You are viewing travkin333

Previous Entry | Next Entry

Биометрические данные

Юрий Травкин

Я продолжу публиковать разделы из книги

БИОМЕТРИЧЕСКИЕ ДАННЫЕ


Подробнее см. 12168/02/EN WP 80, Working document on biometrics

 

Быстрый прогресс в биотехнологиях и широкое применение этих технологий в самых разнообразных прикладных целях делает актуальным вопрос соотношения этого явления с фундаментальными правами человека.

Строго говоря, применение биометрии в различных областях не является новинкой. Так отпечатки пальцев давно используются в целях криминалистики. Там же с развитием химических и физических инструментальных средств стали давно использоваться свойства других биологических объектов (волос, фрагментов кожи и кожных выделений и пр.). Однако сейчас узко прикладное применение биометрических данных стало уступать широчайшему применению в самых разнообразных случаях.

Далее будут рассмотрены правовые аспекты использования биометрии, вытекающие из применения к ним требований законодательства о персональных данных. Тем самым, нас будут интересовать те сферы применения, которые связаны с автоматизированной идентификацией и/или верификацией субъектов персональных данных – носителей той или иной биометрической информации[1].

С точки зрения возможностей идентификации и/или верификации лица биометрические данные можно разделить на:

-          универсальные – биометрические характеристики, присущие всем;

-          уникальные – биометрические характеристики, отличающие только это лицо;

-          перманентные – биометрические характеристики, остающиеся неизменными в течение определенного срока.

Соответственно, техника, использующая биометрические характеристики, может опираться на физиологические и поведенческие характеристики.

К первым относятся такие методы и технологии, которые основаны на распознавании отпечатков пальцев, форм пальцев, носа, ушей, распознавании голоса, радужной оболочки глаза, анализе ДНК, выделения потовых желез и пр. Вторые связаны с анализом таких объектов, как почерк, походка и т.п.

Развитие техники, в первую очередь расширение программных способностей автоматизированных систем, позволяет не только оценивать получаемые биометрические данные, но и использовать их в различных комбинациях с другими данными. Например, можно использовать для целей контроля доступа те объекты, которые знает (должно знать) контролируемое лицо (пароль, PIN-код), имеет (должно иметь) (смарт-карту, жетон) и то, что ему присуще «от природы» (цвет и рисунок радужной оболочки глаза). Разумеется, использование такой триединой проверки повышает степень ее надежности на несколько порядков и становится крайне привлекательной.

Для того, чтобы стать «биологическим паролем», позволяющим идентифицировать или верифицировать конкретное лицо, биометрические данные должны:

-          быть собранными у данного лица;

-          пройти соответствующий отбор, превращающий собранные данные в «образец», формируемый по определенному алгоритму;

-          превратиться в набор кодов – быть «оцифрованными»;

-          быть записаны на соответствующий носитель информации.

Далее судьба «образца» может быть различной. Он может храниться:

-          в памяти устройства, работающего с биоданными;

-          в центральной базе данных;

-          на пластиковых и иных портативных носителях информации.

Очевидно, что для целей верификации хранение данных в централизованной системе не является обязательным. Достаточно, чтобы тебя «узнало» то устройство, которое принимает доказательство твоего «я». Как правило, верификация заключается в опознавании физического лица, предъявляющего одновременно себя самого (например, внешние свойства глаз) и верификационную карточку, с информацией на которой идет сравнение. Однако для того, чтобы отличить данное лицо от всех других лиц, информация о которых собрана (идентифицировать данное лицо), необходима проверка на уровне централизованной базы данных.

Использование биометрических данных, хранимых в централизованной базе данных, для идентификации без ведома их субъекта, является первым ключевым моментом, обостряющим проблему биометрии с позиций персональных данных.

Вторым не менее важным моментом является (централизованный) сбор биометрических данных без согласия субъектов этих данных. Это могут быть отпечатки пальцев, видеоряд, характеризующий походку и т.п., распознанный («оцифрованный») голос и т.д.

Наконец, в третьих, проблема идентификации, тем более проводимой без участия субъектов биометрических данных, поднимает внешне техническую проблему надежности как самих данных, так и результатов идентификации[2].

