Сущность биометрических технологий

Каждый человек имеет уникальные физические признаки. Некоторые из них получены при рождении, например, ДНК, отпечатки пальцев, радужная оболочка глаза. Другие приобретаются в процессе жизнедеятельности и могут со временем изменяться – походка, интонации голоса, подпись. Все эти характеристики являются неповторимыми, следовательно, по ним можно идентифицировать личность.

На этом и основываются биометрические технологии, которые помогают распознавать людей по одному или нескольким физическим и поведенческим признакам.

Какие виды биометрии существуют?

Изображение лица. Современные фото- и видеокамеры смартфонов легко узнают лица с помощью встроенного нейросетевого сканера. Изображение становится идентификатором человека. Технологию можно использовать и для разблокировки телефона и для более сложных задач – чтобы совершать покупки, получать финансовые услуги.

Голос. Человеческие голоса имеют разную интонацию, высоту тона и модуляцию. Биометрическая система распознает людей по особенностям речи. Чтобы мошенники не могли воспользоваться уже готовыми записями чужого голоса, для идентификации пользователя чаще всего просят произнести случайный набор слов или фраз. По аналогии с фото или видео эту запись система сравнивает с той, что хранится в базе данных.

Отпечатки пальцев. Сегодня дактилоскопия применяется очень широко: отпечатки пальцев нужны для оформления паспорта и зарубежной визы, для доступа в мобильные приложения банков, для того чтобы разблокировать смартфон. А в некоторых странах, например в Саудовской Аравии, нужно сдать отпечатки пальцев, чтобы купить сим-карту. При этом инновационные компании уже разрабатывают способ бесконтактно распознавать отпечатки.

Радужка глаза. Цветная оболочка глаза имеет более сложный рисунок, чем пальцы, поэтому этот способ биометрической идентификации еще надежнее. Миллионы смартфонов в мире оборудованы сканерами, которые, что называется, «на глаз» определяют владельца.

Следует отметить, что для широкого и повсеместного применения биометрических технологий необходимо обеспечить должное правовое регулирование режима использования биометрических персональных данных и адекватную их защиту.

Биометрические персональные данные: их использование и защита

С 15 ноября 2021 г. действует Закон «О защите персональных данных» (далее – Закон), направленный на обеспечение защиты персональных данных, прав и свобод физических лиц при обработке их персональных данных.

Биометрические персональные данные являются разновидностью персональных данных и представляют собой информацию, характеризующую физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и другое) (ст. 1 Закона).

Исходя из их функций и предназначения, биометрические данные не являются обычными персональными данными. Они являются результатом особой технической обработки физических, физиологических или поведенческих характеристик людей и позволяют автоматически идентифицировать граждан. В самом начале биометрия использовалась только для судебной идентификации, сегодня же она интегрирована во многие акты нашей повседневной жизни и используется для предварительной идентификации людей. Например, это контроль доступа работников к офисным, банковским помещениям; входы в компьютерные системы; доступ к онлайн-сервисам; распознавание личности при переходе государственной границы и др. В некоторых странах это также средство подтверждения подключения пользователя к телевизионным услугам; механизм замены электронных ключей в процессе осуществления онлайн-платежей или процедура защиты оборота медицинских данных [1].

По указанным причинам биометрические данные должны быть защищены специальным правовым режимом, который устанавливается законодательными актами, регулирующими обеспечение защиты персональных данных.

Кроме того, для формирующегося законодательства в сфере защиты персональных данных важна четкость и точность формулировок определений основных понятий.

В этой связи некоторые исследователи полагают, в частности, что в законодательном определении биометрических персональных данных было бы более корректным использование слов «поведенческие» или «функциональные», а не «физиологические».

