Сведения которые характеризуют физиологические и биологические. Новые разъяснения Роскомнадзора – теперь про биометрические персональные данные. Что такое биометрические данные

Хотите знать, что относится к биометрическим персональным данным, а также что это за система? Сегодня мы поговорим о внедрении биометрических технологий в повседневную жизнь человека и объясним, что же такое биометрия, зачем она нужна и в чём её преимущества.

Биометрия

Для начала стоит разобраться в том, что такое биометрия. Это научная дисциплина, целью которой является изучение разнообразных параметров человека, при помощи которых его можно идентифицировать среди всего населения Земли. Эти технологии очень распространены на Западе, так как это позволяет значительно улучшить эффективность работы множества государственных служб. В России биометрические технологии уже начинают постепенно внедряться, а анализ отпечатков пальцев используется активно.

Что такое биометрические данные?

Чтобы ответить на этот вопрос правильно, следует понять, что польза обществу от применения биометрических показателей будет огромна. Современное общество постоянно развивается, и ничто не может остановить этот процесс. Качественные технологические реформы происходят на каждом уровне, а инновации внедряются во все сферы жизни человека.

Биометрические персональные данные – это измеримые поведенческие или физиологические данные любого человека. Говоря более простым языком, это может быть как официальный документ, удостоверяющий личность, так и фотография или видеозапись, на которой присутствует человек. Огромное преимущество таких данных в том, что они полностью уникальны. Именно поэтому их можно эффективно использовать для идентификации личности. Если бумажные документы можно очень мастерски подделать, то биометрические данные невозможно как-либо сфальсифицировать.

Характеристика

Существует два показателя, по которым можно сгруппировать такие данные. Обе группы очень важны и значительны по качеству носимой информации.

Первая группа – это физиологические биометрические данные, которые непосредственно касаются каких-либо характеристик тела (отпечатки пальцев, ДНК-анализ, скан руки, сетчатки глаза, запах человека, голос, распознавание лица).

Вторая группа – поведенческие данные, которые напрямую связаны с тем, как человек ведёт себя в различных ситуациях (например, походка, речь, возбудимость).

Состав

Описать полный состав биометрических данных невозможно, так как он может быть очень обширен. Если обобщить и привести суть проблемы, то можно сказать, что биометрические данные – это сведения, которые могут каким-либо образом описать физиологические и биологические особенности человека, на их основе можно установить личность человека, и они могут быть использованы оператором для анализа субъекта. Стоит отметить, что все вышеперечисленные составляющие должны присутствовать одновременно. Биометрия невозможна без идентификации, можно сказать, что это – её базовый принцип.

Из этого следует, что врачебные снимки или кардиограмма сердца не могут служить идентифицирующими данными, хотя теоретически они принадлежат к физиологической группе данных. Попадая в руки специальных органов, эти данные в совокупности с другой персональной информацией могут служить базой для проведения идентификации личности.

Обработка

Обработка биометрических данных согласно закону может проводиться только на справедливой правовой основе. Должна быть определена конкретная цель сбора и обработки данных, и только для этих целей можно использовать полученную информацию. Государством запрещено объединение данных, цели сбора которых противоречат друг другу или просто несовместимы. Нельзя проводить анализ данных для получения избыточных сведений, которые не были указаны в начале задания как необходимые.

Допускается анализ только проверенных и точных данных, а любые неточности и ошибки подлежат перепроверке или исключению из базы. Биометрические персональные данные – это та информация, которую можно хранить только определённый срок, необходимый для достижения целей сбора. В случае достижения поставленного результата, все данные должны быть уничтожены или обезличены. Важным моментом любой обработки персональной информации является согласие самого субъекта. Личная информация может быть обнародована, если субъект решил предоставить к ней неограниченный доступ.

Использование данных

Что такое биометрические данные человека? Это набор отличительных характеристик по разным пунктам. Совокупность или комплекс этих данных позволяют очень точно идентифицировать человека. Ценность такой информации в том, что она может быть использована в благих целях. Применение персональных данных четко регулируется законом, и несоблюдение правил карается в строгом порядке. Сбор и анализ личной информации возможен только после личного согласия человека на это. Доступ к закрытой информации имеет только государство, любые частные структуры не имеют права получать личные данные субъекта.

Использование биометрических технологий – это очень перспективное направление, которое позволит моментально находить преступников, спасать больных людей, оказывать незамедлительную помощь при трагедиях, находить людей гораздо быстрее и т. д. Подобные технологии очень активно применяются в других странах, и уровень преступности, внезапной смертности и т. д. у них гораздо ниже, что явно свидетельствует об эффективности метода.

Мнение общественности

Сейчас очень активно внедряется биометрия идентификации личности по паспорту. Цифровое изображение, вшитое в чип любого документа, будет не только сообщать о человеке стандартные данные, но также предоставлять целый пакет информации, которая была собрана. Некоторые опасаются внедрения биометрических паспортов, так как это напоминает тотальный контроль.

