Заключение российского эксперта к проекту Закона Кыргызской Республики «О биометрической регистрации граждан Кыргызской Республики»

23.07.2014

ЗАКЛЮЧЕНИЕ

на проект Закона Кыргызской Республики

«О биометрической регистрации граждан Кыргызской Республики»

Проект Закона Кыргызской Республики «О биометрической регистрации граждан Кыргызской Республики» (далее – Законопроект) имеет своей целью создание единой базы биометрических данных граждан Кыргызской Республики, предусматривая обязательность (для граждан) предоставления своих данных.

Необходимо сразу же оговорить, что сбор биометрических данных о физических лицах в настоящее время осуществляется во многих государствах мира. Целью сбора, так или иначе, является идентификация и аутентификация в сложных ситуациях, как то:

а) пересечение государственной границы (в настоящее время, ИКАО ООН принят стандарт Doc 9303, предусматривающий включение биометрической идентификационной информации в проездные документы; аналогично биометрическая информация обрабатывается в системе VIS в Евросоюзе на основании Регламента (ЕС) N 767/2008, в системе USVisit в США на основании ряда федеральных законов);

б) оказание помощи лицам опасных профессий или их родственникам (в случае гибели) – в этих целях может осуществляться дактилоскопирование военнослужащих, служащих правоохранительных органов, пожарных, спасателей и пр.;

в) пресечение и предупреждение преступлений – для чего осуществляется сбор биометрических данных преступников или подозреваемых.

В Российской Федерации в ситуациях, указанных в пунктах «б» и «в», осуществляется обязательная дактилоскопическая регистрация в порядке, установленном Федеральным законом от 25 июля 1998 г. N 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации». В зарубежных странах случаи обязательного дактилоскопирования, а также сбора иной биометрической информации, предусматриваются национальным законодательством.

С учетом сказанного выше, и не оспаривая саму возможность сбора биометрической информации о гражданах, хотелось бы остановиться на предусматриваемых Законопроектом случаях сбора, составе собираемых и хранимых данных и целях, в которых указанные данные собираются и хранятся.

1. Законопроектом (ч.1 ст.5) устанавливается, что каждый гражданин Кыргызской Республики обязан пройти биометрическую регистрацию в соответствии с Законопроектом. При этом не делается никаких исключений, в том числе, для малолетних граждан, граждан, страдающих психическими расстройствами, граждан, постоянно проживающих за границей, лиц, чьи убеждения не позволяют им предоставлять биометрические данные. Как представляется, именно с обязательностью регистрации связаны основные трудности Законопроекта: как в части противоречия его актам высшей юридической силы, так и в части реализации положений Законопроекта.

Статьей 6 Конституции Кыргызской Республики устанавливается, что вступившие в установленном законом порядке в силу международные договоры, участницей которых является Кыргызская Республика, а также общепризнанные принципы и нормы международного права являются составной частью правовой системы Кыргызской Республики. Нормы международных договоров по правам человека имеют прямое действие и приоритет над нормами других международных договоров. Между тем, принцип добровольности предоставления персональных – и, прежде всего, биометрических данных, может в полной мере рассматриваться как общепризнанный. Так, стоит отметить положения подписанного Кыргызской Республикой Соглашения о сотрудничестве в создании государственных информационных систем паспортно-визовых документов нового поколения и дальнейшем их развитии и использовании в государствах — участниках СНГ (Кишинев, 14 ноября 2008 г.) (далее – Кишиневское соглашение). Статья 2 указанного соглашения предусматривает, что биометрические данные, то есть сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (цифровая фотография, отпечатки пальцев, изображение радужной оболочки глаз и другие биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных в соответствии с законодательством государств — участников настоящего Соглашения. Хартия Европейского Союза об основных правах (Страсбург, 12 декабря 2007 г.) (2007/С 303/01) устанавливает в качестве правового принципа, что персональные данные должны обрабатываться добропорядочно, в установленных целях и при наличии согласия заинтересованного лица или других правомерных оснований, предусмотренных законом.

2. Установление обязательной биометрической регистрации требует, во-первых, крайне конкретного определения целей, в которых используются собранные биометрические данные, во-вторых, наличия обоснованного перечня исключений из обязательной регистрации. Законопроектом ни того, ни другого не предусмотрено: цели использования собранной биометрической информации определены крайне расплывчато (ст.2 и ст.7), а перечня исключений вообще не предусмотрено.

Между тем, принцип соразмерности обработки персональных данных и соответствия операций с ними целям обработки недаром рассматривается в качестве базового принципа защиты персональных данных.1 Данные, в особенности – биометрические, должны собираться в том виде, который является оптимальным (по объему, содержанию, форме представления и пр.) для целей их использования. Так, для установления личности преступника необходимо хранение дактилограмм, для идентификации при пересечении границы нужны цифровые отпечатки (изображения лица или радужки глаза), для опознания трупов желательно хранить образцы ДНК.

