О Законе Кыргызской Республики “О биометрической регистрации граждан Кыргызской Республики”
Исходная информация
Конституционной палатой Верховного суда Кыргызской Республики приняты к производству ходатайства граждан Токтакунова Н.А. и Уметалиевой Т.Д. о признании неконституционными ряда нормативных положений Закона Кыргызской Республики “О биометрической регистрации граждан Кыргызской Республики” (далее также – Рассматриваемый Закон).
В соответствии с частью 1 статьи 35 Конституционного Закона Кыргызской Республики “О Конституционной палате Верховного суда Кыргызской Республики”, физические и юридические лица, государственные органы, общественные объединения, международные организации вправе представлять свои письменные объяснения, доводы и соображения по отдельным вопросам права, рассматриваемым Конституционной палатой в конкретном деле.
В целях содействия в правильном и обоснованном разрешении вопросов, поставленных перед Конституционной палатой в рассматриваемом деле, мною в качестве специалиста в сферах защиты информации, защиты личных неимущественных прав граждан проведен юридический анализ доводов, приводимых в ходатайствах субъектов обращения.
В соответствии с частью 1 статьи 35 Конституционного Закона Кыргызской Республики “О Конституционной палате Верховного суда Кыргызской Республики”, Конституционная палата выносит акты по предмету, затронутому в обращении, лишь в отношении той части нормативного правового акта, конституционность которой подвергается сомнению. При этом Конституционная палата при этом не связана доводами и соображениями, изложенными в обращении. В связи с этим, в настоящем заключении также проведен дополнительный (по сравнению с доводами субъектов обращения) анализ положений Рассматриваемого Закона, в отношении конституционности которых возникла неопределенность.
Положения Рассматриваемого Закона, в отношении конституционности которых возникла неопределенность, относятся к следующим вопросам:
а) цели и задачи Рассматриваемого Закона (создание актуализированной базы данных граждан Кыргызской Республики с использованием биометрических данных; составление актуализированного списка избирателей);
б) принадлежность базы собранных данных (Держатель базы биометрических данных – государственный орган, уполномоченный Правительством Кыргызской Республики; база биометрических данных является собственностью Кыргызской Республики);
в) обязательность биометрической регистрации (формулировка соответствующего принципа; положение о том, что каждый гражданин Кыргызской Республики обязан пройти биометрическую регистрацию в соответствии с Рассматриваемым Законом);
г) условия использования собранных данных (получение информации о биометрических данных осуществляется при наличии согласия в письменной форме субъекта биометрических данных в соответствии с законодательством Кыргызской Республики; получение информации о биометрических данных осуществляется без согласия субъекта биометрических данных только в случаях осуществления правосудия и исполнения судебного акта, а также в случаях, предусмотренных законодательством Кыргызской Республики о национальной безопасности, о противодействии терроризму и коррупции, об оперативно-розыскной деятельности и иных случаях, определяемых законодательством Кыргызской Республики; представление информации, сведений из базы биометрических данных осуществляется в случаях, предусмотренных законами и иными нормативными правовыми актами Кыргызской Республики);
д) подзаконное регулирование (порядок биометрической регистрации определяется Правительством Кыргызской Республики; представление информации, сведений из базы биометрических данных осуществляется в случаях, предусмотренных законами и иными нормативными правовыми актами Кыргызской Республики);
е) открытость (обеспечение доверия граждан к использованию государством биометрических данных).
Основными источниками для настоящего заключения являются Конституция Кыргызской Республики (далее также – Конституция), Конституционный Закон Кыргызской Республики “О Конституционной палате Верховного суда Кыргызской Республики”, Закон Кыргызской Республики “О биометрической регистрации граждан Кыргызской Республики”, ходатайства граждан Токтакунова Н.А. и Уметалиевой Т.Д. о признании неконституционными ряда нормативных положений Закона Кыргызской Республики “О биометрической регистрации граждан Кыргызской Республики”.
В то же время, поскольку вопрос о конституционности правовой нормы неразрывно связан с ее применением в конкретной исторической реальности, в настоящем заключении анализируется ситуация с реализацией личных прав граждан Кыргызской Республики в соответствии с действующим законодательством Кыргызской Республики, а также проводится сравнительный анализ с реализацией аналогичных прав гражданами иных государств, в том числе, на основе международных договоров, стороной которых является Кыргызская Республика.
