travkin333 (travkin333) wrote,
travkin333
travkin333

Category:

Биометрические данные

Я продолжу публиковать разделы из книги

БИОМЕТРИЧЕСКИЕ ДАННЫЕ


Подробнее см. 12168/02/EN WP 80, Working document on biometrics

 

Быстрый прогресс в биотехнологиях и широкое применение этих технологий в самых разнообразных прикладных целях делает актуальным вопрос соотношения этого явления с фундаментальными правами человека.

Строго говоря, применение биометрии в различных областях не является новинкой. Так отпечатки пальцев давно используются в целях криминалистики. Там же с развитием химических и физических инструментальных средств стали давно использоваться свойства других биологических объектов (волос, фрагментов кожи и кожных выделений и пр.). Однако сейчас узко прикладное применение биометрических данных стало уступать широчайшему применению в самых разнообразных случаях.

Далее будут рассмотрены правовые аспекты использования биометрии, вытекающие из применения к ним требований законодательства о персональных данных. Тем самым, нас будут интересовать те сферы применения, которые связаны с автоматизированной идентификацией и/или верификацией субъектов персональных данных – носителей той или иной биометрической информации[1].

С точки зрения возможностей идентификации и/или верификации лица биометрические данные можно разделить на:

-          универсальные – биометрические характеристики, присущие всем;

-          уникальные – биометрические характеристики, отличающие только это лицо;

-          перманентные – биометрические характеристики, остающиеся неизменными в течение определенного срока.

Соответственно, техника, использующая биометрические характеристики, может опираться на физиологические и поведенческие характеристики.

К первым относятся такие методы и технологии, которые основаны на распознавании отпечатков пальцев, форм пальцев, носа, ушей, распознавании голоса, радужной оболочки глаза, анализе ДНК, выделения потовых желез и пр. Вторые связаны с анализом таких объектов, как почерк, походка и т.п.

Развитие техники, в первую очередь расширение программных способностей автоматизированных систем, позволяет не только оценивать получаемые биометрические данные, но и использовать их в различных комбинациях с другими данными. Например, можно использовать для целей контроля доступа те объекты, которые знает (должно знать) контролируемое лицо (пароль, PIN-код), имеет (должно иметь) (смарт-карту, жетон) и то, что ему присуще «от природы» (цвет и рисунок радужной оболочки глаза). Разумеется, использование такой триединой проверки повышает степень ее надежности на несколько порядков и становится крайне привлекательной.

Для того, чтобы стать «биологическим паролем», позволяющим идентифицировать или верифицировать конкретное лицо, биометрические данные должны:

-          быть собранными у данного лица;

-          пройти соответствующий отбор, превращающий собранные данные в «образец», формируемый по определенному алгоритму;

-          превратиться в набор кодов – быть «оцифрованными»;

-          быть записаны на соответствующий носитель информации.

Далее судьба «образца» может быть различной. Он может храниться:

-          в памяти устройства, работающего с биоданными;

-          в центральной базе данных;

-          на пластиковых и иных портативных носителях информации.

Очевидно, что для целей верификации хранение данных в централизованной системе не является обязательным. Достаточно, чтобы тебя «узнало» то устройство, которое принимает доказательство твоего «я». Как правило, верификация заключается в опознавании физического лица, предъявляющего одновременно себя самого (например, внешние свойства глаз) и верификационную карточку, с информацией на которой идет сравнение. Однако для того, чтобы отличить данное лицо от всех других лиц, информация о которых собрана (идентифицировать данное лицо), необходима проверка на уровне централизованной базы данных.

Использование биометрических данных, хранимых в централизованной базе данных, для идентификации без ведома их субъекта, является первым ключевым моментом, обостряющим проблему биометрии с позиций персональных данных.

Вторым не менее важным моментом является (централизованный) сбор биометрических данных без согласия субъектов этих данных. Это могут быть отпечатки пальцев, видеоряд, характеризующий походку и т.п., распознанный («оцифрованный») голос и т.д.

Наконец, в третьих, проблема идентификации, тем более проводимой без участия субъектов биометрических данных, поднимает внешне техническую проблему надежности как самих данных, так и результатов идентификации[2].

