Широкое распространение биометрических технологий пришлось на начало первого десятилетия XXI века и было связано с возрастающей угрозой проведения террористических актов во многих странах мира1. Биометрические технологии используются для идентификации субъектов по таким физиологическим, биологическим и поведенческим характеристикам, как геометрия лица, отпечатки пальцев, ДНК, манера ходьбы[1] [2]. Названные характеристики непосредственно относятся к физическим лицам и в большинстве случаев являются персональными данными, при обработке которых применяются положения соответствующего законодательства.
Ко времени массового распространения биометрических технологий в большинство стран Совета Европы уже ратифицировало Конвенцию № 108 «О защите физических лиц при автоматизированной обработке персональных данных» (1981)[3], а страны, входящие в Европейский Союз — Директиву 95/46/EC от 24.10.1995 «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных»[4]. Их принятие было направлено на защиту прав граждан при обработке персональных данных, которые в зависимости от степени чувствительности подразделяются на две категории — обычные и специальные. Такое разделение в дальнейшем было воспринято многими странами мира и стало использоваться в национальных нормативно-правовых актах как образец надлежащего учета интересов субъектов персональных данных.
Только несколько стран, включая Италию (2003)[5], Словению (2004)[6] и Россию (2006)[7], внесли в законодательство обособленное регулирование для биометрических персональных данных еще до появления судебной практики в данной сфере.
Необходимость и целесообразность введения специального регулирования новых категорий персональных данных зачастую вызывает обоснованные сомнения в научной литературе. По мнению канадского исследователя Ю. Лиу, такое выделение не является целесообразным, поскольку существующее регулирование обработки персональных данных обеспечивает адекватную защиту прав субъектов[8]. В европейской доктрине, наоборот, существует тенденция к повышению уровня защиты прав граждан в сфере обработки персональных данных. Так, в рекомендательных документах рабочей группы ЕС в сфере защиты прав граждан при обработке персональных данных указано на допустимость внесения в законодательство дополнительных категорий персональных данных после надлежащего определения предмета регулирования в данной сфере[9].
Е. Киндт, автор одного из немногочисленных исследований в сфере правового регулирования обработки биометрических персональных данных в ЕС, указывает на необходимость скорейшего выделения дополнительных категорий, поскольку при отнесении биометрической информации к обычной категории персональных данных не происходит учета особенностей данного вида сведений, создаются существенные угрозы нарушения прав субъектов[10] [11].
В отечественных научных работах не существует единства мнений по вопросу выделения биометрической информации из специальной категории персональных данных. Е. Покаместова считает, что наличие специальных норм, регулирующих обработку биометрических персональных данных в российском законодательстве не может считаться обоснованным, поскольку «представляется более логичным относить биометрические персональные данные к одному из видов специальных категорий персональных данных»11. И. Вельдер, наоборот, ссылаясь на активное использование биометрических персональных данных, говорит о необходимости правового регулирования порядка их сбора и обработки[12]. Также иногда происходит смешение понятия специальной и биометрической категорий персональных данных. Например, в учебнике информационного права под редакцией И.М. Рассолова биометрические персональные данные рассматриваются в качестве входящих в специальную категорию персональных данных[13].
Таким образом, как в российской, так и зарубежной доктрине не существует однозначной позиции о целесообразности выделения биометрических информации в отдельную категорию персональных данных. Несмотря на то, что в российском законодательстве существует отдельная статья, регламентирующая особенности обработки биометрических персональных данных, в нее было внесено множество поправок[14], и новые законопроекты продолжают поступать[15].
Причины закрепления в законодательстве о персональных данных специальных и биометрических категорий различны. Перечень информации, относящейся к специальной категории персональных данных во многом совпадает со ст. 14 Европейской конвенции о защите прав человека и основных свобод (1950): раса, религия, политические и иные убеждения, национальное происхождение[16]. Основной целью включения такой информации в список чувствительных персональных данных изначально (в рамках
Конвенции Совета Европы № 108 «О защите физических лиц при автоматизированной обработке персональных данных», а также в ФЗ Российской Федерации от 27.07.2006 «О персональных данных») было предоставление гражданам дополнительных гарантий от дискриминации в условиях применения информационных технологий при обработке информации. Это зачастую обуславливалось печальным опытом использования таких сведений и технологий их обработки в тоталитарных государствах[17]. В дальнейшем с появлением Интернета, происходит частичное изменение сущности такой информации; помимо запрета дискриминации также важную роль начинает играть режим конфиденциальности информации, когда доступ к таким сведениям третьих лиц помимо воли субъекта уже означает существенное нарушение его прав[18].