Контекст
На основании части 2 статьи 5 Рассматриваемого Закона было принято распоряжение Правительства Кыргызской Республики от 11 ноября 2014 года № 494-р, утвердившее Инструкцию о порядке биометрической регистрации граждан Кыргызской Республики. Также данным распоряжением Государственной регистрационной службе при Правительстве Кыргызской Республики было поручено организовать и провести общереспубликанский сбор биометрических данных граждан Кыргызской Республики. При этом устанавливается, что сбор биометрических данных граждан Кыргызской Республики осуществляется на постоянной основе при достижении гражданами Кыргызской Республики 16-летнего возраста или при получении документов о приеме в гражданство Кыргызской Республики.
Инструкция о порядке биометрической регистрации содержит следующие принципиальные положения:
сканер для снятия отпечатков пальцев обеих рук;
устройство для фотографирования лица;
устройство для получения электронной собственноручной подписи;
устройство для ввода персональных и биометрических данных;
контейнер для хранения и перевозки комплекта устройств;
защищенные материальные носители персональных данных.
Законом Кыргызской Республики “О нормативных правовых актах Кыргызской Республики” (статья 4) распоряжение Правительства Кыргызской Республики не отнесено к числу нормативных правовых актов. Следовательно, содержащиеся в нем положения не являются общеобязательными правилами поведения.
По данным Штаба ГРС (http://biometrika.srs.kg/statistics/116-na-11-marta-po-riespublikie-biomietrichieskuiu-rie/) в Кыргызстане на 27 апреля текущего года число граждан, сдавших свои биометрические данные составило 2 миллиона 501 тысяча 074. По информации Государственного Комитета по Статистике Кыргызской Республики (http://stat.kg/images/stories/docs/tematika/demo/Gotov.sbornik%202009-2013.pdf), численность постоянного населения страны на начало 2014г. составила 5 млн 777 тыс. человек, наличного – 5 млн 521 тыс. По информации Штаба ГРС (http://biometrika.srs.kg/statistics/65-sviedieniia-po-sboru-biomietrichieskikh-dannykh/), количество проживающих граждан старше 16 лет – 3 млн 777 тыс. 499. Таким образом, на момент подготовки настоящего заключения биометрические данные сдали почти 43% от общей численности населения или 66% от лиц, на которых распространяется обязанность сдавать свои биометрические данные.
Конституционный Закон КР “О выборах Президента Кыргызской Республики и депутатов Жогорку Кенеша Кыргызской Республики” в редакции конституционных Законов КР от 25 ноября 2011 года № 221, 23 апреля 2015 года № 88 теперь предусматривает (часть 2 статьи 14), что в списки избирателей включаются граждане Кыргызской Республики, обладающие на день голосования активным избирательным правом и прошедшие биометрическую регистрацию в порядке, установленном законодательством. Часть 3 статьи 15 данного закона также предусматривает, что в случае отсутствия биометрических данных у избирателя избиратель направляется в уполномоченный государственный орган для прохождения биометрической регистрации.
Приведенные данные позволяют сделать вывод о том, что Рассматриваемый Закон уже фактически реализован. При этом фактические параметры реализации закона и, прежде всего, последствия его реализации для граждан, определены уже после его принятия и в значительной степени – не на нормативно-правовом уровне.
В Кыргызской Республике принят Закон Кыргызской Республики “Об информации персонального характера” (далее – Закон об ИПХ). В соответствии со статьей 3 указанного закона, информация персонального характера (персональные данные) – это зафиксированная информация на материальном носителе о конкретном человеке, отождествленная с конкретным человеком или которая может быть отождествлена с конкретным человеком, позволяющая идентифицировать этого человека прямо или косвенно, посредством ссылки на один или несколько факторов, специфичных для его биологической, экономической, культурной, гражданской или социальной идентичности.
К персональным данным относятся биографические и опознавательные данные, личные характеристики, сведения о семейном положении, финансовом положении, состоянии здоровья и прочее.
