понедельник, 2 сентября 2013 г.

Поход четырёх экспертов и Роскомнадзора на биометрические персональные данные


30 августа 2013 года на сайте Роскомнадзора был выложен интересный документ с названием «Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки», см. http://www.rsoc.ru/docs/Raz6jasnenija_RKN_po_biometrii_okonchatel6naja_versija.doc . Один из авторов «Разъяснений» – Михаил Емельянников – также опубликовал по этому поводу комментарий на своём блоге, см. http://emeliyannikov.blogspot.ru/2013/09/blog-post.html

Сразу бросается в глаза то, что Роскомнадзор не решился оформить свои разъяснения более официально (например, в виде письма) – и, возможно, поступил мудро. Во всяком случае, на данный документ невозможно даже сослаться -  у него нет официальных реквизитов.

Как отмечается в самом документе, «Разъяснения подготовлены по результатам совместного обсуждения с представителями экспертного сообщества: А.В. Лукацким, Емельянниковым М.Ю., Волковым А.Н., Токаренко А.В.». Я очень положительно отношусь к тому, что Роскомнадзор начал вести диалог с экспертами по сложным вопросам защиты персональных данных. Правда, как показало дальнейшее чтение, следовало бы не ограничиваться специалистами в области информационной безопасности и привлечь к обсуждению более широкий круг специалистов. В частности, неразумно, с моей точки зрения, готовить подобные документы без участия юристов.

Из документа видно, что Роскомнадзор увидел те подводные камни, которые связаны со статьёй 11 Закона от 27.07.2006 N 152-ФЗ «О персональных данных», регламентирующей особенности обработки биометрических данных:
Статья 11. Биометрические персональные данные

1. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.
Предыстория вопроса следующая. Отечественный закон «О персональных данных» был «срисован» с Директивы 95/46/EC Европейского парламента и Совета Европейского Союза от 24 октября 1995 года о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных  (Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data).

В европейской директиве биометрические данные специально не упоминаются. Соответственно, она и не требует защищать биометрические данные как-то иначе по сравнению с «просто» персональными данными. В Великобритании данный подход был предметов споров,  и именно такая трактовка была подтверждена судебными решениями.

Сейчас Евросоюз не торопясь продумывает вопрос о том, нужно ли дополнительно усиливать защиту биометрических данных, и если да, то как и в каких случаях. У нас же решили проявить самостоятельность, и добавили процитированную выше статью, не задумываясь о возможных последствиях. К тому же я практически уверена, что наши законодатели в тот момент понимали термин «биометрические данные» очень узко – как данные об отпечатках пальцев и о радужной оболочке глаза.

Напомню, что закон «О персональных данных» года 3-4 практически не применялся, если не считать отдельных формальных «телодвижений». Однако теперь к нему уже относятся намного серьёзнее, сами граждане и организации активно пишут жалобы на основании положений этого закона, и вот тут то и всплыл ряд проблем. Суды в ряде решений признали что, например, фотографии относятся к биометрических данным.
Для справки: Выдержки из судебных решений

Решение Арбитражного суда Республики Бурятия от 28 марта 2012 года по делу № А10-125/2012 (см. http://ras.arbitr.ru/PdfDocument/f6e1867d-87b9-4c0e-9bdd-1919d82d85c7/%D0%9010-125-2012__20120328.pdf )

Статья 11 Федерального закона № 152-ФЗ от 27.07.2006 указывает, что биометрические персональные данные - это сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность. Закон относит к биометрическим данным и фотографии субъектов персональных данных и устанавливает, что биометрические персональные данные могут обрабатываться только при наличии согласия субъекта персональных данных. Причем такое согласие должно быть обязательно оформлено в письменной форме.

Решение Арбитражного суда Ставропольского края от 27 сентября 2010 года по делу № А63-6608/2010 (см. http://ras.arbitr.ru/PdfDocument/589e137d-f82f-4e1c-b3f0-ab7f2c3ec7cb/%D0%9063-6608-2010__20100922.pdf )

Исходя из положений части 1 статьи 11 Федерального Закона «О персональных данных», сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных.
В итоге выяснилось, что для обработки фотографий (в том числе в составе ксерокопий паспортов) следует получать у граждан письменное согласие (а в применяемой ныне трактовке это означает – «в виде бумажного документа»). До сих пор сам Роскомнадзор именно так трактовал это понятие, см. например, судебные дела http://rusrim.blogspot.ru/2012/12/blog-post_29.html , http://rusrim.blogspot.ru/2012/12/blog-post_8.html .

