Актуальность статьи обусловлена тем, что в настоящее время использование не разрешен вопрос о правовом и правомерности получения, хранения и обработки различных видов биометрических персональных данных человека. Данная статья посвящена сравнительно-правовому анализу перспектив и возможностей уголовно-правовой охраны различных видов биометрических персональных данных в зарубежных и международных актах, а так же решению вопроса о необходимости имплементации данного института в отечественное уголовное законодательство. Основное внимание уделено изучению международных норм, а так же законодательства зарубежных государств регламентирующих статус персональных данных. Решение задач данного исследования проходило с использованием метода компаративного анализа. Новизна исследования состоит в попытке четко определить правовой биометрических персональных данных, а также разрешить вопрос о необходимости обеспечить им правовую защиту.
Analysis of foreign and international experience in the criminal law protection of biometric personal data
Anbstract. The relevance of the article is due to the fact that at present the use is not resolved the issue of the legal and legality of obtaining, storing and processing various types of biometric personal data of a person. This article is devoted to a comparative legal analysis of the prospects and opportunities for the criminal law protection of various types of biometric personal data in foreign and international acts, as well as to address the issue of the need to implement this institution in domestic criminal law. The main attention is paid to the study of international norms, as well as the legislation of foreign states regulating the status of personal data. The solution of the problems of this study was carried out using the method of comparative analysis. The novelty of the study lies in an attempt to clearly define the legal biometric personal data, as well as to resolve the issue of the need to provide them with legal protection.
Незаконный оборот различных видов биометрических персональных данных нуждается в действенной защите, в том числе, нормами уголовного права, об этом говорят, как в России, так и за рубежом. В настоящее время они получили широкое распространение во всем мире, по данным «Global Markets Insights» ожидается, что к 2024 году мировой рынок биометрии превысит 50 миллиардов долларов США.
Во всем мире биометрия используется в таких разнообразных областях, как безопасность предприятий, школ, государственных учреждений, границ, аэропортов; идентификация пациентов в больницах и банках крови; голосовое управление электронными устройствами; расследование преступлений.[1].
С внедрением новых информационно-телекоммуникационных технологий преступники ищут инновационные способы совершения преступлений, например для хищения персональных данных, взлома личных и корпоративных компьютеров для кражи конфиденциальной информации, киберпреследования и т. д.
Биометрические данные в различных базах данных стран становятся все более важными для идентификации преступников и их жертв. В США 7 из 19 террористов нападения 11 сентября 2001 г. на башни-близнецы были известны властям, но они использовали поддельные документы для въезда в страну, если бы тогда существовала биометрическая система противодействия, террористы могли бы быть идентифицированы и остановлены[2].
В межгосударственном стандарте ГОСТ ISO/IEC 2382-37-2016 «Информационные технологии. Словарь. Часть 37. Биометрия. Information technologies. Vocabulary. Part 37. Biometrics, введенным 2017-07-0137.01.02 указано, что биометрическая характеристика (biometric characteristic; исключен «biometric») это биологические и поведенческие характеристики индивида, которые могут быть зарегистрированы и использованы в качестве отличительных, повторяющихся биометрических признаков для автоматического распознавания индивидов. Примерами биометрических характеристик являются: папиллярная структура Гальтона, топография лица, текстура кожи лица, топография кисти руки, топография пальца, структура радужной оболочки глаза, структура сосудов кисти руки, папиллярная структура ладони, изображение сетчатки глаза, динамика рукописной подписи и голос[3].
Помимо указанных, есть много других типов биометрии, которые уже используются или находятся в разработке
Самыми распространенными способами идентификации личности в настоящее время являются следующие: дактилоскопия, сканирование ладоней, сканирование радужной оболочки глаза, данные ДНК и т. д.
Результаты дактилоскопии точнее, чем распознавание лиц, так ФБР потратило более 1,2 миллиарда долларов на замену старой системы сопоставления отпечатков пальцев «Интегрированной автоматизированной системы идентификации отпечатков пальцев» (IAFIS) на «Идентификацию следующего поколения» (NGI). В системе NGI точность сопоставления выросла с 92 до 99 процентов, а среднее время ответа сократилось с двух часов до десяти минут.
Отпечатки ладоней для расследования преступлений также широко используются в США, ФБР запустило национальную базу данных отпечатков ладоней в 2013 году, считается, что их оставляют на местах преступлений в 30 процентах случаев.
