена». Мы понимаем, что нам не хватает терминалов и мобильных приложений, где люди могут просто сдать свою биометрию, как это было в иностранных приложениях. Развитие системы мы относим на 2022-2023 год». В действительности в иностранных приложениях пользователи никому биометрию не сдают, если верить западным и восточным вендорам. Пользователи фиксировали ее на своем мобильном устройстве для идентификации на нем же, а дальше каждый пользователь, в зависимости от степени параноидальности и веры вендору, принимал решение, использовать ли пальчик или личико вместо пароля для разблокировки устройства или нет.

С ЕБС все по-другому. Там биометрия именно сдается оператору – ПАО Ростелеком, а затем, в соответствии с постановлением Правительства РФ от 28.12.2018 № 1703, в течение одного дня после получения запроса передается спецслужбам – ФСБ и МВД.

Но, чтобы облегчить сдачу биометрии с использованием мобильных приложений, с 30 декабря 2021 года заработали поправки в «трехглавый» закон № 149-ФЗ (часть 1.3 статьи 14.1), позволяющие размещать свои биометрические персональные данные в ЕБС с применением пользовательского оборудования, имеющего в своем составе идентификационный модуль, если личность физического лица при таком размещении подтверждена с использованием загранпаспорта, содержащего электронный носитель с биометрическими персональными данными. А 15 июня 2022 года принято Постановление Правительства РФ № 1066, определяющее порядок размещения физическими лицами своих биометрических персональных данных в ЕБС. Рассмотрим его основные положения.

Минцифры, до конца текущего месяца, должно обеспечить возможность применения прошедших в установленном порядке процедуру оценки соответствия (читаем – сертификации ФСБ России) средств криптографической защиты информации при использовании ЕСИА и ЕБС и обеспечить функционирование технического решения для проверки действительности загранпаспорта с чипом, обычно называемого биометрическим.

Ростелекому к этому же сроку Постановление, как в нем указывается, рекомендует разработать программу и методику оценки алгоритмов обнаружения атак на биометрическое предъявление (так указано в тексте Постановления) в соответствии с требованиями ГОСТ Р 58624.3-2019 и создать российское программное обеспечение (мобильное приложение) для обработки биометрии в ЕБС, согласовать его с ФСБ и Минцифры, а к 30 сентября утвердить согласованный с этими же ведомствами системный проект решения, обеспечивающего самостоятельное размещение физлицами своей биометрии в ЕБС и подключить мобильное приложение к ЕСИА и ЕБС. Как оператор системы уложится в эти более чем сжатые сроки и не просто разработает, но и успешно реализует системный проект, будет видно. ФСБ отведено на согласие системного проекта всего 15 дней.

Тогда же, 30 сентября, вступают в силу Правила самостоятельного размещения физлицами своей биометрии в ЕБС, утвержденные Постановлением Правительства.

Из примечательного в Правилах размещения отметим:

·     обязательность наличия у такого пользователя учётной записи в ЕСИА, полученной при личной явке;

·     необходимость размещения в ЕБС, помимо собственно биометрии, идентификатора из ЕСИА, номера мобильного телефона, адреса электронной почты, даты рождения и сведений о гражданстве (зачем они нужны для проверки предъявляемой биометрии именно в ЕБС при наличии записи в ЕСИА отдельный, скорее, риторический вопрос, тем более, что все сведения, кроме биометрии, в ЕБС и так загружаются из ЕСИА);

·     подтверждение личности субъекта, загружающего в ЕБС свою биометрию, и автоматическая проверка загружаемой биометрии осуществляются с использованием биометрического загранпаспорта путем сопоставления размещаемых биометрических персональных данных его данным, записанным на чип загранпаспорта, и данных владельца со сведениями в ЕСИА;

·     необходимость проверки Ростелекомом отсутствия на мобильном устройстве пользователя вредоносного программного обеспечения (вопрос о способе установки приложения на мобильное устройство в документах деликатно обходится);

·     необходимость выражения согласия субъекта на обработку его биометрии при ее размещении в ЕБС, подписанного, в том числе, простой электронной подписью (видимо, даваемого в том же мобильном приложении).

Продолжение следует.

27 мая 2022 г.

16-17 июня: изменения в законодательстве о персональных данных

16-17 июня я проведу очередной курс КП32 «Защита персональных данных» в Учебном центре «Информзащита». В мае исполнилось 15 лет, как я читаю этот курс, и я даже не пытался подсчитать, сколько слушателей на нем побывало. Много, очень много. Это был первый в стране курс по новому закону «О персональных данных», который за 4 месяца до премьеры курса вступил в силу.

