Пути сближения правовых и цифровых реалий
Несомненно, важнейшей составляющей процесса современного развития общества являются цифровые технологии. Республика Казахстан наращивает потенциал в процессе внедрения этих технологий в экономической, социальной и других сферах общественной жизни. Однако, разрыв между внедрением технологических инноваций и принятием законов, регулирующих эти технологии, является, пожалуй, одной из главных причин правовой неопределенности в формировании единой цифровой среды.
17 августа 2019 года Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан на портале «Электронного правительства» разместило на публичное обсуждение проект Закона «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам регулирования цифровых технологий»*.
* Проект Закона «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам регулирования цифровых технологий».
Представленный для обсуждения проект Закона содержит поправки в широкий перечень нормативно правовых актов, в том числе кодифицированных, направленные на регулирование общественных отношений в сфере цифровых технологий. Однако, цель данной работы заключается в том, чтобы проанализировать новеллы Законопроекта касающиеся правовых вопросов идентификации личности, в части, использования его персональных биометрических данных и внедрения Национальной системы видео мониторинга, о чем, через призму защиты приватности в цифровом пространстве, пойдет речь в следующих разделах настоящего исследования.
Национальная биометрическая инициатива – правовая «серая зона»
В Казахстане набирает обороты инициатива по внедрению биометрической идентификации. Для обеспечения безопасности, упрощения и развития цифровых услуг, в том числе государственных, социальных и коммерческих, предполагается построить модель удаленной идентификации, в том числе основанной на различных биометрических показателях. Модель предполагает идентификацию клиентов с использованием базы данных государственных и коммерческих компаний, а также получение сервиса государственными органами, коммерческими компаниями и в социальной сфере (образование, здравоохранение, перепись населения и другие).
Биометрические системы призваны обеспечить распознавание человека с использованием его биологических и физиологических характеристик, таких, например, как отпечатки пальцев, радужная оболочка глаза, лицо, ДНК и т.д. Забегая вперед, следует сразу отметить, что национальное законодательство о защите персональных данных не содержит правовые основания сбора биометрических персональных данных граждан, посредством современных видов усовершенствованных биометрических технологий, таких как, системы распознавания лиц.
Проект Закона «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам регулирования цифровых технологий» является шагом по реализации государственной программы «Цифровой Казахстан», которая, среди прочего, предполагает внедрение цифрового идентификационного механизма, который по замыслу законодателя станет основополагающей инфраструктурой, которая позволит построить универсальную цифровую среду для взаимодействия и коммуникаций между финансовыми институтами, клиентами, государственными органами и организациями, что позволит качественно повысит уровень и эффективность оказания финансовых, государственных и других услуг.*
* Государственная Программа "Цифровой Казахстан" Утверждена постановлением Правительства Республики Казахстан от 12 декабря 2017 года № 827
Само по себе планируемое построение модели удаленной идентификации, в том числе основанной на различных биометрических показателях в Казахстане можно только приветствовать. Это тем более важно в период построения универсальной цифровой среды для предсказуемости и правовой определённости этого процесса. Биометрия удобна и может обеспечить более высокий уровень безопасности. При этом, однако, требует решения ряда проблем, таких как защита права на неприкосновенность частной жизни, защита данных. Персональные данные, в том числе биометрические, следует собирать и хранить лишь в тех случаях, когда это одновременно и необходимо, и целесообразно.
Современные международные документы в защите приватности в цифровом пространстве обязывают страны принимать надлежащие меры для охраны персональных данных, накопленных в автоматизированных базах данных, от случайного или несанкционированного разрушения или случайной утраты, а равно от несанкционированного доступа, изменения или распространения. Применение биометрии приобретает все более повсеместный характер, и одновременно с этим общественность задается вопросом: «Не нарушает ли новая национальная биометрическая инициатива права человека на неприкосновенность личной жизни и конфиденциальность персональных данных?».
