Биометрические персональные данные нюансы и тонкости обработки Хабр

Содержание

Биометрические персональные данные нюансы и тонкости обработки Хабр

Биометрические данные — это уникальные физические характеристики человека, которые используются для установления (идентификации) или проверки (аутентификации) личности. К ним относятся лицо, движение губ, сетчатка глаза, отпечаток пальца, рисунок вен и голос.

Российские банки собирают биометрические данные клиентов в двух направлениях: для собственных целей, чтобы повысить безопасность, удобство и скорость обслуживания клиентов, а также для Единой биометрической системы (ЕБС), которая была запущена Банком России и «Ростелекомом» летом 2018 года. Эта система позволяет гражданам становиться клиентами банков без посещения офиса за счет удаленной идентификации. В двух этих случаях сдача биометрии для клиентов является добровольной.

Собирать данные в ЕБС (изображение лица и цифровой слепок голоса) по закону должны все банки, однако услуги через ЕБС (открытие счета, выдача кредита и проведение платежей) пока оказывают только несколько кредитных организаций:

  • ВТБ,
  • Почта Банк,
  • Тинькофф Банк,
  • «Хоум кредит»,
  • Совкомбанк,
  • Промсвязьбанк,
  • Ак Барс Банк,
  • Россельхозбанк,
  • СКБ-Банк.

Скоро к этому списку должны добавится Росбанк, «Русский Стандарт» и РНКБ. Собственные биометрические проекты реализуют не все участники рынка: из крупнейших игроков это делают Сбербанк, ВТБ, Альфа-банк, Почта Банк и «Хоум Кредит».

Биометрические персональные данные, нюансы и тонкости обработки

Применение биометрии как способа идентификации появилось еще в далеком 19-м веке. Английские колонизаторы ввели практику идентификации своих контрагентов из числа индийцев по отпечаткам пальцев и ладоней. Метод дорабатывался в дальнейшем, но применяется и по сей день. В этой статье мы попытаемся разобраться, что же относится к биометрическим данным и какие особенности обработки возникают у оператора при работе с данной категорией персональных данных.

Биометрические персональные данные, что это?

Для начала обратимся к определению, которое приводится в ст. 11 ФЗ-152 «О персональных данных». Биометрические персональные данные — это сведения, которые характеризуют физиологические и биологические особенности человека, и которые используются для установления личности субъекта ПД.

Исходя из разъяснений Роскомнадзора, к физиологическим данным относятся: дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес, а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность.

Например, цветное цифровое фотографическое изображение лица владельца паспорта является биометрическими персональными данными владельца документа. Эта норма закреплена в ПП РФ № 125 от 4 марта 2010г. Здесь речь идет о чипе внутри первой страницы биометрического паспорта (спасибо за поправки пользователю t12589645). В тоже время, необходимо принимать во внимание цель, которую преследует оператор при обработке персональных данных, но об этом чуть позже.

Особенности обработки биометрических персональных данных

Первое, что мы видим открыв ст. 11 ФЗ-152: « Обработка биометрических персональных данных может осуществляться только с письменного согласия субъекта ПД, в случае если данные используются для установления личности субъекта. Это основное отличие обработки данной категории ПД. В остальном оператор должен руководствоваться общими требования 152-ФЗ, к организации обработки персональных данных.

Из этого правила есть и ряд исключений, когда согласие на биометрию не требуется, они приведены в ч.2 ст.11. Письменное согласие не требуется в случаях, когда обработка данных производится в связи:

  • с реализацией международных договоров о реадмиссии;
  • с осуществлением правосудия и исполнение судебных актов;
  • с проведением обязательной государственной дактилоскопической регистрацией;
  • в случаях, предусмотренных законодательством РФ об обороне, противодействии терроризму, о транспортной безопасности, о противодействии коррупции, оперативно-розыскной деятельности и т.д.

