Аналитическая справка по проекту постановления Правительства РФ о биометрических персональных данных

31 января 2022 г. Министерство цифрового развития, связи и массовых коммуникаций РФ опубликовало проект постановления Правительства Российской Федерации «Об утверждении Положения о единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица» (https://regulation.gov.ru/Projects#npa=124548). В данном случае сработала «закладка», сделанная в часть 1.2 статьи 14.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», которая предусматривает полномочие Правительства Российской Федерации утверждать положения о единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, включая порядок ее функционирования и взаимодействия с иными информационными системами. Во исполнении данного положения ФЗ и был разработан проект данного постановления.

Согласно п. 3 Положения, которое планируют утвердить данным постановлением Правительства РФ, единая биометрическая система (ЕБС) используется в целях осуществления идентификации и (или) аутентификации физического лица государственными органами, органами местного самоуправления, кредитными организациями, некредитными финансовыми организациями, которые осуществляют указанные в части первой статьи 76.1 Федерального закона от 10 июля 2002 г. № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» виды деятельности (т.е. не только профессиональные участники рынка ценных бумаг, акционерные инвестиционные фонды и т.п., но и негосударственные пенсионные фонды, микрофинансовые организации, кредитные потребительские кооперативы и ломбарды), субъектами национальной платежной системы (далее – организации финансового рынка), иными организациями, индивидуальными предпринимателями, нотариусами с использованием биометрических персональных данных физических лиц.

Весьма важным является п. 4 Положения, который определяет перечень задач, выполнение которых будет обеспечивать Единая биометрическая система:

а) размещение государственными органами, банками и иными организациями в случаях, определенных федеральными законами, биометрических персональных данных физического лица и сведений в составе, установленном в соответствии с частью 8 статьи 14.1 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее - Федеральный закон
№ 149-ФЗ);

б) размещение физическими лицами в соответствии с частью 1.3 статьи 14.1 Федерального закона № 149-ФЗ своих биометрических персональных данных в единой биометрической системе в порядке, установленном Правительством Российской Федерации;

в) проверку соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой биометрической системе, и предоставление информации о степени взаимного соответствия указанных биометрических персональных данных, государственным органам, органам местного самоуправления, организациям финансового рынка, иным организациям, индивидуальным предпринимателям, нотариусам в целях осуществления ими идентификации и (или) аутентификации физического лица;

г) предоставление в государственные информационные системы, владельцами и (или) операторами которых являются государственные органы, прошедшие аккредитацию на право владения такими государственными информационными системами и (или) осуществления функций их операторов в порядке и в соответствии с требованиями, которые установлены Правительством Российской Федерации, информации, являющейся результатом обработки биометрических персональных данных физического лица, содержащихся в единой биометрической системе, произведенной с использованием информационных технологий и технических средств, соответствующих требованиям, определенным в соответствии с пунктом 1 части 13 статьи 14.1 Федерального закона
№ 149-ФЗ, не подпадающей под действие статьи 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ), в целях аутентификации физических лиц с использованием указанных государственных информационных систем;

д) предоставление в федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере внутренних дел, и федеральный орган исполнительной власти в области обеспечения безопасности в целях обеспечения обороны страны, безопасности государства, охраны правопорядка и противодействия терроризму сведения, содержащиеся в единой биометрической системе, в порядке, установленном Правительством Российской Федерации;

е) иные задачи, определенные федеральными законами, актами Президента Российской Федерации и актами Правительства Российской Федерации.

Применительно к пп. «а» необходимо пояснить, что в ЕБС размещаются следующие сведения граждан:

- биометрические персональные данные физического лица следующих видов:

- данные изображения лица человека, полученные с помощью фото- видео устройств;

- данные голоса человека, полученные с помощью звукозаписывающих устройств;

- идентификатор сведений о физическом лице в регистре физических лиц единой системы идентификации и аутентификации, биометрические персональные данные которого размещаются в единой биометрической системе, - идентификатор учетной записи в единой системе идентификации и аутентификации;

- контактные данные физического лица (номер абонентского устройства подвижной радиотелефонной связи, адрес электронной почты);

- дата рождения и сведения о гражданстве физического лица, биометрические персональные данные которого размещаются в единой биометрической системе (Постановление Правительства РФ от 30.06.2018 N 772 (ред. от 16.08.2021) "Об определении состава сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, включая вид биометрических персональных данных, а также о внесении изменений в некоторые акты Правительства Российской Федерации").

Как следует из пп. «д» п. 4 Положения, все эти сведения будут передаваться в органы внутренних дел и госбезопасности, что автоматически приведет к установлению фактически тотального контроля над лицами, биометрические персональные данные которых вместе с иными сведениями будут размещены в ЕБС. Перечень тех, кто сможет получить к ним доступ не является закрытым, поскольку, согласно пп. «е», федеральные законы, Президент Российской Федерации и Правительство Российской Федерации вправе определять для ЕБС и иные задачи, выполнение которых может привести получения доступа к хранящейся в системе информации и иным органам.

Интересен и п. 7 Положения, который устанавливает, что программные средства единой биометрической системы должны в том числе обеспечивать:

а) реализацию задач единой биометрической системы;

б) возможность масштабирования по производительности и объему обрабатываемой информации;

в) круглосуточную непрерывную работу, за исключением перерывов на регламентные и технологические работы;

г) информационное взаимодействие единой биометрической системы с иными информационными системами;

д) защиту информации, содержащейся в единой биометрической системе.