Естественно, содержание курса все эти годы постоянно менялось вместе с изменениями в законе, принятием подзаконных нормативных правовых актов, судебной практикой и практикой правоприменения. Я без ложной скромности скажу, что курс уникальный. Он будет полезен и тому, кто только начинает разбираться в российском законодательстве и сталкивается с большим количеством проблем, пытаясь выполнитель его требования, и тем, кто в этой теме уже давно, но хочет «сверить часы», узнать о произошедших изменениях, разобраться в проблемах, рожденных несовершенством законодательства и практикой его правоприменения на основе толкования, которое тоже меняется время от времени.

Вот и на предстоящих занятиях мы обсудим актуальные новинки.

Поговорим о принятых изменениях в Федеральном законе «О защите прав потребителей» в части запрета на истребование персональных данных, не являющихся необходимыми для совершения сделки, и вводимой административной ответственности за невыполнение этих требований. Обсудим, а нужны ли были изменения и как мы жили без них.

Новеллу проиллюстрируем судебным решением, которым действия страховой компании, хотевшей узнать паспортные данные и сведения о водительских правах для расчета стоимости ОСАГО, были признаны неправомерными, но суд этим не ограничился и потребовал изменить еще и пользовательское соглашение на сайте. Отмечу, что решение было принято до внесения изменений в законодательство. 

Рассмотрим позицию Роскомнадзора, Банка России и ФАС по порядку получения согласия физического лица, являющего стороной договора с оператором или представляющего документы, необходимые для его заключения. Хотя формально информационные письма регуляторов касаются кредитных организаций, но рассматриваемые в них наилучшие, допустимые недопустимые и недобросовестные практики (вот прямо так и написано) полезно знать всем операторам.

Разберемся, что думают территориальные управления Роскомнадзора о сборе персональных данных с использованием веб-форм на сайтах и обязательна ли там «галочка» для выражения согласия с обработкой.

Вникнем в прецедентные решения судов трех инстанций, поддержавших оператора в споре с надзорным органом о том, что такое архивный документ, в какой форме и как долго он должен храниться, всегда ли нужны письменные согласия работников на передачу их персональных данных третьим лицам.

Расскажем о новостях с контрольных и надзорных фронтов, где объявлен мораторий на плановые проверки, но появились новые формы контроля, которые не приостановлены, такие как профилактические визиты и мероприятия без взаимодействия с контролируемым лицом. Узнаем о появлении нового надзорного органа в сфере персональных данных, проверочных листах и самопроверке.

Обсудим самые горячие вопросы очень популярной в последнее времени темы биометрических данных – аккредитацию операторов, допустимые случаи использования биометрии для идентификации и аутентификации, присоединение к Единой биометрической системе и ее условиях.

Конечно, затронем (именно затронем, без погружения) законопроекты, которые могут в ближайшее время существенно поменять ландшафт, в котором используются персональные данные, условия трансграничной передачи, порядок уничтожения персональных данных, их носителей и оформления такого уничтожения и других грядущих изменениях.

Традиционно завершаю: приходите, скучно точно не будет.

Поскольку у курса все-таки круглая дата, будет и бонус. Кто зарегистрируется и оплатит курс, сможет направить мне вопросы по электронной почте mezp11@gmail.com, на которые я отвечу во время чтения курса.  

4 мая 2022 г.

Искусство читать нормативку 2. Эта загадочная аккредитация работающих с биометрией

Посты о биометрии – одни из самых читаемых в моем блоге. Вот и последний из опубликованных, про искусство чтения нашей запутанной нормативки в области биометрии, за последние три месяца собрал на порядок больше прочтений, чем все остальные публикации. В нем я обещал вернуться к теме аккредитации, и, хотя три года на исполнение обещанного еще не прошло, решил к этой теме вернуться. Тем более, что на моем последнем вебинаре о выполнении требований законодательства о персональных данных в кредитных организациях этот вопрос тоже вызвал оживленную дискуссию участников, а к единому мнению прийти не удалось.

Главный вопрос – надо ли аккредитовываться всем, в том числе банкам, для которых использование Единой биометрической системы (ЕБС) является обязательным, а также владельцам собственных систем биометрической идентификации, никак с ЕБС не связанных, и использующих формы биометрии, отсутствующие в ЕБС (дактилоскопию, радужку глаза, рисунок вен и другие). Регулятор (Минцифры), надзор и защитник прав субъектов (Роскомнадзор) на эту тему молчат, разъяснений нет, а те, что есть в частных письмах с ответами на вопросы волнующихся операторов и специалистов однозначных ответов на поставленные вопросы не содержат. Самый наглядный пример – хождение за тремя ответами Алексея Лукацкого.

Что ж, нет разъяснений - будем читать нормативку как положено – буквально и внимательно.

Правила аккредитации операторов, обрабатывающих биометрические персональные данные, определены в Постановлении Правительства РФ от 20 октября 2021 г. № 1799. В самом Постановлении и утвержденных им Правилах ЕБС не упоминается совсем. Там есть отсылки к единому порталу гос- и муниципальных услуг, единой СМЭВ, ЕГРЮЛ, но про ЕБС - молчок.

