«Несмотря на то, что законодатель закрепил
понятие биометрических данных в комментируемом законе, до настоящего времени
отсутствует единообразное толкование данного термина, а, соответственно, и
понимание, какие данные о человеке могут являться его биометрией».
Федеральный закон «О персональных данных»:
научно-практический комментарий, М., 2015
Дискуссия об отнесении
персональных данных к биометрическим, в первую очередь – изображения лица
человека, с той или иной периодичностью, но постоянно, вспыхивает в
профессиональном сообществе. Как один из авторов дезавуированного
Роскомнадзором и не подлежащего применению разъяснения 2013 года относительно
биометрических данных, предлагаю свое разъяснение и одно из пояснений, почему
за все время действия закона 152-ФЗ (а 17,5 лет для этого более чем достаточно)
этот вопрос так и не решился.
Первое и главное.
Вопрос отнесения к биометрии – вопрос не правовой и не юридический. Юристы к этой
проблеме вообще никакого отношения не имеют.
Это проблема чисто
математическая, а вся биометрия построена исключительно как прикладная
математическая дисциплина. Обработка биометрии предполагает наличие образцов
идентификаторов (изображение лица, слепок голоса, рисунок папиллярного узора
пальца или радужной оболочки глаза и т.д.), переведенных в цифровую форму
(математический шаблон, вектор ЕБС и т.п.) с последующим сравнением их с
предъявленным идентификатором, переведенным в цифровую форму по тем же
правилам. Этот процесс позволяет установить личность владельца идентификатора
без участия человека или принять решение, что физическим лицам, чьи данные есть
в системе, этот идентификатор не принадлежит (с определенной вероятностью) и
полностью соответствует определению ч.1 ст.11 152-ФЗ.
Вывод о том, что
проблема отнесения – математическая, а не правовая, также соответствуют позиции
Роскомнадзора, изложенной в Научно-практическом комментарии 2015 года: «Законодательное
понятие биометрических данных предполагает не только наличие определенных
сведений, содержащих информацию о физиологических и биологических особенностях
человека, но также использование биометрических методов идентификации личности».
Разработкой
международных стандартов обработки биометрических данных с 2002 года занимаются
вовсе не юристы из EDPB, органов, надзирающих за соблюдением GDPR
или Рабочей группы WP29, а специальный подкомитет ISO/IEC JTC 1/SC 37
Biometrics.
В России нормативным
регулированием биометрии занимается Технический комитет по стандартизации ТК
098 «Биометрия и биомониторинг» Федерального агентства по техническому
регулированию и метрологии, в состав которого входят четыре (!) подкомитета. С
2005 года разработано и введено в действие более 70 национальных стандартов.
Наиболее интересным для
рассматриваемого вопроса является межнациональный терминологический стандарт
биометрии – ГОСТ ISO/IEC 2382-37-2016 «Информационные технологии. Словарь.
Часть 37. Биометрия», принятый восемью странами СНГ.
В соответствии с этим
ГОСТом:
·
биометрическая характеристика: биологические и поведенческие
характеристики индивида, которые могут быть зарегистрированы и использованы в
качестве отличительных, повторяющихся биометрических признаков для автоматического
распознавания индивидов. Примерами биометрических характеристик являются:
папиллярная структура Гальтона, топография лица, текстура кожи лица, топография
кисти руки, топография пальца, структура радужной оболочки глаза, структура
сосудов кисти руки, папиллярная структура ладони, изображение сетчатки глаза,
динамика рукописной подписи и голос;
·
биометрическое распознавание/биометрия: автоматическое
распознавание индивидов, основанное на их поведенческих и биологических
характеристиках. Термин «индивид» относится только к человеку. Общее значение
биометрии включает в себя подсчет, измерение и статистический анализ
любого типа данных из области биологических наук, включая родственные
медицинские науки. Автоматическое распознавание подразумевает, что
биометрическая система может быть использована для распознавания как
автоматически, так и при участии человека, но в любом случае наличие
биометрической системы является обязательным;
·
биометрическая система: система, предназначенная для биометрического
распознавания индивидов, основанного на их поведенческих и биологических
характеристиках.
Межгосударственный ГОСТ
ISO/IEC 24713-1-2013 «Информационные технологии. Биометрические профили для
взаимодействия и обмена данными. Часть 1. Общая архитектура биометрической
системы и биометрические профили» дает следующие определения:
·
биометрия:
автоматизированное распознавание личности человека, основанное на его
поведенческих или биологических характеристиках;
·
биометрические
данные: информация, извлеченная из биометрического образца и
используемая для построения шаблона, с которым сравнивается ранее
полученный шаблон;
·
биометрические
функции: процедуры или действия по биометрической регистрации, верификации
и/или идентификации внутри биометрической системы.
Как видите, речь идет
об автоматизированном установлении принадлежности биометрических
идентификаторов конкретной личности, то есть идентификации человека, а все эти
придумки с охранниками, внутренними порталами, досками почета, фото на сайте и
стриминговым видео никакого отношения к теме не имеют. Наносное.
А вот, если внутренний портал
организации с фотографиями подключен к ЕБС (зачем????), это точно биометрия, и,
если у организации нет аккредитации для проведения биометрической
аутентификации, можно смело выдвигаться с вещами на выход.
А при чем здесь измена
в заголовке? Я математик по образованию. В 2013 году при подготовке разъяснения
я, увлеченный новой и такой завлекательной темой правового регулирования
оборота персональных данных, изменил математике, с которой прожил большую часть
своей жизни, и попытался совместить нормы закона «О персональных данных» с
четкими и строгими формулировками математических понятий, основанных на теории
информации (в первую очередь – теории кодирования в части физического
кодирования, перевода биометрических данных в шаблоны (теперь вот – векторы) и
определения точек контроля), теорией вероятности и математической статистике (в
части расчета математического ожидания, вероятностей совпадения контрольных
точек и порядка принятия решения о принадлежности биометрических идентификаторов
конкретному лицу, оценка ошибок первого и второго рода о принадлежности или не
принадлежности идентификатора конкретному субъекту). Но, как писал наш классик
в поэме «Полтава», «В одну телегу впрячь не можно коня и трепетную лань».
Каюсь. Допущение о
возможности прямого вовлечения человека в принятие решения о принадлежности
идентификаторов субъекту без использования биометрических методов верификации
личности при отнесении данных к биометрическим было глубоко ошибочным.
Исправить все можно
достаточно просто. Еще в декабре 2013 года группой сенаторов во главе с В.И.
Матвиенко в Госдуму был внесен законопроект № 416052-6, который, в том числе,
предусматривал корректировку части 1 статьи 11 закона «О персональных данных» в
части определения биометрии, добавив в него всего одно слово и перенеся скобки:
«Сведения, которые характеризуют физиологические и биологические особенности
человека, на основании которых можно установить его личность и которые
используются оператором для автоматической идентификации субъекта
персональных данных (биометрические персональные данные)». В подготовке этого
документа я принимал активное участие в составе рабочей группы, и эта была для
меня некая форма покаяния за измену. Но законопроект был принят в первом чтении
спустя почти 4 года, в мае 2016, перед вторым чтением его завернули и с тех пор
он где-то тихо лежит под сукном.
Вот такая история.
И из неожиданного. В
результате вмешательства правоведов в чуждую им область деятельности в 572-ФЗ
решили исключить из биометрии векторы (т.е. шаблоны), которые как раз и являются
биометрическими данными при проведении идентификации аутентификации (верификации)
в понимании всех международных ГОСТов по этой тематике. И это уже совсем за
гранью понимания.