Распознавание лиц также широко используется в настоящее время, однако это не идеальный способ идентифицировать личность, но с 2012 года ФБР использует Межгосударственную фотосистему распознавания лиц.
ДНК используется для раскрытия преступлений одним из двух способов, когда подозреваемый идентифицирован, образец его или ее ДНК можно сравнить с доказательствами с места преступления и когда подозреваемый еще не идентифицирован, но биологические доказательства с места преступления могут быть проанализированы и сопоставлены с профилями правонарушителей в базах данных ДНК.
Также в США сейчас идут разработки баз данных для распознавания радужной оболочки глаза, распознавания походки и обнаружение запаха. Некоторые из этих биометрических маркеров имеют ограниченное применение в расследовании на месте преступления — например, радужные оболочки, но они могут помочь правоохранительным органам быстро идентифицировать преступников во всем мире [4].
Биометрия постоянно совершенствуется, разрабатываются новые приложения, помимо названных есть способы найти личность по распознаванию голоса (речи) или показаниям сердечного ритма[5].
Во всем мире существует проблема охраны биометрических баз данных, так в марте 2021 года служба распознавания лиц китайского правительства была взломана, за два года хакеры украли более 76 миллионов долларов, отправив поддельные налоговые счета компаниям и их клиентам. Они использовали личные данные и фотографии высокой четкости, приобретенные на черном рынке, а затем сохранили их на камеру мобильного телефона, чтобы обмануть процесс аутентификации лица[6].
В целом, в мире биометрическое мошенничество подразделяют на «обфускацию» и «олицетворение», при этом обфускация означает изменение биометрических признаков, чтобы обмануть системы распознавания, например поддельные отпечатки пальцев, созданные с помощью 3D-принтера.
В 2019 году полиция в Мадриде задержала наркоторговца, который порезал и обжег пальцы, чтобы изменить отпечатки пальцев с помощью инъекционных микроимплантов кожи и ему удалось бегать от полиции 15 лет.
Олицетворение более распространено, так как проще в реализации, преступники, используют данные других людей и выдают себя за законных пользователей.
В ходе биометрического изучения личности специалисты говорят о физиологических измерениях и поведенческих измерениях. При этом физиологические могут быть морфологическими и биологическими. Морфологические идентификаторы в основном состоят из отпечатков пальцев, формы руки, пальца, вен, глаза (радужной оболочки и сетчатки) и формы лица.
Для биологических анализов медиками или полицейскими берутся ДНК, кровь, слюна или моча[7].
В поведенческих измерениях наиболее распространенными являются: распознавание речи, почерковедение, динамика нажатия клавиш, то, как мы используем вещи, походка, звук шагов, жесты и т.д.[8]
Дли идентификации личности по биометрическим данным есть три возможных способа доказать свою личность. Первый — использование какой-либо вещи, например ключа от автомобиля, документа, карточки или значка. Второй – применить то, что вы знаете, в частности, имени, секрета или пароля. Третий – применить то, чем безусловно обладаете – приложить к считывающему устройству палец, руку, показать лицо.
В настоящее время во всем мире биометрические технологии широко используются в правоохранительной деятельности, обеспечении общественной безопасности при идентификации преступников; в военных целях при идентификации противника; при пограничном и миграционном контроле для идентификации мигранта или пассажира; в идентификации для гражданских нужд при определении гражданина или избирателя; в здравоохранении для идентификация пациента или медицинского работника; для предоставления физического доступа при идентификации владельца или сотрудника; для целей коммерческих приложений при идентификации потребителей.
Правоохранительные органы используют автоматизированные системы биометрической идентификации для поимки преступников, например дактилоскопические, отпечатки ладоней, снимки лиц и радужной оболочки глаза.
Полицией широко используется распознавание лиц для идентификации человека в толпе в режиме реального времени или после события, в частности, в крупных городах, аэропортах, стадионах, храмах и т.п.
Оборонные ведомства всего мира также используют биометрические данные, например, военные в США собирают лица, радужную оболочку глаза, отпечатки пальцев и данные ДНК в биометрической системе идентификации с января 2009 года и на сегодняшний день базы данных содержат свыше 7,4 миллиона личностей после военных операций в Ираке и Афганистане.
Также есть данные, что за период 2008-2017 годов Министерство обороны США арестовало или убило 1 700 человек на основе биометрических совпадений.