Применение положений Евродирективы

Евродиректива определяет персональные данные как:

«любую информацию, связанную с идентифицированным или идентифицируемым физическим лицом (…); идентифицируемым лицом является лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки (…) на один или несколько факторов, специфичных для его физической, психологической, ментальной (…) идентичности».

Соответственно, преамбула к Евродирективе поясняет вопрос об идентифицируемости:

«для определения того, является ли лицо идентифицируемым, следует принимать в расчет все средства, в равной мере могущие быть реально использованными либо контролером, либо любым иным лицом для идентификации указанного лица».

Принимая во внимание обсужденные основные свойства применяемых на практике биометрических данных, содержащихся в цифровом «образце», можно сказать, что в подавляющем большинстве случаев эти биометрические данные очевидно подпадают под определение персональных данных.

С другой стороны, естественные ограничения, связанные с возможностью использовать некие биометрические данные, хотя бы и хранящиеся в централизованной или иной базе данных, однако неприменимые для идентификации конкретного лица, выводят эти данные из-под понятия «персональных данных»[3]. В равной степени выводятся из сферы применения норм законодательства о персональных данных те биометрические персональные данные, которые используются для собственных нужд.

Законность и честность обработки

В соответствии с принципом, требующим от обработки качества честности по отношению к субъекту персональных данных и законности, обработка биометрических данных должна быть честной и законной на всех этапах от возникновения биометрических данных в качестве персональных данных (в качестве «образца») и до их конечного использования.

Принципы цели и пропорциональности

Персональные данные должны собираться для заранее определенных и законных целей и далее не обрабатываться для целей, несовместимых с первоначальными. В дополнение к этому, персональные данные должны быть адекватны, релевантны цели, и неизбыточны исходя из цели.

Очевидно, что принципы цели и пропорциональности являются определяющими в «проблеме биометрических данных». Так, исходя из рядовых целей верификации, набор персональных данных может быть весьма сужен и ограничен несколькими характеристиками (например, формой руки, но не отпечатками пальцев[4]) а хранение этих данных в централизованной базе данных можно расценивать, как избыточное[5].

С другой стороны, важность объекта доступа или совершаемых субъектом данных действий может потребовать не только рядовую верификацию, но и последующую тщательную и надежную идентификацию субъекта персональных данных[6].

Далее, требование совместимости цели очевидно запрещает использование биометрических данных, предназначенных для целей верификации или идентификации, для оценки физического или ментального состояния субъекта персональных данных (например, на рабочем месте).

В связи с перечисленными принципами возникает также вопрос об использовании одних и тех биометрических данных различными по своей природе контролерами (публичным и частным секторами) и создание централизованных баз данных или систем, где осуществляется взаимное использование биометрических данных. Это несет большую потенциальную угрозу для граждан наравне с существованием распределенных баз данных, с помощью которых можно составлять из разрозненных информационных фрагментов полный «биологический профиль» человека.

Наконец, следует указать на то, что уникальность свойств биометрической информации в сочетании с адекватностью ее использования может в определенных случаях снизить риски для субъектов персональных данных. К примеру, использование рядовой системы верификации позволяет обойтись без сбора и использования детальных персональных данных, таких как имя, адрес проживания, место работы, уникальные идентификаторы и прочее.

Сбор персональных данных

Обработка биометрических данных и в особенности их сбор должен осуществляться честным образом. Это определяет практическую неизбежность получения биометрических данных у субъекта этих данных и правовую уязвимость тех систем, в которых без согласия субъекта производится дистанционное распознавание лица, голоса и т.п., а также сбор тех данных, которые можно назвать «оставляемыми следами» (например, отпечатков пальцев).

Легитимизация обработки

В соответствии со статьей 7 Евродирективы контролер персональных данных должен основывать производимую обработку на одном из предлагаемых критериев легитимизации. На практике это означает, что в случае биометрических данных обработка этих данных может осуществляться преимущественно на основании согласия субъекта этих данных.

