Комментарий к вопросам о взаимосвязи биометрии и персональных данных. (внесено 21.04.10)
В связи с многочисленными вопросами, поступающими нашим экспертам, хотели бы несколько прояснить текущую ситуацию с биометрическими данными, чтобы избежать неясностей и неверных трактовок.
Первое. Закон о персональных данных гласит: Биометрические персональные данные – сведения, которые «характеризуют физиологические особенности человека и на основе которых можно установить его личность»… Таким образом, закон оговаривает возможность, а не факт установления личности субъекта, то есть это не одно и то же, что «позволяют установить личность».
Пример. По отпечатку пальца можно установить личность только в том случае, если где-то существует база данных, в которой этот отпечаток сопоставляется с идентификационными данными субъекта. Если кто-то нашел на улице некий предмет с отпечатком пальца – единственное, что можно сказать, что этот предмет держал человек, но кто конкретно, невозможно сказать до тех пор, пока найденный отпечаток не будет сверен в дактилоскопической базе данных с хранящимся там образцом и сопоставимыми идентификационными данными субъекта. Только после этого можно утверждать, что предмет был потерян Ивановым Иваном Ивановичем. Данный пример применим и к фотографии.
Таким образом, как видно из примера, найденный отпечаток пальца действительно помог идентифицировать субъекта, но именно на основе отпечатка пальца. То есть в данном случае отпечаток пальца послужил дополнительным идентификатором субъекта, но сам по себе не определил субъекта, так как для этого пришлось лезть в дактилоскопическую базу и уточнять, кому конкретно принадлежит этот идентификатор. Фактически налицо два процесса:
1. идентификация — сопоставление идентификатора субъекту;
2. аутентификация — определение, кому принадлежит идентификатор, и сопоставление идентификатора некоей базе данных.
Вывод: сами по себе биометрические данные не могут установить личность, но на их основе (как жесткого идентификатора и как об этом говорит Закон) можно установить личность. То есть биометрические данные являются не идентифицирующими данными, а идентификаторами, а это суть разные понятия.
Кроме того, исходя из вышесказанного, биометрические данные не могут считаться заменой идентификационного набора, включающего ФИО, пол, дату рождения, адрес и пр., поскольку для идентификации субъекта в таком случае однозначно потребуется аутентифицировать и сам идентификатор (биометрические данные) — сопоставить с идентификационными персональными данными. Следовательно, биометрические персональные данные сами по себе не только не входят в список идентифицирующих, но и, тем более, не подменяют его.
Второе. Организованные (упорядоченные) биометрические данные (фотография, отпечаток пальца) являются биометрическими персональными данными. В общем смысле такие понятия, как персональные данные, биометрические персональные данные, персональные данные, позволяющие идентифицировать субъекта — это все объективные понятия, не зависящие ни от субъективных факторов, ни от способа их обработки, ни от целей их обработки. Это важно для понимания.
Если в какой-либо информационной системе хранится фотография и не используется непосредственно для идентификации, она не перестает быть биометрическими персональными данными, так как она объективно отражает физиологические особенности человека и ее можно использовать для идентификации. При этом Закон не дает никаких изъятий относительно формы ее представления, в цифре, картинке или как-то иначе. То есть система, в которой есть фотография, независимо от того для чего эта фотография используется, будет информационной системой, обрабатывающей биометрические персональные данные. Не может быть так, что в одном случае — это биометрические персональные данные, а если сдали в архив и не используем для идентификации, то это уже и не биометрические персональные данные.
Пример. Имеем на служебном пропуске фотографию сотрудника. Она предназначена именно для идентификации личности, так как на ее основе охрана принимает решение о пропуске сотрудника, сверяя его фотографию с образцом, хранимым в компьютере (БД СКУД) и лицом самого сотрудника. Значит существует некий носитель (бумажный или электронный), на котором имеется изображение лица субъекта и которое отражает его физиологические особенности («черты лица»), которые и позволяют принять решение об идентичности его личности той, которая занесена в базу данных СКУД. Следовательно, фотография является биометрическими персональными данными.
Важно учесть, что фактическое непризнание организацией фотографии сотрудника в качестве его биометрических персональных данных не освобождает данную организацию от ответственности в рамках существующего законодательства.
В то же время, если фотография не нужна для целей идентификации или каких-либо иных целей, то она является избыточной информацией, что, в принципе, является нарушением ст.5 п.3 Закона: соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных.