При пограничном контроле используются электронные паспорта (e-passport), второе поколение которых содержит отпечатки пальцев и фотографию. В мире на 2020 год в обращении находилось более 1,2 миллиарда электронных паспортов.
Биометрическая система IDENT Министерства внутренней безопасности США имеет базы данных на более 260 миллионов.
Существуют и другие приложения, например национальные удостоверения личности, распространенные в странах Европы, Ближнего Востока и Африки для удостоверения личности и медицинского страхования, таких как в Габоне. Такие биометрические удостоверения личности обычно содержат отпечатки пальцев и используются для подтверждения личности перед доступом к государственным услугам или здравоохранению. Больницы и аптеки проверяют карты медицинского страхования для проверки прав на социальное обеспечение, защищая при этом конфиденциальность личных данных.
Для целей гражданской идентичности, регистрации населения или избирателей зачастую используют автоматизированную систему идентификации отпечатков пальцев, часто связанную с базой данных гражданского реестра.
Они могут сочетать цифровые отпечатки пальцев, фотографию и сканирование радужной оболочки глаза для повышения надежности.
Индийский проект «Aadhaar» является самой обширной в мире системой биометрической идентификации в Индии, так 1 293 517 381 человек имеют число Aadhaar по состоянию на июнь 2021 года и охватывает более 99% взрослого населения Индии. Номер «Aadhaar» — это 12-значный уникальный идентификационный номер, выдаваемый всем жителям Индии, основанный на их биографических и биометрических данных (фотографии, отпечатков десяти пальцев и двух сканированных оболочек глаз).
При регистрации избирателей биометрия может иметь решающее значение для принципа «один человек, один голос».
Также биометрия может обеспечить физический и логический контроль доступа лиц к охраняемым объектам, компьютерные системам и сетям на основе биометрической аутентификации.
В отличие от кодов, статических паролей, одноразовых паролей или карт доступа, которые полагаются на данные, которые могут быть забыты или потеряны, биометрическая аутентификация основана на том, кто люди (а не на том, что у них есть). Во всем мире смартфоны включают в себя функции распознавания отпечатков пальцев или лиц. iPhone 5 был первым, кто представил распознавание отпечатков пальцев в 2013 году (с TOUCH ID), а распознавание лиц распространилось с iPhone X в ноябре 2017 года (с FACE ID). Телефоны Android также имеют эту функцию (в сочетании со сканированием радужной оболочки глаза).
Биометрические данные важны при коммерческом применении, так KYC (Know Your Customer) или KYC check – это обязательный процесс идентификации и проверки личности клиента при открытии счета. Сегодня это важный элемент в борьбе с финансовыми преступлениями и отмыванием денег. С помощью биометрии банки, финтех-организации или операторы связи могут сделать проверку клиентов эффективнее, используя биометрию. Пандемия ускорила онлайн-цифровую адаптацию и открытие банковских счетов, поскольку многие филиалы были временно закрыты. Компании разрабатывают удобные для мобильных пользователей процессы адаптации, включая распознавание лиц в качестве важной функции для проверки личности.
В Индии KYC используется на базе Aadhaar для мобильных соединений и банковских счетов с 2019 года. UIDAI (Уникальный идентификационный орган Индии) отвечает за программу и первоначально был бесплатным, сейчас с частных организаций взимается плата в размере 0,007 доллара США за аутентификацию Aadhaar (за вызов «да/ нет») и 0,3 доллара США за транзакции e-KYC.
В торговле могут использовать распознавание лиц для идентификации премиального клиента или бывшего магазинного вора, как только они приходят в магазин, если система распознает его, она отправляет предупреждение менеджеру магазина.
В целом, биометрические данные выполняют две различные функции: аутентификацию и идентификацию, при этом идентификация отвечает на вопрос «Кто ты?», в этом случае человек идентифицируется как один из прочих. Персональные данные лица, подлежащие идентификации, сравниваются с другими лицами, хранящимися в той же базе данных или, возможно, в других связанных базах данных.
Аутентификация отвечает на вопрос «Вы действительно тот, за кого себя выдаете?». В этом случае биометрия позволяет подтвердить личность человека путем сравнения данных, которые они предоставляют, с предварительно записанными данными человека, за которого они себя выдают.
Считаем, что правоохранительные органы должны проще и быстрее использовать имеющиеся в странах мира базы биометрических персональных данных, это не должен быть длительный или дорогостоящий процесс. Обычный человек будет стремиться защитить свою личную собственность и получить доступ к ней быстро, по разумной цене. Правительства и государственные органы должны облегчить безопасность граждан, общества и государства, контролировать преступность, в том числе нелегальную иммиграцию, бороться с терроризмом, киберпреступностью или мошенничествами.