Обычному человеку практические невозможно проконтролировать использование биометрических данных – всё, что остаётся, – это поверить на слово, что они надежно защищены. Следует помнить, что инновационные чипы предполагают даже то, что человека можно отследить по его месту нахождения, в дистанционном режиме узнать о его физическом состоянии, а также получить полную информацию о том, чем субъект занят в определённый период времени.

Несмотря на то что внедрение биометрии в повседневную жизнь – это огромный прогресс в науке и технике, большинство людей всё же опасается такого вида контроля. При этом стоит понимать, что сеть Интернет переполняет фантазийная информация о том, что за всеми этими процессами стоит Тайное Мировое Правительство. Такую панику сеют в массах нарочно, чтобы накалить обстановку. Стоит реально оценивать ситуацию и понимать, что прогресс наступает во всех областях жизни и поэтому глупо сдерживать его в конкретном направлении.

Конечно, злоупотребление полученными технологиями действительно может быть, но мы живём в правовом государстве, где интересы человека играют важнейшую роль. Кроме того, будет внедрена специальная система защиты персональных данных человека, пренебрежение которой будет нести за собой ответственность по закону.

На сайте Роскомнадзора появились разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных к биометрическим персональным данным и особенностям их обработки . Что теперь ясно?

А то, что к биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта.

Т.е. для того, чтобы персональные данные считались биометрическими, должны быть соблюдены 3 условия:

• Данные должны содержать физиологические или биологические характеристики человека.
• Данные должны позволять установить личность человека.
• Данные должны использоваться оператором для установления личности субъекта.

Для более наглядного разъяснения вопроса касательно опубликования результатов фото- и видеосъемки авторы разъяснений сослались на ст.152.1 ГК РФ. Исходя из текста статьи, согласие на обнародование и дальнейшее использование фотографий и видеозаписей не требуется в трех случаях:

• Использование изображения осуществляется в государственных, общественных или иных публичных интересах.
• Изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования.
• Гражданин позировал за плату.

Также касательно фотографий авторы сослались на "Перечень персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию ", от 4 марта 2010 г. № 125. Пункт 6 гласит:

Цветное цифровое фотографическое изображение лица владельца документа (биометрические персональные данные владельца документа)

Однако разъяснения четко говорят о том, что в любом случае должны учитываться цели обработки данных. И исходя из целей персональные данные могут быть отнесены к биометрическим или не могут.

Исходя из вышесказанного, а также из разъяснений, можно заключить следующее:

• Фотографии, содержащиеся в СКУД, являются биометрическими персональными данными и,следовательно, сама СКУД будет ИСПДн-Б.
• Если СКУД использует иные биологические особенности человека (отпечатки пальцев, сетчатка глаза и пр.), то она также является ИСПДн-Б.
• Также к биометрическим ПДн относятся ксерокопии документов с фотографиями, которые делаются на проходных, так как фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина.
• Если же сканирование или ксерокопирование документа осуществляется не для установления личности, а для подтверждения осуществления определенных действий (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.), то в данном случае ксерокопии и сканкопии биометрическими данными не являются
• Не являются биометрическими персональными данными и фотография в личном деле, и подпись в договоре, т.к. они не используются для установления личности.
• Не являются биометрическими персональными данными различные рентгеновские снимики, результаты анализов, отпечатки пальцев и даже ДНК, т.к. они не используются оператором для идентификации субъекта. Но как только эти данные начинают использоваться для установления личности конкретного лица, то эти данные сразу становятся биометрическими.
• Не являются биометрическими персональными данными и материалы фото- и видеосъемки на охраняемых территориях и в публичных местах. Но, опять же, как только эти материалы начинают использоваться для установления личности конкретного лица, они сразу становятся биометрическими.

С одной стороны наконец-то получены ответы на вопросы касательно ксерококопий документов и фотографий в СКУД. Все четко и ясно.

С другой стороны хочу заметить, что результаты анализов, ДНК и прочих экспертиз, которые могут храниться в соответствующих лабораториях, теперь свободно могут быть отнесены к иным персональным данным и защищаться соответствующим образом. К специальным их можно не относить, т.к. они характеризуют не состояние здоровья, а именно физиологические и биологические особенности. Несколько нелогично, на мой взгляд.

В свете скорого вступления в действие закона о биометрической идентификации клиентов банков хотелось бы вернуться немного назад и вспомнить, а чем собственно являются биометрические персональные данные. Что по этому поводу нам говорит Роскомнадзор и как нам быть, если придется с ними работать.

Согласно Федеральному закону от 27.07.2006 N 152-ФЗ «О персональных данных», ст. 11:

«Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.»

Для детей у Роскомнадзора есть упрощенное объяснение:

Биометрические персональные данные представляют собой сведения о наших биологических особенностях. Эти данные уникальны, принадлежат только одному человеку и никогда не повторяются.

Биометрические данные заложены в нас от рождения самой природой, они никем не присваиваются, это просто закодированная информация о человеке, которую люди научились считывать. К таким данным относятся:

отпечаток пальца, рисунок радужной оболочки глаза, код ДНК, слепок голоса и пр.