Третье. Неверно полагать, что биометрическими персональными данными являются только те, которые участвуют в процессе машинного распознавания. Закон такого ограничения не предусматривает, а в ст.11 Закона говорится только о том, что биометрические персональные данные «могут обрабатываться», но нигде не сказано, что такая обработка может быть только автоматизированной. Более того, ст.1 Закона как раз говорит, что обработка может быть как автоматизированная, так и без использования средств автоматизации.
Само понятие «обработка» совершенно не зависит от того, какими методами она ведется, а зависит от действий, совершаемых с персональными данными: сбор, хранение, систематизация, накопление, уточнение, использование, распространение, обезличивание, блокирование, уничтожение. Это императивная норма ст.3 Закона и список этих действий конечен.
Четвёртое. Биометрические данные отличаются тем, что они уникальны, то есть присущи только конкретному субъекту, и измеримы. Например, процедура сличения субъекта с эталоном (фото на пропуске) это и есть измерение. Однако, измерения (сравнения) могут проводиться с разной степенью доверия. В то же время, степень доверия к биометрическим данным не меняет их объективной сущности и даже при малой степени доверия они все равно остаются биометрическими данными.
К примеру, зная только часть идентификационных данных (имя) можно попытаться идентифицировать личность, но существует вероятность ошибки — возможно есть тёзка. В определенных условиях и этого достаточно, в других — надо иметь большую уверенность и потребуется полный набор идентификационных данных. В равной степени это относится и к биометрическим данным. Степень же необходимого доверия, по всей вероятности, должен определить сам пользователь данной информации исходя из тех бизнес-процессов, которые он реализует и для которых необходима эта информация.
Необходимо также отметить, что биометрические данные обладают некоторым дуализмом. С одной стороны, они содержат в себе информацию о субъекте, с другой стороны, являются неотъемлемой его частью и, как следствие, могут выступать в качестве идентификатора субъекта. Получается, что особенности лица (например, шрам), присущие субъекту, отражаются на его фотографии. И эта черта может послужить для установления личности. К примеру, можно ли отнести к биометрическим данным словесный потрет без фотографии, описывающий особенности лица? Можно, потому что он описывает уникальные черты субъекта. Но, в то же время, словесный портрет может и не описывать шрам и при этом не перестает быть портретом.
Первое. Закон о персональных данных гласит: Биометрические персональные данные – сведения, которые «характеризуют физиологические особенности человека и на основе которых можно установить его личность»… Таким образом, закон оговаривает возможность, а не факт установления личности субъекта, то есть это не одно и то же, что «позволяют установить личность».
Пример. По отпечатку пальца можно установить личность только в том случае, если где-то существует база данных, в которой этот отпечаток сопоставляется с идентификационными данными субъекта. Если кто-то нашел на улице некий предмет с отпечатком пальца – единственное, что можно сказать, что этот предмет держал человек, но кто конкретно, невозможно сказать до тех пор, пока найденный отпечаток не будет сверен в дактилоскопической базе данных с хранящимся там образцом и сопоставимыми идентификационными данными субъекта. Только после этого можно утверждать, что предмет был потерян Ивановым Иваном Ивановичем. Данный пример применим и к фотографии.
Таким образом, как видно из примера, найденный отпечаток пальца действительно помог идентифицировать субъекта, но именно на основе отпечатка пальца. То есть в данном случае отпечаток пальца послужил дополнительным идентификатором субъекта, но сам по себе не определил субъекта, так как для этого пришлось лезть в дактилоскопическую базу и уточнять, кому конкретно принадлежит этот идентификатор. Фактически налицо два процесса:
1. идентификация — сопоставление идентификатора субъекту;
2. аутентификация — определение, кому принадлежит идентификатор, и сопоставление идентификатора некоей базе данных.
Вывод: сами по себе биометрические данные не могут установить личность, но на их основе (как жесткого идентификатора и как об этом говорит Закон) можно установить личность. То есть биометрические данные являются не идентифицирующими данными, а идентификаторами, а это суть разные понятия.
Кроме того, исходя из вышесказанного, биометрические данные не могут считаться заменой идентификационного набора, включающего ФИО, пол, дату рождения, адрес и пр., поскольку для идентификации субъекта в таком случае однозначно потребуется аутентифицировать и сам идентификатор (биометрические данные) — сопоставить с идентификационными персональными данными. Следовательно, биометрические персональные данные сами по себе не только не входят в список идентифицирующих, но и, тем более, не подменяют его.