Биометрические сведения также могут использоваться в целях дискриминации; например, информация, содержащаяся в ДНК, позволяет установить предрасположенность индивида к определенным заболеваниям, что впоследствии может быть использовано в сфере трудоустройства, страхования и т.п.[19] Однако указанные сведения уже отнесены к специальной категории персональных данных, а именно, к информации о здоровье. Аналогичное регулирование применяется и при автоматизированной обработке информации о расовой принадлежности субъекта, и, несмотря на то, что в такой ситуации могут использоваться биометрические технологии, обработка указанных данных будет также относиться к положениям о защите информации, относящейся к специальной категории персональных данных.
В данном случае чувствительность биометрических персональных данных обуславливается их свойствами. Во-первых, биометрические характеристики являются уникальными и универсальными например, ДНК, отпечатки пальцев, геометрия лица (в большинстве случаев) присущи исключительно одному человеку, что позволяет осуществить идентификацию физического лица и существенно ограничивать право на неприкосновенность частной жизни. Во-вторых, такая информация, а также содержащие ее материальные носители становятся доступны для сбора и анализа другим лицам в процессе повседневной активности субъекта, независимо от его воли, что дает возможность производить накопление и обработку таких сведений скрытно, без уведомления субъекта. В-третьих, в отличие от других персональных данных, например, фамилии, имени, которые присваиваются другими субъектами или государством и могут быть в дальнейшем изменены, биометрические характеристики являются практически неизменяемыми, что может привести к негативным последствиям в случае неправомерного их использования третьими лицами. Аналогично использование биометрических данных в криминалистических целях, их распространенность и трудность доказывания невиновности в случае обнаружения на месте преступления отпечатков пальцев или биологического материала подозреваемого также говорит о чувствительности данных сведений[20].
В связи с этим права, которые гарантированы законодательством в сфере защиты персональных данных, например, право субъекта на доступ к своим персональным данным, возможность получения информации об операторе и уведомления о начале обработки не всегда могут быть осуществлены, что также делает декларативным право субъекта на возражение против использования его персональных данных.
Приведенные выше обстоятельства позволяют рассматривать биометрические персональные данные в качестве чувствительной информации, обработка которой должна регулироваться специальными нормами. Это подтверждается также и моделями зарубежного законодательства, где биометрическая информация рассматривается в качестве чувствительных сведений в рамках законодательства о защите персональных данных Чехии[21], Италии[22], Эстонии[23], Франции[24].
Несмотря на то, что биометрические персональные данные относятся к чувствительной информации, что предполагает специальные правила их обработки, применяемое регулирование может не соответствовать особенностям данной информации, и поэтому выделение «сверхчувствительных» сведений в отдельную категорию персональных данных будет являться целесообразным. Такое разделение в настоящее время существует в российском законодательстве. Необходимость внесения в законодательство дополнительной категории персональных данных также определяется отсутствием внутреннего единства в существующих категориях персональных данных, а также высокой вероятностью нарушения прав граждан и их законных интересов при применении общего правового регулирования.
Если рассматривать правовое регулирование сведений, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъекта в рамках специальной категории персональных данных, можно заметить сомнительность применения некоторых положений, касающихся возможности обработки таких сведений без согласия субъекта для указанных видов персональных данных.
Например, обработка информации о политических взглядах гражданина может осуществляться без его согласия в медико-профилактических целях, или в целях установления медицинского диагноза. Аналогично можно сказать и про сведения, касающиеся расовой принадлежности субъекта либо его философских убеждений, и про обработку таких данных, осуществляемой в соответствии с пенсионным или страховым законодательством. Список приведенных примеров не является исчерпывающим, его можно продолжить, однако в этом нет необходимости, поскольку цель таких примеров — показать отсутствие единства между всей совокупностью сведений, входящих в специальную категорию персональных данных и коллизиями при обработке указанных сведений без согласия субъекта персональных данных. Исходя из этого, тезис о том, что отдельные положения, которые применимы к специальным категориям персональных данных, могут не полностью соответствовать характеру биометрической информации, не находит подтверждения, поскольку даже в категории специальных персональных данных отсутствует внутреннее единство насчет критерия возможности обработки персональных данных без согласия субъекта.
