Планы на лица: как защитить биометрические данные от видеонаблюдения
Собираемая при помощи камер видеонаблюдения информация, в том числе изображения людей, позволяет проводить идентификацию личности. Однако биометрические данные можно использовать только с разрешения самого человека. Эта правовая проблема всё еще остается не урегулированной. Как сейчас защищать биометрические данные — разбирались «Известия».
Спорное распознание
Бесконтрольный сбор биометрических данных запрещен законом, но лица людей постоянно оказываются в поле зрения камер видеонаблюдения, сказал член Совета по правам человека (СПЧ) Игорь Ашманов. Он рассуждал о концепции защиты прав граждан в цифровой среде, которую СПЧ разработал по поручению президента и которая частично уже отражается в законах. Так, в конце прошлого года был принят закон о Единой биометрической системе (ЕБС), в котором указано, что можно отзывать свои биометрические данные.
«Другое дело, пока не до конца понятно, как это будет работать, если, например, вы попали в объектив уличной камеры и ваши данные передали в ЕБС», — сказал Ашманов.
Он назвал ситуацию с камерами видеонаблюдения «серой» правовой зоной, так как изображение лица — это биометрические данные, а закон прямо запрещает собирать их у несовершеннолетних. «Но одно дело просто снимать, другое дело — хранить персональные данные и распознавать по ним человека», — подчеркнул Ашманов.
Отметим, что многие камеры оборудуются системой распознавания лиц, которая автоматически занимается сбором персональных данных. И из-за этого уже возникали споры. Так, в 2019 году родители в Перми обратились в суд из-за того, что школа обрабатывала персональные данные учащихся. В учреждении установили проходную систему с четырьмя турникетами, каждый из которых был оснащен двумя камерами с распознаванием лиц. Школа обрабатывала персональные данные посетителей, включая несовершеннолетних, для идентификации при пропуске на свою территорию. Роскомнадзор потребовал прекратить обработку биометрических персональных данных учащихся и уничтожить их при наличии базы данных. Школа требование не выполнила и была оштрафована по решению суда, однако после кассации дело было отправлено на пересмотр.
В рамках многочисленных программ «Безопасный город» в регионах России на улицах также устанавливают камеры с системой биометрической идентификации лиц. С ее помощью удается обнаруживать правонарушителей, однако фактически ведется сбор информации о каждом человеке, что вызывает озабоченность у правозащитников.
Лицо — это биометрия
Кандидат юридических наук, эксперт общественного движения «Информация для всех» Станислав Петровский пояснил, что по российскому законодательству изображение человека считается биометрическими персональными данными, если оно используется для установления конкретной личности.
Доцент кафедры гражданско-правовых дисциплин РЭУ им. Г. В. Плеханова Иван Денисов отмечает, что в целом биометрия — это система распознавания людей по одной или нескольким физическим характеристикам, и изображение человека — одна из этих характеристик. Основным регулирующим эту сферу отношений документом сейчас является закон о биометрии № 572-ФЗ от 29 декабря 2022 года. В нем предусмотрено в том числе функционирование Единой биометрической системы, или «Единой системы идентификации и аутентификации физических лиц с использованием биометрических персональных данных». Она содержит биометрические персональные данные людей, а также векторы единой биометрической системы. Под векторами ЕБС понимается информация о человеке, полученная с помощью математического преобразования биометрики. Иными словами, это зашифрованные биометрические данные конкретного гражданина. Оператор системы — АО «ЦБТ», а его учредители — ПАО «Ростелеком», Минцифры и Центробанк.
Как защитить свое изображение
Станислав Петровский отмечает, что закон № 572-ФЗ предоставляет право на удаление своего изображения и образца голоса из Единой биометрической системы. Управление своими данными будет возможно через портал госуслуг.
Более того, согласно ч. 1 ст. 11 закона «О персональных данных», человек должен дать письменное разрешение на обработку своих биометрических данных, но есть исключения — когда сбор биометрии ведется в сфере правосудия, обороны, безопасности, противодействию терроризму и т.д., говорит Петровский.
Член Ассоциации юристов России Мария Спиридонова отмечает, что в Гражданском кодексе также есть нормы, регулирующие порядок защиты своего цветографического изображения. Однако они в большей степени касаются использования фотографий, видеозаписей и живописных либо графических портретов. По статье 152.1 ГК РФ их обнародование допускается только с согласия самого изображенного гражданина или ближайших родных умершего человека.
— Такое согласие не требуется, когда изображение используется в государственных, общественных или иных публичных интересах; когда человек снят в местах, открытых для свободного посещения, на публичных мероприятиях, если он при этом не является основным объектом этого изображения; когда гражданин позировал за плату, — пояснила Мария Спиридонова «Известиям».
Если же информацию использовали в документах, видеозаписях или распространили на других носителях, человек может обратиться в суд с требованием об удалении этой информации и о пресечении дальнейшего ее распространения.
— Но возможность потребовать удаления изображения по ГК РФ не возникнет, если человек проходил мимо камер охраняемого объекта, камер частного дома, в общественных местах, — уточнила юрист.
К мировому опыту
Иван Денисов считает, что правовое регулирование и правоприменительная практика в сфере сбора биометрических данных с камер видеонаблюдения пока находятся на стадии становления и должны быть более подробно проработаны.
— Особую сложность вызывает определение баланса между защитой персональных данных и совершенствованием системы безопасности личности, общества и государства, — сказал он. — Вместе с тем современные пользователи активно используют новые технологические возможности, например Face Pay, который позволяет оплачивать проезд в общественном транспорте с помощью системы распознавания лиц, или удаленную идентификацию при использовании банковских услуг.
При использовании этих сервисов передача биометрических данных является добровольной и граждане должны иметь законодательное право для беспрепятственного удаления своих данных, говорит эксперт.
Станислав Петровский, в свою очередь, выступает за то, чтобы применение систем распознавания лиц было законодательно ограничено.
— Нужно установить закрытый перечень лиц, которые вправе получить доступ к системе, и порядок такого доступа, обеспечивающий права законопослушных граждан, — заявил он. — Следует учитывать, что любые массивы информации не только могут использоваться для раскрытия преступлений, но и могут быть украдены и использованы в преступных целях.
Он призывает учитывать и обратную сторону сплошного распознавания лиц в городах. Например, засекреченные сотрудники полиции и спецслужб, а также защищаемые государством свидетели из-за утечек в системе распознавания лиц могут быть раскрыты.
— Это ставит под серьезную угрозу их жизнь и выполняемые задачи, — заметил Станислав Петровский. — Преступники могут выяснить историю передвижения любого человека, использовать данные для похищения, шантажа и т. д.
Руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис» Сергей Полунин призывает использовать мировой опыт и судебную практику.
— Можно посмотреть, например, на европейский GDPR (Общий регламент по защите данных), где прозрачность — один из ключевых принципов, — сказал он «Известиям». — GDPR предполагает, что людям будет известно, что их снимают, а значит — никакой скрытой съемки. Мы не только оповещаем о факте съемки, но и доступно объясняем, для чего конкретно мы это делаем.
По его словам, камеру наблюдения можно поставить просто из соображений безопасности, но даже об этом нужно сообщить. Кроме того, важно контролировать, как осуществляется доступ к записям и удаляют ли их, когда данные станут не нужны.
— Особняком в GPDR, кстати, стоит ответственность за невыполнение этих требований, — заметил Сергей Полунин. — Штрафы существенны, а это очень стимулирует не нарушать закон. GDPR в России не действует, кроме ряда случаев, но всё равно мы можем обратиться к уже накопленному опыту.