Неопределенность целей использования собранных биометрических данных ставит вопрос о том, какое значение будет иметь собранная база биометрических данных. Например, при выдаче паспорта или проездного документа гражданину Кыргызской Республики будут использоваться «эталонные» отпечатки пальцев из базы, или отпечатки пальцев будут сниматься повторно? Может ли информация из базы биометрических данных предоставляться иностранным государствам, в том числе в соответствии с международными договорами о выдаче, о противодействии терроризму? Может ли биометрическая информация (закрытый перечень которой законом не установлен) использоваться для установления отцовства?

Столкнувшись с аналогичными проблемами, в большинстве стран, во-первых, не предусматривают обязательного сбора биометрических данных, во-вторых, разграничивают хранимые данные по целям их обработки, как правило, избегая централизованного хранения биометрических данных. Так, сбор биометрической информации для выдачи проездного документа осуществляется только по заявлению гражданина. При этом ни документы ИКАО, ни законодательство многих стран не предусматривают централизованное биометрических данных после выдачи проездного документа: все данные хранятся непосредственно на носителе в паспорте.2 Тем самым достигается целый ряд целей: соразмерность обработки персональных данных, их своевременное обновление, защита от массовых утечек и пр.

3. В силу того, что биометрические данные по определению являются персональными данными, к их обработке в полной мере применимо законодательство о защите информации персонального характера. Между тем, процедуры, предусмотренные данным законодательством, не синхронизированы с процедурами, предусмотренными Законопроектом.

Так, Закон Кыргызской Республики от 14 апреля 2008 года N 58 «Об информации персонального характера» предусматривает широкие права субъекта персональных данных, которые, безусловно, относятся и к биометрической информации, обрабатываемой в соответствии с Законопроектом. Субъект персональных данных самостоятельно решает вопрос о предоставлении кому-либо любых своих персональных данных. Перед предоставлением своих персональных данных субъект должен быть ознакомлен держателем (обладателем) массива персональных данных с перечнем собираемых данных, основаниями и целями их сбора и использования, с возможной передачей персональных данных третьей стороне, а также информирован об ином возможном использовании персональных данных. Субъект персональных данных при отказе в предоставлении своих данных имеет право не указывать причины своего отказа. Субъект персональных данных имеет право знать о наличии у держателя (обладателя) относящихся к нему персональных данных и иметь к ним доступ. Из этих положений не делается исключений для биометрической регистрации! Формально любой гражданин Кыргызской Республики может сначала пройти биометрическую регистрацию, а потом потребовать прекращения обработки своих персональных данных в базе биометрических данных.

4. Описанные выше проблемы с юридической техникой и, как следствие, с реализацией Законопроекта заставляют сделать вывод о его коррупциогенности. В частности, в каких ситуациях будут применяться меры ответственности за уклонение от биометрической регистрации, предусмотренные Законопроектом. Скорее всего, это будут случаи предоставления государственных услуг: выдача разрешительных документов, регистрация прав и актов состояния, пересечение государственной границы. Непрохождение биометрической регистрации – повод для привлечения заявителя к ответственности или к вымогательству взятки за непривлечение к ней.

С учетом приведенных замечаний представляется наиболее целесообразным внесение изменений в Законопроект, отменяющих обязательность биометрической регистрации и устанавливающих конкретные цели обработки биометрической информации и состав обрабатываемых в этих целях информации. Эффективным также могла бы быть реализация биометрической регистрации в качестве пилотного проекта в одном или нескольких населенных пунктах, привязанная к оказанию каких-либо государственных или муниципальных услуг. В случае, если такой пилотный проект окажется успешным, можно будет делать выводы о расширении случаев добровольной биометрической регистрации.

Н.А. Дмитрик

к.ю.н.

руководитель отдела правового консалтинга

ОО «Парк-Медиа-Консалтинг»

Москва, 09.07.2014

1 Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г.) постулирует этот принцип следующим образом: персональные данные, проходящие автоматическую обработку:

b. должны накапливаться для точно определенных и законных целей и не использоваться в противоречии с этими целями;

с. должны быть адекватными, относящимися к делу и не быть избыточными применительно к целям, для которых они накапливаются;

2 Говоря о «многих» странах, стоит упомянуть, как минимум, США, ФРГ и Российскую Федерацию, законами которых запрещено централизованное хранение биометрических данных, вносимых в проездные документы. 

Читать далее:

Региональный обзор пилотной оценки Евразийского Индекса Управления Телекоммуникациями (EIGI)

03.12.2018

Принимая во внимание значимость развития сектора телекоммуникации, Консалтинговая компания «Промотанк» совместно с Общественным фондом «Гражданская инициатива интернет политики» провели общий обзор

Читать далее

О правовых механизмах ограничения информации в сети Интернет

24.04.2018

Гражданско-правовое законодательство: старая и новая редакция.

Мнения экспертного сообщества Кыргызской Республики.

Наука гражданского процессуального права, или гражданского процесса,

Читать далее

Негативные последствия регулирования Интернета на национальном уровне

24.04.2018

Третье тысячелетие ознаменовалось началом так называемой «цифровой эпохи» или «эпохи BigData». Интернет стал не только средством поиска информации, но и приобрел возможности массового ее

Читать далее