На факультете права обсудили развитие правового регулирования биометрии в России и за рубежом

Пленарную секцию открыла Наталия Ковалева, руководитель департамента права цифровых технологий и биоправа факультета права НИУ ВШЭ. Она обозначила тему конференции как крайне актуальную в связи с развитием современных технологий и регуляторных требований, а также как наиболее приоритетную в исследовательском плане для Департамента права цифровых технологий и биоправа факультета права НИУ ВШЭ.

Первым спикером стал Дмитрий Соболев, директор департамента по взаимодействию с государственными органами АО «ЦБТ». Он отметил, что уже прошло два года с тех пор, как 572-ФЗ изменил ландшафт обработки и защиты биометрических персональных данных в Российской Федерации. Эксперт выделил три момента, которые требуют законодательной проработки: 1) уточнение сферы действия нормативного правового акта, регламентирующего биометрию, с целью устранения серых зон обработки биометрии, 2) тяжелый порог входа на «рынок» обработки биометрических персональных данных в связи с повышенными требованиями к информационной безопасности, 3) отсутствие конкретики в контроле, надзоре и привлечении к административно-правовой и уголовно-правовой ответственности за нарушение требований к обработке и защите биометрических персональных данных в связи с тем, что такие полномочия распределены между рядом контрольно-надзорных органов власти.

Алексей Ефремов, профессор кафедры информационного права и цифровых технологий Университета имени О.Е. Кутафина (МГЮА), ведущий научный сотрудник лаборатории правового регулирования информационных технологий и защиты информации Института законодательства и сравнительного правоведения при Правительстве Российской Федерации согласился с Дмитрием Соболевымпо ряду выделенных им проблем, но предложил посмотреть на проблематику правового регулирования биометрии с другой стороны – со стороны «регуляторной гильотины», оценки регулирующего воздействия (ОРВ) проектов НПА по обработке биометрических персональных данных. ОРВ – это один из инструментов реализации принципа исполнимости обязательных требований, при котором подразумевается оценка издержек их исполнения, которая должна быть сопоставима с теми рисками, которые могут возникнуть при нарушении обязательных требований. Здесь, по мнению спикера, самой главной проблемой является то, что процедура ОРВ практически отсутствует в момент разработки подзаконных актов в области информационной безопасности. Профессор обратил внимание молодых участников конференции на необходимость более активного участия в общественных обсуждениях проектов нормативных актов на портале правовых актов.

Ирина Левова , директор по стратегическим проектам «Института исследований интернета», отметила, что, к сожалению, процедура ОРВ работает недостаточно эффективно. Спикер выразила мнение, что разработчики 572-ФЗ проделали большую работу, но при этом сформировали ряд барьеров для организаций. Во-первых, административный барьер для развития направления антифрода. Во-вторых, значительный финансовый барьер для организаций, которые хотели бы работать с биометрическими персональными данными (например, фитнес-клубы). Ирина отметила, что антифрод-мероприятия, в которых используется биометрия, должны быть и дешевыми, и безопасными одновременно. А чтобы мошенники не имели возможности отказаться от выявления по биометрии, необходимо ввести в законодательство термин «верификация». При соблюдении таких условий получится выстроить качественную государственную антифрод-систему.

Сергей Иванов , заместитель руководителя управления правовой защиты бизнеса АО «ТБанк», и Алена Геращенко, комплаенс-менеджер департамента информационной безопасности АО «ТБанк», преподаватель департамента права цифровых технологий и биоправа факультета права НИУ ВШЭ, согласились с необходимостью введения в законодательстве категории «верификация», а также указали на проблему неактуального определения понятия «биометрические персональные данные» в ст.11 152-ФЗ. Последняя влечет за собой правовую неопределенность привлечения к административно-правовой и уголовной ответственности любых операторов, кто обрабатывает сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Однако такими сведениями могут быть и видеоряд, и любительская фотография, и отпечаток ладони, и особенная мимика, и поведенческая антропометрическая биометрия (например, походка).