Как у нас осуществляется защита информации хорошо известно, не является это секретом и для разработчиков данного проекта постановления, которые в п. 9 специально оговорили следующее: «Размещение и обработка в единой биометрической системе сведений, отнесенных к государственной тайне, запрещены». Итак, сведения, отнесенные к государственной тайне, в ЕБС размещать запрещено, а вот все сведения о гражданах, благодаря чему они смогут стать легкой добычей коллекторов, а также любых иных преступников внутри страны и иностранных спецслужб, можно. Тотальный контроль за гражданами предполагает круглосуточную непрерывную работу ЕБС, а вот положение о возможности масштабирования по производительности и объему обрабатываемой информации наводит на мысль, что круг охвата ЕБС планируется существенно расширить, перейдя от добровольно-принудительного размещения в ней информации к ничем не прикрытому принудительному. П. 10 ставит условием размещения и обновления в единой биометрической системе биометрических персональных данных завершение физическим лицом прохождения процедуры регистрации в федеральной государственной информационной системе «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме». Данное положение в очередной раз показывает тесную связь между собой обоих систем. П. 16 Положения определяет, что в целях функционирования единой биометрической системы обеспечивается ее взаимодействие в том числе со следующими информационными системами:

а) федеральная государственная информационная система «Единый портал государственных и муниципальных услуг (функций)»;

б) единая система идентификации и аутентификации;

в) единая система межведомственного электронного взаимодействия.

Заслуживает внимание и п. 19 Положения, который гласит: «Порядок предоставления доступа к единой биометрической системе иных информационных систем определяется регламентом, утверждаемым оператором». Функции оператора единой биометрической системы осуществляет определенная Правительством Российской Федерации организация (п. 5 Положения). Соответственно Правительство РФ определяет угодного ей оператора ЕБС, который своим внутренним регламентом определяет порядок предоставления доступа к единой биометрической системе иным информационным системам. Согласно п. 12 Положения, ЕБС взаимодействует с государственными информационными системами, муниципальными информационными системами, информационными системами кредитных организаций, некредитных финансовых организаций, которые осуществляют указанные в части первой статьи 76.1 Федерального закона от 10 июля
2002 г. № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» виды деятельности, субъектов национальной платежной системы, иных организаций и индивидуальных предпринимателей в соответствии со статьей 14.1 Федерального закона № 149-ФЗ. Однако в п. 19 Положения нет ссылки на перечисленные в п. 12 информационные системы, что наводит на мысль о возможности неконтролируемого расширения доступа к единой биометрической системе исключительно по усмотрению оператора.

Пресса уже писала, что с 2018 года по февраль 2021 года в ЕБС зарегистрировалось около 164 тыс. россиян. В Минцифре 26 февраля 2021 года прошло совещание, на котором чиновники Минцифры обещали «решить вопрос административными мерами»: «Речь, в частности, идет о том, чтобы стимулировать граждан сдавать биометрию в многофункциональных центрах предоставления государственных услуг (МФЦ) и через специальное мобильное приложение, поясняет другой собеседник “Ъ”. «Без сдачи биометрии некоторые госуслуги могут стать недоступными удаленно»,— уточнил он. В результате в течение двух лет в Минцифры рассчитывают увеличить число биометрических «слепков» граждан в ЕБС до 70 млн, что равно числу подтвержденных профилей на портале госуслуг, добавил еще один источник “Ъ”» (Анастасия Гаврилюк, Максим Буйлов. Биомеры будут приняты. Сбор данных граждан станет проще и принудительнее //https://www.kommersant.ru/doc/4721686). Публикацию в «Коммерсанте» поспешили опровергнуть чиновники Минцифры, обещавшие, что «доступ ко всем услугам на Едином портале госуслуг осуществляется после авторизации с использованием ЕСИА по связке логин и пароль. Биометрические данные также могут быть использованы в будущем лишь по желанию пользователя в качестве дополнительного фактора аутентификации для усиления безопасности доступа в личный кабинет на портале Госуслуг» (Олег Качанов, замглавы Минцифры России: «Сбор биометрических данных не повлияет на доступ к госуслугам» // https://digital.gov.ru/ru/events/40558/). Однако при этом утверждение газеты о том, что в течение двух лет в Минцифры планируют увеличить число биометрических «слепков» граждан в ЕБС до 70 млн не было опровергнуто. Очевидно, что за такой короткий срок многократно нарастить число граждан, сдавших свои биометрические данные, до 70 млн без принуждения попросту невозможно. Необходимо помнить, что в любой момент этот сбор из добровольного может превратиться в принудительный. Все это может привести к тотальному повседневному контролю со стороны государства, не говоря уже о существенно возрастающих рисках утечки биометрических персональных данных и их использования преступниками.

Если сбор биометрических персональных данных из добровольного превратится в принудительный, это будет означать отмену статей 23 и 24 Конституции РФ, гарантирующих каждому право на неприкосновенность частной жизни, личную и семейную тайну и не допускающие сбор, хранение, использование и распространение информации о частной жизни лица без его согласия. Поскольку право на неприкосновенность частной жизни относится к числу основных прав и свобод человека, оно является неотчуждаемым в силу ст. 17 Конституции РФ. Согласно статье 9 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 30.12.2020) "О персональных данных" «субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе». Статья 3 Федерального закона от 27.07.2006 N 149-ФЗ (ред. от 30.12.2020) "Об информации, информационных технологиях и о защите информации" относит неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия к принципам правового регулирования отношений в сфере информации, информационных технологий и защиты информации. Все эти важные нормы права точно также будут фактически отменены, и угроза тотального повседневного контроля станет реальностью.

В связи с вышеизложенным просим принять все возможные меры для отклонения проекта постановления Правительства РФ «Об утверждении Положения о единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица», который представляет угрозу правам и свободам граждан Российской Федерации.