О стандартах

В соответствии с приказом Федерального агентства по техническому регулированию и метрологии от 6 марта 2017 года №448 была организована деятельность технического комитета по стандартизации ТК 098 «Биометрия и биомониторинг».

Согласно Приложению N 3 к приказу Федерального агентства по техническому регулированию и метрологии от 6 марта 2017 г. N 448 (Положение о техническом комитете по стандартизации «Биометрия и биомониторинг») ТК призван решать следующие задачи:

• формирование программы национальной стандартизации по закрепленной за ТК 098 областью деятельностью и контроль за реализацией этой программы;
• рассмотрение предложений по применению международных и региональных стандартов на национальном и межгосударственном уровнях в закрепленной за ТК 098 области деятельности;
• проведение экспертизы проектов национальных и межгосударственных стандартов и проектов изменений к действующим стандартам, а также представление их на утверждение (принятие) в Росстандарт;
• участие в работе межгосударственного технического комитета по стандартизации (МТК) и международных технических комитетах (ИСО/ТК), которые имеют общую с ним область деятельности;
• регулярная проверка действующих в Российской Федерации и закрепленных за ТК 098 национальных и межгосударственных стандартов с целью выявления необходимости их обновления или отмены;
• оценка целесообразности утверждения закрепленных за ТК 098 предварительных национальных стандартов в качестве национальных стандартов Российской Федерации по результатам мониторинга их применения;
• рассмотрение проектов международных стандартов в закрепленной за ТК 098 области деятельности и подготовка позиции Российской Федерации при голосовании по данным проектам;
• рассмотрение предложений по разработке международных стандартов, в том числе на основе национальных и межгосударственных стандартов, закрепленных за ТК 098;
• проведение экспертизы официальных переводов на русский язык международных и региональных стандартов, национальных стандартов и сводов правил иностранных государств в закрепленной за ТК 098 области деятельности и пр.

В данном ТК, по состоянию на 31.10.2017 г., отражен перечень действующих национальных стандартов в области биометрических технологий. Данный перечень сведен в таблицу, представленную ниже.