Правила устанавливают порядок аккредитации организаций, владеющих информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающих услуги по такой идентификации и (или) аутентификации. Опять никаких исключений, при буквальном прочтении очевидно: если организация использует биометрию, то ей надо к 1 сентября бежать в Минцифры с заявлением для подтверждения своих полномочий. 

Но дьявол, как известно, в деталях. Возьмем лупу и внимательно рассмотрим их.

В преамбуле Постановления есть отсылка к частям 18.28, 18.30, 18.31 и 18.33 статьи 14.1 «трехглавого» закона от 27.06.2006 № 149-ФЗ, детально рассматривающей применение биометрии. Что же в этих частях?

В части 18.28 указывается, что аккредитация проводится в отношении организаций, в том числе финансового рынка, указанных в части 18.18 этой же статьи. ОК. А в ней что? Условия сбора и обработки биометрических персональных данных, используемых для аутентификации (как следует из текста остальных частей – без идентификации) в информационных системах этих самых организаций (реализация мер защиты, в том числе применение сертифицированных средств шифрования, наличие согласия субъекта и … аккредитация. Без рекурсии мы никак). Про ЕБС снова ни слова.

Часть 18.30 – про особенности аккредитации иностранных юридических лиц, подпадающих под требования части 18.18. Опять мимо ЕБС.

Часть 18.31 – про отсутствие ограничения срока аккредитации, но не организаций, указанных в части 18.18 и подпадающих под аккредитацию, а про упомянутые в части 18.20. Но мы упорные, разберемся и с этим.

Часть 18.20 – это про еще одну загадку законодательства о биометрии. В ней – о возможности использования биометрии уже включая идентификацию, а не только аутентификацию, организациями, кроме госорганов и органов местного самоуправления, в случаях, установленных Правительством РФ по согласованию с Банком России. Продвинутые читатели уже поняли, что речь идет про Постановление Правительства РФ от 23 октября 2021 г. № 1815, определяющем случаи, когда биометрическую идентификацию и аутентификацию можно использовать в принципе, в том числе в случае отсутствия биометрических персональных данных в ЕБС (это написано не в Постановлении, а в части 18.26 статьи 14.1, требования которой Постановление № 1815 и реализует). То есть, если ЕБС не используется, аккредитовываться точно надо. Но для того, чтобы это было возможно, помимо требований, указанных в части 18.29 (о ней будет дальше) организации надо подключиться к ГосСОПКА. Обязательно. В том числе иностранным юрлицам, которые хотят получить аккредитацию.

Ну, и наконец (будем последовательны) – про часть 18.33. Она - про особенности аккредитации иностранных юридических лиц, подпадающих под требования уже не части 18.18, а части 18.20. И опять мимо ЕБС.

Уфффф, выдохнули…? Не совсем. Странно, что в преамбуле Постановления не упоминается часть 14.29 статьи 14.1, в которой устанавливаются требований к аккредитации, которые как раз реализуются в Постановлении. Может быть потому, что в документе Правительства зачем-то полностью повторяются требования, уже прописанные в законе?

Итоги: читая буквально закон и подзаконные акты, приходим к однозначному выводу, что аккредитация нужна всем операторам, использующим биометрию для аутентификации, аутентификации и идентификации физических лиц, а также оказывающих такие услуги вне зависимости от того взаимодействуют ли они с ЕБС или нет. Даже если биометрия используется для входа в собственные помещения или информационные системы. Кстати, исходя из требований Постановления № 1815, входить в систему по биометрии (например, по «пальчику») будет нельзя.

Про условия аккредитации и требования к заявителям писать не буду. Для чтения на неделе между длинными праздниками-выходными это будет перебор. Скажу лишь, что аккредитоваться, если опять читать нормативку буквально, удастся далеко не всем, даже если использование для них биометрии является обязательным по закону, например, банкам с универсальной лицензией и иностранным участием более 49%. У таких операторов останется только один путь – получение услуг идентификации и аутентификации у счастливых обладателей аккредитации (ВТБ, Сбер?), не безвозмездно, конечно, но обязательно. Статья 7 «антиотмывочного» закона № 115-ФЗ требует.

Но об этом – как-нибудь в следующий раз. При наличии времени и желания.

3 февраля 2022 г.

На Радио Спутник - о 15-летии закона "О персональных данных"

На Радио Спутник в Международный день защиты данных поговорили о ситуации с защитой персональных данных, законе и его трансформации, телефонном мошенничестве и других проблемах, касающихся каждого без исключения человека  в нашей стране, да и не только в ней 



31 января 2022 г.