Однако если специальные категории не обладают внутренним единством, то включение в их состав биометрической информации существенным образом ни на что не повлияет. В то же время из сопоставления примеров разрешенного использования персональных данных, относящихся к биометрической или специальной категории без согласия субъекта, можно выделить два существенных отличия. Во-первых, это обработка персональных данных, которые были сделаны общедоступными субъектом персональных данных, во-вторых, это обработка персональных данных, которая необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц, получение же согласия субъекта персональных данных невозможно.
Наиболее значимым в контексте биометрии является первый фактор, когда независимо от того, были ли сделаны биометрические персональные данные публичными, оператор должен получить от субъекта согласие на их обработку. Несмотря на то, что данная норма существовала в первой редакции ФЗ «О персональных данных» еще в 2006 году, она опередила свое время, и сегодня, с учетом технического прогресса, особенно в сфере распознавания изображений, является весьма актуальной.
В 2006 году социальные сети не имели столь широкого охвата аудитории, который они имеют в настоящее время: в глобальном масштабе количество пользователей Facebook составляло 12 млн. человек[25], Vkontakte — несколько тысяч[26]. В дальнейшем в социальных сетях многократно увеличивается число пользователей и количество загружаемых данных, которые в большинстве представлены фотографиями физических лиц.
Практически все социальные сети устанавливают правила обработки персональных данных, с которыми пользователь соглашается при регистрации, где ввиду отсутствия ограничений в настройках конфиденциальности на доступ к данным сведениям третьих лиц, персональные данные будут считаться сделанными общедоступными субъектом персональных данных с позиции п. 10 ч. 1 ст. 6 и п. 2 ч. 2 ст. 10 ФЗ «О персональных данных»[27].
Поскольку изображение на странице пользователя является персональными данными, которые были сделаны общедоступными, другие лица могут обрабатывать соответствующую информацию без согласия субъекта. В большинстве случаев такая обработка сводится к размещению фотографии на других страницах социальной сети или других сайтах в Интернете. Однако применение такого варианта регулирования к биометрическим персональным данным применение такого регулирования могло бы оказать негативное влияние на права субъекта. Делая собственные персональные данные общедоступными, субъект не может предвидеть, что новые информационные технологии будут изменять самую сущность использования такой информации: вместо распространения — возможность автоматизированной идентификации человека любыми субъектами, когда лицо становится универсальным идентификатором.
Даже если субъект придает важное значение распространяемой о себе информации в Интернете, не размещая ее в общедоступных источниках персональных данных, либо не делая ее общедоступной, тем не менее он не в состоянии полностью ограничить ее обработку. Например, обнародование изображения гражданина в Интернете допускается без его согласия, если оно было получено в открытых для свободного посещения местах и не является основным объектом использования (пп. 2 п. 1 ст. 152.1 ГК РФ).
Приведенные обстоятельства существенно уменьшают возможность контроля субъекта над использованием его персональных данных, поэтому рациональным шагом было установление дополнительных ограничений для других лиц при использовании ими персональных данных, которые были сделаны общедоступными субъектом. Однако это не означает, что обработка сведений, сделанных общедоступными субъектом персональных данных, должна быть полностью запрещена, — для того, чтобы она была легитимной, необходимо согласие субъекта, которое должно выражать его волю, в данном случае именно на обработку биометрических персональных данных. Таким образом, с учетом свойств биометрической информации, а также возможных негативных последствий для субъекта персональных данных происходит изменение в регулировании общедоступных персональных данных — вместо свободы обработки по умолчанию на необходимость получить согласие гражданина.
В связи с развитием информационных технологий, увеличением количества обрабатываемых о гражданах сведений, а также различным идентифицирующим потенциалом данной информации в научной литературе возникает спор о необходимости использования объективного или субъективного подхода при обработке персональных данных[28]. Объективный подход предполагает, что информация признается персональными данными независимо от наличия у оператора возможности произвести идентификацию субъекта[29]. Субъективный подход предполагает, что оператор должен иметь разумную возможность идентифицировать субъекта на основании имеющихся у него дополнительных сведений или той информации, которую он может получить от других лиц[30].
Применительно к специальной и биометрической категориям персональных данных данный подход трансформируется в необходимость установления цели обработки оператором соответствующих сведений. При обработке персональных данных субъекта, например, его фотографии, если исходить из буквального толкования закона, оператор также будет обрабатывать и сведения, относящиеся к специальной категории персональных данных, поскольку изображение лица характеризует расу субъекта, а также может отражать его состояние здоровья. Такой формальный подход подвергся обоснованной критике рядом авторов ввиду отсутствия у оператора знания того, обработку какого типа персональных данных он производит[31].