Немаловажно и то, что примерно так же (и даже более широко) понимается термин «биометрические данные» в Европе. В январе 2012 года были опубликованы предложения по реформированию законодательно-нормативной базы Евросоюза в отношении персональных данных (COM(2012) 11 final "Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)", 25.01.2012, http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf ). К ним стоит присмотреться, поскольку, в случае их принятия, с большой вероятностью в течение 2-3 лет аналогичные изменения будут внесены и в российское законодательство. В этом документе в ст.4 дано, в частности,  и определение понятия «биометрические данные»:
 (11) «биометрические данные» - любые данные, относящиеся к физическим, физиологическим или поведенческим особенностям человека (такие, как изображения лица или дактилоскопическая информация), которые позволяют их [характеристики] однозначно идентифицировать;

На языке оригинала:

(11) 'biometric data' means any data relating to the physical, physiological or behavioural characteristics of an individual which allow their unique identification, such as facial images, or dactyloscopic data;
Ещё один вариант определения предлагает рабочая группа, готовящая предложения по совершенствованию европейского законодательства в области защиты персональных данных:
Мнение 00720/12/EN (WP193) «Рабочей группы по вопросам защиты персональных, сформированной на основании статьи 29» относительно развития биометрических технологий, март 2012 года (Opinion 3/2012 on developments in biometric technologies, http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp193_en.pdf  ).

Биометрические данные: Как уже отмечалось Рабочей группой во Мнении WP136 (апрель 2007 года), это понятие можно определить следующим образом:

«Биологические свойства, особенности поведения, психологические характеристики, особенности образа жизни или повторяющиеся действия, в тех случаях, когда эти характеристики и/или действия являются одновременно уникальными и измеримыми, даже если на практике при их техническом измерении в какой-то степени имеет место неопределенность.»

На языке оригинала:

“biological properties, behavioural aspects, physiological characteristics, living traits or repeatable actions where those features and/or actions are both unique to that individual and measurable, even if the patterns used in practice to technically measure them involve a certain degree of probability.”
Теперь перейдём к рекомендациям Роскомнадзра и группы четырёх экспертов. Вся предложенная ими логическая конструкция строится, на мой взгляд, на насилии над здравым смыслом и русским языком. Авторы по-своему трактуют закон «О персональных данных», втаскивая в определение биометрических персональных данных того, чего там нет:
«В соответствии с ч. 1 ст. 11 Федерального закона от 27 июля  2006 г. № 152-ФЗ «О персональных данных» к биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных
Этот нехитрый трюк позволяет им далее утверждать, что если биометрические данные не используются для идентификации (например, оператор оказался достаточно ловок и не дал поймать себя проверяющим Роскомнадзора), то совсем они не биометрические, и никаких специальных мер защиты, в том числе предусмотренных Постановлением Правительства РФ от 06.07.2008 №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» в отношение их хранения, принимать не нужно! Сразу наступает полное счастье :)

На память сразу приходит наша российская литературная классика, а именно, «Недоросль» Фонвизина:
Стародум (к Правдину) Любопытен бы я был послушать, чему немец-то его выучил.

Г-жа Простакова. Всем наукам, батюшка.

Простаков. Всему, мой отец. Митрофан. Всему, чему изволишь.

Правдин (Митрофану). Чему ж бы, например?

Митрофан (подает ему книгу). Вот, грамматике.

Правдин (взяв книгу). Вижу. Это грамматика. Что ж вы в ней знаете?

Митрофан. Много. Существительна да прилагательна...

Правдин. Дверь, например, какое имя: существительное или прилагательное?

Митрофан. Дверь? Котора дверь?

Правдин. Котора дверь! Вот эта.

Митрофан. Эта? Прилагательна.

Правдин. Почему ж?