Коммерческая тайна об отечественных вакцинах от COVID-19

28-29 января российские СМИ дружно сообщали о том, что депутату Госдумы от КПРФ Алексею Куринному, врачу-хирургу в прошлой жизни, в ответ на запрос в прокуратуру, Минздрав сообщил, что вся информация о клинических испытаниях и составе препарата от COVID-19 является коммерческой тайной и не может быть обнародована без согласия разработчика, ссылаясь на статью 18 Федерального закона от 12.04.2010 № 61-ФЗ «Об обращении лекарственных средств». Акцент в ответе, судя по информации «Коммерсанта», делается на состав и содержание информации, входящей в состав регистрационного досье на вакцину.

Прежде чем продолжить свой пост, хочу сразу отметить два принципиальных момента:

1.    Я сторонник прививки от COVID-19 и привит.

2.    Отслеживая ситуацию, связанную с коммерческой тайной в нашей стране с момента принятия и вступления в силу Федерального закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне», я давно пришел к выводу, что о ней вспоминают чаще всего тогда, когда надо скрыть правду от общественности, и коммерческая тайна появляется в государственных органах, некоммерческих и даже благотворительных организациях, в которых по закону ее не должно быть в принципе в силу определения данной категории информации.

Исходя из этой диспозиции, давайте попробуем разобраться, насколько отказ Минздрава правомерен.

Здесь тоже есть принципиальные вопросы, и их четыре.

1. Какая информация закрыта в соответствии с законом «Об обращении лекарственных средств»?

Часть 18 статьи 18 закона действительно закрывает информацию о результатах доклинических исследований лекарственных средств и клинических исследований лекарственных препаратов для медицинского применения, представленной заявителем для государственной регистрации лекарственного препарата в Минздрав, на срок 6 лет.

Но! И это очень важно! Речь идет исключительно об использовании этой информации в коммерческих целях, которое возможно ранее 6 лет с даты регистрации только с согласия заявителя, а не о запрете любого доступа к данной информации. И, кстати, понятие «коммерческая тайна» в данной статье закона не упоминается от слова совсем. Какие основания были у Минздрава считать, что депутат Государственной Думы собирается использовать сведения из регистрационного досье в коммерческих целях, да еще с нарушением прав правообладателя - это большой вопрос. И, кстати, понятие «коммерческая тайна» в данной статье закона не упоминается совсем. Почему Минздрав ссылается именно на коммерческую тайну, режим которой если и вводился, то не им, а разработчиком вакцины – тоже интересно. Вернемся к нему при рассмотрении третьего вопроса.

2. Можно ли запрашиваемую информацию отнести к коммерческой тайне?

Закон «О коммерческой тайне» существенно ограничивает отнесение общественно значимой информации к коммерческой тайне. Так, пункт 4 статьи 5 указанного закона прямо запрещает устанавливать режим коммерческой тайны лицами, осуществляющими предпринимательскую деятельность (а не министерствами и ведомствами), в отношении сведений о санитарно-эпидемиологической обстановке и других факторах, оказывающих негативное воздействие на безопасность каждого гражданина и безопасность населения в целом. Сведения о негативных последствиях вакцинации, а тем более о противопоказания и возможных ограничениях (основаниях для медицинских отводов) – это как раз о негативном воздействии на безопасность граждан и населения, а о влиянии вакцинации на развитие пандемии (если они в досье есть) – сведения о санитарно-эпидемиологической обстановке.

Таким образом, некоторые сведения в досье для регистрации вакцины (в первую очередь, ноу-хау, связанные с ее составом, технологией производства и т.д.) могут составлять коммерческую тайну, но есть там и сведения, в режиме коммерческой тайны не охраноспособные, которые к этой категории информации ограниченного доступа закон относить запрещает.

Подводя итог второму вопросу, напомню, что часть 6 статьи 10 закона «О коммерческой тайне» не допускает использования режима коммерческой тайны в целях, противоречащих требованиям защиты здоровья, прав и законных интересов других лиц, обеспечения безопасности государства.

И, судя по информации в СМИ, депутат А. Куринный именно эти сведения и запрашивал.

3. Приняты ли обладателем информации все предусмотренные законом меры по установлению режима коммерческой тайны?

Перефразируя популярный интернет-мем, нельзя вот так просто взять и установить режим коммерческой тайны. Статья 10 закона «О коммерческой тайне» жестко устанавливает, что режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей коммерческую тайну, следующих мер (в скобках в каждом пункте мои пояснения к закону):

1) определение перечня информации, составляющей коммерческую тайну, далее - ИКТ (т.е. у заявителя государственной регистрации вакцины должен быть документ, который прямо относит сведения, указанные в регистрационном досье, к коммерческой тайне);

2) ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка (т.е. у указанного выше лица должен быть локальный акт, подробно регламентирующий обращение с ИКТ и меры по ограничению доступа к ней);

3) учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана (как своих работников, так и контрагентов, и органов власти, которым ИКТ была предоставлена и передана);

4) регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров (т.е. в трудовых договорах с работниками заявителя и его контрагентами, например, производителями вакцины, прямо должно быть прописаны наличие режима коммерческой тайны, порядок идентификации такой информации среди прочей, законом не охраняемой, и порядок обращения с ней);

5) нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа «Коммерческая тайна» с указанием обладателя такой информации, его полного наименования и места нахождения (т.е. вся документации по вакцине, включая сведения в электронной форме, а также документы, поданные для государственной регистрации вакцины в Минздрав, должны содержать ограничительный гриф, наименование заявителя и его адрес).