Так, поведение определяют как присущее живым существам взаимодействие с окружающей средой, которое включает их двигательную активность и ориентацию по отношению к этой среде. Поведение человека изучается этологией, психологией и социологией. Этология является областью биологии. Однако психологические и социологические особенности поведения человека не охватываются физиологическими особенностями. Человек, являясь сложно организованной системой, должен рассматриваться в единстве его биологических, психологических, социальных свойств и взаимосвязей между ними. Хотя влияние физиологических особенностей человека на его поведение значительно, нельзя отбрасывать и иные аспекты [2].

Еще одним недочетом анализируемого определения называют отсутствие указания на отнесение поведенческих особенностей человека к биометрическим данным. Такие особенности присущи каждому человеку, обладают высокой степенью индивидуальности и уникальности и применяются при идентификации физического лица. С формальной точки зрения отражать понятие «поведенческих особенностей человека» в легальном определении биометрических данных тогда, когда там уже содержится более общее понятие «биологические особенности», не нужно. Но стоит иметь в виду, что поведение человека зависит не только от биологических процессов, так же сильно и социальное влияние, оказываемое на индивида. Потому предлагается включить такие особенности человека в правовую дефиницию «биометрических данных» [3].

В целях выработки предложений по совершенствованию законодательства в данной сфере представляется интересным опыт правового регулирования биометрических данных в других государствах.

Одним из наиболее прогрессивных нормативных правовых актов, регулирующих общественные отношения в сфере использования персональных данных сегодня называют Регламент Европейского союза в области регулирования института персональных данных, в котором под биометрическими данными понимаются любые данные, относящиеся к физическим, физиологическим или поведенческим особенностям человека, которые позволяют его однозначно идентифицировать [4].

Нельзя не отметить и Закон «О защите персональных данных» Аргентины, принятый еще в 2000 году, в котором к биометрическим данным относятся персональные данные, полученные при помощи специальных технических устройств, относящиеся к физическим, физиологическим или поведенческим особенностям физического лица, позволяющие его идентифицировать [5]. Как видно, в данной норме содержится указание на способ получения таких сведений, что говорит о том, что они в обязательном порядке должны быть зафиксированы с применением специальных технических средств и устройств.

Исходя из содержания, вторым сущностным признаком биометрических персональных данных является возможность установления личности человека на основе таких данных и использование этой возможности оператором. Установление личности осуществляется посредством его идентификации.

Идентификация (от латинского «identifico» – отождествляю) имеет схожие смыслы в разных научных областях:

1. признание тождественности, отождествление объектов;

2. установление тождества объекта или личности по совокупности общих и частных признаков (криминалистика);

3. процесс эмоционального и иного самоотождествления личности с другим человеком, группой, образцом (психология и социология);

4. установление соответствия распознаваемого предмета своему образу (знаку) (технические и точные науки);

5. установление тождества неизвестного химического соединения с известным путем сравнения их физических и химических свойств (химия).

Идентификация может быть групповой (установление принадлежности объекта к определенному роду и виду объектов) и индивидуальной (установление индивидуального тождества). При установлении личности человека на основе его персональных данных речь идет об индивидуальной идентификации.

Идентификация объекта основана на неповторимости и индивидуальности объектов действительности и закономерностях возникновения отображения объекта в результате его взаимодействия с иными объектами.

Наибольший интерес для идентификации человека представляют признаки, имеющие максимально возможную устойчивость. Так, например, папиллярные узоры на поверхности рук человека формируются во внутриутробный период жизни человека и сохраняют свои особенности в течение всей его жизни, а также некоторое время после смерти.

Поскольку любая биометрия представляет собой высокий риск для индивидов, это позволяет сформулировать два важных принципа.

Во-первых, заинтересованному лицу можно доверить самостоятельное хранение собственных биометрических данных, чтобы уменьшить риски утечки и последствия воздействия на них, например, в случае кражи или взлома системы. В случае потери или кражи биометрических данных будут скомпрометированы данные только этого лица, а не биометрия всех лиц, находящихся в базе.