Павел Новожилов , руководитель отдела консалтинга АО «Инфосистемы Джет», рассказал о реализации требований к защите биометрических персональных данных в Российской Федерации. Он указал на то, что биометрических персональные данные должны защищаться в особом порядке. Так, для уничтожения биометрических ПДн должны применяться прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция автоматического уничтожения информации по истечении определенного заданного срока. А для нейтрализации актуальных угроз в Указаниях ЦБ РФ/Приказах Минцифры РФ потребуется российские СКЗИ разных классов + оценка встраивания СКЗИ в прикладное ПО. Организациям, которые идентифицируют и аутентифицируют субъектов по биометрии, необходимо проводить аттестацию их коммерческих биометрических систем на соответствие требованиям к государственным информационным системам. Основные проблемы, с которыми сталкиваются организации при такой аттестации – это: 1) неактуальная документация, 2) отсутствие сертифицированных СЗИ, 3) неготовность к проведению инструментального анализа уязвимостей, а также некорректная работа СЗИ.

Алексей Мунтян , CEO в компании Privacy Advocates, рассказал об особенностях правовых понятий идентификации и аутентификации в российском законодательстве. Спикер отметил важными проблемами ст.11 152-ФЗ то, что она никак не регулирует самоидентификацию/ идентификацию с помощью личных устройств, а также не решает вопросы идентификации с помощью механизма BYOD в организациях. Также организации находят хитрые способы «обхода» указанной статьи. Например, посредством установления тождественности между лицом и фотографией лица и подтверждения такой тождественности с помощью QR-кодов.

Денис Лукаш , управляющий партнер lukash & Partners, профессиональный DPO, юрист в области информационного права, подсветил проблему выстраивания корректных правоотношений между аккредитованными операторами и иными организациями, подключающимися к коммерческим биометрическим системам. Данная проблема, по мнению спикера, связана с недостаточным регулированием в области передачи биометрических персональных данных.

Михаил Бундин , доцент кафедры административного и финансового права юридического факультета Университета Лобачевского, отметил, что многие операторы, «играя» с целью обработки биометрических персональных данных, уходят от законной обработки и защиты таких данных.

Все эксперты выразили единодушное мнение, что ст. 11 152-ФЗ требует доработки в связи с веяниями нового времени: развитием специального закона – 572-ФЗ, новых биометрических технологий, появлением новых биометрических метрик.

Завершил работу секции Андрей Воробьев, директор Координационного центра доменов .RU/.РФ – он отметил, что биометрическая технология важна, и в целом было бы полезно предоставить гражданам техническую возможность регистрировать сайты в зонах *.ru и *.рф по биометрии.

Александр Бидасюк , DPO крупной кредитной организации, в дистанционном формате отметил, что помимо регуляторных сложностей обработки биометрии, наблюдается также административная и техническая асинхронность – например, по 572-ФЗ сведения о согласиях на биометрию, подписанных простыми электронными подписями, должны передаваться в подсистему ЕСИА, однако такой функционал на стороне ЕСИА все еще не реализован.

На второй секции студенты и аспиранты осветили разные аспекты правового обеспечения обработки и защиты биометрии в России и за рубежом.

Олифиренко Артем , магистрант 1 курса СГЮА, специалист по защите данных ООО «Экосистема недвижимости «Метр квадратный» рассказал о регулировании обучения ИИ-моделей на биометрических данных в рамках функционирования СКУД. Мигранова Раушания, студентка 1 курса ОП «Юриспруденция» НИУ ВШЭ СПб – о цифровой идентификации полицейских. Митянов Захар, аспирант 2 курса, Юриспруденция, НИУ ВШЭ – Нижний Новгород, поделился проблемами ограниченности правовой защиты биометрии в рамках ЕБС. Корытов Петр, студент 2 курса бакалавриата/менеджмент/ЭФ МГУ рассказал о подходах к защите прав субъектов биометрии в судебной практике как в РФ, так и за рубежом.

Доклады молодых ученых о зарубежных подходах к обработке и защите биометрических персональных данных впечатлили качеством применимого сравнительно-правового подхода. Рыбин Александр, аспирант департамента теории права и сравнительного правоведения НИУ ВШЭ, приглашенный преподаватель департамента теории права и сравнительного правоведения НИУ ВШЭ, юрист в области персональных данных, рассказал о рисках защиты приватности в эпоху применения биометрических данных с использованием искусственного интеллекта. Аспирант исследовал законотворческие и правоприменительные подходы в США. Кистенев Данила, НИУ ВШЭ рассказал о филиппинской национальной идентификационной системе PhilSys, Лотарева Дарья, студентка 3 курса бакалавриата «Юриспруденция», НИУ ВШЭ, – о правовых основах регулирования биометрии в городе-государстве Сингапуре. Ван Хуэйминь, аспирантка ИФП Новосибирского государственного университета, – о рисках информационной безопасности, возникающих при применении технологии deepfake и снижении этих рисков в зарубежном правовом регулировании.