Не выполнено хотя бы одно требование – режима коммерческой тайны нет. Нет и охраны, и защиты государственными институтами прав обладателя сведений. Тому масса подтверждений в судебной практике, о которых я не раз писал в своем блоге.

4. Обязаны ли депутату Куринному предоставить запрашиваемую информацию (на самом деле самый важный вопрос в рассматриваемом контексте)?

Часть 1 статьи 6 закона «О коммерческой тайне» обязывает обладателя ИКТ по мотивированному требованию органа государственной власти, иного государственного органа предоставить им на безвозмездной основе информацию, составляющую коммерческую тайну. Вторая часть этой же статьи предусматривает, что в случае отказа обладателя ИКТ предоставить ее органу государственной власти, такой орган вправе затребовать эту информацию в судебном порядке.

Так что для дальнейшего развития событий законодательство Российской Федерации предоставляет простой и прямой путь: Дума вправе истребовать необходимые сведения у заявителя на государственную регистрацию лекарственного препарата, которые об обязан предоставить, даже если отнес их к ИКТ (с грифом), и потребовать предоставить доказательства правомерности такого отнесения.

Если сведения охраноспособны - хранить их в режиме конфиденциальности, если нет – обнародовать, учитывая общественный и публичный интерес к ним, который после отказа Минздрава существенно вырос и породил подозрения.

26 января 2022 г.

Большое интервью к 15-летию закона "О персональных данных"

 К 15-летию закона "О персональных данных" дал большое интервью главному редактору журнала Business Exsellence Наталье Борисовне Кий о наболевшем - проблемах закона, его правоприменения, влиянии закона на бизнес в России и рисках для бизнеса и граждан.








10 января 2022 г.

Искусство читать нормативку. О биометрии для идентификации и аутентификации

С наступившим вас! Теперь и трудовым.

Начинаем трудиться.

Одна из главных проблем для меня в прошлом году – нормативно-правовые документы по биометрии от новоявленного (новоназначенного?) регулятора – Минцифры России. Казалось бы, каждый новый подзаконный акт должен вносить ясность в общую норму закона, раскладывая по полочкам конкретный порядок действий по ее выполнению. Как бы не так. Последние результаты нормотворчества ситуацию только запутывают, на мой взгляд. О проблемах использования биометрии в конце декабря хорошо написал на своем сайте-блоге Алексей Лукацкий. Но я сейчас немного о другом.

Итак, при выполнении проектов 2021 года наше агентство столкнулось с рядом вопросов заказчиков, касающихся применения биометрии. Сформулирую в более-менее обобщенном виде два основных вопроса ввиду ограниченности формата поста (на самом деле их гораздо больше):

1.     Всем ли можно применять биометрию для идентификации и аутентификации? Например, можно ли небольшому ритейлеру купить и поставить на компьютеры персонала или кассовые аппараты в магазине систему распознавания пользователей по пальчикам, то есть систему дактилоскопической идентификации?   

2.     Можно ли использовать в школе систему идентификации по рисунку вен ладоней для организации доступа на территорию школы, связав ее с системами учета полученного питания и выдачи книг в библиотеках (идея «Ладошек» пока вовсе не умерла, как думают некоторые).

Рассматриваемой биометрии (дактилоскопия и рисунки вен ладони) в Единой биометрической системе (ЕБС) нет. Можно ли их использовать в России? В ответах будет очень много букв. Понимаю, после каникул напряженно, но …

Читаем статью 14.1 ФЗ «Об информации, информационных технологиях и о защите информации» - самую главную в российском законодательстве с точки зрения регулирования использования биометрии. Она и называется соответствующе – «Применение информационных технологий в целях идентификации физических лиц» (хотя почему-то про аутентификацию в названии не упоминается, но порядок ее проведения статья определяет).

Части с 1 по 10 данной статьи регламентируют использование биометрии исключительно в ЕБС, где, как все хорошо знают, только лицо и голос.

Значит, если мы живем вне ЕБС, для нас требования данный статьи обязательными не являются? Нет, просто мы еще не все прочитали.