Для того, чтобы в полной мере реализовать потенциал биометрических технологий, государству необходимо решать вопросы, связанные с защитой лиц, идентифицируемых такими системами, добиваясь, чтобы сбор, хранение и использование биометрических данных велись в соответствии с международными стандартами в области прав человека и международными законами о неприкосновенности частной жизни, в том числе Международным пактом о гражданских и политических правах (МПГПП) и Всеобщей декларацией прав человека Организации Объединенных Наций (ВДПЧ).
Анализируя рассматриваемую законодательную инициативу, следует вернуться к истории казахстанского нормотворчества в сфере регулирования биометрии. Закон Республики Казахстан от 21 мая 2013 года «О персональных данных и их защите» определяет понятие биометрические данные, как: «персональные данные, которые характеризуют физиологические и биологические особенности субъекта персональных данных, на основе которых можно установить его личность».
В настоящее время национальным законодательством урегулированы лишь общественные отношения в сфере дактилоскопической и геномной регистрации.*
* Закон Республики Казахстан от 30 декабря 2016 года № 40-VІ ЗРК «О дактилоскопической и геномной регистрации».
«Правила проведения дактилоскопической и геномной регистрации» определяют порядок организации и осуществления деятельности государственных органов, уполномоченных на проведение дактилоскопической и (или) геномной регистрации, по сбору, обработке и защите дактилоскопической и геномной информации, отбору, использованию биологического материала, установлению или подтверждению личности человека.
* Утверждены постановлением Правительства Республики Казахстан от 31 января 2018 года № 36
Дактилоскопическая и геномная информация отнесена Законом к персональным данным ограниченного доступа. Однако данный Закон вводится в действие с 1 января 2021 года.
20 февраля 2019 года, депутаты сената Республики Казахстан - члены комитета по конституционному законодательству, судебной системе и правоохранительным органам разбирались, на каком этапе сейчас находится реализация вышеуказанного закона и что сделано для введения в стране обязательной дактилоскопии. На сегодняшний день почти готова лишь нормативно-правовая база, однако есть отставание по такому важному компоненту, как создание автоматизированной информационной системы биометрической идентификации личности человека.
Возвращаясь к рассматриваемому Законопроекту, следует отметить, что авторы Законопроекта вводят в Закон Республики Казахстан «Об информатизации» следующие толкования понятий:
-
биометрическая аутентификация – комплекс мер, идентифицирующих личность на основании физиологических и биологических неизменных признаков;
-
верификация биометрических данных – аутентификация новых биометрических данных физического лица с ранее полученными биометрическими данными идентифицирующего физического лица.
Стандартная операционная модель базовой биометрической системы, включает в себя такие этапы как: сбор и введение данных, извлечение данных, хранение данных, сопоставление данных, определение соответствия данных. Вместе с тем основным критерием функционирования любой биометрической системы является наличие базы данных, которая может включать отпечатки пальцев, фотографии, данные распознавания лиц и другие соответствующие идентификационные биометрические данные! Поскольку многие биометрические системы предполагают сопоставление с контрольными (эталонными) данными, ключевым фактором является наличие ранее собранных данных, которые сведены или могут быть сведены в пригодную для использования и полезную базу данных, позволяющую проводить и подтверждать идентификацию.
В Казахстане планируется создать единую платформу биометрических данных, но к сожалению, в рассматриваемом Законопроекте данный важный аспект остался за пределами внимания законодателей. Таким образом, без закрепления нормативно правовых требований к базам биометрических данных, эффективность рассматриваемых процедур управления биометрическими идентификационными данными, ставится под сомнение.