Идентификация требует централизованной межгосударственной биометрической базы данных, которая позволяет сравнивать биометрические данные нескольких лиц. Руководящие принципы регулирования компьютеризированных файлов персональных данных, принятые резолюцией 45/95 Генеральной Ассамблеи от 14 декабря 1990 года, не имеют обязательной юридической силы, ни для физических, ни для юридических лиц, ни для стран[9].
19.12.2005 г. Федеральным законом РФ N 160-ФЗ с заявлениями ратифицирована Конвенция о защите физических лиц при автоматизированной обработке персональных данных, заключенная в г. Страсбурге 28.01.1981 г. (вместе с Поправками к Конвенции о защите физических лиц при автоматизированной обработке персональных данных (СДСЕ N 108), позволяющими присоединение европейских сообществ, принятыми Комитетом Министров в Страсбурге 15.06.1999). Статья 10 предусматривает, что каждая Сторона обязуется предусмотреть надлежащие санкции и средства правовой защиты на случай нарушения норм внутреннего законодательства, воплощающих основополагающие принципы защиты данных[10].
Считаем не совсем верным, что Россия не присоединилась к Регламенту N 2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных)», принятому в г. Брюсселе 27.04.2016 г.
Целью обработки персональных данных Регламент называет службу человечеству. Регламент соблюдает все основные права, свободы и принципы, признанные в Хартии и закрепленные в Договорах, в частности, уважение частной и семейной жизни, жилища и переписки, защиту персональных данных, свободу мысли, совести и вероисповедания, свободу выражения мнения и распространения информации, право ведения хозяйственной деятельности, право на эффективное средство правовой защиты и на справедливое судебное разбирательство, культурное, религиозное и языковое разнообразие.
В Регламенте N 2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных)» под термином «персональные данные» понимается любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»); идентифицируемое лицо — это лицо, которое может быть идентифицировано, прямо или косвенно, в частности, посредством таких идентификаторов как имя, идентификационный номер, сведения о местоположении, идентификатор в режиме онлайн или через один или несколько признаков, характерных для физической, психологической, генетической, умственной, экономической, культурной или социальной идентичности указанного физического лица; под термином «генетические данные» понимаются персональные данные, касающиеся унаследованных или приобретенных генетических характеристик физического лица, которые предоставляют уникальную информацию о физиологии или здоровье указанного физического лица и которые являются результатом, в частности, анализа биологического образца соответствующего физического лица; под термином «биометрические данные» понимаются персональные данные, возникающие в результате особой технической обработки, касающиеся физических, физиологических или поведенческих характеристик физического лица, которые предусматривают или подтверждают уникальную идентификацию указанного физического лица, например, изображение лица человека или дактилоскопические данные; под термином «данные в отношении здоровья» понимаются персональные данные, касающиеся физического или психического здоровья физического лица, в том числе предоставление медицинских услуг, которые раскрывают информацию о состоянии его/ее здоровья[11].
Статья 84 Регламента предусматривает санкции — государства-члены ЕС могут установить правила об иных санкциях, применимых к нарушениям настоящего Регламента, в частности, к нарушениям, которые не подпадают под административные штрафы согласно Статье 83, и принять все меры, необходимые для обеспечения их имплементации. Указанные санкции должны быть эффективными, пропорциональными и должны оказывать сдерживающее воздействие.
На наш взгляд, с целью повышения защиты биометрических персональных данных и для идентификации лиц, в том числе совершивших преступления России необходимо присоединиться к Регламенту N 2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных)», что позволит разработать и принять эффективные уголовно-правовые нормы для российского законодательства.
