В конце декабря 2022 года, президент подписал закон, запрещающий принудительный сбор биометрии, об этом сообщили большинство СМИ. Президент России Владимир Путин подписал закон, устанавливающий запрет на принудительный сбор биометрии, а также на дискриминацию в отношении отказавшихся от ее сдачи граждан, следует из документа на официальном портале правовой информации. Отказ от сдачи биометрии не может становиться основанием для отказа предоставлять гражданину госуслуги или другие работы. Так же уместно вспомнить Указ Президента РФ от 9 мая 2017 г. № 203 “О Стратегии развития информационного общества в Российской Федерации на 2017 - 2030 годы”
пункт 3. Основными принципами настоящей Стратегии являются: в) сохранение традиционных и привычных для граждан (отличных от цифровых) форм получения товаров и услуг.
Но как оно на практике, это удивит многих...
Единая биометрическая система (ЕБС) совместный проект Банка России и «Ростелекома», направленный на сбор биометрической информации и её использование для идентификации (в более строгом понимании — для аутентификации) пользователей финансовых услуг. Платформа была разработана по инициативе Минкомсвязи и Центрального банка, разработчик и оператор ЕБС — «Ростелеком». В конце 2021 года приобрела статус государственного информационного ресурса. В ЕБС для идентификации используются одновременно два параметра — голос и лицо (фотоизображение лица человека). Система является одним из ключевых элементов механизма удалённой идентификации, позволяющего гражданам дистанционно получать финансовые услуги, она работает в тесной взаимосвязи с Единой системой идентификации и аутентификации (ЕСИА). Все кредитные организации РФ были обязаны подключиться к ЕБС к 2021 году. По состоянию на конец мая 2021 года в системе было зарегистрировано около 200 тыс. пользователей. Дополнительную информацию о ЕБС, можно получить на сайте Единая биометрическая система.
В соответствии с Законом, согласие для обработки персональных данных не требуется, и за хранение этих персональных данных никто не отвечает?
Информацию воспринять не просто, как говорится «наворотили», но вы попробуйте, это важно…
В соответствии с частью 1 Статьи 11 ФЗ № 152 «О персональных данных» к биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных. В этой же статье указанного закона сообщается о том, что эти данные могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, и исключениях, когда это согласие не требуется:
1. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации, законодательством Российской Федерации о нотариате.
3. Предоставление биометрических персональных данных не может быть обязательным, за исключением случаев, предусмотренных частью 2 настоящей статьи. Оператор не вправе отказывать в обслуживании в случае отказа субъекта персональных данных предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных, если в соответствии с федеральным законом получение оператором согласия на обработку персональных данных не является обязательным.
Однако, обязательное наличие согласия и то что предоставление биометрических персональных данных не может быть обязательным, вроде как отменяется…
Статья 3 часть 5. К векторам единой биометрической системы не применяются положения статьи 11 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" и меры по обеспечению безопасности биометрических персональных данных при их обработке, установленные в соответствии со статьей 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных".
Т.е. получается, что часть 5 Статьи 3 указанного федерального закона, делает не обязательным согласие субъекта персональных данных при их обработке в ЕБС, и может допускать обязательность их наличия для обслуживания. Это значит, что могут отказать в предоставлении услуги, если не предоставил биометрические данные, а то и вовсе внести их без согласия субъекта.
Тут можно возразить… Понятие вектор единой биометрической системы определено Статьёй 2, того же ФЗ № 572 - персональные данные, полученные в результате математического преобразования биометрических персональных данных физического лица, содержащихся в единой биометрической системе, которое произведено с использованием информационных технологий и технических средств, соответствующих требованиям, определенным в соответствии с подпунктом "е" пункта 1 части 2 статьи 6 настоящего Федерального закона. В пункте «е» сообщается: требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения идентификации и (или) аутентификации, а также порядок подтверждения соответствия информационных технологий и технических средств указанным требованиям. Что за требования? Какие конкретно требования, на сайте официальной правовой информации отсылки нет. А вот сайт
КонсультантПлюс, предполагает что это Приказ Министерства цифрового развития, связи и массовых коммуникаций РФ от 10 сентября 2021 г. № 930 "Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных, порядка размещения и обновления биометрических персональных данных в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации". И тут в пункте 9 сообщается: «Обработка параметров биометрических персональных данных физического лица осуществляется после проведения идентификации физического лица в соответствии с требованиями, утвержденными в соответствии с пунктом 2 части 2 статьи 14.1 Федерального закона N 149-ФЗ, а также получения согласия на обработку персональных данных и биометрических персональных данных в соответствии с частью 5 статьи 14.1 Федерального закона N 149-ФЗ при сборе в единую биометрическую систему, а при сборе в иные информационные системы, обеспечивающие идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц - после получения согласия на обработку персональных и биометрических персональных данных в соответствии с требованиями законодательства Российской Федерации в области персональных данных».
