Продолжение. Часть 1 здесь.
Пока собирался написать второй пост про реформу ЕБС и реализующие
ее новые постановления Правительства РФ, подоспел новый закон, меняющий условия
использования персональных данных в целом и биометрических данных в частности.
Федеральным законом от 14.07.2022 N 325-ФЗ радикально
изменена часть 18.23 статьи 14.1 трехглавого закона. Теперь в случае, если
биометрические персональные данные соответствуют используемым в ЕБС, то есть
изображению лица и (или) голосу (достаточно одного из двух видов биометрии), то
госорганы, организации финансового рынка и вообще любые организации обязаны
разместить полученную ими биометрию в ЕБС. При этом никакого согласия субъекта
на такие действия (как размещение, так и использование Ростелекомом как
оператором ЕБС) не требуется. При этом сдающие в ЕБС биометрию организации должны
уведомить субъекта о свершившемся факте, а уж он сам может обратиться к
Ростелекому с требованием о блокировании (это как, интересно? Биометрия в ЕБС
будет, но использовать ее для аутентификации будет нельзя?) или уничтожении биометрических
персональных данных.
Почему, на мой взгляд, этим законом радикально изменены условия
использования персональных данных вообще и биометрических в частности?
Отменяются сразу несколько принципов закона «О персональных
данных»:
· ограничение обработки
достижением конкретных, заранее определенных целей (часть 2 ст.5) (субъект дал
согласие своему работодателю на использование изображения лица в СКУД для
прохода на охраняемую территорию или банку для его идентификации при личном обслуживании,
а будут использоваться эти данные в ЕБС совсем для других целей, на которые
согласия не было);
· запрет объединения баз
данных, содержащих персональные данные, обработка которых осуществляется в
целях, несовместимых между собой (часть 3 ст.5) (цели прохода на территорию и
узнавания для обращения по имени-отчеству в банке между собой заведомо не
совместимы);
· соответствие содержания
и объема обрабатываемых персональных данных заявленным целям обработки (часть 5
ст.5) (в приведенных примерах при сборе персональных данных никаких целей, реализуемых
в ЕБС (совершение определенных действий, подтверждение волеизъявления,
подтверждение полномочия лица на совершение определенных действий – часть 18.2
ст.14.1 «трехглавого» закона) оператор не ставил).
Конструкция части 18.23 статьи 14.1 противоречит как букве,
так и духу закона «О персональных данных». Закон реализует абсолютно четкую
правовую конструкцию: обработка персональных данных всегда должна иметь
законное основание, которым является согласие субъекта, а обработка без
согласия может осуществляться только в случаях, оформленных в виде закрытых
перечней для каждой категории персональных данных. Для биометрии этот закрытый
перечень определен в части 2 статьи 11, которая содержит перечень случаев, в
которых может быть предусмотрена обработка биометрии без согласия субъекта:
· реализация
международных договоров Российской Федерации о реадмиссии,
· осуществление
правосудия и исполнением судебных актов,
· проведение обязательной
государственной дактилоскопической регистрации,
· случаи, предусмотренные
законодательством Российской Федерации:
o об обороне,
o о безопасности,
o о противодействии
терроризму,
o о транспортной
безопасности,
o о противодействии
коррупции,
o об оперативно-разыскной
деятельности,
o о государственной
службе,
o уголовно-исполнительным
законодательством Российской Федерации,
o законодательством
Российской Федерации о порядке выезда из Российской Федерации и въезда в
Российскую Федерацию,
o о гражданстве
Российской Федерации,
o законодательством
Российской Федерации о нотариате.
Никаких отсылок к законодательству об информации, информационных
технологиях, о защите информации, о банках и банковской деятельности, об
акционерных обществах и др., на основании которого можно использовать данные из
ЕБС для аутентификации субъектов, здесь нет.
Форма согласия на обработку данных в ЕБС предусмотрена
законом и определена распоряжением Правительства № 1322-р. Там тоже нет ни
слова о согласии на перенос данных в ЕБС из других систем.
На мой взгляд, такой произвольный подход к использованию
одного из самых чувствительных для граждан вида персональных данных подрывает
веру в правовую систему в целом и законодательство в частности.
У подобного подхода может быть много отрицательных
последствий. Вот одно из них. В новой редакции говорится о том, что передать
данные в виде изображения лица в ЕБС должны, в том числе, государственные органы
из своих государственных информационных систем. Постановлением Правительства РФ
от 04.03.2010 № 125 определен перечень персональных данных, записываемых на чип
биометрического загранпаспорта. Среди них цветное цифровое фотографическое
изображение лица владельца документа, которое прямо в Постановлении отнесено к биометрическим
персональным данным владельца документа, хотя биометрическая аутентификация по
лицу при пересечении границы пока не проводится.