В целях введения вышеуказанного механизма биометрической аутентификации и верификации биометрических данных предлагается дополнить компетенцию уполномоченного органа по оказанию государственных услуг «утверждением правил сбора, хранения и использования биометрических данных для биометрической аутентификации и верификации физических лиц в целях оптимизации процессов оказания государственных услуг». С одной стороны, это является стандартной нормотворческой практикой, когда «утверждением правил» занимается профильное министерство, с другой стороны, рассматриваемый процесс сбора и верификации биометрических данных затрагивает вопросы приватности граждан, и в этом свете, лишь подзаконное регулирование данного вопроса является явно недостаточным. В этой связи, следует сослаться на Доклад Управления Верховного комиссара Организации Объединенных Наций по правам человека от 30 июня 2014 года № A/HRC/27/37 «Право на неприкосновенность личной жизни в цифровой век», в котором содержатся важные выводы о том, что: "Некоторые страны требуют наличия нормативной регламентации на уровне первичного законодательства, которое обсуждается в парламенте, а не на уровне обычных подзаконных актов, вводимых органами исполнительной власти, - это требование позволяет гарантировать доступность нормативно-правовой основы для заинтересованных лиц не только после принятия, но и в ходе ее разработки в соответствии со статьей 25 Международного пакта о гражданских и политических правах". Отсылочные нормы Законопроекта, указывающие на издание многочисленных подзаконных и ведомственных актов, которые слабо поддаются общественному контролю, могут подорвать реализацию закона и действенность предусмотренных в нем процедур.
В целях создания эффективной нормативно-правовой базы, устанавливающей режим правомерного использования биометрических данных, контроля и ответственности за деятельностью государственных органов по соблюдению процедур сбора, хранения и использования биометрических персональных данных граждан, необходимо принятие отдельного Закона Республики Казахстан «О биометрических персональных данных граждан».
Суммируя вышесказанное, следует отметит, что необходимо рассмотреть возможность пересмотра законодательства Республики Казахстан о защите персональных данных и внесении в него корректив, отражающих современные виды применения усовершенствованных биометрических технологий. Государству следует также пересмотреть свое законодательство для решения непростых задач, возникающих в связи с дальнейшим развитием биометрических технологий. Основанный на принципах соблюдения прав человека подход к использованию биометрических технологий должен предусматривать применение процессуальных гарантий и эффективный контроль за их соблюдением.*
* United Nations Treaty Body Database
Это предполагает, в числе прочего, создание соответствующего независимого надзорного органа, который осуществлял бы контроль за деятельностью государственных учреждений, уполномоченных предоставлять эффективные средства правовой защиты в случаях нарушений, а также создание независимого надзорного органа, который обеспечивал бы соблюдение государственными учреждениями и частным сектором законов о неприкосновенности частной жизни и о защите персональных данных.*
* Резолюция 45/95 (1990) Генеральной Ассамблеи о руководящих принципах регламентации компьютеризированных картотек, содержащих данные личного характера; Общий регламент Европейского союза по защите данных, 2018 год, статья 51 (Надзорный орган).
Национальная система видео мониторинга – «нетаргетированная слежка»?
Общенациональный план мероприятий по реализации Послания Главы государства народу Казахстана от 10 января 2018 года "Новые возможности развития в условиях четвертой промышленной революции" предусматривает активное внедрение интеллектуальных систем видеонаблюдения и распознавания на улицах и местах массового пребывания граждан, контроля за дорожным движением.
Так например, в городе Алматы в местах массового скопления людей планируется установить одну тысячу камер с функцией распознавания лиц. Проект получил название «Система видео мониторинга мест массового скопления граждан». Полученное изображение будет поступать в центр оперативного управления Департамента полиции Алматы. Программа, по словам чиновников, позволит вычислять преступников, находящихся в розыске, а также даст возможность полиции оперативно реагировать на правонарушения.*
* На камеры с распознаванием лиц в Алма-Ате выделили $23 млн
Проект Закона «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам регулирования цифровых технологий» в целях установление правовой основы для создания и функционирования в Республике Казахстан «Национальной системы видео мониторинга» вводит в Закон «Об информатизации» определение категорий объектов, подлежащих обязательному подключению к Национальной системе видео мониторинга, а также способа подключения объектов на добровольной основе.