И тут встаёт простой и логичный вопрос, для чего делать статью закона, которая отменяет обязательное согласие на обработку биометрических персональных данных, а после в каком-то там приказе, его снова делать обязательным? И не применима ли тут Конституция Российской Федерации Статья 76 часть 5. Законы и иные нормативные правовые акты субъектов Российской Федерации не могут противоречить федеральным законам. В случае противоречия между федеральным законом и иным актом, изданным в Российской Федерации, действует федеральный закон? Тогда получается что противоречие в пользу закона, а не приказа. Да и то, что именно этот приказ является тем самым «требованием», тоже довольно спорно, так как в законе нет прямой отсылки. Получается что законом отменено обязательное согласие на обработку биометрических персональных данных.
Так же важно отметить, что исходя из пункта 2, того же Приказа Министерства цифрового развития № 930, следует, что проводится обработка параметров биометрических персональных данных физического лица следующих видов: данные изображения лица; данные голоса, собранные текстозависимым методом. А это значит, что остальные биометрические данные сюда не входят, и значит для них положения статьи 11 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" и меры по обеспечению безопасности биометрических персональных данных при их обработке, установленные в соответствии со статьей 19 пока всё же применимы. Но будут ли они применимы в дальнейшем, не выйдет ли новый приказ, кто знает, может да, а может и нет. Кроме того, если допустить, что этот приказ не имеет отношения к указанным требованиям, определенным в соответствии с подпунктом "е" пункта 1 части 2 статьи 6 ФЗ № 572, то получается, что положения статьи 11 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" и меры по обеспечению безопасности биометрических персональных данных при их обработке, установленные в соответствии со статьей 19, просто разрешают отказать в предоставлении услуги, если не предоставил биометрические данные, а то и вовсе внести их без согласия субъекта. Так как федеральный закон есть, а отсылки из закона, к конкретным требованиям для обработки в ЕБС нет (можно и другой приказ найти, или даже не приказ, и выдать его за это требование, а там прописать что захочется).
А вот то, что касается, отмены Статьи 11 в части 3 ФЗ № 152, о том что предоставление биометрических персональных данных не может быть обязательным, то тут очередная странность. Для чего в части 5 Статьи 3 ФЗ №572, указывать недействительность Статьи 11 ФЗ № 152 целиком, а не только части 1? В части 1 указана обязательность наличия согласия в письменной форме субъекта персональных данных, и это видимо основная цель. Так как в части 2, исключения когда согласие не требуется, а значит и отменять нет смысла, так как отменяется часть 1, а значит и само согласие. Ну и часть 3, о том что предоставление биометрических персональных данных не может быть обязательным, т.е. могут отказать в услуге если не сданы биометрические данные. Был бы смысл отменять, если бы не Статья 3 часть 13, того же ФЗ №572: «Отказ физического лица от прохождения идентификации и (или) аутентификации с использованием его биометрических персональных данных не может служить основанием для отказа ему в оказании государственной, муниципальной или иной услуги, выполнении государственных, муниципальных функций, продаже товаров, выполнении работ или отказа в приеме на обслуживание». Получается, что в ФЗ №572 отменяется часть ФЗ № 152, и в этом же ФЗ №572 она снова прописывается. Вот и выходит, что внесение отмены Статьи 11 ФЗ № 152 в ФЗ №572, в сути отменяет только часть 1, там где обязательность согласия. А почему бы так сразу и не указать, отмену только части 1? Видимо для того, что бы не привлекать к этому внимание, мало кто, даже из юристов сможет это заметить…
Кроме того, указанная часть 5 Статьи 3 федерального закона № 572 сообщает о том, что не применяются меры по обеспечению безопасности биометрических персональных данных при их обработке, установленные в соответствии со статьей 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных". Что же там такого важного указано в этой статье, что стало вдруг необходимым ее отменить при обработке биометрии?
Статья 19. Часть 1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
О чем это говорит? Получается то, что оператор при обработке персональных данных теперь не обязан принимать меры для защиты персональных данных. Как вам такой поворот? И тут снова вроде как можно возразить, что есть же уже упомянутый Приказ Министерства цифрового развития, связи и массовых коммуникаций РФ № 930, в котором, в пункте 5 сообщается, что органы и организации, осуществляющие идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, при сборе параметров биометрических персональных данных для идентификации должны обеспечивать их защиту. И тут снова, вспоминаем Конституцию Российской Федерации Статью 76 часть 5. Законы и иные нормативные правовые акты субъектов Российской Федерации не могут противоречить федеральным законам. В случае противоречия между федеральным законом и иным актом, изданным в Российской Федерации, действует федеральный закон. А ФЗ № 572 в Статье 3 части 5, сообщает что указанная Статья 19 ФЗ №152 не применяется. Вот и получается, что в соответствии с Законом, согласие для обработки персональных данных не требуется, и за хранение этих персональных данных никто не отвечает.
С молчаливого согласия биометрия доступна всем
Ещё один важный момент, когда для занесения в ЕБС, согласие субъекта биометрических персональных данных не требуется, это когда они уже были сданы, не важно где в банке, фитнес-клубе или где-то ещё. Если вы их где-то сдали, то они попадут в общую базу, таков закон.