	Обозначение национального стандарта	Наименование национального стандарта
	ГОСТ ISO/IEC 2382-37-2016*	Информационные технологии. Словарь. Часть 37. Биометрия (принят протоколом МГС №93-П от 22 ноября 2016 г.)
	ГОСТ ISO/IEC 19794-1-2015*	Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 1. Структура
	ГОСТ Р ИСО/МЭК 19794-2-2013	Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 2. Данные изображения отпечатка пальца - контрольные точки
	ГОСТ Р ИСО/МЭК 19794-3-2009	Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 3. Спектральные данные изображения отпечатка пальца
	ГОСТ Р ИСО/МЭК 19794-4-2014	Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 4. Данные изображения отпечатка пальца
	ГОСТ Р ИСО/МЭК 19794-5-2013	Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 5. Данные изображения лица
	ГОСТ Р ИСО/МЭК 19794-6-2014	Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 6. Данные изображения радужной оболочки глаза
	ГОСТ Р ИСО/МЭК 19794-7-2009	Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 7. Данные дина­мики подписи
	ГОСТ Р ИСО/МЭК 19794-8-2015	Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 8. Данные изображения отпечатка пальца - остов
	ГОСТ Р ИСО/МЭК 19794-9-2015	Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 9. Данные изображения сосудистого русла
	ГОСТ Р ИСО/МЭК 19794-10-2010	Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 10. Данные гео­метрии контура кисти руки
	ГОСТ Р ИСО/МЭК 19794-11-2015	Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 11. Обрабатываемые данные динамики под­писи
	ГОСТ Р ИСО/МЭК 19794-14-2017	Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 14. Данные ДНК
	ГОСТ Р ИСО/МЭК 19795-1-2007	Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 1. Принципы и структура
	ГОСТ Р ИСО/МЭК 19795-2-2008	Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 2. Методы проведения технологического и сценарного испыта­ний
	ГОСТ Р ИСО/МЭК ТО 19795-3-2009	Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 3. Особенности проведения испытаний при различных биомет­рических модальностях
	ГОСТ Р ИСО/МЭК 19795-4-2011	Информационные технологии. Биометрия. Эксплуатационные испыта­ния и протоколы испытаний в биометрии. Часть 4. Испытания на сов­местимость
	ГОСТ Р ИСО/МЭК 19795-6-2015	Информационные технологии. Биометрия. Эксплуатационные испыта­ния и протоколы испытаний в биометрии. Часть 6. Методология про­ведения оперативных испытаний
	ГОСТ Р ИСО/МЭК 19784-1-2007	Автоматическая идентификация. Идентификация биометрическая. Биометрический программный интерфейс. Часть 1. Спецификация биометрического программного интерфейса
	ГОСТ Р ИСО/МЭК 19784-2-2010	Автоматическая идентификация. Идентификация биометрическая. Биометрический программный интерфейс. Часть 2. Интерфейс постав­щика биометрической функции архива
	ГОСТ Р ИСО/МЭК 19784-4-2014	Информационные технологии. Биометрия. Биометрический программ­ный интерфейс. Часть 4. Интерфейс поставщика функции биометриче­ского датчика
	ГОСТ Р ИСО/МЭК 19785-1-2008	Автоматическая идентификация. Идентификация биометрическая. Единая структура форматов обмена биометрическими данными. Часть 1. Спецификация элементов данных
	ГОСТ Р ИСО/МЭК 19785-2-2008	Автоматическая идентификация. Идентификация биометрическая. Единая структура форматов обмена биометрическими данными. Часть 2. Процедуры действий регистрационного органа в области биометрии
	ГОСТ Р ИСО/МЭК 19785-4-2012	Информационные технологии. Биометрия. Единая структура форматов обмена биометрическими данными. Часть 4. Спецификация формата блока защиты информации
	ГОСТ Р ИСО/МЭК 24708-2013	Информационные технологии. Биометрия. Протокол межсетевого об­мена БиоАПИ
	ГОСТ Р ИСО/МЭК 24709-1-2009	Автоматическая идентификация. Идентификация биометрическая. Ис­пытания на соответствие биометрическому программному интерфейсу (БиоАПИ). Часть 1. Методы и процедуры
	ГОСТ Р ИСО/МЭК 24709-2-2011	Информационные технологии. Биометрия. Испытания на соответствие биометрическому программному интерфейсу (БиоАПИ). Часть 2. Те­стовые утверждения для поставщиков биометрических услуг
	ГОСТ Р ИСО/МЭК 24709-3-2013	Информационные технологии. Биометрия. Испытания на соответствие биометрическому программному интерфейсу (БиоАПИ). Часть 3. Те­стовые утверждения для инфраструктур БиоАПИ
	ГОСТ ISO/IEC 24713-1-2013*	Информационные технологии. Биометрические профили для взаимо­действия и обмена данными. Часть 1. Общая архитектура биометриче­ской системы и биометрические профили
	ГОСТ Р ИСО/МЭК 24713-2-2011	Информационные технологии. Биометрия. Биометрические профили для взаимодействия и обмена данными. Часть 2. Физический контроль доступа сотрудников аэропорта
	ГОСТ Р ИСО/МЭК 24713-3-2016	Информационные технологии. Биометрия. Биометрические профили для взаимодействия и обмена данными. Часть 3. Биометрическая вери­фикация и идентификация моряков
	ГОСТ Р ИСО/МЭК 29109-1-2012	Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 1. Обобщен­ная методология испытаний на соответствие
	ГОСТ Р ИСО/МЭК 29109-4-2015	Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 4. Данные изображения отпечатка пальца
	ГОСТ Р ИСО/МЭК 29109-5-2013	Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 5. Данные изображения лица
	ГОСТ Р ИСО/МЭК 29109-6-2016	Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 6. Данные изображения радужной оболочки глаза
	ГОСТ Р ИСО/МЭК 29109-7-2016	Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 7. Данные ди­намики подписи
	ГОСТ Р ИСО/МЭК 29109-8-2016	Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 8. Данные изображения отпечатка пальца - остов
	ГОСТ Р ИСО/МЭК 29109-9-2017	Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 9. Данные изображения сосудистого русла
	ГОСТ Р ИСО/МЭК 29109-10-2017	Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 10. Данные геометрии контура кисти руки
	ГОСТ Р ИСО/МЭК 29794-1-2012	Информационные технологии. Биометрия. Качество биометрических образцов. Часть 1. Структура
	ГОСТ Р ИСО/МЭК 29141-2012	Информационные технологии. Биометрия. Одновременное получение изображений отпечатков десяти пальцев с помощью БиоАПИ
	ГОСТ Р 54412-2011/ISO/IEC TR 24741:2007	Информационные технологии. Биометрия. Обучающая программа по биометрии

Как видим, перечень довольно обширный, но и это еще не все. Кроме непосредственно биометрических технологий, так же касаются биометрии и стандарты на машиносчитываемые паспортно-визовые документы, а так же на идентификационные карты с биометрическими данными. Приводить в рамках данной статьи их не будем, при желании ознакомиться с ними, все это можно найти на сайте ТК 098.

О разъяснениях Роскомнадзора

Выпущенные в свет разъяснения Роскомнадзора, которые как раз поднимали «…вопросы отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки.», многими были проигнорированы и зря. До сих пор возникает много вопросов, ответы на которые можно было найти в разъяснениях, не закапываясь в ГОСТы. Поэтому предлагаю еще раз пройти по основным тезисам, а для кого-то ознакомиться с ними впервые.

Исходя из определения, приведенного выше, в контексте Федерального закона «О персональных данных» отнесение сведений персонального характера к биометрическим персональным данным и их последующая обработка должны рассматриваться в рамках проводимых оператором мероприятий, направленных на установление личности конкретного лица, если иное не предусмотрено федеральными законами и принятыми на их основе нормативными правовыми актами.

Т.е., если пользователь, допустим, ставит свою фотографию на какую-нибудь аватарку, то мы не считаем это биометрическими данными, т.к. по аватарке мы не определяем личность пользователя. Тем не менее, есть случаи, когда фотографию прямо относят к биометрическим персональным данным.