В связи с этим нужно напомнить, что, как и в случае трудовых отношений, полагаться на получение согласия субъекта персональных данных можно только тогда, когда выполнятся базовое условие согласия, как «свободно данного конкретного и сознательного указания о воле». Полученное под давлением, согласие не может отвечать указанному свойству и, тем самым, как согласие не рассматривается. Наконец, так же как в случае особых персональных данных в трудовых отношениях, согласие может быть признано ничтожным в принципе [7].

Меры безопасности

Правовые требования обеспечения безопасности обработки персональных данных требуют, чтобы были приняты адекватные организационные и технические меры, исключающие случайное или преднамеренное разрушение данных, их изменение, несанкционированный доступ к ним и т.д. В отношении биометрических данных подобные требования особо критичны.[8]

Нет особой необходимости пояснять, что превращенные в цифровой «образец», персональные данные могут при определенных обстоятельствах легко оказаться в руках недобросовестных лиц и нанести ощутимый ущерб их субъектам. Вероятность такого события многократно возрастает в случае передачи биометрических данных через Интернет.

Существует также общий вопрос, затрагивающий природу биометрических данных и связанный со спецификой отношения к ним и их применения. Любая неверная верификация субъекта биометрических данных, вне зависимости от того, произошло это по злой воле третьего лица или в результате банального сбоя системы верификации, почти неизбежно приводит к ситуации, когда субъект биометрических данных не в состоянии доказать свою невиновность. Это отражает потенциально опасное отношение к биометрическим данным, как к наиболее надежному современному способу верификации или идентификации.

Однако, развитие технологий, связанных с применением биометрических данных может дать и противоположные результаты. Например, использование биометрических данных в качестве ключа электронной подписи или криптования способно значительно снизить риски для него самого, так как декодирование может быть осуществлено только на новом наборе биометрических данных, находящихся исключительно в его «распоряжении», и неосуществимо на основании электронного «образца», находящегося где-то, и контроль над которым может быть потерян. Похожим образом надежность доступа (его авторизация) может быть существенно повышена с использованием биометрических данных в случае необходимости передачи персональных данных, относящихся к третьим лицам, что существенно снижает риски мошенничества.

Особые персональные данные

Некоторые биометрические данные могут быть отнесены к особым. Это относится к данным, имеющим отношение к здоровью субъекта биометрических данных, а также к тем данным, которые в явной форме могут указывать на его этническую или расовую принадлежность (например, данные, связанные с внешностью). Однако из самого факта обработки биометрических данных не следует, что всю обработку данных следует рассматривать как обработку особых данных. Если система предварительной подготовки и кодировки «образца» исключает возможность восстановить первоначальный «материал», то вопрос об обработки особых персональных данных снимается, а «образец» в целом следует рассматривать как «нейтральный» комплекс данных.

Биометрические данные как уникальные идентификаторы

Строго говоря, биометрические данные следует рассматривать как уникальный идентификатор, имеющий форму цифрового кода (хотя и часто чрезвычайно сложного по структуре). Это свойство биометрических данных может породить определенные сложности в использовании этих данных как инструмента доступа во взаимоотношениях граждан и госведомств, так как в этой сфере государству будет сложно оспаривать право граждан на возражение против такого использования.

С точки зрения использования биометрических данных как уникальных идентификаторов важно также отметить, что необходимое ограничение на непосредственное использование этих данных в госсекторе может быть обеспечено предписанием предварительного кодирования «образца» или произведением иных подобных операций.

Положения российского Закона

Российский Закон содержит специальную статью, описывающую правовой режим обработки биометрических персональных данных:

Статья 11. Биометрические персональные данные

1. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность
(биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

Законодатель ограничил допустимость обработки биометрических персональных данных условием, что субъект персональных данных дал письменное согласие на такую обработку.

В качестве критерия относимости неких персональных данных к категории биометрических законодатель установил возможность идентификации субъекта персональных данных на основе биометрических данных. Иными словами, из всего множества биометрических данных законодатель выделил то подмножество, которое однозначно характеризует их носителя (обладателя).