Помимо ч.2 ст.11 есть еще ряд исключений, регламентируемых другими нормативно-правовыми актами:

  1. Использование изображения в государственных, общественных или иных публичных интересах. Например, к таким случаем можно отнести информацию (фото или видеозапись), связанную с исполнением своих функций должностными лицами и общественными деятелями.Данное исключение зафиксировано в п.25 Постановления Пленума Верховного Суда РФ № 16 от 15 июня 2010г.
  2. Использование изображения полученного при съемке, проводимой в местах свободного посещения или на публичных мероприятиях: собраниях, концертах, спортивных соревнованиях и т.д. При этом изображение субъекта не должно быть основным объектом использования.
  3. Использование фотографий и видеозаписей, за которые гражданин получил оплату. Этот и предыдущий пункт регламентированы Статьей 152.1 ГК РФ. «Охрана изображения гражданина»

Если изображение гражданина, получено или используется без его согласия и распространено в сети «Интернет», гражданин вправе требовать удаления этого изображения, а также пресечения или запрещения дальнейшего его распространения.

Цели обработки биометрических персональных данных

Биометрические персональные данные это сведения, которые характеризуют физиологические и биологические особенности человека,, и которые используются для установления личности субъекта ПД.

Ключевой момент здесь: «используются для установления личности субъекта ПД». Другими словами, если оператор использует паспорт для определения личности владельца документа, то такая обработка должна строго соответствовать требованиям ст.11 Федерального закона « О персональных данных». Давайте разберем это на примерах:

В Вашей организации используется система контроля управления доступа (СКУД) — это может быть таймформер или «аналоговый» вариант в виде сотрудника, который сверяет фотографию из базы данных и присутствующую на Вашем пропуске или паспорте. В данном случае используются фотографии, которые являются биометрическими данными, характеризующие физиологические особенности, и целью обработки является определение личности, предъявляющей пропуск. Согласно разъяснениям Роскомнадзора, фотографии и другие биометрические сведения(отпечатки пальцев и т.д.), используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию относятся к обработке биометрических персональных данных.Такая процедура должна осуществляться только с письменного согласия.

Пример неправильной обработки биометрических персональных данных

Обратимся к Определению Верховного Суда РФ от 05.03.2018 № 307-КГ18-101
По итогам проверки Роскомнадзор выписал предписание организации(бассейну) с требованием прекратить использование фотографий клиентов на пропусках. Нарушение заключалось в отсутствии отдельного письменного согласия посетителей на обработку их биометрических данных, а именно фотографий.

Доводы приводимые оператором персональных данных, о том что:

  • Посетители давали общее согласие на обработку ПД,
  • Посетители добровольно прикрепляли фото к пропускам
  • ПП РФ № 125 не упоминает фото на бумажном носителе, а говорит только о «цветном цифровом фотографическом изображении»
Читать еще:  Причины подачи резюме в газпром что написать Образец резюме

не нашли понимание у судей и требования предписания остались в силе.

Правильные цели обработки биометрических персональных данных

Вернемся к разъяснениям Роскомнадзора, в которых приведены случаи, когда биометрические данные могут обрабатываться в соответствии с общими требованиями ФЗ «О персональных данных». Например, Вы приходите в банк или поликлинику, там у Вас также могут спросить паспорт и отсканировать его или снять копию. Но в этом случае целью будет являться подтверждение осуществления действий конкретным лицом (заключение договора на оказание услуг, банковских, услуг связи и т.д.) без проведения процедур установления личности. Такие действия уже не будут классифицироваться как обработка биометрических персональных данных. Соответственно, обработка данных должна осуществляться в соответствии с общими требованиями, установленными ФЗ-152.

Достаточно тонкая грань, но при этом являющаяся очень значимым моментом, который может привести к штрафным санкциям,, поэтому рекомендуется систематически проводить внутренний аудит персональных данных.»

Личное дело сотрудника

Также биометрическими персональными данными не является фотография сотрудника, хранящаяся в личном деле и подпись работника. Т.к. все действия, которые совершает работодатель, используя данные из личного дела, направлены на подтверждение их принадлежности конкретному физическому лицу. При этом личность работника уже определена и его персональные данные уже имеются у работодателя.