Во-вторых, биометрические данные должны храниться на серверах организации в зашифрованной форме, что делает невозможным их использование при отсутствии согласия заинтересованного лица. На практике биометрические данные должны быть защищены специальным режимом: заинтересованное лицо может единолично использовать информацию при собственной аутентификации [1].

Законодательное регулирование должно быть направлено в первую очередь на то, чтобы сохранить контроль пользователя над биометрическими данными, уважать его свободу выбора, а также минимизировать риски вмешательства в частную жизнь граждан.

Сегодня многие страны находятся в процессе создания целостной доктрины биометрического контроля, внедряя все шире использование биометрических данных и документов частными лицами.

Не осталась в стороне от развития указанных технологий и наша страна.

Биометрические документы в Беларуси

Порядок документирования населения определен Указом Президента Республики Беларусь от 03.06.2008 № 294, утвердившим положения о биометрических документах, удостоверяющих личность, и биометрических документах для выезда из Республики Беларусь и (или) въезда в Республику Беларусь.

Не так давно принят Указ Президента Республики Беларусь от 16.03.2021 № 107 (далее – Указ № 107), которым введены в действие биометрические документы:

• удостоверяющие личность (идентификационная карта, биометрический вид на жительство иностранного гражданина и лица без гражданства);

• для выезда из Беларуси и (или) въезда (биометрический паспорт, в том числе дипломатический и служебный, биометрический проездной документ и проездной документ беженца).

Справочно:

Формы всех перечисленных документов утверждены постановлением Совета Министров Республики Беларусь от 31.05.2021 № 297, принятым во исполнение Указа № 107.

• совершенствования порядка документирования населения;

• повышения степени защиты документов от подделки;

• повышения доверия к владельцу документа;

• облегчения прохождения пограничного контроля (сведения к минимуму вероятности ошибки контролером и сокращения времени идентификации граждан);

• осуществления административных процедур и обслуживания населения в условиях формирования инфраструктуры электронного правительства и цифровой экономики (за счет использования личной электронной цифровой подписи владельца биометрического документа, что облегчит гражданам доступ к социальным услугам и государственным информационным ресурсам).

Основными биометрическими документами являются биометрический паспорт и идентификационная карта.

Биометрический паспорт гражданина Республики Беларусь (далее – биометрический паспорт) – документ, подтверждающий гражданство и удостоверяющий личность владельца в целях выезда из Республики Беларусь и въезда в Республику Беларусь, а также пребывания и проживания за ее пределами.

Указанный документ должен содержать:

• фотоизображение владельца;

• персональные данные владельца (фамилию, собственное имя, дату рождения, пол, место рождения и гражданство (при наличии));

• идентификационный номер;

• номер, вид, дата выдачи и окончания срока действия документа;

• код Республики Беларусь и органа, выдавшего документ;

• машиносчитываемую зону.

Биометрический паспорт отличается от обычного тем, что в него встроена специальная (интегральная) микросхема (электронный чип), содержащая электронное средство биометрической идентификации с персональными данными владельца биометрического документа в соответствии с требованиями международной организации по гражданской авиации (ICAO). Помимо персональных данных владельца, в микросхеме содержатся его биометрические данные, такие как цифровой фотопортрет и отпечатки пальцев, используемые для идентификации владельца этого документа.

Идентификационная карта представляет собой пластиковую смарт-карту, которая содержит биометрические (цифровой фотопортрет и отпечатки пальцев) и другие персональные данные ее владельца, а также иную информацию в текстовом, машиночитаемом и электронном виде.

Кроме того, в идентификационную карту заложено программное обеспечение, позволяющее вырабатывать электронную цифровую подпись.