Митрофан. Потому что она приложена к своему месту. Вон у чулана шеста неделя дверь стоит еще не навешена: так та покамест существительна.

Стародум. Так поэтому у тебя слово дурак прилагательное, потому что оно прилагается к глупому человеку?

Митрофан. И ведомо.
Мы все знаем, в какой стране живём. Подобное нечеткое определение, когда «красота в глазах смотрящего», обязательно приведёт к уходу от ответственности операторов с одной стороны, и к произволу контролирующих органов – с другой.

Кстати, напомню, что нечто подобное одно время пытались делать и с понятием «персональные данные», утверждая, например, что «сами по себе ФИО – не персональные данные» или «общедоступные персональные данные – не персональные данные» и т.д. Умышленно или неумышленно люди смешивали понятие «персональных данных» и понятие «персональных данных, защищаемых по ФЗ-152»… В итоге ничего из этого не вышло – элементарная логика восторжествовала.

Правовые проблемы нужно все-таки решать не при помощи словесной эквилибристики, а хоть и более трудным, но правильным путем – через законодательные инициативы и прецедентные решения высших судов. Если нет смысла дополнительно защищать биометрические данные по сравнению с «просто» персональными данными – ставьте вопрос об отмене статьи 11. Если такая защита нужна, попробуйте четко сформулировать соответствующие положения закона, а не предлагать советы в духе «здесь играть, здесь не играть, а здесь мы рыбу заворачивали».

Впрочем, опубликованный документ абсолютно никакой правовой силы не имеет. Это не более чем высказывание определенной позиции вслух. Жизнь покажет, захочет ли судебная власть прислушаться к высказанным авторами документа аргументам, или нет.

Источник: сайт Роскомнадзора
http://www.rsoc.ru/news/rsoc/news21529.htm

18 комментариев:

  1. >Сразу бросается в глаза то, что Роскомнадзор не решился оформить свои разъяснения более официально (например, в виде письма) – и, возможно, поступил мудро. Во всяком случае, на данный документ невозможно даже сослаться - у него нет официальных реквизитов.

    Ссылаться не проблема - Разъяснения Роскомнадзора от 30 августа 2013 года.

    Для официального письма требуется запрос - здесь же инициатива РКН и экспертов. Т.ч. уровень именно тот, что в компетенции.
    Разъяснения требуются для нормализации дальнейшего правоприменения (в том числе региональными отделениями РКН) - потому оглядка на предыдущие косяки правоприменения нецелесообразна... Да и право у нас не прецедентное.

    >Отечественный закон «О персональных данных» был «срисован» с Директивы 95/46/EC Европейского парламента и Совета Европейского Союза от 24 октября 1995 года о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных (Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data).

    Деза.

    ЗоПД принять во исполнении ратификации Россией Евроконвенции. А вот Евродиректива никаким боком т.к. РФ ее не ратифицировала и не собирается

    ОтветитьУдалить
  2. Уважаемый коллега, никто не говорил о ратификации, не так ли? То, что текст закона был списан именно с Директивы, легко проверить - сравните эти два документа (и я это сделала :))

    Так что Ваше смелое высказывание насчет "Дезы" пусть остается на Вашей совести :)

    ОтветитьУдалить
  3. Сравнивал еще в 2009-м. Что-то пытались выправить в июльской (2011 года) редакции ЗоПД - но многое не удалось...
    К сожалению пропущено множество (начиная с определения обработчика) критичных положений Евродирективы об которые ПОСТОЯННО набиваются шишки.

    ОтветитьУдалить
  4. Я так понимаю вектор дискуссии упирается в в следующее разделение:
    1 - что такое БПДн. (Вреде бы понятно = Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные);
    2 - в каких случаях нужно или не нужно письменное согласие.
    2.1 ДА, если БПДн используются оператором для установления личности субъекта персональных данных;
    2.2. НЕТ в случаях, предусмотренных частью 2 настоящей статьи ФЗ.

    ОтветитьУдалить
  5. Всё верно. Проблему я вижу вот в чем: В ряде случаев собираемые оператором БПДн при обычных обстоятельствах не используются для установления личности, но могут использоваться в этих целях время от времени, например, в случае каких-то отдельных ЧП. Подпадают они в этом случае под требование об обязательности письменного согласия или нет?