При этом хранить копию паспорта считается правонарушением, т.к. согласно Статье 65 Трудового кодекса Российской Федерации перечень персональных данных хранимый работодателем не определен, а данная статья определяет перечень данных, которые работник предъявляет при заключении трудового договора. К ним, в частности, относится и паспорт, как документ определяющий личность. Хранение же копии паспорта может классифицироваться как избыточные действие по отношению к заявленным целям их обработки. Здесь в качестве примера приведу пример из кассационной инстанции Северо-Кавказкого округа.

Видеосъемка в общественных местах

В том случае, если на охраняемой территории или в публичных местах ведется видеосъемка, эти данные также не могут считаться биометрическими ПД, поскольку владелец видеокамеры не использует их для идентификации конкретного человека. Биометрическими эти данные могут стать, в случае передачи их в правоохранительные органы и если переданные видеоматериалы будут использоваться для определения личности конкретного физического лица.

На что стоит обратить внимание оператору организующему такую видеосъемку?

Оператор в таком случае должен проинформировать посетителей о том, что в данном месте ведется фото-, видеосъемка. Это может быть текстовая табличка или специализированная наклейка, специальных требований к оформлению не предъявляется. В том случае, если Вы выполнили это простое требование, то согласие посетителей на проведение таких мероприятий не требуется.

Если же Вы установили видеонаблюдение в рабочих помещениях, то не забудьте проинформировать работников об этом. Уведомлять нужно обязательно под роспись. Данное требования закреплено в Трудовом кодексе РФ ст. 74 и заключается в изменении условий трудового договора.

Цели организации видеонаблюдения

Повторю это еще раз, определение целей обработки – одна из ключевых задач оператора. И организация видеонаблюдения не является исключением. Цели должны быть определены заранее и иметь правовое обоснование.

Например, если видеонаблюдение ведется в офисе, то это может быть: «Фиксация возможных действий противоправного характера». В медицинских учреждениях или на производстве продуктов питания целью может быть: «Обеспечение прав пациентов, клиентов или потребителей». Наверняка, заказывая пиццу, Вы сталкивались с возможностью наблюдать за ее приготовлением по средствам вебкамер, направленных на рабочие места.

При этом данный процесс должен быть отражен во внутренней документации оператора. Должен быть определен ответственный, имеющий доступ к системе видеонаблюдения. Обычно это закрепляется приказом. Помимо этого необходимо предусмотреть порядок и сроки хранения видеозаписей, а также порядок их удаления. Само собой не забываем про информационные таблички.

Самое важное в одном абзаце

Подводя итог, еще раз хочется остановиться на самых важных моментах. Внимательно прочитайте ч.2 ст. 11 ФЗ-152 «О персональных данных» и во всех случаях, не попадающих под них, собирайте согласие на обработку биометрических персональных данных в письменном виде. Заранее определяйте цели обработки и строго придерживайтесь их. Не собирайте избыточную информацию. В случае, если Вы не знаете как трактовать то или иное требование закона, обратитесь к разъяснениям РКН или напишите им обращение с Вашим вопросом.

Видео про самые распространенные ошибки, оформлению Согласия на обработку персональных данных можно посмотреть на ютуб канале ПДМастер, также как и другие полезные материалы по тематике «Персональные данные».

Отпечаток пальца вместо банковской карты

Сканирование отпечатков пальцев в настоящее время чаще всего используется для аутентификации на смартфонах. Впервые таким сенсором оснастили телефон Pantech GI100 в 2004 году. Однако широкое распространение дактилоскопические сканеры получили только в 2013 году, когда Apple выпустила на рынок iPhone 5S.

Отпечаток пальца можно использовать не только в качестве ключа к защите информации, но и вместо банковской карты. Так, ещё в 2014 году Сбербанк опробовал в образовательных учреждениях Чувашии технологию безналичной оплаты питания с использованием отпечатков пальцев. Сейчас система, получившая название «Ладошки», запущена во многих российских школах.

Покупатели «Азбуки Вкуса» тоже могут расплатиться за покупки отпечатком пальца. Для этого необходимо зарегистрироваться на кассе магазина и привязать банковскую карту к своим биометрическим данным. После этого будет достаточно просто приложить палец к специальному терминалу — нужная сумма автоматически спишется со счёта клиента.