Второе. Организованные (упорядоченные) биометрические данные (фотография, отпечаток пальца) являются биометрическими персональными данными. В общем смысле такие понятия, как персональные данные, биометрические персональные данные, персональные данные, позволяющие идентифицировать субъекта — это все объективные понятия, не зависящие ни от субъективных факторов, ни от способа их обработки, ни от целей их обработки. Это важно для понимания.
Если в какой-либо информационной системе хранится фотография и не используется непосредственно для идентификации, она не перестает быть биометрическими персональными данными, так как она объективно отражает физиологические особенности человека и ее можно использовать для идентификации. При этом Закон не дает никаких изъятий относительно формы ее представления, в цифре, картинке или как-то иначе. То есть система, в которой есть фотография, независимо от того для чего эта фотография используется, будет информационной системой, обрабатывающей биометрические персональные данные. Не может быть так, что в одном случае — это биометрические персональные данные, а если сдали в архив и не используем для идентификации, то это уже и не биометрические персональные данные.
Пример. Имеем на служебном пропуске фотографию сотрудника. Она предназначена именно для идентификации личности, так как на ее основе охрана принимает решение о пропуске сотрудника, сверяя его фотографию с образцом, хранимым в компьютере (БД СКУД) и лицом самого сотрудника. Значит существует некий носитель (бумажный или электронный), на котором имеется изображение лица субъекта и которое отражает его физиологические особенности («черты лица»), которые и позволяют принять решение об идентичности его личности той, которая занесена в базу данных СКУД. Следовательно, фотография является биометрическими персональными данными.
Важно учесть, что фактическое непризнание организацией фотографии сотрудника в качестве его биометрических персональных данных не освобождает данную организацию от ответственности в рамках существующего законодательства.
В то же время, если фотография не нужна для целей идентификации или каких-либо иных целей, то она является избыточной информацией, что, в принципе, является нарушением ст.5 п.3 Закона: соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных.
Третье. Неверно полагать, что биометрическими персональными данными являются только те, которые участвуют в процессе машинного распознавания. Закон такого ограничения не предусматривает, а в ст.11 Закона говорится только о том, что биометрические персональные данные «могут обрабатываться», но нигде не сказано, что такая обработка может быть только автоматизированной. Более того, ст.1 Закона как раз говорит, что обработка может быть как автоматизированная, так и без использования средств автоматизации.
Само понятие «обработка» совершенно не зависит от того, какими методами она ведется, а зависит от действий, совершаемых с персональными данными: сбор, хранение, систематизация, накопление, уточнение, использование, распространение, обезличивание, блокирование, уничтожение. Это императивная норма ст.3 Закона и список этих действий конечен.
Четвёртое. Биометрические данные отличаются тем, что они уникальны, то есть присущи только конкретному субъекту, и измеримы. Например, процедура сличения субъекта с эталоном (фото на пропуске) это и есть измерение. Однако, измерения (сравнения) могут проводиться с разной степенью доверия. В то же время, степень доверия к биометрическим данным не меняет их объективной сущности и даже при малой степени доверия они все равно остаются биометрическими данными.
К примеру, зная только часть идентификационных данных (имя) можно попытаться идентифицировать личность, но существует вероятность ошибки — возможно есть тёзка. В определенных условиях и этого достаточно, в других — надо иметь большую уверенность и потребуется полный набор идентификационных данных. В равной степени это относится и к биометрическим данным. Степень же необходимого доверия, по всей вероятности, должен определить сам пользователь данной информации исходя из тех бизнес-процессов, которые он реализует и для которых необходима эта информация.
Необходимо также отметить, что биометрические данные обладают некоторым дуализмом. С одной стороны, они содержат в себе информацию о субъекте, с другой стороны, являются неотъемлемой его частью и, как следствие, могут выступать в качестве идентификатора субъекта. Получается, что особенности лица (например, шрам), присущие субъекту, отражаются на его фотографии. И эта черта может послужить для установления личности. К примеру, можно ли отнести к биометрическим данным словесный потрет без фотографии, описывающий особенности лица? Можно, потому что он описывает уникальные черты субъекта. Но, в то же время, словесный портрет может и не описывать шрам и при этом не перестает быть портретом.