Категории Персональных Данных Можно Отнести Отпечаток Пальца Человека

Напишите нам и получите бесплатную юридическую консультацию, которую мы предоставляем на основании закона

Категории Персональных Данных Можно Отнести Отпечаток Пальца Человека

Технологии помогают людям следить друг за другом. За вами следит государство, частные компании и госорганы используют данные, пока вы и ваши друзья их открываете. Российские законодатели уже не раз принимались за регулирование обращения с персональными данными, но про биометрические данные упоминали вскользь, а вот теперь добрались до них подробнее. Рассказываем, что говорят российские законы о биометрических персональных данных, что изменят новые приказы Минкомсвязи и как вам защитить свои данные.

Что случилось?

В Минкомсвязи готовят два проекта нормативных документов по регулированию биометрических персональных данных:
приказ «Об утверждении методики проверки соответствия предоставленных биометрических персональных данных физического лица…»;
приказ «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации…».

Ведомство завершает разработку проектов нормативных актов, окончен этап проведения общественных обсуждений и независимой антикоррупционной экспертизы.

Были ли в России законы о том, что такое биометрические данные и как с ними обращаться?

Мы писали о том, как работают биометрические законы в других странах. В России персональные данные, в том числе биометрические, упоминаются в нескольких правовых актах.

Категории Персональных Данных Можно Отнести Отпечаток Пальца Человека

Категории персональных данных можно отнести отпечаток пальца человека

Согласно Федеральному закону от 27.07.2006 N 152-ФЗ (ред. от 29.07.2017) «О персональных данных», статье 11 (цитата):
«Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных».

Какие сведения могут использоваться для надёжной идентификации человека? На настоящий момент в индустриальных разработках, насколько мне известно, используются с той или иной степенью надёжности:
1) отпечатки пальцев и кистей

2) венозный рисунок на кистях рук

3) изображение сетчатки глаза

4) изображение радужной оболочки глаза

Дорогие читатели❗ Мы проконсультируем вас бесплатно по любому направлению.
С нами Закон будет на Вашей стороне 🎓

Более сложные случаи

Не всегда в основе персональных данных лежит что-то, что делает весь набор сразу ПДн. Например, если в наборе есть номер паспорта — это точно ПДн, что бы ещё там ни лежало. Но иногда ни одна часть набора не является ПДн в изолированном виде, но всё вместе позволяет вам точно определить человека.

Например, медицинский диагноз, как правило, не является персональными данным в отрыве от Ф. И. О. (а вот результат анализа кода ДНК является персональными геномными данными, кстати). Расовая принадлежность сама по себе — не персональные данные. Место работы само по себе — не персональные данные.

Однако может так оказаться, что набор «место работы + раса + диагноз» — это персональные данные. Например, когда на автозаправке работает только один однорукий китаец.

Что самое интересное, если изначально на автозаправке работало два одноруких китайца, а потом один уволился, набор данных, по логике, не был персональным, а потом стал. Равно как когда вы были одним таким в наборе «Ф. И. О. + пол + дата рождения», а потом уговорили друзей поменять имена, по идее, набор перестал быть ПДн. На практике же это не так.

Чтобы понять, является ли ваш набор данных персональными, надо учесть следующее:

  • Посмотреть судебную практику: если было решение о том, что подобный набор является ПДн, то и ваш набор с очень высокой вероятностью — ПДн.
  • Экспертизы, определяющей, ПДн это или нет, пока нет. Вы можете обратиться за разъяснениями в Роскомнадзор. Однако с некоторой вероятностью вы получите ответ: «Если можно определить человека однозначно — это ПДн».
  • И, наконец, окончательным определением будет судебное решение, но, как правило, до него лучше не доводить, а продумывать заранее, всё же можно определить человека или нет.

Естественно, в обычной практике большинство наборов уже давно описаны, и с ними понятно, как работать. Тем не менее, есть несколько интересных моментов с биометрией, фото и специальными категориями ПДн.

​СМИ vs Роскомнадзор. Как сделать журналистский материал и не нарушить закон о персональных данных?

Исходя из определения, установленного Федеральным законом «О персональных данных» к биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта.

По существу обработки фото- или видеоизображения субъекта персональных данных и распространения на указанную деятельность положений ст. 11 Федерального закона «О персональных данных» необходимо отметить следующее.