По словам руководителя направления анализа защищённости исходных кодов ПАО «Ростелеком» Вячеслава Герасименко, цифровой отпечаток пальца сам по себе нигде не хранится. Тот же дактилоскопический сканер для разблокировки смартфона просто генерирует математическую модель пальца и не требует для работы его снимок. Воспроизвести эти данные невозможно, отметил Герасименко в разговоре со Skillbox Media.

Однако надёжность такого метода аутентификации не раз подвергалась сомнению. Так, в 2014 году хакер Ян Крисслер, известный под псевдонимом Starbug, сумел подделать отпечаток пальца тогдашнего министра обороны Германии, а ныне главы Еврокомиссии, Урсулы фон дер Ляйен. Для этого Крисслер использовал программу Verifinger и несколько фотографий чиновницы, снятых обычным фотоаппаратом под разными углами.

Также Starbug демонстрировал способ обхода Apple Touch ID на iPhone 5S. Хакер взял отпечаток с поверхности экрана смартфона и распечатал его на кусочке латекса. Затем он намазал узор столярным клеем и покрыл графитом. С помощью этого «слепка» Крисслер смог разблокировать чужое устройство.

Что относится к биометрическим материалам

Отнесение информации к биофизическим данным требует соблюдения следующих условий:

  • сведения должны отображать информацию о субъекте;
  • применение указанной информации позволяет распознать человека.

К биофизическим индивидуальным свойствам относятся:

  • отпечатки пальцев и ладоней;
  • радужка оболочки глаз;
  • анализы ДНК;
  • образ лица;
  • особенности строения тела;
  • состояние психического здоровья;
  • рост;
  • вес.

Для распознавания гражданина необходима одна или больше поведенческих или физических особенностей. В постановлении № 722 к сведениям, подлежащим размещению в общей информационной системе индивидуальных данных, относятся:

  • фото- или видеоизображение лица гражданина;
  • данные голоса, полученные при помощи звукозаписывающих устройств.
Читать еще:  Прощальное письмо коллегам при увольнении чтобы сохранить хорошие отношения

Правила сбора, обработки и хранения

Под особенностями обработки биометрических персональных данных подразумевается сбор, хранение и использование информации для идентификации граждан. Кроме того, в законе существуют положения о необходимости их обновления и защите.

Порядок обработки БДП закреплен в ПП № 722 и предписывает оператору действовать по следующему регламенту:

  1. Оператор направляет извещение в Роскомнадзор о предстоящем сборе персональных сведений.

Направлять уведомление, согласно ФЗ № 152, не требуется в следующих ситуациях:

  • если получение информации осуществляется на основании положений ТК России;
  • когда сведения предполагается использовать для заключения договора, но впоследствии БПД не будет передаваться;
  • в случае, когда в сборе фигурирует только именной формуляр;
  • в других ситуациях.

Методичка о порядке сбора и обработки БПД установлена в Приказе № 94 от 30 мая 17 года надзорного учреждения.

  1. Получить от пользователя или гражданина согласие в письменном формате для последующего сбора, обработки и хранения. В электронном формате, например, запрос на согласие производится в автоматическом порядке. Ситуации, в которых не требуется делать запрос у человека, освещены в статье № 11 ФЗ № 152.
  2. Сбором сведений должен заниматься уполномоченный работник, т. е. оператор, в присутствии гражданина. В процессе формируется биометрический шаблон, который визируется электронно-цифровой подписью. Впоследствии форма публикуется в единой базе.

Срок хранения биометрических персональных данных составляет минимум 50 лет с момента занесения в систему.

Суд посчитал, что технологии распознавания лиц не нарушают законодательство о персональных данных

Савеловский районный суд г. Москвы изготовил мотивированное решение, которым было отказано в удовлетворении административного иска к столичным ГУ МВД России и Департаменту информационных технологий в связи с применением городской системы видеонаблюдения и технологии распознавания лиц (дело 02а-0577/2019).

Обстоятельства дела

Как ранее писала «АГ», в апреле 2018 г. Алена Попова провела одиночный пикет около здания Госдумы с требованием отставки депутата Леонида Слуцкого, обвиненного в сексуальных домогательствах. За эту акцию она была привлечена к административной ответственности.