«Согласно пункту 6 Перечня персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию, утвержденного постановлением Правительства Российской Федерации 4 марта 2010 г. № 125, цветное цифровое фотографическое изображение лица владельца документа является биометрическими персональными данными владельца документа.»

В случаях, когда сканирование паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом, например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных и ст. 11 Федерального закона «О персональных данных» не регулируются. Соответственно, обработка сведений, в данных случаях, осуществляется в соответствии с общими требованиями, установленными Федеральным законом «О персональных данных».

Не являются биометрическим персональными данными рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека, и находящиеся в истории болезни (медицинской карте) пациента (не имеет значения, бумажной или электронной), поскольку они не используются оператором (медицинским учреждением) для установления личности пациента. Но в случае их передачи по запросу субъектов оперативно-розыскной деятельности, органов следствия и дознания в рамках проводимых ими мероприятий указанные сведения становятся биометрическими персональными данными, поскольку используются операторами - органами следствия и дознания в целях установления личности конкретного лица. Т.е. в органы следствия передаются сведения медицинского характера, а там они уже становятся биометрическими персональными данными.

Аналогичным подходом нужно руководствоваться и при получении иных сведений, которые можно отнести к биометрическим персональным данным. Таким образом, если мы используем полученные сведения характеризующие физиологические и биологические особенности человека для установления личности, то у нас биометрия, если нет – иное.

Главное, что в случае обработки биометрических персональных данных необходимо помнить:

«В соответствии с ч. 1 ст. 11 Федерального закона «О персональных данных» обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных. »

P.S. По ссылке вы можете скачать наш White Paper о Федеральном Законе №152 .
Это книга, которая была опубликована с целью помочь устранить путаницу в вопросах обработки персональных данных и ясно описать процесс приведения ИС персональных данных в соответствии с законодательством России. Тема раскрывается «с нуля». Это помогает удовлетворить потребности широкого круга читателей.

Теги: Добавить метки

Технологии помогают людям следить друг за другом. За вами следит государство, частные компании и госорганы используют данные, пока вы и ваши друзья их открываете. Российские законодатели уже не раз принимались за регулирование обращения с персональными данными, но про биометрические данные упоминали вскользь, а вот теперь добрались до них подробнее. Рассказываем, что говорят российские законы о биометрических персональных данных, что изменят новые приказы Минкомсвязи и как вам защитить свои данные.

Что случилось?

В Минкомсвязи готовят два проекта нормативных документов по регулированию биометрических персональных данных:

приказ «Об утверждении методики проверки соответствия предоставленных биометрических персональных данных физического лица…»;

приказ «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации…».

Ведомство завершает разработку проектов нормативных актов, окончен этап проведения общественных обсуждений и независимой антикоррупционной экспертизы.

Были ли в России законы о том, что такое биометрические данные и как с ними обращаться?

Какие нормы защищают мои биометрические персональные данные?

Конвенция Совета Европы № 108 «О защите физических лиц в отношении автоматизированной обработки персональных данных» , которую ратифицировала Россия. Предусматривает охрану персональных данных при их автоматизированной обработке, говорит о праве субъекта на персональные данные.

Статья 23 Конституции РФ гарантирует каждому право на неприкосновенность частной жизни, личную и семейную тайну. Эта норма определяет границы, которые оператор персональных данных не вправе переступать при получении и при обработке информации о человеке.

Статьи 137 и 272 УК РФ говорят об уголовной ответственности за незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации. По этим же статьям вас могут и осудить, как историка Михаила Супруна , если кому-то покажется, что вы разглашаете личную информацию. Об этом мы рассказывали в .

Закон «О персональных данных» устанавливает перечень данных, обработка которых запрещена, кроме особых случаев: о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья и интимной жизни. Исключительные случаи , при которых такие данные могут обрабатывать: если реализуется международный договор Российской Федерации, осуществляется правосудие, исполняются судебные акты, и в других случаях, предусмотренных законодательством РФ об обороне, безопасности и противодействии терроризму.

Биометрические данные по тому же закону , могут обрабатываться только при наличии согласия в письменной форме от субъекта персональных данных. Согласие должно быть осознанным и без принуждения, быть конкретным и определенным: какие данные и кому передаются. Например, участники гражданского и уголовного процессов могут возражать против приобщения видеозаписи к гражданскому или уголовному делу, если запись велась с нарушением закона. Работодатель должен получить письменное согласие работника на обработку персональных данных, чтобы разместить фото на пропуске. Об этом говорит определение ВС от 05.03.2018 № 307-КГ18-101 .

Организации при обработке информации о физических лицах обязаны принимать организационные и технические меры для её защиты от неправомерного или случайного доступа. Закон о персональных данных обязывает все компании–операторы персональных данных назначить лицо, ответственное за организацию их обработки.

По общему правилу, оператор не может передавать персональные данные третьим лицам без согласия субъекта персональных данных. Без согласия позволяется передавать информацию правоохранительными органам.

Из разъяснений Роскомнадзора следует, что согласие на обработку персональных данных нельзя получить по телефону или через смс-сообщения.