Литература
- Gray, R. 5 Ways Biometrics Help Solve Crimes URL : https://www.m2sys.com/blog/comments-on-recent-biometric-news-stories/5-ways-biometrics-help-solve-crimes/ (дата обращения: 25.01.2022)
- Guidelines for the Regulation of Computerized Personal Data Files, as adopted by General Assembly resolution 45/95 of 14 December 1990 URL : http://www.unhchr.ch/html/menu3/b/71.htm (дата обращения: 25.01.2022)
- Kanapienis, L. Businesses, Be Aware: A New Wave Of Biometric Crimes Invades The Digital Space URL : https://www.forbes.com/sites/forbesbusinesscouncil/2021/05/20/businesses-be-aware-a-new-wave-of-biometric-crimes-invades-the-digital-space/?sh=663d317f345d (дата обращения: 25.01.2022)
- Kaspersky Lab. What is Biometrics? How is it used in security? URL : https://usa.kaspersky.com/resource-center/definitions/biometrics
- Thakkar, D. Fighting Crime and Tackling Terrorism with the Help of Biometric Technology URL : https://www.bayometric.com/fighting-crime-with-the-help-of-biometric-technology/ (дата обращения: 25.01.2022)
- Биометрия в 2021 году (факты, варианты использования, биометрическая безопасность) URL : https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics (дата обращения: 25.01.2022)
- ГОСТ ISO/IEC 2382-37-2016 Информационные технологии (ИТ). Словарь. Часть 37. Биометрия от 27 февраля 2017 URL : https://docs.cntd.ru/document/1200144206?section=text (дата обращения: 25.01.2022)
- Конвенция о защите физических лиц при автоматизированной обработке персональных данных, заключенная в г. Страсбурге 28.01.1981 г. (вместе с Поправками к Конвенции о защите физических лиц при автоматизированной обработке персональных данных (СДСЕ N 108), позволяющими присоединение европейских сообществ, принятыми Комитетом Министров в Страсбурге 15.06.1999). // СЗ РФ. 2014. N 5. ст. 419.
- О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных) : Регламент N 2016/679 Европейского парламента и Совета Европейского Союза // Official Journal of the European Union N L 119. 04.05.2016. P. 1. (http://eur-lex.europa.eu/) (Россия не участвует).
Информация об авторе:
ЧУКРЕЕВ Вадим Андреевич — кандидат юридических наук, заместитель прокурора Свердловской области, Прокуратура Свердловской области.
Information about the author:
CHUKREEV Vadim Andreevich — PhD in Law, Deputy Prosecutor of the Sverdlovsk Region, Prosecutor’s Office of the Sverdlovsk Region.
[1] Gray, R. 5 Ways Biometrics Help Solve Crimes URL : https://www.m2sys.com/blog/comments-on-recent-biometric-news-stories/5-ways-biometrics-help-solve-crimes/ (дата обращения: 25.01.2022)
[2] Thakkar, D. Fighting Crime and Tackling Terrorism with the Help of Biometric Technology URL : https://www.bayometric.com/fighting-crime-with-the-help-of-biometric-technology/ (дата обращения: 25.01.2022)
[3] ГОСТ ISO/IEC 2382-37-2016 Информационные технологии (ИТ). Словарь. Часть 37. Биометрия от 27 февраля 2017 URL : https://docs.cntd.ru/document/1200144206?section=text (дата обращения: 25.01.2022)
[4] Gray, R. Указ. соч.
[5] Kaspersky Lab. What is Biometrics? How is it used in security? URL : https://usa.kaspersky.com/resource-center/definitions/biometrics (дата обращения: 25.01.2022)
[6] Kanapienis, L. Businesses, Be Aware: A New Wave Of Biometric Crimes Invades The Digital Space URL : https://www.forbes.com/sites/forbesbusinesscouncil/2021/05/20/businesses-be-aware-a-new-wave-of-biometric-crimes-invades-the-digital-space/?sh=663d317f345d (дата обращения: 25.01.2022)
[7] Биометрия в 2021 году (факты, варианты использования, биометрическая безопасность) URL : https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics (дата обращения: 25.01.2022)
[9] Guidelines for the Regulation of Computerized Personal Data Files, as adopted by General Assembly resolution 45/95 of 14 December 1990 URL : http://www.unhchr.ch/html/menu3/b/71.htm (дата обращения: 25.01.2022)
[10] Конвенция о защите физических лиц при автоматизированной обработке персональных данных, заключенная в г. Страсбурге 28.01.1981 г. (вместе с Поправками к Конвенции о защите физических лиц при автоматизированной обработке персональных данных (СДСЕ N 108), позволяющими присоединение европейских сообществ, принятыми Комитетом Министров в Страсбурге 15.06.1999). // СЗ РФ. 2014. N 5. ст. 419.
[11] О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных) : Регламент N 2016/679 Европейского парламента и Совета Европейского Союза // Official Journal of the European Union N L 119. 04.05.2016. P. 1. (http://eur-lex.europa.eu/) (Россия не участвует).