В ходе рассмотрения дела об административном правонарушении в Тверском районном суде г. Москвы был произведен осмотр записей с камер видеонаблюдения, на которых зафиксировано целенаправленное приближение фокуса камеры (увеличение изображения) в 32 раза с фиксацией на лице административного истца. Суд привлек женщину к административной ответственности и назначил ей штраф в 20 тыс. руб.

Посчитав использование городской системы видеонаблюдения и технологии распознавания лиц незаконным, Алена Попова обратилась в суд к ГУ МВД России по г. Москве и к столичному Департаменту информационных технологий, который является оператором ГИС «Единый центр хранения обработки данных».

В иске отмечается, что обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 11 Закона о персональных данных, предусматривающей исключения, связанные с реализацией международных договоров РФ о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством России об обороне, оперативно-разыскной деятельности, о безопасности, государственной службе, транспортной безопасности, противодействии терроризму, коррупции, а также уголовно-исполнительным законодательством и законодательством о порядке выезда из РФ и въезда.

Также истица обратила внимание на то, что законодательством РФ, к которому отсылает ч. 2 ст. 11 Закона о персональных данных в целях определения допустимых случаев обработки биометрических данных без письменного согласия субъекта персональных данных, такие случаи не установлены. «Таким образом, законодательство РФ не предусматривает ясных, однозначных и прогнозируемых оснований и правил обработки биометрических данных операторами – государственными органами в отсутствие согласия субъекта персональных данных. Следовательно, применение технологии распознавания лиц в г. Москве по умолчанию и в режиме реального времени является незаконным», – подчеркивается в административном иске.

Отмечается, что, так как федеральными законами Российской Федерации не закреплены основания для применения технологии распознавания лиц (т.е. сбора и обработки властями, государственными органами биометрических данных граждан), действия административных ответчиков по применению технологии распознавания лиц на территории г. Москвы в «Городской системе видеонаблюдения», построенной на базе ЕЦХД, образуют нарушение ст. 8 Конвенции о защите прав человека и основных свобод.

Истица попросила суд признать незаконными действия ответчиков по применению технологии распознавания лиц на территории Москвы в «Городской системе видеонаблюдения», построенной на базе ГИС ЕЦХД. Кроме того, она просила обязать административных ответчиков воздержаться от применения технологии распознавания лиц на территории Москвы, удалить биометрические персональные данные административного истца из базы данных изображений гражданина, а также представить доказательства такого удаления.

Суд не нашел оснований для удовлетворения административного иска

Изучив материалы дела, Савеловский районный суд сослался на приведенную в административном иске ч. 2 ст. 11 Закона о персональных данных и указал, что Департамент информационных технологий является функциональным органом исполнительной власти и, в соответствии с утвержденным правительством Положением, осуществляет функции по разработке и реализации государственной политики в сфере информационных технологий, телекоммуникаций, связи, межотраслевой координации в области информатизации органов исполнительной власти, функции государственного заказчика и главного распорядителя бюджетных средств на размещение государственных заказов на поставку средств вычислительной техники, оборудования и программных продуктов.

Кроме того, Департамент осуществляет оказание информационных и телекоммуникационных услуг в части, относящейся к функционированию информационных систем, а также телекоммуникационных услуг общегородского назначения и предоставления доступа к Интернету, разработку, введение в эксплуатацию и эксплуатацию информационных ресурсов и систем, разработку и тиражирование программно-технических решений для нужд государственных органов исполнительной власти и подведомственных им государственных учреждений.

Суд отметил, что Департамент получает и обрабатывает изображения в ЕЦХД, руководствуясь ст. 152.1 ГК, устанавливающей, что согласие гражданина на обнародование и дальнейшее использование изображения гражданина не требуется в случаях, когда использование изображения осуществляется в государственных, общественных или иных публичных интересах. Также согласие не требуется, когда изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях, за исключением случаев, когда такое изображение является основным объектом использования.