Персональные данные россиян, по 242-ФЗ , можно обрабатывать только с использованием размещенных в России баз данных. Сведения о месте нахождения таких баз оператор персональных данных должен направлять в Роскомнадзор. За нарушение порядка обработки информации по решению суда доступ к сайту блокируют.

Кодекс административных правонарушений (КоАП) предусматривает штраф за нарушение порядка обработки персональных данных (ст. 13.11). Юридические лица могут заплатить от 30 тысяч до 50 тысяч рублей за обработку персональных данных в непредусмотренных законом случаях и от 15 до 75 тысяч рублей за обработку персональных данных без письменного согласия.

С 25 мая все операторы данных, которые работают с персональной информацией о гражданах ЕС, должны выполнять новые правила GDPR (General Data Protection Regulation) , мы уже . Они затронут многие российские компании, обрабатывающие персональные данные граждан ЕС - тех, кто не ведёт бизнес в ЕС, не затронут. Новые правила объединяют и ужесточают все ранее существовавшие в европейских странах нормы защиты персональных данных. Компании, управляющие персональными данными, получат огромные штрафы, если не смогут обеспечить безопасность данных. Санкции нарушителям нового европейского регламента строже, чем в КоАП: до 20 млн евро или 4 % от мирового годового оборота за финансовый год.

Что изменят новые приказы Минкомсвязи?

Вводятся нормы, которых раньше не было

Приказ об утверждении порядка обработки параметров биометрических персональных данных для идентификации описывает технические моменты, которые раньше не были прописаны в нормативных документах.

Приказ Минкомсвязи определяет:

Как будут обрабатывать параметры биометрических персональных данных для идентификации. В проекте приказа прописаны требования к качеству изображений, чтобы по ним можно было идентифицировать человека: ракурс, выражение лица, размеры, яркость, размер файла - и такие же требования к записи голоса: частота дискретизации, код сжатия, длительность, эмоционально-психологическое состояние.

Как будут размещать и обновлять биометрические персональные данные в новой единой биометрической системе.Биометрические персональные данные будут хранить в новой системе три года, затем образцы придется обновлять.

Какими должны быть технологии и технические средства, чтобы обрабатывать биометрические персональные данные для идентификации Например, они должны защищать от подбора.

Проект приказа «Об утверждении методики проверки соответствия предоставленных биометрических персональных данных физического лица» описывает возможность идентификации человека через сравнение его биометрических данных с теми, которые содержатся в единой системе (ЕБС). Человек предоставляет свою биометрию в госорган, банк или другую организацию, а организация через оператора ЕБС проверяет, можно ли по этим данным его идентифицировать. Методика описывает алгоритм определения степени соответствия данных, которые предоставил человек при обращении, тем, которые уже содержатся в ЕБС. Степень взаимного соответствия данных для применения удаленной идентификации должна составлять 0,99996.

За ошибки при установлении личности по биометрическим данным будет предусмотрена ответственность

Её понесёт уполномоченное лицо органа или организации, которое допустит ошибку.

Новые нормы по биометрии пилотно реализуют в оказании банковских услуг

Хотя они носят абстрактный характер и применимы и в других сферах. ЦБ уже заявил , что банки будут регистрировать клиентов, передавших свои изображение лица и голос в единой биометрической системе (ЕБС) и в единой системе идентификации и аутентификации (ЕСИА). Клиент сможет пользоваться удалённой идентификацией и получать банковские услуги, не заходя в банк. Удалённая идентификация должна заработать уже с 30 июня 2018 года по всей России, когда вступят в силу положения нового федерального закона .

После банков подобные базы могут создать и в других сферах

Идентифицировать личность по биометрическим особенностям возможно, только если есть система учёта данных с достоверными результатами первичной идентификации. Именно такую систему и собираются создать. Есть мнение , что создание таких систем настолько глубоко затрагивает права граждан, включая право на семейную тайну, тайну усыновления, медицинскую тайну, неприкосновенность личности, что лучше такие базы вообще не создавать и запретить.

Правоохранители получат доступ к новым базам

У них и так есть доступ не только в государственные, но и коммерческие базы данных.

Что я сам могу сделать для защиты своих биометрических персональных данных?

Очевидно, вы не сможете остановить создание баз данных, которое запланировало государство, и не сможете помешать правоохранителям знать про вас практически всё. Но если вы хотите защитить свои биометрические данные, насколько это вообще возможно, вам помогут те же , что и с другими видами персональных данных.

Не рассказывайте о себе слишком много

Помните, что вы сами решаете, что и кому о себе рассказывать. Будьте внимательны, когда называете своё имя, фамилию, отчество, паспортные данные, телефон, адрес, возраст, дату рождения, отдаёте фотографию, образец голоса, логинитесь с помощью отпечатка пальца или Face ID. Такие данные позволяют установить местонахождение человека, его маршруты, распорядок дня, любимые места.