Использование биометрических технологий в криминалистике и расследованиях, проводимых правоохранительными органами, является допустимым в демократическом обществе, однако государство должны внимательно отнестись к вопросу о последствиях использования этих технологий для прав человека, чтобы защитить людей, идентифицированных такими системами, от злоупотреблений и гарантировать проведение данных мероприятий в соответствии с предусмотренными международным правом обязательствами, закрепленными в международных и региональных конвенциях о правах человека. Международная практика предусматривает, что вмешательство в частную жизнь допустимо только при наличии процедур, гарантирующих соответствие мер наблюдения установленным законом условиям.
Казахстанское законодательство содержит ряд норм, касающихся защиты частной жизни, в них установлены правовые способы защиты частной жизни и персональных данных, формы и порядок привлечения к ответственности за нарушение указанных прав. Ими являются механизмы административно-правовой, гражданско-правовой, уголовно-правовой, международно-правовой ответственности. Так, согласно пункту 1 статьи 18 Конституции Республики Казахстан, принятой на республиканском референдуме от 30 августа 1995 года, каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и достоинства. В соответствии со статьей 145 Гражданского кодекса Республики Казахстан от 27 декабря 1994 года, никто не имеет право использовать изображение какого-либо лица без его согласия, а в случае его смерти - без согласия наследников. Однако, как справедливо заметил И. Ю. Лоскутов в Альтернативном Национальном плане действий в области прав человека в Республике Казахстан на 2015-2020 гг. «казахстанское законодательство об оперативно-розыскной деятельности не вполне четко определяет допустимые процедуры и условия наблюдения, в нем нет гарантий того, что сбор информации будет прекращен, как только обнаружатся объективные данные, опровергающие предположение о преступной деятельности. Борьба с преступностью, даже при всех ее благих целях, не должна иметь следствием отказ от защиты прав и свобод человека. Любая проводимая в настоящее время и предлагаемая политика по борьбе с преступностью должна предусматривать проведение оценок ее последствий для неприкосновенности частной жизни, с тем, чтобы была возможность для рассмотрения и представления информации о том, каким образом политика и технологии обеспечивают смягчение рисков для неприкосновенности частной жизни. Следует разработать внутреннюю правовую базу хранения и использования сведений правоохранительными органами, предсказуемую по своим последствиям и подлежащую тщательной проверке на предмет соответствия общественным интересам».*
Согласно международному праву право на неприкосновенность частной жизни не является абсолютным, признано, что любое вмешательство в осуществление этого права должно соответствовать принципам законности, соразмерности и необходимости. Кроме того, разрешаемое государством вмешательство может совершаться только на основании закона, который должен в свою очередь соответствовать положениям, целям и задачам Пакта и являться обоснованным в конкретных обстоятельствах.*
Любое такое вмешательство не должно также являться дискриминацией по признаку расы, языка, религии, национального или социального происхождения, политических и иных убеждений или по любым иным мотивам, предусмотренным международным правом.*
* Международный пакт о гражданских и политических правах, статьи 2 (1) и 26.
Специальный докладчик Организации Объединенных Наций по вопросу о праве на неприкосновенность частной жизни отметил, что в ряде стран мира установлено всеобщее основополагающее право на достойную жизнь и свободное, беспрепятственное развитие личности и нарушения права на неприкосновенность частной жизни могут негативно сказаться на этом праве.*
В преамбулах к Всеобщей декларации прав человека и Международному пакту о гражданских и политических правах говорится, что признание достоинства, присущего всем членам человеческой семьи, и равных и неотъемлемых их прав является основой свободы, справедливости и всеобщего мира.*
Неправомерное использование биометрических данных может создавать угрозу для этих прав. Злоупотребление такими данными может также создавать серьезные риски для прав на надлежащую правовую процедуру, в том числе на право на презумпцию невиновности и другие права, связанные с рассмотрением уголовного обвинения.*
* Международный пакт о гражданских и политических правах, статьи 9, 14.
Кроме того, массовый сбор таких данных без соблюдения принципов необходимости и соразмерности может сам по себе являться нарушением права на неприкосновенность частной жизни.*
* Международный пакт о гражданских и политических правах, статья 2 (3).