Суд указал, что Департамент, как обладатель информации, если иное не предусмотрено федеральными законами, вправе разрешать или ограничивать доступ к ней, определять порядок и условия такого доступа, использовать информацию, в том числе распространять ее, по своему усмотрению, а также передавать другим лицам по договору или на ином установленном законом основании. Также Департамент вправе защищать свои права в случае незаконного получения информации или ее незаконного использования иными лицами и осуществлять иные действия с ней или разрешать их осуществление.

По мнению суда, технология распознавания лиц не является запрещенным способом использования информации ее обладателем. Это комплекс видеоаналитических алгоритмов, представляющих собой совокупность организационно-технических мер и мероприятий, направленных на разработку и применение технических решений для реализации сервисов, предоставляемых с использованием ЕЦХД и соответствующих приоритетным задачам пользователей ЕЦХД.

Читать еще:  Должностная инструкция штукатурамаляра Трудовой договор со штукатуром маляром

Он указал, что Законом о персональных данных установлена разумная степень свободы использования механизма «обработка персональных данных/изображения», который используется Департаментом для достижения законных целей. Государство вправе по своему усмотрению выбирать наиболее подходящие средства защиты прав граждан. «На основании вышеизложенного Департамент как оператор ЕЦХД имеет необходимые правовые основания для приема-передачи, хранения и обработки видеоинформации любым не запрещенным способом», – посчитал суд.

Кроме того, он сослался на ч. 1 и 3 ст. 11 Закона о полиции, указав, что она в своей деятельности обязана использовать достижения науки и техники, информационные системы, сети связи, а также современную информационно-телекоммуникационную инфраструктуру. Полиция использует технические средства при документировании обстоятельств совершения преступлений, административных правонарушений, обстоятельств происшествий, в том числе в общественных местах, а также для фиксирования действий сотрудников полиции, выполняющих возложенные на них обязанности. Согласно ч. 1 ст. 17 Закона о полиции она имеет право обрабатывать данные о гражданах, необходимые для выполнения возложенных на нее обязанностей, с последующим внесением полученной информации в банки данных. Согласно ч. 7 ст. 17 закона обработка персональных данных осуществляется в соответствии с требованиями, установленными законодательством.

Суд отметил, что сотрудники ГУ МВД России по г. Москве, которым предоставлен доступ к ЕЦХД, в целях реализации служебных обязанностей используют систему видеоаналитики для отождествления лиц, находящихся в федеральном розыске, лиц, которым по решению суда запрещено посещать массовые мероприятия, лиц, находящихся под административным надзором. Таким образом, посчитал суд, деятельность ГУ МВД России по г. Москве по использованию системы видеоаналитики на базе ЕЦХД производится в полном соответствии с действующим законодательством и не может расцениваться как нарушающая права административного истца.

Кроме того, он отметил, что граждане не относятся к объектам видеонаблюдения, поскольку в соответствии с п. 11 Положения о ЕЦХД к объектам видеонаблюдения относятся помимо прочего территории, занимаемые государственными органами, органами местного самоуправления, государственными учреждениями, муниципальными учреждениями и иные территории.

Также суд указал, что Департамент не проводит мероприятий, направленных на установление личности конкретного гражданина. В ЕЦХД отсутствуют персональные данные граждан, а также биометрические персональные данные, которые необходимы для установления личности гражданина. «Алгоритм распознавания лиц, используемый в ЕЦХД, сравнивает изображение, поступающее в ЕЦХД с видеокамер, с фотографией, предоставленной правоохранительным органом. В процессе обработки соответствующих изображений происходит их сравнение на наличие или отсутствие совпадений. Департаменту не передаются персональные данные (ФИО и пр.) искомых лиц, поскольку у Департамента нет технической и юридической возможности осуществлять их сопоставление», – отметил суд.

Таким образом, указал он, при отсутствии процедуры идентификации личности видеоизображения граждан не могут считаться биометрическими персональными данными. Соответственно, отсутствует необходимость получать письменное согласие гражданина на обработку биометрических персональных данных.