Применение положений Евродирективы

Евродиректива определяет персональные данные как:

«любую информацию, связанную с идентифицированным или идентифицируемым физическим лицом (…); идентифицируемым лицом является лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки (…) на один или несколько факторов, специфичных для его физической, психологической, ментальной (…) идентичности».

Соответственно, преамбула к Евродирективе поясняет вопрос об идентифицируемости:

«для определения того, является ли лицо идентифицируемым, следует принимать в расчет все средства, в равной мере могущие быть реально использованными либо контролером, либо любым иным лицом для идентификации указанного лица».

Принимая во внимание обсужденные основные свойства применяемых на практике биометрических данных, содержащихся в цифровом «образце», можно сказать, что в подавляющем большинстве случаев эти биометрические данные очевидно подпадают под определение персональных данных.

С другой стороны, естественные ограничения, связанные с возможностью использовать некие биометрические данные, хотя бы и хранящиеся в централизованной или иной базе данных, однако неприменимые для идентификации конкретного лица, выводят эти данные из-под понятия «персональных данных»[3]. В равной степени выводятся из сферы применения норм законодательства о персональных данных те биометрические персональные данные, которые используются для собственных нужд.

Законность и честность обработки

В соответствии с принципом, требующим от обработки качества честности по отношению к субъекту персональных данных и законности, обработка биометрических данных должна быть честной и законной на всех этапах от возникновения биометрических данных в качестве персональных данных (в качестве «образца») и до их конечного использования.

Принципы цели и пропорциональности

Персональные данные должны собираться для заранее определенных и законных целей и далее не обрабатываться для целей, несовместимых с первоначальными. В дополнение к этому, персональные данные должны быть адекватны, релевантны цели, и неизбыточны исходя из цели.

Очевидно, что принципы цели и пропорциональности являются определяющими в «проблеме биометрических данных». Так, исходя из рядовых целей верификации, набор персональных данных может быть весьма сужен и ограничен несколькими характеристиками (например, формой руки, но не отпечатками пальцев[4]) а хранение этих данных в централизованной базе данных можно расценивать, как избыточное[5].

С другой стороны, важность объекта доступа или совершаемых субъектом данных действий может потребовать не только рядовую верификацию, но и последующую тщательную и надежную идентификацию субъекта персональных данных[6].

Далее, требование совместимости цели очевидно запрещает использование биометрических данных, предназначенных для целей верификации или идентификации, для оценки физического или ментального состояния субъекта персональных данных (например, на рабочем месте).

В связи с перечисленными принципами возникает также вопрос об использовании одних и тех биометрических данных различными по своей природе контролерами (публичным и частным секторами) и создание централизованных баз данных или систем, где осуществляется взаимное использование биометрических данных. Это несет большую потенциальную угрозу для граждан наравне с существованием распределенных баз данных, с помощью которых можно составлять из разрозненных информационных фрагментов полный «биологический профиль» человека.

Наконец, следует указать на то, что уникальность свойств биометрической информации в сочетании с адекватностью ее использования может в определенных случаях снизить риски для субъектов персональных данных. К примеру, использование рядовой системы верификации позволяет обойтись без сбора и использования детальных персональных данных, таких как имя, адрес проживания, место работы, уникальные идентификаторы и прочее.

Сбор персональных данных

Обработка биометрических данных и в особенности их сбор должен осуществляться честным образом. Это определяет практическую неизбежность получения биометрических данных у субъекта этих данных и правовую уязвимость тех систем, в которых без согласия субъекта производится дистанционное распознавание лица, голоса и т.п., а также сбор тех данных, которые можно назвать «оставляемыми следами» (например, отпечатков пальцев).

Легитимизация обработки

В соответствии со статьей 7 Евродирективы контролер персональных данных должен основывать производимую обработку на одном из предлагаемых критериев легитимизации. На практике это означает, что в случае биометрических данных обработка этих данных может осуществляться преимущественно на основании согласия субъекта этих данных.

В связи с этим нужно напомнить, что, как и в случае трудовых отношений, полагаться на получение согласия субъекта персональных данных можно только тогда, когда выполнятся базовое условие согласия, как «свободно данного конкретного и сознательного указания о воле». Полученное под давлением, согласие не может отвечать указанному свойству и, тем самым, как согласие не рассматривается. Наконец, так же как в случае особых персональных данных в трудовых отношениях, согласие может быть признано ничтожным в принципе [7].