В соответствии со ст. 152.1 Гражданского кодекса Российской Федерации обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина. После смерти гражданина его изображение может использоваться только с согласия его законных представителей (супруги, дети, родители). Такое согласие не требуется в случаях, когда:

Что такое биометрические персональные данные и их правовое регулирование

Наиболее распространенными сведениями, с которыми работают биометрические технологии, являются отпечатки пальцев, являющиеся уникальными по изображению папиллярных линий и различающиеся даже у близнецов. А поскольку эти биометрические параметры не имеют тенденции меняться в течение жизни человека, они могут быть легко и просто идентифицированы, даже если один из пальцев руки был поврежден. В таком случае идентификация проходит с использованием «резервного», запасного отпечатка, сведения о котором фиксируются в системе во время регистрации пользователя.

Затем эти записи оцифровываются и сохраняются в базе данных. Вся процедура занимает лишь несколько секунд, в течение которых она может быть полностью компьютеризирована посредством голосового указания либо автофокусировки.

Для исключения субъективного фактора и снижения вероятности ошибок сегодня используются автоматические методы анализа человеческого почерка. С помощью таких методов установление принадлежности почерка производится не только путем сличения изображений, но и посредством аналитики траектории (динамики) начертания. Сегодня на смену навязчивым инфракрасным лучам и яркому свету пришла черно-белая камера, которая может делать порядка тридцати записей в секунду. Радужная оболочка освещается с помощью еле различимого света, что позволяет камере точно сфокусироваться. Увеличивающийся в последние годы интерес к данной теме связан с угрозами международного терроризма, активизировавшегося во всем мире.

No title

В законе есть оговорки, позволяющие публиковать данные без согласия человека:

  1. При распространении общественно-значимой информации.
  2. При осуществлении профессиональной деятельности журналиста.
  3. Если персональные данные общедоступны (картотеки судебных дел, государственные реестры) либо сам субъект ранее сделал их общедоступными. Подпадают ли под это условие сведения из соцсетей – спорный вопрос.
  4. Если персональные данные содержатся в документах, подлежащих обязательному опубликованию в соответствии с федеральным законом: например, декларации чиновников о доходах.

Однако в законе указано, что перечисленные случаи не должны нарушать «права и свободы субъекта персональных данных». Из-за отсутствия четкого определения, какие права и свободы можно нарушить, Роскомнадзор очень широко трактует данную оговорку.

Бесплатная Юридическая Консультация. Мы проконсультируем вас бесплатно по любому направлению. С нами Закон будет на Вашей стороне! Звоните 🟢  Вам ответит юрист

Что, собственно, такое персональные данные?

В новую редакцию документа постановлением Правительства Российской Федерации от 6 сентября 2014 г. № 911 внесены изменения, говорящие о необходимости наличия документов по обезличиванию только при условии обезличивания персональных данных.

При создании системы защиты в ИСПДн, в том числе государственных ИСПДн, оператором принимаются организационные и технические меры по нейтрализации актуальных угроз безопасности информации.

В любом случае для информационной системы применение обезличивания персональных данных в качестве защитной меры для достижения целей, определённых Федеральным законом, не может послужить поводом для снижения требуемого уровня защищенности персональных данных в целом для информационной системы. Дело в том, что для обеспечения отдельных свойств обезличенных персональных данных требуется сохранение некоторой ключевой информации, которую необходимо защищать на том же уровне, что и необезличенную информацию, содержащую персональные данные. Снижение требуемого уровня защищенности персональных данных может быть применено только для отдельных сегментов информационной системы, в которой хранятся обезличенные данные без ключевой информации, позволяющей провести процедуру, обратную обезличиванию. В целом для целей ИСПДн требуемый уровень за-

Человек предоставляет свою биометрию в госорган, банк или другую организацию, а организация через оператора ЕБС проверяет, можно ли по этим данным его идентифицировать. Методика описывает алгоритм определения степени соответствия данных, которые предоставил человек при обращении, тем, которые уже содержатся в ЕБС. Степень взаимного соответствия данных для применения удаленной идентификации должна составлять 0,99996.

За ошибки при установлении личности по биометрическим данным будет предусмотрена ответственность

Её понесёт уполномоченное лицо органа или организации, которое допустит ошибку.

Новые нормы по биометрии пилотно реализуют в оказании банковских услуг

Хотя они носят абстрактный характер и применимы и в других сферах. ЦБ уже заявил, что банки будут регистрировать клиентов, передавших свои изображение лица и голос в единой биометрической системе (ЕБС) и в единой системе идентификации и аутентификации (ЕСИА). Клиент сможет пользоваться удалённой идентификацией и получать банковские услуги, не заходя в банк. Удалённая идентификация должна заработать уже с 30 июня 2018 года по всей России, когда вступят в силу положения нового федерального закона.