С 1 января в статье появилась новая часть 10.1, неожиданно расширяющая действие норм, изложенных ранее: контроль и надзор за обработкой персональных данных в ЕБС, а также в информационных системах государственных органов, органов местного самоуправления, организаций финансового рынка, иных организаций и индивидуальных предпринимателей, которые осуществляют обработку биометрических персональных данных при идентификации и (или) аутентификации, в том числе при взаимодействии с ЕБС осуществляет Роскомнадзор. Что это его область надзора, на мой взгляд, очевидно и так – глава 5 ФЗ «О персональных данных» для биометрии никаких исключений не содержит. И зачем об этом писать еще и в 149-ФЗ - совершенно не понятно. Важны слова про иные биометрические системы, не связанные с ЕБС – а новая часть их существование прямо допускает.

Про новую редакцию части 11, наделяющую Банк России полномочиями по контролю и надзору за реализацией организационных и технических мер по обеспечению безопасности персональных данных, отсутствующими в ФЗ «О персональных данных», надо писать отдельно, это в границы данного поста не вписывается.

Ну, а дальше, из части 13 статьи 14.1 становится очевидным, что с 01.01.2021 Минцифры регулирует использование любой биометрии в любых системах идентификации и аутентификации любых организаций, включая требования к таким системам (приказы Минцифры от 25.06.2018 № 321 в новой редакции, который утратит силу с 01.03.2022 и от 10.09.2021 № 943, с 01.03.2022 вступающий в силу), формы подтверждения соответствия любых технологий и средств для этих целей (приказ Минцифры от 07.07.21 № 685). Но вот беда: приложение № 3 к приказу № 943 опять только про голос и лицо, соответственно, и № 685 – тоже. Зато приложения №№ 1 и 2 к тому же приказу – про сбор, размещение хранение и использование биометрии и в иных системах тоже.

А дальше читаем крайне внимательно: часть 18.2 дает право организациям использовать ЕБС для аутентификации в целях совершения определенных действий (прохода на территорию, доступа к компьютеру или кассе), но не обязывает использовать только ее. Тем, кто использует ЕБС, необходимо использовать сертифицированную криптографию (часть 18.3), за реализацией мер защиты надзирают ФСБ и ФСТЭК (часть 18.4). И далее –про тех, кто подпадает под часть 18.2, то есть использует ЕБС.

Пока вроде бы никаких препятствий для использования систем, упомянутых в вопросах в начале поста и в тех целях, которые указаны в тех же вопросах, нет. Но это только пока.

С 1 сентября наступившего года вступят в силу новые части статьи 14.1. Части 18.18 и 18.20 определяют условия проведения идентификации и аутентификации с использованием биометрии в собственных информационных системах операторов уже без упоминания и связи с ЕБС. И тогда применение сертифицированной криптографии станет обязательным для нейтрализации актуальных угроз. И самое главное – все операторы, использующие биометрию, должны будут пройти аккредитацию в Минцифре (правила аккредитации утверждены Постановлением Правительства РФ от 20.10.2021 № 1799, вступившем в силу 1 января нового года, хотя статьи об аккредитации закона заработают с 1 сентября). Если же кроме аутентификации операторы захотят проводить и идентификацию с использованием биометрии, то есть создавать шаблоны и базы биометрии, а не только сверять полученные данные с шаблонами, то на них будут распространяться требования безопасности, предъявляемые к значимым объектам КИИ и ГИСам и взаимодействовать с Госсопкой (пункт 2 части 18.20), причем отнесение владельца системы идентификации к субъектам КИИ в качестве критерия здесь не упоминается.

И не менее важное: идентификация либо идентификация и аутентификация допускаются в случаях, установленных Правительством Российской Федерации по согласованию с Центральным банком Российской Федерации (часть 18.26 статьи 14.1). А вот с этой частью – полная засада. Распространяются ли эти случаи только на идентификацию и (или) аутентификацию с использованием ЕСИА и ЕБС или это закрытый перечень случаев биометрической аутентификации, которая выполняется без ЕБС, понять из текста нельзя. Не вносит ясность и Постановление Правительства РФ от 23.10.2021 № 1815, которым этот перечень случаев определен (вступает в силу с 1 марта, а статья закона, требующая его принятия – с 1 сентября).  Постановление ссылается на части 18.20 (в которой ЕБС не упоминается) и 18.26 (в которой использование ЕБС является обязательным). Кроме того, пункт 3 Перечня случаев допускает использование биометрии в СКУД, но кроме случаев входа на объекты, совершение террористического акта на территории которых может привести к возникновению чрезвычайных ситуаций с опасными социально-экономическими последствиями, а также режимных объектов, дошкольных и общеобразовательных организаций. В школах биометрия невозможна? Нет в Перечне случаев упоминания и об использовании биометрии товаров и услуг, которая вовсю внедряется сегодня где только можно и нельзя. Так закрытый это перечень случаев или нет? Распространяется ли он только на случаи использования ЕБС или нет? Вопросы, вопросы…

С аккредитацией тоже все очень плохо. Посмотреть можно про нее, если лень разбираться в законе и постановлении правительства, в посте Алексея Лукацкого, ссылка на который есть выше. Здесь уже про это рассказать не удастся, возможно, получится свою точку зрения высказать позже.