При этом ID-карта должна содержать:

• фотоизображение (цифровой фотопортрет) владельца;

• персональные данные владельца (ФИО, дата рождения, пол, место рождения, гражданство или подданство (при наличии));

• идентификационный номер;

• вид, номер, дата выдачи и окончания срока действия документа;

• код Республики Беларусь и органа, выдавшего документ;

• машиносчитываемую зону;

• изображение подписи владельца, достигшего четырнадцатилетнего возраста, либо иностранца, приобретшего дееспособность в полном объеме в соответствии с законодательством Республики Беларусь (за исключением случаев, когда отобрать образец подписи физически невозможно);

• двухмерный штрих-код (QR-код), содержащий закодированную информацию о владельце документа (ФИО, дата рождения), информацию о документе (номер, даты выдачи и окончания срока действия) и идентификационный номер;

• интегральную микросхему, содержащую электронное средство биометрической идентификации с персональными данными владельца биометрического документа в соответствии с требованиями международной организации по гражданской авиации (ICAO) и криптографический токен аутентификации.

Интегральная микросхема (чип) ID-карты должен содержать:

1. Криптографический токен аутентификации (КТА) – программное обеспечение с информацией о владельце (в соответствии с белорусскими стандартами) и для выработки электронно-цифровой подписи (далее – ЭЦП).

КТА содержит следующие группы данных:

DG1 идентификационный номер;

DG2 – код страны, тип документа, номер ID-карты, дата выпуска, срок действия, код органа, выдавшего документ, гражданство, место рождения;

DG3 – ФИО;

DG4 – дата рождения;

DG5 – пол.

2. Программное обеспечение (ПО) ICAO – ПО с информацией о владельце в международном формате.

Справочно:

Особенность регистрации граждан по месту жительства и (или) по месту пребывания, получивших идентификационную карту, заключается в том, что соответствующая отметка о регистрации в этом документе, удостоверяющем личность, не проставляется. Вся информация запрашивается заинтересованными посредством электронных услуг на https://portal.gov.by/ или посредством взаимодействия «система-система» с Единой системой идентификации физических и юридических лиц (https://nces.by/bisrs/esiful/).

Кроме того, за счет использования ЭЦП идентификационная карта может быть использована для совершения различного рода юридических действий в электронном виде.

Так, в настоящее время создана Белорусская интегрированная сервисно-расчетная система (далее – БИСРС) – комплекс информационных систем и ресурсов, предназначенный для оказания пользователям (физическим и юридическим лицам) государственных услуг и административных процедур в электронной форме с применением идентификационных карт (ID-карт).

В результате проводимой работы по модернизации Общегосударственной автоматизированной информационной системы (далее – ОАИС), являющейся одним из ключевых компонентов БИСРС и ядром электронного правительства, расширяется спектр электронных услуг с применением новых инструментов (конструктор административных процедур и государственных услуг) и функций (возможность идентификационных карт (ID-карт) по выработке ЭЦП).

В частности, держатель идентификационной карты сможет получать электронные услуги и обращаться за осуществлением административных процедур в электронном виде через Единый портал электронных услуг без необходимости посещения соответствующих учреждений. В перспективе предполагается, что с помощью идентификационной карты можно будет рассчитываться за услуги и уплачивать налоги.

Ожидается, что внедрение новых информационных систем, а также развитие функциональных возможностей действующих инфраструктурных элементов электронного правительства в значительной степени упростит информационное взаимодействие между гражданами, бизнесом и государством посредством применения современных цифровых решений, исключая необходимость личного посещения государственных структур и других учреждений.

Материал подготовлен с использованием нормативных правовых актов по состоянию на 21 февраля 2022 г.

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

1. Рассолов, И. М., Чубукова, С. Г., Микурова, И. В. Биометрия в контексте персональных данных и генетической информации: правовые проблемы // Lex russica. 2019. № 1.

2. Камалова, Г. Г. Биометрические персональные данные: определение и сущность // Информационное право. 2016. № 3.

3. Платонова, Н. И. Современные правовые подходы к пониманию биометрических данных // Информационное право. 2018. № 1.

4. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data. URL: http://eur-lex.europa.eu (accessed: 21.02.2021).

5. Ley de de los datos personales de Argentina 25.326. sancionada: Octubre 4 de 2000. URL: www.justicia2020.gob.ar (accessed: 21.02.2021).