Биометрическая идентификация в Казахстане

В рамках реализации государственной программы «Цифровой Казахстан», предполагается внедрение цифрового идентификационного механизма, который по замыслу законодателя станет основополагающей инфраструктурой, которая позволит построить универсальную цифровую среду для взаимодействия и коммуникаций между финансовыми институтами, клиентами, государственными органами и организациями, что позволит качественно повысит уровень и эффективность оказания финансовых, государственных и других услуг. Модель предполагает идентификацию клиентов с использованием базы данных государственных и коммерческих компаний.

Биометрические системы призваны обеспечить распознавание человека с использованием его биологических и физиологических характеристик, таких, например, как отпечатки пальцев, радужная оболочка глаза, лицо, ДНК и т.д. Само по себе планируемое построение модели удаленной идентификации, в том числе основанной на различных биометрических показателях в Казахстане можно только приветствовать. Это тем более важно в период построения универсальной цифровой среды для предсказуемости и правовой определённости этого процесса.

Тем не менее, для того, чтобы в полной мере реализовать потенциал биометрических технологий, государству необходимо решать вопросы, связанные с защитой лиц, идентифицируемых такими системами, добиваясь, чтобы сбор, хранение и использование биометрических данных велись в соответствии с международными стандартами в области прав человека, в том числе права на неприкосновенность частной жизни.

Нормативно-правовая база

Анализируя процесс развития законодательства в сфере использования биометрии, во-первых, следует отметить, что правовое определение биометрической идентификации (аутентификации) было закреплено в национальном законодательстве в 2019 году. Так, в Закон Республики Казахстан от 24 ноября 2015 года № 418-V «Об информатизации», были внесены дополнения Законом Республики Казахстан от 25 ноября 2019 года № 272-VI «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам оказания государственных услуг», которые, среди прочего, закрепили определение биометрической аутентификации, как комплекса мер, идентифицирующих личность на основании физиологических и биологических неизменных признаков.

Во-вторых, следует отметить Закон Республики Казахстан от 30 декабря 2016 года № 40-VІ ЗРК «О дактилоскопической и геномной регистрации». Согласно, вышеуказанному закону дактилоскопическая и геномная регистрация проводится в целях установления и (или) подтверждения личности на основе дактилоскопической или геномной информации. Другими словами, в целях повышения эффективности системы государственной регистрации, согласно настоящему закону, органы внутренних дел должны, среди прочего, осуществлять сбор отпечатков пальцев у граждан, иностранных граждан и лиц без гражданства, постоянно проживающих в Казахстане. В свою очередь, по замыслу законодателей, наличие геномной базы данных позволит повысить раскрываемость преступлений и более успешно вести их профилактику.

Закон «О дактилоскопической и геномной регистрации» вступил в действие 1 января 2021 года. Однако, в декабре 2020 года Министерство Внутренних Дел Республики Казахстан совместно с заинтересованными государственными органами внесло в Парламент предложение о переносе срока введения в действие отдельных норм законов в части дактилоскопической регистрации на 1 января 2023 года.

Кроме этого, в Казахстане наблюдается рост использования биометрии в сфере предоставления финансовых услуг. Согласно «Правилам оказания банками и организациями, осуществляющими отдельные виды банковских операций, электронных банковских услуг», утвержденными постановлением Национального Банка Республики Казахстан от 31 августа 2016 года № 212, биометрическая идентификация, наряду с электронной цифровой подписью, отнесена к одному из способов идентификации физических лиц при предоставлении электронных платежных услуг.

Биометрия при оказании государственных услуг

В настоящее время, лишь посредством идентификации человека (определение его социального и правового статуса) государственные служащие и иные должностные лица удостоверяют его право на получение государственных и муниципальных услуг. Законодательное закрепление механизма биометрической идентификации при оказании государственных услуг, как средства аутентификации граждан для совершения юридически значимых действий в электронной форме, безусловно, является существенной вехой в развитии отечественного «цифрового» законодательства.

В 2020 году, для нормативно-правового обеспечения внедрения механизма биометрической идентификации граждан при оказании государственных услуг, Правительством Республики Казахстан были внесены изменения и дополнения в ряд отраслевых законов, а также приняты отдельные подзаконные акты.

25 июня 2020 года Президент Республики Казахстан подписал Закон №347-VI «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам регулирования цифровых технологий» (далее – «Закон о регулировании цифровых технологий»).

Так, согласно вышеуказанным дополнениям в Закон Республики Казахстан от 15 апреля 2013 года «О государственных услугах», уполномоченный орган в сфере оказания государственных услуг (АО «Государственная корпорация «Правительство для Граждан») наделен правом осуществлять сбор, обработку и хранение биометрических данных физических лиц в сфере оказания государственных услуг, а также правом ведения биометрической базы данных физических лиц, используемой для биометрической аутентификации в рамках оказания государственных услуг.

Кроме этого, в компетенцию уполномоченного органа (АО «Государственная корпорация «Правительство для Граждан») вошла разработка и утверждение правил сбора, обработки и хранения биометрических данных в сфере оказания государственных услуг для биометрической аутентификации физических лиц по согласованию с уполномоченным органом в сфере защиты персональных данных (Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан).