Ну, и ответы на поставленные в начале поста вопросы. До 1 сентября все это можно. После 1 сентября, похоже, лавочки придется свернуть.

С удовольствием почитаю мнение коллег – не накосячил ли я чего, разбираясь в законах, постановлениях и приказах, не ошибся ли при интерпретации установленных ими норм. Единственная просьба – указывать конкретные нормы, которые коллегами понимаются по-другому. С цитированием и пояснениями.

С новым вас трудовым годом. Мало, похоже, в нем не покажется. Трудимся.

28 декабря 2021 г.

С Новым 2022 годом!


Уважаемые коллеги!

С наступающим вас новым 2022 годом!

Пусть этот год будет годом, открытым для всего мира, легким и свободным!

Новых вам интересных проектов, удовлетворения от сделанного, достойного вознаграждения за труды и крепкого здоровья, исполнения желаний!

Мира и спокойствия вашим домам, понимания и поддержки окружающих, тепла и уюта!

9 ноября 2021 г.

Об оплате проезда «лицом» в московском метро (система Face Pay)

 С 15 октября на всех линиях и станциях московского метро заработал сервис Face Pay. Он позволит пассажирам оплачивать проезд при помощи системы распознавания лица, нужно лишь посмотреть в камеру на турникете, - сообщил официальный сайт Мэра Москвы.

Антон Нехаенко на портале Banki.ru достаточно подробно разобрал тему внедрения системы оплаты проезда «лицом» Face Pay и возможные последствия ее использования,  в комментировании которой я также поучаствовал, но посчитал нужным более детально разъяснить свою позицию в личном блоге, поскольку проблема касается буквально каждого из нас и связана с большим количеством, мягко скажем, «недоговоренностей», возникших при внедрении системы.

О целях внедрения системы Face Pay. В ответах на вопросы о системе начальник службы платёжных сервисов Московского метрополитена, на первое место ставит транспортную безопасность, поиск преступников, а не удобство прохода для пассажиров. Именно для этой цели установили первые камеры, которые теперь приспособили для оплаты, что несколько странно в такой ситуации.

О том, какие данные о пассажире собирает система и об их защите. На сайте mos.ru, в анонсе новой системы оплаты, указывается, что для ее использования нужно привязать банковскую карту со средствами для оплаты проезда и карту «Тройка» к сервису через приложение «Метро Москвы», но скромно умалчивается о необходимости передать в систему через это приложение еще и изображение лица владельца карты. Стоит обратить внимание на то, что нет ни слова о том, как защищается передаваемая приложением информация, в частности, о средстве платежа и биометрических данных, где и как она будет храниться, кто является в отношении нее оператором персональных данных и несет ответственность за возможные инциденты с персональными данными. Ничего не сообщается о величине допустимых ошибок первого и второго рода (отказать в проходе владельцу или пропустить похожее на него лицо).

Особенно удивляет такая информация в комментариях Департамента транспорта: «Система не способна «связать» фотографию человека с его личностью — у неё просто нет данных для этого: в личном кабинете пассажир привязывает только банковскую карту, номер телефона и «Тройку»»‎. Но ведь банковская карта привязана к конкретному владельцу и к его лицу при его распознавании, иначе и быть не может.

О роли турникета метро в обработке персональных данных. В Департаменте транспорта Москвы рассказали о том, что «вся информация будет надежно зашифрована, камера на турникете считывает биометрический ключ, а не изображение лица или другие персональные данные». Веб-камера не может считывать «биометрический ключ», она может только зафиксировать изображение лица, которое затем надо преобразовать в «биометрический ключ», точнее – в математический шаблон, который и будет сверяться в базе данных с другими шаблонами. Опровержение этого алгоритма содержится в той же публикации: «Когда человек подходит к турникету, камера на нём делает несколько снимков. Лучший кадр по освещённости, положению головы, открытости лица и многим другим параметрам переводится в биометрический вектор, сравнивается с точками в базе». Сложно представить, что такое преобразование выполняется на каждом турникете станций метро, а не передается для обработки на серверы.

Относительно шифрования, используемого для защиты персональных данных. Утверждается, что шаблоны изображений лиц на сервере, которые есть «в каждом вестибюле», зашифрованы. Тогда вопрос: для распознавания по каждому пассажиру шаблоны расшифровываются, или шифруется шаблон и сравнивается с зашифрованными же образами? Как происходит обновление данных на каждом из серверов, какие используются протоколы и алгоритмы шифрования? Все эти вопросы покрыты мраком и даже не обсуждаются. Я уже не говорю про межсетевые экраны, системы обнаружения компьютерных атак и обо всем остальном, что должно быть в любой информационной системе персональных данных и, в соответствии со статьей 18.1 Закона о персональных данных, указываться в политике оператора, размещаемой для неограниченного доступа.

