Вступил в силу закон, который запрещает принудительный сбор биометрии. Нельзя также вводить никаких ограничений в отношении того, кто отказывается от сдачи биометрии. Например, госорганизация или банк не смогут отказать в предоставлении услуг тем, кто не согласился предоставить персональные данные для единой биометрической системы. Казалось бы — сплошная забота о населении, но что же на самом деле стоит за этим законом?
Нормативная база
Итак, речь идёт о Федеральном законе от 29 декабря 2022 г. № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных…». Банки уже несколько лет склоняют своих клиентов к идентификации по биометрическим данным — по голосу, например. По нормам нового закона это могут делать не только банки, но и «субъекты национальной платёжной системы, организации финансового рынка, иные организации, индивидуальные предприниматели, нотариусы». Иными словами, биометрия входит в нашу жизнь по полной программе, для чего создаётся единая биометрическая система. В ней будут аккумулироваться и обрабатываться изображения лица человека (его фото или видео) и запись голоса.
Чтобы оценить нормы закона достаточно лишь перечислить понятия, которым он оперирует: единая биометрическая система, мобильное приложение единой биометрической системы, единая система идентификации и аутентификации и т. д.
Для развития в России технологий идентификации и аутентификации с использованием биометрии правительство образовывает Координационный совет.
Безопасность данных
Разумеется, заявлено, что вся обработка должна происходить с обеспечением полной безопасности персональных данных, с криптографическим шифрованием и т. д. Вспомним тут на секунду, что и в законодательстве о защите персональных данных (в целом, не только биометрии) также есть множество норм, декларирующих безопасность их обработки, установлено наказание за нарушение, принято много подзаконных актов о порядке работы с персональными данными. Тем не менее уже никто не обращает особо внимания на новости об утечках персональных данных. Можно констатировать – фактически в России безопасность персональных данных гарантировать не может никто.
А что с согласием?
П. 11 ст. 3 принятого закона гласит, что «предоставление физическими лицами своих биометрических персональных данных в целях, предусмотренных настоящим Федеральным законом, не может быть обязательным», а п. 13 этой же статьи – что «отказ физического лица от прохождения идентификации и (или) аутентификации с использованием его биометрических персональных данных не может служить основанием для отказа ему в оказании государственной, муниципальной или иной услуги, выполнении государственных, муниципальных функций, продаже товаров, выполнении работ или отказа в приёме на обслуживание». Прекрасно, только есть одно «но».
Вопросы добровольности в нашей стране всегда неоднозначны. Очень свежи в памяти эпопея с добровольной вакцинацией, процедуры заключения контрактов с призывниками и много чего подобного.
Да, заявляется, что пополняться единая биометрическая система будет с согласия гражданина, это логично — иначе просто не получится записать его голос через специальные технические устройства и программное обеспечение и сфотографировать. Даже приняты подзаконные акты о порядке сбора биометрии, о действиях сотрудников МФЦ при сборе данных, об утверждении форм соответствующих документов.
Кстати, интересный факт, подзаконные акты приняты до самого закона — приказ Министерства цифрового развития, связи и массовых коммуникаций РФ № 658, который предписывает действия сотрудника по сбору биометрии датирован 9 сентября 2022 года, постановление правительства РФ № 1089, которым утверждено положение о единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрии, принято 16 июня 2022 года. И ещё множество подзаконных актов датированы разными датами, начиная от 2018 года и до текущего времени. Это говорит о том, что система разрабатывается давно как с технологической точки зрения, так и с точки зрения правовой базы.
И обратим внимание – все СМИ преподносили информацию так, что было однозначно понятно — без согласия гражданина взять его биометрические данные в систему нельзя. Что скрыто от внимания?
А как будут обстоять дела с уже собранными данными?
Интересный момент — очень подробно расписывается в статьях закона о том, как можно отказаться от сдачи биометрии, отказаться от самого факта наличия своих данных в системе, и гораздо меньше уделяется внимания вопросам, как предоставить согласие.
Всё проще. Посмотрим на п. 14 ст. 4 нового закона: в случае, если в информационных системах государственных органов (а также органов местного самоуправления, Центробанка, организаций финансового рынка, иных организаций, индивидуальных предпринимателей, нотариусов) уже собраны персональные данные, они размещаются в единой биометрической системе без получения согласия граждан.
Более того, не просто эти данные размещаются, а те органы и лица, кто обладает уже собранной биометрией, обязаны передать её в единую систему. Правда, по закону граждане должны получить уведомление об этом — не позднее чем за 30 дней до планируемого размещения биометрических персональных данных в единой системе. Можно будет отказать и тогда сведения не размещаются.
Вспомним тут, что суды тоже по букве закона обязаны уведомлять участников дела, только вот ситуаций, где вынесенное заочное решение суда становится неприятным сюрпризом — огромное количество. А в материалах дела при этом подшито «надлежащее уведомление». Так что механизм «уведомлений» не нов и очень несовершенен. Будут ли подобные перекосы с уведомлениями по передаче биометрии — даже глупо в этом сомневаться, однозначно будут.
Ну, и задумаемся, сколько времени банки уже собирают информацию о голосах и изображениях. Кто-то давал согласие на сбор бездумно, кто-то вообще не обращал внимания, много и таких, кто сам стремится быть в системе.
Кто управляет этой системой?
Функции оператора единой биометрической системы переданы организации, которую определило правительство. По новому закону она должна быть российской, обладать правами на программу, с помощью которой функционирует система, и быть владельцем технических средств для обработки и сохранности данных.
Депутаты при разработке законопроекта заявили: «новый закон преследует цель лишить сомнительные компании возможности собирать и хранить биометрические данные граждан. За безопасность этих данных теперь будет отвечать государство».
Так кто же на деле сейчас отвечает? Указом президента от 30 сентября 2022 г. № 693 (до принятия закона) функции оператора единой информационной системы персональных данных возложены на акционерное общество «Центр Биометрических Технологий». В уставном капитале этого АО 49% принадлежит ПАО «Ростелеком», 26% — государству, в оставшиеся доли рекомендовано вступить Центральному банку.
Причём в мае 2020 года было создано ООО «Центр Биометрических Технологий» (не АО). Основным видом деятельности значилось строительство коммунальных объектов, а также жилых и нежилых зданий. Общая численность сотрудников этого ООО составляла … 1 (один) человек. А за 2021 год компания понесла 3,16 млн рублей убытков.
В апреле 2022 года данная интересная и полностью убыточная организация преобразовывается уже в акционерное общество с таким же наименованием. У новой организации тот же юридический адрес и тот же руководитель. Только вот вид деятельности уже значится «разработка компьютерного программного обеспечения». В качестве иных видов деятельности в реестре записаны: деятельность по планированию, проектированию компьютерных систем, деятельность по обработке данных, предоставление услуг по размещению информации и связанная с этим деятельность и другие подобные пункты.
Таким образом строительная компания с убытком в несколько миллионов и одним работником в штате удачно преобразовалась в очень важную структуру государства. Видимо, нам самим придётся оценить, насколько цель законопроекта достигнута и сомнительные компании больше не могут собирать и хранить биометрию наших граждан.
Онлайн-заявка на вклад во все банки