Одновременно, формула, использованная законодателем, ставит перед оператором (и обработчиком) персональных данных задачу самостоятельно оценить «уникальность» тех или иных используемых биометрических данных и, тем самым, распространимость на эти персональные данные правового режима, описанного данной статьей Закона[9].

 



[1] Для наших целей следует строго разделять понятия идентификации и верификации. Если верификация отвечает на вопрос претендования кого либо на удостоверение личности (я тот, за кого себя выдаю, в частности, когда предъявляю документ, удостоверяющий личность), то идентификация ставит своей целью отличить одно лицо от другого, т.е. ответить на вопрос «кто ты».

[2] В качестве примера можно напомнить, каким сложным и драматическим путем прошло признание технологий исследования физических характеристик биологических объектов, которые сейчас широко используются в криминалистике. В свое время понадобился не один прецедентный судебный процесс, чтобы доказать, что точность измерения, скажем, следов мышьяка в волосах жертвы, достигнутая применением нового на тот момент нейтронно-активизационного анализа, достаточна для удостоверения подлинности факта отравления мышьяком.

[3] Для пояснения данного утверждения можно обратиться к понятию «генетический код». Возможно смоделировать, скажем, с помощью компьютера, некую генетическую модель, по определению уникальную и потенциально применимую к абстрактному человеку, однако идентифицировать эти данные с «генетическим кодом» одного из проживающих на Земле людей представляется практически неосуществимым.

[4] Вопросы, связанные с отпечатками пальцев, поднимают одну из основных проблем – доступность каждому желающему биометрических данных. В этом смысле отпечатки пальцев, т.е. следы, которые каждый из нас оставляет повсеместно, являются особенно «чувствительными» биометрическими данными.

Уполномоченный орган по персональным данным Греции добился отмены внесения в национальное удостоверение личности сведений об отпечатках пальцев (против такого внесения была также Греческая православная церковь). Аргументом решения была избыточность и неадекватность включаемых сведений цели документа (удостоверения личности его владельца).

[5] Французский уполномоченный орган по персональным данным исследовал вопросы, связанные с использованием биометрических данных, в частности в системах, обеспечивающих контроль доступа. Результатом этого исследование стали рекомендации, в соответствии с которыми ведение баз данных, содержащих информацию о радужной оболочке глаза и форме руки, в большинстве случаев является допустимой. Чего нельзя сказать о базах, содержащих отпечатки пальцев. Уполномоченный орган посчитал, что информация об отпечатках пальцев должна, по преимуществу, храниться только на карточках доступа. Исключения допустимы только для архивов полиции и в случаях, когда нужно дополнительное обеспечение надежности идентификации владельца.

[6] Такими случаями были названы уполномоченным органом по персональным данным Франции доступ на ядерные объекты и в хранилища национального Банка Франции.

[7] В 2004 году уполномоченный орган по персональным данным Швеции большинством голосов решил, что создание системы контроля доступа студентов в помещения, основанной на распознавании отпечатков пальцев, является недопустимой. Уполномоченный орган не принял во внимание аргументы в пользу создания этой системы, если она будет установлена на основании согласия студентов. Уполномоченный орган посчитал, что для осуществления контроля доступа достаточно иных, менее «чувствительных» данных.

[8] Уполномоченный орган по персональным данным Италии выразил свое отношение к использованию оцифрованных отпечатков пальцев банками. Их использование должно считаться законным, если выполняются следующие условия:

система распознавания отпечатков пальцев может быть использована в случаях, когда повышены риски, с которыми сталкивается банк;

персональные данные, получаемые на основании распознавания отпечатков пальцев, не содержатся в базах данных;

использование отпечатков пальцев в системах доступа производится на основании согласия субъекта персональных данных, а сама система доступа не основана только на использовании отпечатков пальцев;

данные (оцифрованные отпечатки пальцев) защищаются криптованием;

декриптование может быть осуществлено только определенными властными органами для целей расследования преступлений;

подвергшиеся криптованию данные уничтожаются через неделю;

клиенту банка предоставлена полная информация об использовании его отпечатков пальцев;

одновременно не производится распознавание лица, а данные не индексируются.

[9] Например, оценка возможности использования систем распознавания голоса.