Биометрические персональные данные являются единственным исключением из объективного подхода к обработке персональных данных в российском законодательстве — они будут относиться к данной категории только если происходит их использование оператором в целях определения личности субъекта.
В отечественном законодательстве более пяти лет существовал объективный подход в отношении обработки биометрических персональных данных, чтобы сведения могли относиться к биометрическим данным, было достаточно, чтобы сведения характеризовали физиологические особенности человека и на основании их можно было установить личность субъекта. Однако применение объективного подхода показало нецелесообразность, поскольку большей частью к обработке биометрических персональных данных относилось либо хранение бумажных копий паспортов клиентов или сотрудников организации[32], либо размещенные материалы с фотографией лица на сайте в Интернете, где данное регулирование в большей степени использовалось для ограничения свободы слова[33]. С внесением поправок в ФЗ «О персональных данных» в 2011 году[34] названные недостатки законодательства были исправлены, и для биометрической категории персональных данных был установлен субъективный подход, т.е. персональные данные будут считаться биометрическими только в случае наличия цели у оператора осуществлять их обработку для идентификации граждан.
Целесообразность применения данного регулирования подтверждается и аналогичными разработками в рамках Общеевропейского регламента о персональных данных № 2016/679 (который заменит национальные нормативно-правовые акты стран ЕС в данной сфере), где также используется субъективный подход для правового регулирования биометрических персональных данных, — биометрические персональные данные будут относиться к специальной категории только при условии, если они используются оператором в целях идентификации физических лиц (ч. 1 ст. 9)[35]. Схожие нормы содержатся и в Директиве ЕС № 2016/680, положения которой применяются в сфере обработки персональных данных компетентными государственными органами в целях предотвращения и расследования преступлений (ст. 10)[36].
Таким образом, выделение биометрической информации в отдельную категорию персональных данных позволяет учесть ее свойства и особенности, а также установить правовое регулирование, учитывающее как интересы субъекта, так и оператора персональных данных.
[1] Kittichaisaree K. Public International Law of Cyberspace. Bern, 2017. P. 65.
[2] Mordini E. Second Generation Biometrics: The Ethical, Legal and Social Context. N.Y., 2012. P. 130.
[3] Конвенция о защите физических лиц при автоматизированной обработке персональных данных (заключена в Страсбурге 28.01.1981) // СПС КонсультантПлюс.
[4] Директива N 95/46/ЕС Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» (принята в Люксембурге 24.10.1995) (с изм. и доп. от 29.09.2003) // СПС КонсультантПлюс.
[5] Data Protection Code — Legislative Decree no. 196/2003 [Электронный ресурс]: // URL: http:// 194.242.234.211/web/guest/home/docweb/-/docweb-display/docweb/4814258 (дата обращения: 18.07.2016)
[6] Personal Data Protection Act of the Republic of Slovenia No. 001-22-148/04 [Электронный ресурс]: // URL: https://www.coe.int/t/dghl/standardsetting/dataprotection/National%20laws/SLOVENIA_DP_LAW.pdf (дата обращения: 19.07.2016)
[7] Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» // СЗ РФ. № 31. Ст. 3451.
[8] Yue Liu N. Bio-Privacy: Privacy Regulations and the Challenge of Biometrics. N. Y., 2012. P. 151.
[9] Advice Paper on Special Categories of Data («Sensitive Data»). [Электронный ресурс]: // URL: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/others/2011_04_20_letter_artwp_mme_le_bail_ directive_9546ec_annex1_en.pdf (дата обращения: 19.07.2016)
[10] Kindt E. Privacy and Data Protection Issues of Biometric Applications. Leyden, 2013. P. 745.
[11] Покаместова Е.Ю. Правовая защита конфиденциальности персональных данных несовершеннолетних: дис. ... к.ю.н. Воронеж, 2006. С. 51.
[12] Вельдер И.А. Система правовой защиты персональных данных в Европейском Союзе: дис. ... к.ю.н. Казань, 2006. С. 131.
[13] Рассолов И.М. Информационное право. М.: Юрайт, 2012. С. 165-166.
[14] Федеральный закон от 25.11.2009 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» по вопросам реализации международных договоров Российской Федерации о реадмиссии» // СЗ РФ. № 48. Ст. 5716; Федеральный закон от 25.07.2011 №261-ФЗ «О внесении изменений в федеральный закон «О персональных данных» // СЗ РФ. № 31. Ст. 4701; Федеральный закон от 04.06.2014 № 142-ФЗ «О внесении изменений в статьи 6 и 30 Федерального закона «О гражданстве Российской Федерации» и отдельные законодательные акты Российской Федерации» // СЗ РФ. № 23. Ст. 2927.