    А как относиться к фотографиям, аудио- и видеозаписям, которые собирает журналист - и реально использует их для установления личности соответствующих лиц?

    Насколько законно выкладывание фотографий в социальной сети, с просьбой к сообществу идентифицировать изображённых на них лиц (это делают, в том числе, и архивы!)?

    ОтветитьУдалить
  6. Наталья, приписка "и используются оператором для" - она из самого 152-ФЗ, а не авторами "разъяснения" придумана (и вообще я в нем ни одного нового тезиса не вижу)

    ОтветитьУдалить
  7. Наталья, на три Ваших вопроса закон - именно наш закон, а не европейский, дает совершенно четкий, по крайней мере для меня, ответ: эти случаи не попадают в его сферу действия.

    Подробно аналогичный кейс из "Разъяснений" разобран в пункте 4 моего комментария http://avetyan.livejournal.com/26538.html

    ОтветитьУдалить
  8. @Ригель - Читайте внимательно. Спор не о наличии определенных слов в тексте закона, а о том, входят ли эти слова в определение биометрических персональных данных или нет.

    @avetyan - Пока упомянутые вопросы в судах не будут "обкатаны", пока не сложится стабильная судебная практика, - говорить о четком ответе IMHO несколько преждевременно :) А за ссылку спасибо!

    ОтветитьУдалить
  9. Если зачем-то делать допущение, что ФЗ-152 это калька Евродирективы, то нет - не входят.

    Но он не калька Евродирективы, а только местами содран.

    ОтветитьУдалить
  10. "Толкование норм права есть мыслительный процесс, который осуществляется с использованием ряда приемов (способов), обеспечивающих уяснение воли законодателя, заключенной в конкретной статье нормативного акта (или в нормативном акте в целом).
    Принято различать следующие приемы толкования:
    грамматический (филологический), основанный на использовании познаний лексики и грамматики языка норм акта (казнить нельзя помиловать; снимаю порчу);
    систематический, основанный на использовании знаний о системе права;
    логико-юридический, основанный на логическом анализе текста нормы, акта и использования правил юридической техники;
    историко-целевой, основанный на знании исторической и современной политической обстановки в стране, а возможно, и в мире. "

    или

    "Способы толкования — специальные приемы, правила и средства познания смысла норм права, используемые сознательно или интуитивно субъектом для получения ясности относительно правовых явлений. В зависимости от задач интерпретатора способы толкования права делятся на:
    языковой ( лингвистический, филологический, грамматический). Содержание правовой нормы выражается в тексте НПА. Способ выступает начальным приемом уяснения правовой нормы. Он состоит в определении смысла слов, установлении лексической связи между ними.
    функциональный исследует факторы и условия, в которых функционирует, реализуется толкуемая норма.
    исторический состоит в выявлении смысла правовой нормы путем обращения к истории ее принятия и целям, мотивам, обусловившим ее введение в систему правового регулирования.
    систематический состоит в уяснении смысла правовой нормы путем сравнения ее с другими нормами, выявления ее связей в общей системе правового регулирования и конкретного места в нормативном акте, отрасли или системе права.
    При этом языковой способ относится к анализу текста правового акта, а все иные — к познанию его контекста. Дискуссионными остаются вопросы о существовании логического и телеологического (целевого) толкования права как самостоятельных способов. На практике различные способы толкования применяются совокупно, а разграничение различных способов, как правило, не производится."

    О чем спор? Вы пытаетесь предсказать какой именно способ или вид толкования выберет судья в неизвестных Вам ситуациях, при неизвестных условиях, в неизвестном Вам времени и неизвестном месте? В Ваших двух уравнениях сотни неизвестных, а Вы пытаетесь его решить. Зато народ Вас читающий напугали изрядно.