Comments

( 8 comments — Leave a comment )
travkin333
Apr. 24th, 2008 09:37 am (UTC)
ПЕРСОНАЛЬНЫЕ ДАННЫЕ
автор Травкин Ю.В.
Издательство "Амалданик"
Москва, 2007
ISBN 978-5-901546-08-6
объем 432 стр.
(Anonymous)
Apr. 25th, 2008 08:07 am (UTC)
подскажите пожалуйста, как вы думаете, можно считать, что в системах начисления за ЖКУ выполняется принятие начислений на основании исключительно автоматизированной образботки информации*
travkin333
Apr. 25th, 2008 08:52 am (UTC)
Я полагаю - да.

Решение о предъявлении неких требований (если хотите, угроза)- да. Насколько я понимаю, ничего другого быть не может, хотя бы из "механики". Согласитесь, "контора" не может перед этим приглашать и выслушивать. Но это только ПРЕДЪЯВЛЕНИЕ. Вот если бы "контора" не "предъявляла" а сразу списала бы "безакцептно" или уволокла из квартиры телевизор "в счет" - это было бы бесчинство.

А вот решение о каких-либо значимых действиях "контора" должна принимать только после того, как гражданину будет дана возможность "внести ясность" - предоставить свои аргументы (скажем уплатил, вот квитанции).
(Anonymous)
May. 5th, 2008 07:31 am (UTC)
а как рассматривать такой случай:
- есть некий оператор (третье лицо), который на своих мощностях содержит систему расчета субсидий. Соответственно, если она рассчитается на основании данных органов соц поддержки, то человеку придет субсидия в денежной форме. А если не рассчитается - то не придет и он потом уже только сможет разбираться с органами соц поддержки. При этом данные вносят, обрабатывают и т.д. - гос органы соц поддержки. А процессинг осуществляет третье лицо по договору, с учетом требований конфиденциальности, естественно.
ДВА ВОПРОСА:
1. могут ли считаться решения такой системы - юридическими последствиями для физ лица (кстати, очень странный термин для ФЗ). От этого зависит, к какой категории будет отнесена подобная система - специализированной или типовой по порядку классификации систем обработки персональных данных фсб.
2. должен ли оператор прекращать процессинг по требования физ лица и удалять из системы его данные? или физ лицо все-таки должно обратиться в органы соц поддержки и там запретить обработку своих данных? или он вообще не имеет права запрещать гос органом обработку, ведь те это делают на основании федерального законодательства?
travkin333
May. 5th, 2008 01:55 pm (UTC)
Вы подняли сразу несколько вопросов, каждый из которых очень важен.
1. По поводу "юридических последствий". В Законе - "порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы". Собственно, законодатель повторил формулу "евростандарта", усилив ее - здесь ВСЕ последствия, а не только "существенно воздействующие".
2. Не получив соцподдержку, гражданин оказывается в положении ущемления своих прав и интересов. За это, в Вашем случае, должны нести ответственность соцорганы. Чтобы избежать последствий "автоматизированного решения" (не нарушать Закон) органы должны:
- постоянно перепроверять реквизиты получателей;
- проверять, дошла ли соцподдержка.
3. Вы затронули очень больной вопрос, связанный с обработчиком. Еще на стадии второго чтения в ГД законопроекта я пытался вдолбить в законодательную голову, что даже на фоне остальных безобразий в законопроекте есть 3 момента, которые наделают больших бед:
- ублюдочная дефиниция персональных данных;
- ублюдочный "правовой институт" согласия;
- фактически полное отсутствие правового института обработчика.
По поводу обработчика можно прочесть кое-что в http://travkin333.livejournal.com/14507.html
Однако, мне следует вернуться к обработчику и более подробно об этом написать.
В Вашем случае, если договор не предусматривает иного, граждане вынуждены будут, на мой взгляд, обращаться в соцорганы по поводу БД (своих прав).
4. В нормативных документах (подзаконных актах, в частности, ФСБ) накручено так, что к этому нужно будет специально обратиться. Я сделаю свой анализ в самом ближайшем будущем.
5. По поводу "на основании законодательства". Это тот случай, когда "невинная" подмена - исполнение ПОЛНОМОЧИЙ на основании закона (как у них) заменено некими "правами", прописанными в каком-то там законе. Я об это вкратце упомянул в книге (см. правовые основания). Смысл того, что я сказал, надеюсь ясен - необходимость (полномочия, как ресурс исполнения ОБЯЗАННОСТЕЙ) подменена волей чиновника, действующего без согласия гражданина на "основании закона". Если нужны более подробные пояснения - я их с удовольствием дам.