Меры безопасности

Правовые требования обеспечения безопасности обработки персональных данных требуют, чтобы были приняты адекватные организационные и технические меры, исключающие случайное или преднамеренное разрушение данных, их изменение, несанкционированный доступ к ним и т.д. В отношении биометрических данных подобные требования особо критичны.[8]

Нет особой необходимости пояснять, что превращенные в цифровой «образец», персональные данные могут при определенных обстоятельствах легко оказаться в руках недобросовестных лиц и нанести ощутимый ущерб их субъектам. Вероятность такого события многократно возрастает в случае передачи биометрических данных через Интернет.

Существует также общий вопрос, затрагивающий природу биометрических данных и связанный со спецификой отношения к ним и их применения. Любая неверная верификация субъекта биометрических данных, вне зависимости от того, произошло это по злой воле третьего лица или в результате банального сбоя системы верификации, почти неизбежно приводит к ситуации, когда субъект биометрических данных не в состоянии доказать свою невиновность. Это отражает потенциально опасное отношение к биометрическим данным, как к наиболее надежному современному способу верификации или идентификации.

Однако, развитие технологий, связанных с применением биометрических данных может дать и противоположные результаты. Например, использование биометрических данных в качестве ключа электронной подписи или криптования способно значительно снизить риски для него самого, так как декодирование может быть осуществлено только на новом наборе биометрических данных, находящихся исключительно в его «распоряжении», и неосуществимо на основании электронного «образца», находящегося где-то, и контроль над которым может быть потерян. Похожим образом надежность доступа (его авторизация) может быть существенно повышена с использованием биометрических данных в случае необходимости передачи персональных данных, относящихся к третьим лицам, что существенно снижает риски мошенничества.

Особые персональные данные

Некоторые биометрические данные могут быть отнесены к особым. Это относится к данным, имеющим отношение к здоровью субъекта биометрических данных, а также к тем данным, которые в явной форме могут указывать на его этническую или расовую принадлежность (например, данные, связанные с внешностью). Однако из самого факта обработки биометрических данных не следует, что всю обработку данных следует рассматривать как обработку особых данных. Если система предварительной подготовки и кодировки «образца» исключает возможность восстановить первоначальный «материал», то вопрос об обработки особых персональных данных снимается, а «образец» в целом следует рассматривать как «нейтральный» комплекс данных.

Биометрические данные как уникальные идентификаторы

Строго говоря, биометрические данные следует рассматривать как уникальный идентификатор, имеющий форму цифрового кода (хотя и часто чрезвычайно сложного по структуре). Это свойство биометрических данных может породить определенные сложности в использовании этих данных как инструмента доступа во взаимоотношениях граждан и госведомств, так как в этой сфере государству будет сложно оспаривать право граждан на возражение против такого использования.

С точки зрения использования биометрических данных как уникальных идентификаторов важно также отметить, что необходимое ограничение на непосредственное использование этих данных в госсекторе может быть обеспечено предписанием предварительного кодирования «образца» или произведением иных подобных операций.

Положения российского Закона

Российский Закон содержит специальную статью, описывающую правовой режим обработки биометрических персональных данных:

Статья 11. Биометрические персональные данные

1. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность
(биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

Законодатель ограничил допустимость обработки биометрических персональных данных условием, что субъект персональных данных дал письменное согласие на такую обработку.

В качестве критерия относимости неких персональных данных к категории биометрических законодатель установил возможность идентификации субъекта персональных данных на основе биометрических данных. Иными словами, из всего множества биометрических данных законодатель выделил то подмножество, которое однозначно характеризует их носителя (обладателя).

Одновременно, формула, использованная законодателем, ставит перед оператором (и обработчиком) персональных данных задачу самостоятельно оценить «уникальность» тех или иных используемых биометрических данных и, тем самым, распространимость на эти персональные данные правового режима, описанного данной статьей Закона[9].

 



[1] Для наших целей следует строго разделять понятия идентификации и верификации. Если верификация отвечает на вопрос претендования кого либо на удостоверение личности (я тот, за кого себя выдаю, в частности, когда предъявляю документ, удостоверяющий личность), то идентификация ставит своей целью отличить одно лицо от другого, т.е. ответить на вопрос «кто ты».