    ОтветитьУдалить
  11. @Ригель: Вы сами-то как считаете - является "биометричность" данных объективным фактором, не зависящим от текущих действий и мнений оператора, или же нет? :)

    ОтветитьУдалить
  12. Сам я над этим смеялся больше двух лет назад. Но 152ой закон считает так, как он считает. И РКН, естественно, считает так, как 152ой закон

    ОтветитьУдалить
  13. @Ригель: "Закон" как раз не считает так, как его в обсуждаемом документе интерпретировал Роскомнадзор (которому, замечу, никто права давать официальную интерпретацию законов не давал, поэтому его мнение никого ни к чему не обязывает). Закон толкуют суды. Как Вы думаете, зачем я привела цитаты из судебных решений? Если можете, опровергните меня - приведите другие цитаты из других решений :)

    ОтветитьУдалить
  14. На мой взгляд, Наталья права в том, что отнесение ПДн к биометрическим ПДн не должно зависеть от того используются ли они оператором для установления личности или нет.

    А вот необходимость, получения согласия на обработку биометрических ПДн вполне может быть обусловлена целями их использования. Если вспомнить, что закон регулирует отношения при автоматизированной обработке ПДн, то все выглядит вполне логично: если оператор собирается использовать биометрические ПДн для автоматического установления личности субъекта, то обязан получить согласие. Т.о. речь идёт об эксплуатации оператором автоматизированных систем распознавания лиц, радужной оболочки глаза, отпечатков пальцев. Выглядит вполне логично, если субъекту сначала разъяснить риски, с которыми он может столкнутся при такой идентификации и получить согласие субъекта.

    Попросить сообщество установить личность по фото в соц.сетях не является автоматизированной обработкой, а вот натравить какой-нибудь яндекс.поиск-по-фото на сайт соц.сети с целью идентификации лиц на размещенных в соц.сети фотках, вот здесь да, на это надо согласие получать...

    ОтветитьУдалить
  15. Наталья, в приведенных Вами случаях суды пользовались старой версией ФЗ.
    Определение БПДн обновлено в нем 25 июля 2011.
    Ставропольский судья сулил раньше. Судья из Улан Удэ был не прав.

    ОтветитьУдалить
  16. @Ригель Да и Евросоюз тоже, само собой, ничего не понимает в определениях... В общем, вся "рота" шагает не в ногу (кроме Роскомнадзора, конечно)!

    Но Вы все-таки приведите мне пример из судебной практики, где применялась бы трактовка a la "разъяснения Роскомнадзора". Кстати, с июля 2011 года как-никак уже два года прошло... Ведь пока таких решений не появится, эта трактовка будет оставаться всего лишь литературным творчеством.

    ОтветитьУдалить
  17. Что с сентября 2011 по сентябрь 2013 в системе только одно решение, где судья определение БПДн привел - это еще не показатель, что оно же и правильное.

    Вон в той же судебной практике биотермическая (яма) через раз биометрической называется - это тоже официальной интерпретацией будем считать?

    ОтветитьУдалить
  18. Извините меня, коллеги, я поражаюсь

    Сравним

    (Евгений Родыгин2 сентября 2013 г., 18:49
    Вроде бы понятно=)Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные)

    И

    «биометрические данные» - любые данные, относящиеся к физическим, физиологическим или поведенческим особенностям человека (такие, как изображения лица или дактилоскопическая информация), которые позволяют их [характеристики] однозначно идентифицировать

    Ничего себе вроде бы понятно, когда критически разные определения!

    Один я здесь вижу слово ОДНОЗНАЧНО?
    Если нет, тогда чего же вроде бы понятно?
    По-моему, в этом слове вся суть, которая абсолютно УТЕРЯНА в 152-ФЗ

    ОДНОЗНАЧНО - это означает не мутная какая то зарисовка и не ксерокопия
    А как раз сведения, юридически определяемые, закрепленные СТАНДАРТАМИ и др актами!

    А у нас ЭКСПЕРТЫ, вместо того чтобы донести до чиновников из РКН, что биоМЕТРИЯ - это вот такие то и такие то ЗАМЕРЫ, за которые, будучи они найдены на месте преступления, человека могут ПОСАДИТЬ, от чего не отвертишься, вроде отпечатков пальцев или сетчатки, начинают генерить какие то странные идеи, что вот в этих обстоятельствах эти данные - биометрия, а в других - не биометрия.

    Вот это вот - странно, а вместо этого пишем наоборот, что понятно.

    Александр, нач. отд. ИБ одного из банков.

    ОтветитьУдалить