Спасибо за Ваши вопросы. Это УЖЕ прецеденты, позволяющие на практике оценить качество Закона.
travkin333
May. 6th, 2008 09:11 am (UTC)
Дополнение
Наверное нужно, не дожидаясь отдельного подробного рассмотрения вопросов, связанных с обработчиком, остановиться на главных "топиках".

Как в "евростандарте" так и в Законе присутствуют два субъекта правоотношений:
- оператор
- обработчик (если оператор решил его привлечь к обработке).
В Вашем случае Вы - обработчик, соцорганы - оператор. Их связывает договор.
Оператор отличается от обработчика, по-существу, одним и главным: он определяет цели. Поскольку цели (см. принцип цели) являются определяющими, то они непосредственно предопределяют:
- принцип пропорциональности (адекватность, релевантность и пр.);
- актуальность и точность;
- время и т.д.
Оператор может поручить всю обработку обработчику или только ее часть. Однако он несет ответственность ("у них") за действия обработчика ("под контролем"). "У нас" (я думаю это в данном случае в Ваших интересах) все сводится к содержанию договора. Кроме этого "у них" обработчик должен самостоятельно общаться с субъектом данных по всем вопросам, кроме главного - доступ к данным и все претензии это исключительная обязанность оператора. "У нас" формально всем (другого нет в Законе) занимается оператор.

Теперь про оператора (в Вашем случае - соцорганы).
Еврозаконодатель выделил 2 правовых основания, для которых СПЕЦИАЛЬНО определил дополнительное право субъекта данных:
- оценка баланса интересов (в Законе отсутствует);
- обработка госорганами (в Законе заменено ссылкой на какие-то там еще законы).
Право это - возражать. Это чрезвычайно важно, потому что обязывает оператора в ДОсудебном порядке и ДО обращения к уполномоченному дать все разъяснения (ссылка "на основании закона", сами понимаете, это бред и реальным основанием не является).
В практическом плане (так, например, законодательно закреплено во многих странах) это сводится к тому, что возражение в случае госорганов (кроме, разумеется, случаев-исключений - правопорядок и пр.) автоматически означает "замораживание" обработки ("блокирование") до выяснения отношений. В принципе, если действовать "цивилизованно" (т.е. в духе, а не только по букве) то в Вашем случае это должно бы соблюдаться. По-крайней мере, это может быть прописано в договоре.
Как будут действовать наши чиновники, не знаю. Знаю только, что в общем случае гражданин для государства это - вошь. При этом чиновники любят говорить про какие-то "права" государства, не понимая и не желая понимать, что права есть только у граждан (Глава 2 Конституции Российской Федерации). А у государства (и чиновников) есть только обязанности, исполнение которых обеспечено полномочиями в качестве ресурса.
(Anonymous)
May. 5th, 2008 08:06 am (UTC)
Юрий Владимирович, а можно попросить у Вас какой-нибудь контакт? я являюсь представителем крупного обработчика самых различных персональных данных. У меня очень много есть вопросов и нюансов практики такой обработки в рамках ФЗ))))))
и я думаю, что нам было бы полезно пообщаться.
Может Вы дадите адрес электронной почты?
travkin333
May. 5th, 2008 01:04 pm (UTC)
Разумеется.
Лучше предварительно списаться по электронной почте - travkin_yv@duma.gov.ru

Буду рад помочь Вам и всем желающим.
( 8 comments — Leave a comment )

Latest Month

March 2013
S M T W T F S
     12
3456789
10111213141516
17181920212223
24252627282930
31      

Page Summary

Powered by LiveJournal.com
Designed by Jamison Wieser