В вопросе о правовой стороне обработки фото – или видеоизображения существует позиция, что до передачи их для установления личности снятого человека они не являются биометрическим персональными данными, обработка которых, в настоящее время в Казахстане регулируется общими положениями закона «О персональных данных и их защите», поскольку не используются оператором (владельцем видеокамеры или лицом, организовавшим ее эксплуатацию) для установления личности. Однако, указанные материалы, используемые органами, осуществляющими оперативно-розыскную деятельность, дознание и следствие в рамках проводимых мероприятий, являются биометрическими персональными данными, в случае, если целью их обработки является установление личности конкретного физического лица. Обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных законодательством. Рассматриваемый Законопроект вносит поправки в Закон Республики Казахстан «О персональных данных и их защите», направленные на включение функционирования «Национальной системы видео мониторинга» в перечень случаев, когда сбор, обработка персональных данных может производиться без согласия субъекта.
В этой связи, государству необходимо обеспечить надежные гарантии от произвольного сбора, хранения и использования биометрических персональных данных полученных в ходе видеонаблюдения, в том числе создать механизмы надзора с привлечением независимого органа и гарантировать, что субъекты данных должны иметь право на обжалование обработки своих данных правоохранительными органами. Органы власти должны обнародовать информацию о праве на обжалование и апелляцию и о существовании механизмов подачи жалоб.
При наличии законной цели и надлежащих процессуальных гарантий государству позволяется осуществлять достаточно интрузивное слежение; однако государство по-прежнему обязано доказать, что такое вмешательство одновременно является необходимым и соразмерным конкретному риску. Массовые или «сплошные» программы слежения, таким образом, могут быть сочтены «произвольными», даже если они служат законной цели и были утверждены на основании общедоступного правового режима.
В решениях по делам Klaas & others v Germany от 6 сентября 1978 г., Schenk v Switzerland от 12 июля 1988 г., Kruslin v France от 24 апреля 1990 г. указывалось, что при решении вопроса о допустимом вмешательстве в частную жизнь необходимо соотносить находящиеся в конфликте интересы - публичный интерес в установлении истины по делу и частный интерес в сохранении конфиденциальности личной жизни. Такая позиция подтверждена Европейским судом по правам человека в ряде последних решений: «Право ведения тайного наблюдения за гражданами, терпимо в соответствии с Конвенцией только тогда, когда оно строго необходимо для сохранения демократических институтов», «какая бы система наблюдения ни была принята, существуют адекватные и эффективные гарантии против злоупотреблений».
Независимый орган в области персональных данных – миф или реальность?
Как отмечалось выше, задача по формированию законодательства, комплексно обеспечивающее правовое регулирование проблем, связанных с информацией персонального характера, относится к числу наиболее сложных задач государства. Безусловно, следует приветствовать наличие в проекте Закона «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам регулирования цифровых технологий» ряда положительных правовых норм, направленных на обеспечение конфиденциальности персональных данных граждан. Так, отдельного внимания заслуживает норма закрепляющая расширенное, по сравнению с действующей редакцией, толкование «Принципа определенности целей сбора и обработки данных», закреплённого в статье 14 Закона «О персональных данных и их защите». В новой редакции данная статья гласит, что: «Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки».