После банков подобные базы могут создать и в других сферах

Идентифицировать личность по биометрическим особенностям возможно, только если есть система учёта данных с достоверными результатами первичной идентификации. Именно такую систему и собираются создать. Есть мнение, что создание таких систем настолько глубоко затрагивает права граждан, включая право на семейную тайну, тайну усыновления, медицинскую тайну, неприкосновенность личности, что лучше такие базы вообще не создавать и запретить.

Правоохранители получат доступ к новым базам

У них и так есть доступ не только в государственные, но и коммерческие базы данных.

Помогла ли вам статья? Благодарим за ваш комментарий!

Советы юристов:
Мария Задорожная, Ростов-на-Дону
— Текст научной работы на тему Анализ возможностей применения биометрических технологий для реализации процедур обезличивания персональных данных КОМПЬЮТЕРНОЕ ОБЕСПЕЧЕНИЕ И ВЫЧИСЛИТЕЛЬНАЯ ТЕХНИКА DOI 10.24143 2072-9502-2018-1-27-36 УДК 004.7.056 57.087.1 347.02 470 А.
Марина Иванова, Северск
— В. Антошечкин Рассматривается задача использования биометрических методов для обезличивания персональных данных. Проведен анализ существующей российской и международной законодательно-нормативной базы по обезличиванию выявлены несоответствия в определении этого понятия.
Обезличивание персональных данных Федеральным законом вводится понятие обезличивание персональных данных — действия в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных 1 п. 9 ст. 3 что подразумевает обратимость процедуры обезличивания. Светлана Нестерова, Абакан
Яна Михеева, Орел
— В частности выявлено что обезличивание персональных данных в настоящее время не рассматривается как мера их защиты обезличенные персональные данные не рассматриваются как категория персональных данных обезличивание рассматривается как мера защиты которая не отнесена непосредственно к мерам по обеспечению безопасности персональных данных но тем не менее не позволит нарушить свойства их безопасности.
Для дальнейшего рассмотрения оптимальной с точки зрения подсистемы информационной безопасности является вторая схема. Для реализации такой схемы производители средств защиты информации предлагают варианты 8 когда биометрическая информация не хранится в защищаемой информационной системе а находится у пользователя в виде некоторого идентификатора вместе с собственно его биометрическими данными отпечатками пальцев рисунком сосудистого русла сетчаткой глаз и т. д. . Наташа Мальцева, Бердск
Вита Королева, Сызрань
— Проведен анализ требований и методов по обезличиванию персональных данных. Выделены пять необходимых свойств обезличенных данных четыре базовых метода обезличивания введение идентификаторов изменение состава и семантики декомпозиция перемешивание а также три основные характеристики для методов обезличивания связанные с обеспечением безопасности персональных данных.
Таким образом анализ Федерального закона и принятых в соответствии с ним нормативных правовых актов показывает что обезличивание персональных данных в настоящее время не рассматривается как мера их защиты а обезличенные персональные данные не рассматриваются как категория персональных данных для определения требуемого уровня защищенности этих данных при их обработке в ИСПДн. Кристина Мамаева, Мурманск
Ольга Шаржанова, Армавир
— Анализ позволил выявить наличие или отсутствие перечисленных свойств и характеристик у каждого из рассмотренных методов обезличивания персональных данных. Рассмотрена задача хранения персональных данных и предложена процедура двухфакторной аутентификации на основе биометрических процедур при работе с базами персональных данных.
Такое разделение методов обезличивания с точки зрения возможностей обеспечения анонимности и обратимости обезличивания объясняется тем что Федеральным законом в настоящее время под обезличиванием понимается обратимая процедура обеспечивающая анонимность субъекта персональных данных а Требования и методы обезличивания разработаны с точки зрения более широкого понимания обезличенной информации в том числе с использованием мирового опыта работы с обезличенными и анонимными данными. Марина Прокошина, Пушкино
Ольга Нико, Батайск
— Приведен пример реализации механизма обратимого обезличивания с использованием биометрических технологий. Ключевые слова персональные данные обезличивание методы обезличивания биометрические данные двухфакторная аутентификация. Введение 27 июля 2017 года Федеральному закону РФ 152-ФЗ О персональных данных исполнилось одиннадцать лет 1 .
Требования к средствам высоконадёжной биометрической аутентификации http docs.cntd.ru document 1200048922 и другими национальными стандартами из этой серии. При этом предполагается использование процедур обработки биометрической информации и преобразователей нечетких неоднозначных биометрических образов пользователя в его длинный пароль или ключ используемый далее в одной из процедур высоконадежной криптографической аутентификации. Ната Sha, Волгодонск
Adblock
detector