Вышеуказанные правила не заставили себя долго ждать, и 27 октября 2020 года Министр цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан своим приказом утвердил «Правила сбора, обработки и хранения биометрических данных физических лиц для их биометрической аутентификации при оказании государственных услуг». Согласно правилам, сбор и обработка биометрических данных для аутентификации при оказании государственных услуг, производится у физических лиц, достигших восемнадцатилетнего возраста, на добровольной основе. Заявление гражданина о желании уничтожения его биометрических данных и исключения их из базы подаются в любой городской (районный) отдел обслуживания населения филиалов АО «Государственная корпорация «Правительство для Граждан» по областям и городам Нур-Султан, Алматы, Шымкент. Хранение и передача биометрических данных осуществляется с использованием средств криптографической защиты информации, имеющих параметры не ниже третьего уровня безопасности в соответствии со стандартом Республики Казахстан СТ РК 1073-2007 «Средства криптографической защиты информации. Общие технические требования».

И наконец, приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 13 октября 2020 года № 383/НҚ были внесены дополнения в «Правила выдачи, хранения, отзыва регистрационных свидетельств и подтверждения принадлежности и действительности открытого ключа электронной цифровой подписи удостоверяющим центром государственных органов Республики Казахстан». Таким образом, был дополнен существующий подход требований к подтверждению принадлежности и действительности электронной цифровой подписи (далее – «ЭЦП») в Казахстане. Применение биометрической идентификации лица граждан, узаконено как дополнительный способ аутентификации при получении регистрационного свидетельства ЭЦП, а также, при осуществлении пользователем доступа к закрытому ключу облачной ЭЦП, где биометрическая идентификация используется при двух-факторной аутентификации.

Применение биометрических технологий в Казахстане приобретает все более повсеместный характер, и одновременно с этим общественность задается вопросом:

«Какие процессуальные гарантии по соблюдению права человека на неприкосновенность личной жизни и конфиденциальность его персональных данных, предусмотрело законодательство при использовании биометрических технологий»?

Биометрия и права человека

Любая часть государственной информационной системы, в которой используются биометрические данные, может стать объектом внешней электронной/кибератаки, физического нападения, внутреннего вмешательства или саботажа в результате неправомерных действий персонала. Противоправное использование биометрических данных (как по ошибке, так и в злонамеренных целях) может привести к неблагоприятным правовым последствиям для отдельных лиц или нанести им иной ущерб. Следовательно, с одной стороны, необходимо создать многоуровневую систему безопасности для защиты операционной среды, аппаратных средств, программного обеспечения, сети связи и хранимых данных, а с другой стороны в законодательстве следует предусмотреть надлежащие средства правовой защиты, если при обработке биометрических данных нарушаются права человека, в том числе права на неприкосновенность личной жизни.

В Казахстане планируется создать единую платформу биометрических данных, но без закрепления нормативно-правовых и технических требований к базам биометрических данных, а также, требованиям по проведению оценки воздействия на неприкосновенность частной жизни, эффективность рассматриваемых процедур управления биометрическими идентификационными данными, ставится под сомнение.

Государствам рекомендуется эксплуатировать свои биометрические системы в соответствии с международными техническими стандартами. В соответствии, с «Правилами классификации объектов информатизации и классификатор объектов информатизации», утвержденными Приказом Министра по инвестициям и развитию Республики Казахстан от 28 января 2016 года № 135, государственная система биометрической идентификации является объектом информатизации и относится к общесистемному программному обеспечению. Уполномоченный орган в области информатизации при определении требований, применимых к биометрической системе, в соответствии с едиными требованиями в области информационно-коммуникационных технологий и обеспечения информационной безопасности, классифицирует биометрическую систему как следующую категорию объектов информатизации: «Система биометрической идентификации (BIDS, Biometric Identification System)».

В целях приведения, в соответствии с международными стандартами, рассматриваемого объекта информатизации (государственная система биометрической идентификации) следует обратить внимание регулятора в области информатизации, и соответственно, отразить в действующем законодательстве международный стандарт ISO/IEC 2382-37:2017(E) (Information technology — Vocabulary — Part 37: Biometrics) международной организации по стандартизации (ISO), которая приводит разработанные международными или национальными организациями стандарты в соответствие требованиями в таких областях, как неприкосновенность частной жизни и законодательство о защите данных.

Биометрические системы сопряжены со сложным комплексом угроз, который продолжает расширяться по мере дальнейшего внедрения биометрических технологий. Создание всеобъемлющей классификации всех уязвимостей и рисков в этой области описаны в стандарте ИСО/МЭК 30107-2_2017.

В целях создания эффективной нормативно-правовой базы, устанавливающей режим правомерного использования биометрических данных, контроля и ответственности за деятельностью государственных органов по соблюдению процедур сбора, хранения и использования биометрических персональных данных граждан, следует рассмотреть возможность внесения корректив в законодательство Республики Казахстан, отражающих современные виды применения оценок воздействия на неприкосновенность частной жизни. Оценка воздействия на неприкосновенность частной жизни (Privacy Impact Assessent, PIA), является частью концепции «проектируемой конфиденциальности», используемой для управления данными в государственных и коммерческих организациях. Процедура проведения PIA обеспечивает соответствие правовым и регуляторным нормам неприкосновенности частной жизни посредством выявления потенциальных рисков и разработки стратегий смягчения этих рисков и управления ими.

Основанный на принципах соблюдения прав человека подход к использованию биометрических технологий должен предусматривать применение процессуальных гарантий и эффективный контроль за их соблюдением.