С удовлетворением, следует отметить попытку разработчиков закрепить в вышеуказанной статье Закона «О персональных данных и их защите», так называемый, «Принцип качества персональных данных», сформулированный законодателями в следующим образом: «Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки». Однако, данный международный базовый принцип защиты данных, кроме этого, предусматривает: точность сведений, их адекватность, с точки зрения отнесения к делу, а также актуальность, обеспечиваемую на основе обновления в случае необходимости. Данные нормативные требования, особенно актуальны в случае использования биометрических технологий. На протяжении жизни человека биометрические идентификационные признаки могут в процессе роста или старения или под влиянием болезни изменяться, т.е. может изменяться относительный размер, степень четкости и различимость конкретных отличительных черт. В этой связи, с сожалением, приходится констатировать факт закрепления данного принципа не в полном объёме. Кроме этого, стоит позитивно рассматривать закрепление требования запрета на обработку специальных «чувствительных» категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
В этой связи, ключевой рекомендацией настоящего исследования является создание в Казахстане специального контрольно-надзорного государственного органа по защите персональных данных, самостоятельного, независимого от других органов власти, физических и юридических лиц. В его функции должно входить рассмотрение обращений субъектов персональных данных о соответствии содержания персональных данных и способов их обработки и принятие соответствующих решений; предоставление субъектам персональных данных информации об их правах касательно обработки их персональных данных; осуществление проверки сведений об обработке персональных данных или привлечение для осуществления такой проверки иных государственных органов в пределах своих полномочий; предоставление инструкций, необходимых для приведения обработки персональных данных в соответствие с принципами соответствующего законодательства; принятие в установленном законом порядке мер по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства о защите персональных данных; требование от держателя уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных; обращение в суд с исковыми заявлениями в защиту прав субъектов персональных данных; составление в установленном административным законодательством порядке протоколов о нарушении законодательства; ведение реестра держателей персональных данных и т.п..
Глава министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан Аскар Жумагалиев инициировал вопрос о наделении Комитета по информационной безопасности функциями по защите персональных данных (по аналогии с Data Protection Agency в Европе).*
* Tengrinews.kz: Данные миллионов казахстанцев "утекли" в Сеть: органы ищут источник
Предлагалось наделить Министерство статусом уполномоченного органа в сфере сбора, обработки и защиты персональных данных с компетенцией по обеспечению реализации государственной политики в сфере персональных данных, осуществлению государственного контроля в сфере персональных данных и утверждению правил сбора, обработки, накопления и хранения персональных данных, с применением информационно-коммуникационных технологий.
В новые функции Комитета по информационной безопасности предлагалось ввести следующее:
-
Нормативно правовое регулирование сферы защиты персональных данных;
-
Ведение реестра операторов персональных данных;
-
Защита прав субъектов персональных данных;
-
Контроль за соблюдением требований по защите персональных данных.
К глубокому сожалению, данная революционная инициатива не нашла своего отражения в финальной редакции Законопроекта, разработчики ограничились лишь наделением Министерства общими полномочиями по осуществлению государственного контроля в сфере сбора, обработки и защиты персональных, содержащихся в электронных информационных ресурсах.
Рекомендации
-
Создание Независимого уполномоченного органа в сфере персональных данных, который будет действовать в условиях независимости от прочих государственных органов, выполняя контроль в области гарантирования и защиты прав и свобод личности при обработке и использовании персональных данных, в том числе биометрических;
-
Создание нормативной базы, устанавливающей режим правомерного использования биометрических систем (систем распознавания лиц) в видеонаблюдении;
-
Изучение лучших законодательных практик, разработка, обсуждение и принятие отдельного закона «О биометрических персональных данных граждан»;
-
Разработка нормативной базы, устанавливающей практические гарантии от произвольного сбора, хранения и использования биометрических персональных данных полученных посредством современных видов усовершенствованных биометрических технологий, таких как, системы распознавания лиц;
-
Закрепление гарантий, что субъекты данных будут иметь право на обжалование обработки своих биометрических персональных данных правоохранительными органами. Органы власти должны обнародовать информацию о праве на обжалование и апелляцию и о существовании механизмов подачи жалоб;
-
Разработка нормативной базы, устанавливающей практические гарантии доступа граждан к сведениям о них самих, находящихся у государственных органов, а также того, каким образом упомянутые органы должны информировать граждан о том, что подобная информация находится в их распоряжении, возможности проверки категорий и объема персональных данных, собранных и обрабатываемых государственными органами, а также их использования для целей, отличных от первоначально заявленных;
-
Закрепление нормативно правовых и технических требований к базам биометрических данных, для эффективности процедур управления биометрическими идентификационными данными и для определения степени точности биометрических систем.