[15] Законопроект № 416052-6 о внесении изменений в Федеральный закон «О персональных данных» и статью 28.3 Кодекса Российской Федерации об административных правонарушениях. [Электронный ресурс]: // URL: http://asozd2.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=416052-6&11 (дата обращения: 15.07.2016)
[16] Конвенция о защите прав человека и основных свобод (заключена в Риме 04.11.1950) // СПС КонсультантПлюс.
[17] Black E. IBM and Holocaust: Strategic Alliance between Nazi Germany and America’s Most Powerful Corporation. N. Y., 2012. P. 15.
[18] Kindt E. Op. Ot. P. 132.
[19] Gkoulalas-Divanis A. Medical Data Privacy Handbook. Berlin, 2015. P. 619.
[20] Горелишвили Д. Постатейный комментарий к проекту Закона России «О персональных данных». [Электронный ресурс]: // URL: http://www.kongord.ru/Index/A_tma_05/DGorpersdatcom.html (дата обращения: 16.07.2016)
[21] Act No. 101/2000 Coll. On the Protection of Personal Data. Czech Republic. [Электронный ресурс]: // URL: https://www.uoou.cz/en/vismo/zobraz_dok.asp?id_ktg=1107 (дата обращения: 18.07.2016)
[22] Data Protection Code — Legislative Decree of Italy No. 196/2003. [Электронный ресурс]: // URL: http://194.242.234.211/web/guest/home/docweb/-/docweb-display/docweb/4814258 (дата обращения: 18.07.2016)
[23] Personal Data Protection Act No RT 127 of 15 February 2007 [Электронный ресурс]: // URL: https:// www.riigiteataja.ee/en/eli/ee/529012015008/consolide/current (дата обращения: 18.07.2016)
[24] Act No 78-17 of 6 January 1978 On Information Technology, Data Files and Civil Liberties. [Электронный ресурс]: // URL: https://www.cnil.fr/sites/default/files/typo/document/Act78-17VA.pdf (дата обращения: 18.07.2016)
[25] Gregory M. Security and the Networked Society. London, 2013. P. 248.
[26] [Электронный ресурс]: // URL: https://ru.wikipedia.org/b Контакте (дата обращения: 17.07.2016)
[27] Правила защиты информации о пользователях сайта VK.com17. [Электронный ресурс]: // URL: https://new.vk.com/privacy (дата обращения 17.07.2016); Что считается общедоступной информацией? [Электронный ресурс]: // URL: https://www.facebook.com/help/203805466323736 (дата обращения 17.07.2016)
[28] CJEU Decision on Dynamic IP Addresses Touches Fundamental DP Law Questions. [Электронный ресурс]: // URL: https://www.twobirds.com/en/news/articles/2016/global/cjeu-decision-on-dynamic-ip-ad- dresses-touches-fundamental-dp-law-questions (дата обращения: 15.01.2017)
[29] Cooper D. Re-defining «Personal Data» — Can the Opinion Live up to the Hype? // Data Protection Ireland. 2016. Vol. 3. Issue 6. P. 7.
[30] Vermeulen G., De Bondt V. Justice, Home Affairs and Security: European and International Institutional and Policy Development. Utrecht, 2017. P. 101.
[31] Simits S. Revisiting Sensitive Data [Электронный ресурс]: // URL: https://www.coe.int/t/dghl/stan- dardsetting/dataprotection/Reports/Report_Simitis_1999.pdf (дата обращения: 17.07.2016); McCullagh K. Data Sensitivity: Proposals for Resolving the Conundrum // Journal of International Commercial Law and Technology. 2007. Issue 4. P. 197.
[32] Постановление Фрунзенского районного суда Владивостока от 17.10.2011 по делу 5-143/11; Постановление Ленинского районного суда Тюмени от 15.05.2013 по делу № 5-3642.
[33] Решение по административному делу г. Суджи от 3 02 2014 по делу № 5-25/2014.
[34] Федеральный закон от 25.07.2011 № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» // СЗ РФ. 2011. № 31. Ст. 4701.
[35] General Data Protection Regulation № 2016/679 // URL: http://data.consiHum.europa.eu/doc/docu- ment/ST-5419-2016-INIT/en/pdf (дата обращения: 18.02.2017).
[36] Directive № 2016/680 // URL: http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016 L0680&from=EN (дата обращения 18.02.2017)
| 
0%