Также суд не принял во внимание довод истца о том, что при рассмотрении дела об административном правонарушении в качестве доказательства была использована видеозапись с камеры видеонаблюдения с использованием «технологии распознавания лиц», поскольку, как следует из постановления, виновность в совершении правонарушения подтверждалась протоколом об административном правонарушении, рапортами сотрудников полиции и протоколом о доставлении лица, совершившего административное правонарушение, а также ответом Правительства Москвы о том, что уведомление о проведении публичного мероприятия подавалось, при этом его проведение согласовано не было. Спорная видеозапись обозревалась судом, однако он не принял ее в качестве допустимого доказательства.

Кроме того, суд не принял во внимание довод о том, что в видеозаписи была применена «технология распознавания лиц», выразившаяся в приближении фокуса камеры в 32 раза с фиксацией на лице Алены Поповой, поскольку она сама предоставила видеозапись в материалы дела. При этом из пояснений представителя Департамента следует, что в процессе передачи видеоизображения с камеры в ЕЦХД не происходит автоматическое (произвольное) приближение лица человека, запись осуществляется в потоковом режиме с расстояния, на котором установлена камера.

«Таким образом, в ходе рассмотрения указанного дела об административном правонарушении не была использована спорная видеозапись, личность истца была установлена сотрудниками полиции на месте совершения правонарушения на основании паспорта гражданина России», – резюмировал суд, отказав в удовлетворении требований.

Эксперты о решении суда

В комментарии «АГ» руководитель практики IP/IT Maxima Legal Максим Али предположил, что основной вывод суда состоял в том, что полиция вправе использовать данные видеоаналитики в связи с реализацией законных полномочий, а Департамент в полной мере не может установить личность граждан по видеозаписи, поэтому не обрабатывает биометрические персональные данные.

«При этом из поля зрения суда выпал вопрос о том, является ли ГУ МВД оператором персональных данных, а Департамент – лицом, обрабатывающим персональные данные по поручению оператора. Если да, то соблюдаются ли ими все необходимые условия и принципы обработки данных, в том числе принцип минимизации используемых данных? Вполне возможно, что ссылки на эти обстоятельства могут использоваться истцом при последующем обжаловании решения», – указал эксперт.

Адвокат АА МГКА «Власова и партнеры» Людмила Космовская посчитала, что в целом решение основано на нормах, предусматривающих использование биометрических персональных данных и изображений граждан в публичных целях (осуществление правосудия, обеспечение безопасности государства и т.д.).

По ее мнению, позиция Савеловского районного суда г. Москвы также в полной мере соответствует разъяснениям Верховного суда РФ по рассматриваемому вопросу. Так, согласно абз. 3 п. 44 Постановления Пленума Верховного Суда РФ от 23 июня 2015 г. № 25 «О применении судами некоторых положений раздела I части первой Гражданского кодекса Российской Федерации» не требуется согласия на обнародование и использование изображения гражданина, если оно необходимо в целях защиты правопорядка и государственной безопасности.

Как достичь максимума и обеспечить доверие к биометрической идентификации

К сожалению, необходимо принять тот факт, что любые персональные данные, в том числе и биометрические, не могут быть полностью защищены от хищения.

Максимум, что можно сделать — это проектировать системы, которые обесценивают украденные данные.

Ряд биометрических характеристик являются публичными. Например, наше лицо можно сфотографировать, а голос — записать на диктофон. Для обеспечения доверия пользователей к биометрической идентификации необходимо обеспечить надежность и безопасность используемых систем за счет:

  • Шифрования данных на биометрических терминалах для защиты от взлома;
  • Биометрической идентификации в режиме реального времени с проверкой на живой/неживой;
  • Использования мультиспектральных и мультимодальных решений;
  • Быстрой адаптации алгоритмов к появлению новых уязвимостей;
  • Применения алгоритмов, которые обесценивают украденные биометрические данные.

Чтобы отношение пользователей к системам биометрической идентификации стало доверительным, лучше предлагать решения, в которых для подтверждения личности надо, например, посмотреть непосредственно в объектив камеры или на определенную метку. Это устранит опасения на счет скрытой слежки и несанкционированного контроля.

Фото на обложке: Shutterstock / NicoElNino

Юридический журнал
Добавить комментарий