Федеральный закон от 29.12.2022 N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации"
Статья 4 часть 14. В случае, если в информационных системах государственных органов, органов местного самоуправления, Центрального банка Российской Федерации, организаций финансового рынка, иных организаций, индивидуальных предпринимателей, нотариусов в соответствии с федеральными законами собраны биометрические персональные данные, соответствующие всем видам или только одному из видов, размещаемым в единой биометрической системе, за исключением случаев, указанных в части 2 статьи 1 и части 8 статьи 3 настоящего Федерального закона, указанные государственные органы, органы местного самоуправления, Центральный банк Российской Федерации, организации финансового рынка, иные организации, индивидуальные предприниматели, нотариусы обязаны разместить в соответствии с порядком размещения и обновления биометрических персональных данных, установленным в соответствии с подпунктом "б" пункта 1 части 2 статьи 6 настоящего Федерального закона, такие биометрические персональные данные в единой биометрической системе без получения ими согласия соответствующего субъекта персональных данных на это размещение, а также на их обработку оператором единой биометрической системы.
Добровольно-принудительно…
Работодатели уже начинают принуждать сотрудников к биометрии. Хороший пример Мосгортранс. На официальном сайте Мосгортранса уже размещена информация о том, что у сотрудников которые не сдадут биометрию, теперь не будет возможности бесплатного проезда в метро и МЦК.
Тут важно отметить, что разделение сотрудников по признаку тех кто сдал биометрию и тех кто не сдал, попадает под нарушение ТК РФ Статья 3. Запрещение дискриминации в сфере труда. Каждый имеет равные возможности для реализации своих трудовых прав. Никто не может быть ограничен в трудовых правах и свободах или получать какие-либо преимущества в зависимости от пола, расы, цвета кожи, национальности, языка, происхождения, имущественного, семейного, социального и должностного положения, возраста, места жительства, отношения к религии, убеждений, принадлежности или непринадлежности к общественным объединениям или каким-либо социальным группам, а также от других обстоятельств, не связанных с деловыми качествами работника. Лица, считающие, что они подверглись дискриминации в сфере труда, вправе обратиться в суд с заявлением о восстановлении нарушенных прав, возмещении материального вреда и компенсации морального вреда.
Для тех кто сдал биометрию, на сайте указана инструкция, как пользоваться системой распознавания лиц.
К чему может привести сдача биометрии, остается только гадать. Что может случиться если биометрические данные смогут похитить злоумышленники, как это уже сейчас происходит с персональными данными. С начала 2022 года в России произошло около 60 крупных утечек личных данных жителей страны, сообщили в Роскомнадзоре. Об этих инцидентах и их последствиях регулятор рассказал ТАСС. В результате утечек в сети были опубликованы более 230 миллионов записей с персональной информацией россиян, указали в Роскомнадзоре. «Скомпрометированы не только такие персональные данные, как фамилия, адрес и телефон, но и медицинские данные, данные о поведенческих особенностях, потребительских предпочтениях людей», — заявили в регуляторе. В России в 40 раз выросло число утечек персональных данных.
По итогам прошлого года число утечек персональных данных граждан РФ увеличилось в 40 раз по сравнению с 2021 годом. В открытом доступе появляются телефоны, адреса россиян, личная переписка.
Важно понимать, что тот кто сдал биометрию он становится более подконтролен системе. «Сдал голос», и вот уже есть риск, что в дальнейшем, ляпнул что-то не то по телефону, получи штраф. «Сдал лицо», пошел на митинг, вычислили по лицу, или вот тут пример с Face Pay, когда в метро штрафовали тех, кто не носит маску. Хорошо это или плохо, пусть каждый решит сам, однако…
В случае централизованной и обязательной биометрии, если данные похищены, то возможно многое. Могут быть случаи, когда человек вследствие ошибки системы окажется "за скобками" социума (не будет доступа к общественному транспорту, не пропустит «умная» дверь домой или в магазин и т.п.), будет оштрафован или же даже может быть посажен в тюрьму.
И в завершение. Всё это явно «попахивает» нарушением прав и свобод человека. Необходимо помнить о своих правах и уместно будет вспомнить несколько статей Конституции РФ. Статья 2 Человек, его права и свободы являются высшей ценностью. Признание, соблюдение и защита прав и свобод человека и гражданина - обязанность государства. Статья 3 часть 1. Носителем суверенитета и единственным источником власти в Российской Федерации является ее многонациональный народ. Статья 4 часть 2. Конституция Российской Федерации и федеральные законы имеют верховенство на всей территории Российской Федерации. В соответствии с Конституцией РФ Статья 55 часть 3, права и свободы человека и гражданина могут быть ограничены только федеральным законом, это значит что приказы, указы, постановления, инструкции и т.п., этого сделать не могут, они просто юридически ничтожны. Ну а касаемо указанных федеральных законов, в той же 55 статье Конституции РФ, в части 2. В Российской Федерации не должны издаваться законы, отменяющие или умаляющие права и свободы человека и гражданина. Так же следует помнить ещё об одной статье Конституции РФ Статья 24 1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
В тему:
Цифровой контроль населения в РФ через биометрию…
Что надо знать тем, кто не хочет сдавать биометрию
Мнения, высказываемые в данной рубрике, могут не совпадать с позицией редакции