О создании маршрута передвижения пассажира и необходимой для этого информации. Департамент транспорта сообщает: «Посмотреть историю своих маршрутов может только сам пассажир — в личном кабинете, пароль от которого знает только он (при этом вход защищён двухфакторной аутентификацией)». Это значит, что лицо пассажира фиксируется и при выходе со станции, иначе будет невозможно отследить маршрут. Вопрос – зачем и как это связано с оплатой «по лицу» и не является ли распознавание лица пассажира на выходе из метро избыточным для целей оплаты проезда в метро? И, конечно же, ко всему, что лежит в базах данных о передвижениях пассажиров, включая личные кабинеты, имеют доступ администраторы системы.

О технических сбоях системы и «перепутанных» пассажирах. Сообщается, что, если вдруг произойдёт технический сбой и одного пассажира перепутают с другим, он может написать об этом чат-боту Александре, и в течение трёх дней деньги за поездку вернутся. И как тогда будут разрешаться конфликты? Желающих отказаться от поездки и сэкономить найдется достаточно много и всем вернут деньги?

Face Pay и не «привязанные» к ней пассажиры. Ну и вишенка на торте: «Face Pay распознаёт только тех, кто зарегистрировался в системе — на остальных пассажиров камера не реагирует: ей просто не с чем сравнивать» Что значит – не реагирует? Умная камера заранее знает, кого снимать, а кого нет? И по базе данных не прогоняются шаблоны лица всех проходящих через турникет? Этого просто не может быть, такая система работать не сможет.

О согласии пассажиров на обработку их биометрических персональных данных. Мне не удалось найти в мобильном приложении интерфейса для использования Face Pay, текст согласия на обработку биометрических персональных данных (а оно, согласно Закону о персональных данных, должно быть дано в письменной форме и соответствовать по содержанию требованиям законодательства). Текст согласия есть на сайте метрополитена, но закону он совсем не соответствует, оно анонимное, без паспортных данных, адресов субъекта и оператора. Целью обработки биометрических данных, помимо оплаты проезда, указано получение «иных услуг», каких – не сообщается (что тоже не законно), а вот про поиск преступников и обработке с этой целью данных пассажиров в согласии нет ни слова. Согласие дается ГУП «Московский метрополитен», а также организациям, подведомственным Департаменту транспорта и развития дорожно-транспортной инфраструктуры города Москвы и иным лицам, обеспечивающим достижение целей обработки изображения, указанным в пункте 4 настоящего согласия.

Что это за организации, какие у них цели, и что они делают с персональными данными пассажиров? Если исполняют получение обработки, полученное от метрополитена, то эти лица должны быть поименованы с указанием их адреса – это требования Закона о персональных данных. Если решают иные задачи, не связанные с поручением, хотелось бы знать, какие именно, иначе согласие не отвечает требованиям конкретности, информированности и сознательности.

Указано, что согласие действует со дня его выдачи, в том числе в форме электронного документа, подписанного простой электронной подписью, но о том, как его подписать электронной подписью и какой, не сообщается.

Между тем, штраф за согласие, оформленное с нарушением установленных законом требований к составу сведений, включаемых в согласие субъекта в письменной форме, влечет административную ответственность в размере до 150 тысяч рублей по каждому случаю нарушения. Но ГУП «Московский метрополитен», похоже, это совсем не пугает. Интересно, почему? Действительная цель создания системы оправдывает средства?

О скорости оплаты проезда «лицом». Большие сомнения вызывает и декларируемая высокая скорость оплаты проезда. Заммэра Максим Ликсутов оптимистично оценивает количество пользователей системы в 10-15 процентов всех пользующихся метро пассажиров. Сам метрополитен оценивал ежедневный пассажиропоток в 2019 году более, чем в 7 миллионов человек. Предположим, что пассажир в среднем совершает в день две поездки, это значит в базе должно быть не менее 350 тысяч шаблонов изображений лица. Прогнать шаблон фото через 350 тысяч образов быстрее, чем считать данные с «Тройки» и записать на нее? Не верится...  

В целом, предлагаемая система пока гораздо больше похожа на систему контроля, а не оплаты. Так может об этом честно заявить и сделать ее соответствующей закону?

И самое главное - что должен делать пассажир, биометрические данные которого скомпрометированы? Отсутствие во всех подобных внедряемых системах биометрической идентификации и аутентификации, начиная с Единой биометрической системы, сведений о том, что должен делать пользователь, биометрические данные которого скомпрометированы и как ему после этого жить дальше, а также отсутствие процедур разрешения конфликтов при оспаривании транзакций делают риски использования таких систем вообще неприемлемыми.

Использование данной системы для оплаты проезда в метрополитене я считаю крайне рискованным для граждан и ни в коем случае не рекомендую ею пользоваться.