Это значит, что изображения лиц всех счастливых обладателей
загранпаспортов нового образца должны быть перенесены в ЕБС. Может, кто-то уже
получал уведомление об этом, предусмотренное законом?
Ну, а теперь про второе Постановление Правительства от
15.06.2022 № 1067, направленное на наполнение ЕБС новыми данными – о случаях
и сроках использования биометрических персональных данных, размещенных в ЕБС физическими
лицами самостоятельно в порядке, который мы рассмотрели в предыдущем посте.
Документ вызывает вопросы сразу же по прочтении. Как он соотносится с
Постановлением Правительства от 23.10.2021 № 1815, определившим перечень
случаев обработки биометрических персональных данных в информационных системах
организаций? Дополняет его? Это открытый или закрытый перечень? Ну, и так
далее.
Допустимые случаи использования следующие:
а) экзамены в вузах;
б) операции с использованием платежных карт в организациях
торговли и сферы услуг на сумму не более 1000 рублей;
в) дополнительная аутентификация клиента организациями
финансового рынка при дистанционном обслуживании при условии, что такой клиент
ранее был идентифицирован этой организацией финансового рынка (то есть сдав
биометрию самостоятельно, обратиться за услугой дистанционно в банк, клиентом
которого субъект не является, не получится);
г) аутентификации клиента - физического лица организациями
финансового рынка при его обслуживании при личном присутствии (то есть лично
получить услугу в банке можно и без паспорта, если клиент уже был
идентифицирован в порядке, уставленным статьей 7 антиотмывочного закона);
д) оплата проезда в г. Москве (в Питере и других городах почему-то
нельзя, видимо, системы идентификации у них не той системы);
е) проход на территорию госорганов и организаций
посредством СКУД за исключением довольно объемного списка организаций, включая объекты
КММ, дошкольные и общеобразовательные организаций;
ж) заключение договоров об оказании услуг связи посредством
сети Интернет;
з) выдача персонифицированной карты на посещение спортивных
соревнований (активно обсуждаемый сейчас по стадионам ID болельщика, который
категорически не хотят получать наиболее радикальные из них);
и) аутентификация на портале госуслуг.
Перспективы пугающие. Сдав биометрию с использованием
мобильника, к видеокамере и микрофону которого, а также к каналу связи не
выдвигается никаких требований, в отличие от систем сдачи биометрии, например,
в банках, которые должны соответствовать требованиям Минцифры, можно зайти в
банк представиться клиентом Пупкиным и снять деньги без паспорта, или войти на
охраняемую территорию вуз, получит симку на кого-то другого и так далее.
Использовать самостоятельно сданную в ЕБС биометрию можно
не более 3 лет, обновлять надо добровольно. Видимо, напоминать никто не должен,
в чем я сильно сомневаюсь.
Но какие только риски не примешь ради наполнения ЕБС! И это
мы еще до обсуждения инициативы Банка России об обязательной опции сбора
биометрии в мобильных приложениях российских банков не добрались.
посте. Документ вызывает вопросы сразу же по прочтении. Как он соотносится с Постановлением Правительства от 23.10.2021 № 1815, определившим перечень случаев обработки биометрических персональных данных в информационных системах организаций? Дополняет его? - ч.18.20 про информационные системы организаций, а случаи применения ЕБС в законе, например, ФЗ о связи
ОтветитьУдалитьНе понял суть вашего комментария. И подскажите, пожалуйста, где именно в законе "О связи" упоминается ЕБС?
Удалить1815 это случаи идентификации, утентификации при использовании систем организаций , в законах использование ебс, например, ст. 44 ФЗ о связи п. 1 последний абзац, то есть ссылка на часть 18 ст.14.1 трехглавого
УдалитьСпасибо, увидел. Но я так и писал, что 1815 - про ИС организаций
Удалитьиз всего вышеизложенного могу предположить следующее: установленный перечень для систем организаций исчерпывающий, новый же перечень исчервающий для случаев ,когда субъект самостоятельно разместил биометрию в ЕБС, а в целом случаи применения ЕБС устанавливаются /будут устанавливаться различным отраслевым законодательством и другими НПА. то есть самостоятельно сданная в ЕБС биометрия может применяться в ограниченных постановлением случаях. Вот интересно полученная из Кбс биометрия в применении будет ли ограничена или приравнена к биометрии,подписанной укэп уполномоченным сотрудником
Удалить