[2] В качестве примера можно напомнить, каким сложным и драматическим путем прошло признание технологий исследования физических характеристик биологических объектов, которые сейчас широко используются в криминалистике. В свое время понадобился не один прецедентный судебный процесс, чтобы доказать, что точность измерения, скажем, следов мышьяка в волосах жертвы, достигнутая применением нового на тот момент нейтронно-активизационного анализа, достаточна для удостоверения подлинности факта отравления мышьяком.

[3] Для пояснения данного утверждения можно обратиться к понятию «генетический код». Возможно смоделировать, скажем, с помощью компьютера, некую генетическую модель, по определению уникальную и потенциально применимую к абстрактному человеку, однако идентифицировать эти данные с «генетическим кодом» одного из проживающих на Земле людей представляется практически неосуществимым.

[4] Вопросы, связанные с отпечатками пальцев, поднимают одну из основных проблем – доступность каждому желающему биометрических данных. В этом смысле отпечатки пальцев, т.е. следы, которые каждый из нас оставляет повсеместно, являются особенно «чувствительными» биометрическими данными.

Уполномоченный орган по персональным данным Греции добился отмены внесения в национальное удостоверение личности сведений об отпечатках пальцев (против такого внесения была также Греческая православная церковь). Аргументом решения была избыточность и неадекватность включаемых сведений цели документа (удостоверения личности его владельца).

[5] Французский уполномоченный орган по персональным данным исследовал вопросы, связанные с использованием биометрических данных, в частности в системах, обеспечивающих контроль доступа. Результатом этого исследование стали рекомендации, в соответствии с которыми ведение баз данных, содержащих информацию о радужной оболочке глаза и форме руки, в большинстве случаев является допустимой. Чего нельзя сказать о базах, содержащих отпечатки пальцев. Уполномоченный орган посчитал, что информация об отпечатках пальцев должна, по преимуществу, храниться только на карточках доступа. Исключения допустимы только для архивов полиции и в случаях, когда нужно дополнительное обеспечение надежности идентификации владельца.

[6] Такими случаями были названы уполномоченным органом по персональным данным Франции доступ на ядерные объекты и в хранилища национального Банка Франции.

[7] В 2004 году уполномоченный орган по персональным данным Швеции большинством голосов решил, что создание системы контроля доступа студентов в помещения, основанной на распознавании отпечатков пальцев, является недопустимой. Уполномоченный орган не принял во внимание аргументы в пользу создания этой системы, если она будет установлена на основании согласия студентов. Уполномоченный орган посчитал, что для осуществления контроля доступа достаточно иных, менее «чувствительных» данных.

[8] Уполномоченный орган по персональным данным Италии выразил свое отношение к использованию оцифрованных отпечатков пальцев банками. Их использование должно считаться законным, если выполняются следующие условия:

система распознавания отпечатков пальцев может быть использована в случаях, когда повышены риски, с которыми сталкивается банк;

персональные данные, получаемые на основании распознавания отпечатков пальцев, не содержатся в базах данных;

использование отпечатков пальцев в системах доступа производится на основании согласия субъекта персональных данных, а сама система доступа не основана только на использовании отпечатков пальцев;

данные (оцифрованные отпечатки пальцев) защищаются криптованием;

декриптование может быть осуществлено только определенными властными органами для целей расследования преступлений;

подвергшиеся криптованию данные уничтожаются через неделю;

клиенту банка предоставлена полная информация об использовании его отпечатков пальцев;

одновременно не производится распознавание лица, а данные не индексируются.

[9] Например, оценка возможности использования систем распознавания голоса.

Subscribe

  • Про частную жизнь. Новая законодательная инициатива

    Ранее, рассматривая возможные подходы к решению «проблемы персональных данных», мы более-менее подробно коснулись и конституционных…

  • Поправки в ГК РФ

    За подписью Президента Российской Федерации в Государственную Думу были внесены поправки в ГК РФ (Гражданский кодекс). Предлагаю вашему…

  • Новый сайт-проект

    Предлагаем вашему вниманию новый проект, посвященный персональным данным - www.mpdata.ru. Это сугубо коммерческий проект, предназначенный для…

  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 8 comments