Будьте внимательны к тому, какую информацию о вас собирают соцсети

Недавно Конгресс США поделился письмом от Facebook, в котором соцсеть признаётся, какие данные собирает от пользователей . Недавний скандал с Facebook из-за утечки персональных данных 50 млн американцев заставляет задуматься, какие данные вы отдаёте соцсетям и где они могут оказаться потом (да где угодно).

Пользуйтесь надёжными паролями и

Пароль - базовый способ защиты ваших данных. К его выбору стоит подходить аккуратно. Примитивные наборы цифр, слова, в том числе изменённые, какие-либо из ваших личных данных, заключённые в вашем пароле, заинтересованными во взломе лицами подбираются достаточно быстро с помощью специального софта. Более подробно о выборе пароля и защите устройств можно прочитать в нашем спецпроекте об информационной безопасности.

Интересуйтесь, кто и какую информацию собирает о вас

Российское законодательство даёт возможность субъекту персональных данных получать информацию, касающуюся обработки его персональных данных: оператор персональных данных обязан предоставить эту информацию по запросу.

Каждый имеет право знать, какие государственные органы или частные лица контролируют информацию о нём. Если хранится неправильная информация либо её сбор и обработка противоречат закону, человек может потребовать изъятия такой информации.

Используйте право на забвение

Это право даёт любому, про кого собирали, хранили или обрабатывали данные или который сам опубликовал личную информацию, право требовать прекращения выдачи этих данных. В некоторых случаях можно подать в Google , Mail.ru , Яндекс, запрос на удаление определенных URL, указав причины: распространение информации с нарушением законодательства РФ, недостоверность либо неактуальность представленных данных.

13 мая 2014 суд Европейского союза постановил, что граждане Евросоюза имеют право обратиться к поисковым системам с запросом об удалении ссылок на информацию, которая, по их мнению, более не является актуальной либо недостоверна. Таким было решение по делу «Марио Костеха Гонсалеса против Google». Марио обратился с просьбой удалить ссылки на статью о продаже его дома с торгов в счет уплаты долгов и добился своего.

Текст: Артём Кутловский, Ольга Дмитриевская

Раньше такое можно было увидеть только в шпионских фильмах: герой прикладывает палец к специальному сенсору - и дверь открывается. Сегодня такие технологии стали реальностью, ведь появилась возможность собирать, хранить и использовать биометрические персональные данные. Что это такое?

Биометрия

Смотря фантастические фильмы, где герои общаются с "умным домом" или отдают приказы искусственному интеллекту космического корабля, зрители редко задумываются об обратной стороне этого вопроса, например, слушается ли эта программа всех подряд. Очень вряд ли, наверняка, она реагирует только на голос хозяина. И это достигается с помощью биометрии, которая реально существует. Итак, что же это за кусочек из фантастики, уже ставший действительностью?

Биометрия - это Она основывается на присущих им уникальных характеристиках, так что зайти, так сказать, "под чужим логином" не удастся, ведь подделать пароль невозможно, и сейчас станет ясно, почему.

Что относится?

К данным этого типа относятся любые сведения, которые могут быть измерены, как поведенческого или психологического, так и физиологического характера. Иными словами, любой параметр человека, который может быть выражен в абсолютных значениях, может считаться биометрическими данными.

Они обладают рядом определенных свойств, что и делает их такими ценными.

• Они уникальны. ДНК каждого человека индивидуальна, так же как отпечаток пальца или рисунок радужки. Это значит, что никто другой не сможет воспользоваться "паролем" без позволения и ведома хозяина.
• Они универсальны. Биометрические персональные данные - это различные характеристики, присущие абсолютно всем людям.
• Они неизменны. Как невозможно "отредактировать" отпечатки пальцев, так и нельзя поменять тембр голоса или ДНК.

Все эти характеристики в комплексе делают сведения данного типа очень полезными, если подумать о всеобщем сборе и хранении данных в различных целях. Например, преступники не смогут избежать правосудия. Впрочем, до создания глобальных баз данных еще очень и очень далеко.

Виды данных

На сегодняшний день успешно используется несколько типов биометрических данных: отпечатки пальцев, голос, сетчатка или радужка глаза, а также распознавание лица и ДНК. Этим, однако, список возможных параметров не ограничивается. В перспективе технологии смогут работать также с запахом или, например, походкой, характерными особенностями поведения, процессом подписания документов и т. д. Таким образом, характеристики могут быть не только статичными, но и динамическими.

Кстати, в процессе изучения некоторых физиологических характеристик человека стало ясно, что, например, сетчатка в данном качестве не подходит, поскольку рисунок сосудов может меняться, а также дает информацию о состоянии здоровья, чего быть не должно. Это косвенно дает толчок к развитию еще и медицине.

История

Самым распространенным параметром, используемым уже довольно давно, являются отпечатки пальцев. Дактилоскопические данные уже стали совсем привычными, а процедура их сдачи уже давно обязательна не только для тех, кто подозревается в преступлениях, но и для обычных граждан, например, при получении некоторых документов.

