Категории биометрических данных: правовой и технический подходы

Биометрические характеристики представляют собой набор сведений о физиологической природе человека с их личными индивидуальными особенностями, позволяющими из-за технической основы автоматически идентифицировать человека и производить аутентификацию и обработку его персональных данных по собственному желанию или при наличии письменного согласия субъекта, за исключением определенных случаев. Другими словами, сущность подобной персональной информации можно назвать графическими, звуковыми, виртуальными и т. п. «двойниками» естественных свойств индивида [1].

Со стороны правовой регламентации отсутствует определенный список данных, подлежащих отнесению к понятийному аппарату биометрических характеристик, что приводит к регулированию в зависимости от конкретного случая (например, Методические рекомендации Минцифры России определяют биометрические персональные данные как физиологические параметры (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес) и прочие физиологические или биологические характеристики человека, включая его изображения (фотография и видеозапись), что не способствует установлению единообразных правил. Это создает некоторые сложности при определе- нии, какие именно сведения могут быть классифицированы как биометрические персональные данные в различных ситуациях.

Невозможность унифицированного подхода к определению понятия влечет необходимость выработки критериев, позволяющих определить тот или иной идентификационный признак в качестве биометрического. Важно иметь в виду, что признаки, характеризующие персональные данные в качестве биометрических согласно положениям ст. 11 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» должны присутствовать в совокупности, поскольку одни и те же данные, хотя и характеризуют лицо, могут не использоваться для установления его личности (например, изображение лица субъекта, попавшего в объектив камер видеонаблюдения). В то же время данные, целью обработки которых является установление субъекта, могут никак не характеризовать биологические или физиологические особенности лица (например, сертификат электронной цифровой подписи) [2].

Логичная цепочка рассуждений о смутном семантическом представлении биометрических данных и категорий, относящихся к ним, наталкивает на необходимость правовой регламентации конкрет- ных типов для скоординированной правоприменительной и технической деятельности в области их обработки и вопросов нарушений, угроз информационной безопасности. С появлением в конце 2022 года Федерального закона о проведении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных и исключением с 1 сентября 2024 года определенных его положений задача списка таких сведений становится актуальным аспектом.

Не только изменения в нормативноправовых актах, но и вопросы совершенствования научно-технических средств и приемов способствуют изучению характеристик и видов такого особенного блока из числа персональных данных как биометрических, поскольку некоторые заблуждения в вопросах обеспечения их безопасности в механизме инновационных возможностей предоставляют опасность для хранения и оборота биометрических данных банками и организациями, так как неоспоримая позиция о надежности набора зашифрованных символов, а не просто фотографий, аудио или видео в базе биометрии, довольно сомнительная. В случае взлома системы узнать, кому принадлежит голос или лицо, невозможно. Ведь информация хранится в формате математической модели - вектора. Программа с помощью нескольких десятков сложных алгоритмов только сравнивает поступающую информацию с уже имеющейся. Однако утверждать уверенно не получается в силу того, что на данный момент искусственный интеллект, а точнее механизм его работы на основе кодов и алгоритма команд, которые разрабатываются и вносятся самими IT-специалистами, представляют в совокупности, хоть и не на безукоризненном уровне, инновационные возможности для восстановления фотографий, подобия голоса и не важно, что пока что это реализуется с механической интонацией, воссоздания подобия в модели отпечатков пальца из биометрических данных. Вероятность того, что мошенники могут воспользоваться такого рода технологиями (например, для аутентификации), не может быть нулевой, поскольку противоправные деяния в сфере компьютерной информации становятся все более модернизированного характера и несут все больше угрозы. Вдобавок, можно отметить проблему в области приватности. По сравнению с традиционными методами аутентификации, такими как пароли или PIN-коды, биометрические данные более сложно изменить в случае утечки или компрометации. Это означает, что при утрате по личной вине или исходя из умысла других лиц человек может столкнуться с серьезными последствиями, такими как кража личности или злоупотребление данными.

Двойственность определения биометрических данных не препятствует выделению их признаков как дефиниции. Рассмотрим градацию характеристик через технический и правовой подходы, так как они представляют основу сложной структуры подобного типа данных, что позволит вообразить особенности этих сведений, а также базируясь на чем из всего перечня персональных данных, можно вычленить из них нужный тип. Технические характеристики: шифрование привычных информационных объектов в специальный код - математическая модель представления сведений; средство аутентификации; наличие специализированного интерфейса; надежность верификации; индивидуальный механизм регистрации в базе для каждого вида биометрических данных; применение ключей для считывания; изменчивость видов данных биологически, но невозможность их изменить технически; оптимальные параметры разрешения и качества загружаемых физиологических сведений субъекта; алгоритмы обработки. Правовыми признаками можно считать: защиту личных данных и обеспечение приватности граждан (разработаны и действуют законы и нормативные акты по поводу сбора, хранения и использования биометрических данных, например, Закон №152 от 27 июля 2006 г., Закон №572 от 29 декабря 2022 г., Распоряжение Правительства РФ от 30 июня 2018 г. №1322-р); установление субъекта персональных данных; регламентация случаев, когда согла- сие лица для обработки сведений не требуется; урегулированность ответственности за нарушение законодательства в области информационной безопасности, прин- цип прозрачности и минимизации, тесная связь с правом на защиту личной жизни. Также они не утрачивают видовые признаки своих «прародителей» (биологических и поведенческих характеристик индивида): неотделимость от личности их обладателя; идеальный характер сведений; невозможность денежного восстановления (возмещения) объектов в случае посягательства на них; выполнение функции индивидуализации гражданина [1].

Таким образом, биометрические данные представляют особую категорию персональной информации личности, которую можно измерить и преобразовать в цифровой формат для последующей идентификации в различных областях и обеспечения безопасности, однако их использование должно быть осуществлено в рамках законодательства и с учетом принципов защиты, чтобы избежать возможных нарушений приватности и злоупотреблений, то есть от операторов и законодателей требуются особые меры по обеспечению технической стабильности в сфере их безопасности, хранении, обработки, а также всецело охватывающему правовому регу- лированию в данной области. При имею щихся проблемах уже одним из суще ственных правовых решений будет за крепление исчерпывающих и ясных кри териев, согласно которым данные могут быть признаны биометрическими в каждом определенном рассматриваемом случае: существо данных с последующим разделением на статические (физиологические, физические признаки) и динамические (поведенческие признаки); назначение данных (идентификация субъекта); требование о специальной технической обработке таких данных [2].

Популяризация использования не стимулирует доверие к системе применения биометрических данных, поэтому необходимо поддерживать стабильное взаимодействие между пользователями, администраторами, разработчиками программного обеспечения, законодателями и другими участниками для своевременного выявление угроз при существующих (простоте несанкционированной идентификации человека в силу уникальности биометрических характеристик (нет необходимости подбирать пароль, достаточно «подсмотреть» характеристики); возможности сбора характеристик и идентификации скрытно, на расстоянии и без осознанного участия субъекта и т.д. [3]) и возможных рисках.