Идея о том, что папиллярный рисунок, то есть линии на кончиках пальцев, уникальны для каждого человека, была выдвинута еще в XIX веке Уильямом Гершелем. Несмотря на то, что выдвинутая им гипотеза о неповторимости отпечатков так и не получила достаточного основания, дактилоскопия широко используется в криминалистике. Пожалуй, именно она и положила начало идеям об идентификации, основой которой являлись бы биометрические данные.

Сбор

Сейчас самой распространенной является процедура снятия отпечатков пальцев в электронном или традиционном виде. В первом случае используются специальные сенсоры, делающие высококачественный цифровой снимок, который в дальнейшем преобразуется, а во втором - особая краска. Для распознавания лиц также используются специальным образом сделанные фотографии - например, в России сейчас такие делают, чтобы поместить биометрические данные в для поездок за рубеж.

Хранение и обработка

Если сбор биометрических данных не является такой уж проблемой, то создание и постоянное обновление и обслуживание единой базы данных, пожалуй, относится к актуальным задачам. Кроме того, существует необходимость в правовом регулировании доступа к информации подобного рода и возможности работы с ней, в том числе передачи третьим лицам.

Очевидно, что настолько личная информация нуждается в серьезной защите. Это значит, что базы данных, если в них будут централизованно стекаться все сведения, должны быть максимально безопасными, а человеческий фактор необходимо снизить до минимума. То есть обработка биометрических персональных данных должна происходить в общем случае в автоматическом режиме.

Тем не менее в России пока эта проблема не решена, несмотря на принятие в 2006 году закона 152-ФЗ, в котором говорится в том числе о подобных сведениях, никаких четких инструкций о правилах их хранения и передачи пока нет. Кроме того, нет контроля за процессом работы с информацией такого типа, хотя некоторые государственные органы уже давно занимаются ее сбором. Таким образом, обычные граждане вряд ли могут быть совершенно уверены в том, что информация о них находится в надежных руках, и они даже не могут это проверить.

Где используются?

Поскольку биометрические данные уникальны для каждого человека, на их основе очень удобно идентифицировать личность для тех или иных нужд.

В современном мире на практике это реализуется в различных системах доступа и личных документах. На сегодняшний день сбор тех или иных сведений, относящихся к таким данным, осуществляется, например, в некоторых странах для получения паспорта или виз для заграничных поездок. Кроме того, большое количество современных телефонов, планшетов, компьютеров и других приборов также имеют функции разблокирования в ответ на, например, считывание отпечатков пальцев или распознание лица. Так что биометрическая защита данных уже давно - не только высокие технологии в фантастическом фильме. Современные методы позволяют даже различать близнецов по одному или нескольким автоматически оцениваемым параметрам с достаточно высокой степенью точности.

Иными словами, биометрические данные человека - это очень надежный пароль, который нельзя поменять, а при дальнейшем совершенствовании технологий распознания получить к чему-либо будет абсолютно невозможно. Правда, проблема состоит в том, что если случится утечка из базы данных, то это станет серьезной проблемой, ведь, как уже было сказано, этот "пароль" поменять невозможно.

Механизм работы при этом довольно прост: при существовании в базе данных прибора эталонного образца он сравнивается с полученными с помощью сенсора данными, и если есть критические несоответствия, то запрос на доступ отклоняется, а если нет - принимается. Естественно, существует вероятность ложного срабатывания или отказа, но это зависит от качества эталона и правильности настройки и достаточной чувствительности сенсора. Разумеется, комбинирование нескольких методов распознавания значительно повышает общую точность идентификации.

За и против

Как и в любом другом вопросе, когда дело касается персональной информации, а особенно биометрических данных, люди делятся на два лагеря: сторонников и противников.

Те, кто выступают за скорейшее внедрение всеобщей идентификации по биометрическим параметрам, аргументируют свою позицию тем, что это сделает общество более безопасным, снизит преступность. Найти пропавшего человека не составит никакого труда, ведь любая система безопасности определит его присутствие.

С другой стороны, критики считают, что, во-первых, даже небольшая утечка данных такого типа может быть критичной, а во-вторых, пока не существует предпосылок к созданию законодательных рамок, которые могли бы разрешить многие вопросы в этой сфере. Наконец, некоторым кажется, что это создаст возможность для правительств вмешиваться в частную жизнь своих граждан, что неприемлемо.

Перспективы

Так или иначе, технологии, основанные на информации данного типа, продолжают развиваться, и этот процесс сдерживает лишь их достаточно высокая стоимость. Вероятно, в обозримом будущем сдача биометрических данных будет обязательной для всех людей без исключения, и будут созданы обширные базы данных. К личности каждого человека будет привязана информация о нескольких его параметрах. Это даст возможность навсегда отказаться от бумажных документов, удостоверяющих личность, а еще позволит забыть о таком понятии, как ключи и замки в привычном понимании.

Кстати, обычно вместе с биометрией упоминают и чипирование. Однако у этой меры гораздо больше противников, ведь с помощью микросхем, вшитых под кожу человека, можно не только определять, но и контролировать и изменять его состояние. Эта перспектива настолько пугает современных людей, что в большей части антиутопий говорится об этой мере как совершенно обыденной. Но это уже совсем другая история.