Законом об ИПХ устанавливаются основные условия и правила обработки персональных данных; закрепляются права субъектов персональных данных и полномочия государственных органов. Статьей 29 Закона об ИПХ предусмотрено, что государство осуществляет регулирование работы с персональными данными в следующих формах:
– Правительством Кыргызской Республики определяется уполномоченный государственный орган Кыргызской Республики;
– ведет учет и регистрацию массивов персональных данных и их держателей (обладателей);
– заключает международные договоры о трансграничной передаче персональных данных, за исключением случаев, противоречащих законодательству Кыргызской Республики по защите государственных секретов.
Однако, по информации, имеющейся у меня на дату составления настоящего заключения, перечисленные формы регулирования работы с персональными данными фактически не реализуются. Уполномоченный государственный орган не создан; учет и регистрация массивов персональных данных не осуществляются; персональные данные граждан Кыргызстана фактически не защищаются в порядке, предусматриваемом в Законе об ИПХ. Таким образом, положения Рассматриваемого Закона направлены на создание специализированного механизма работы с биометрическими данными, отличного от (неработающего) механизма, предусмотренного Законом об ИПХ.
2.Основные характеристики международно-правового режима биометрических данных
Персональные данные (и их разновидность – биометрические данные) обладают самостоятельным правовым режимом только в рамках законодательства, унифицированного в соответствии с Конвенцией о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г.) (далее – Конвенция ПД). В настоящий момент признано, что адекватную защиту персональных данных обеспечивают страны, ратифицировавшие Конвенцию ПД, а также 7 стран, признанных таковыми Комиссией ЕС (http://ec.europa.eu/justice/data-protection/document/international-transfers/adequacy/index_en.htm). Признается также адекватность защиты персональных данных компаниями (но не государством) в рамках режима “safe harbor” в США.
Из документов международного уровня по вопросам обработки персональных данных также стоит отметить Рекомендации Совета ОЭСР, касающиеся основных положений о защите неприкосновенности частной жизни и международных обменов персональными данными (23 сентября 1980 г.). Рекомендации, как следует из их названия, не носят обязательного характера. Тем не менее, поскольку список стран-членов ОЭСР отличается от перечня стран, ратифицировавших Конвенцию ПД, данные Рекомендации можно (с некоторой долей условности) рассматривать в качестве документа, закладывающего основы международно-правового режима персональных данных.
В странах, не являющихся участниками Конвенции ПД, защита интересов личности, связанных с обработкой данных о ней, осуществляется в рамках иных правовых институтов, основным из которых является институт неприкосновенности частной жизни. Институт неприкосновенности частной жизни является базой для специального правового режима персональных данных; однако он не означает автоматически, что во всех странах мира существуют специальные требования и гарантии применительно к персональным данным – это характерно преимущественно для европейских стран.
Кыргызская Республика не является участником Конвенции ПД, а также не входит в число стран-членов ОЭСР, в силу чего она не связана положениями перечисленных выше документов, устанавливающих международно-правовой режим персональных (в том числе биометрических) данных. Также нельзя расценивать требования Конвенции ПД об условиях и механизмах обработки персональных данных в качестве общепризнанных принципов и норм международного права, поскольку такие требования устанавливаются и реализуются лишь на региональном (европейском) уровне.
В соответствии с частью 3 статьи 6 Конституции Кыргызской Республики, вступившие в установленном законом порядке в силу международные договоры, участницей которых является Кыргызская Республика, а также общепризнанные принципы и нормы международного права являются составной частью правовой системы Кыргызской Республики. Нормы международных договоров по правам человека имеют прямое действие и приоритет над нормами других международных договоров.
Базовый акт международного права по правам человека – Всеобщая декларация прав человека (принята на третьей сессии Генеральной Ассамблеи ООН резолюцией 217 А (III) от 10 декабря 1948 г.) – содержит целый ряд положений, требующих учета при решении вопросов, рассматриваемых в настоящем заключении:
Перечисленные выше положения развиты далее в Международном пакте о гражданских и политических правах, также являющемся основополагающим актом международного права.
Конвенция Содружества Независимых Государств о правах и основных свободах человека (Минск, 26 мая 1995 г.) является актом, устанавливающим региональные принципы международного права, относящиеся к правам человека. В их числе необходимо упомянуть следующие положения:
а) принимать участие в управлении и ведении государственных дел как непосредственно, так и через свободно избранных представителей;
б) голосовать и быть избранным на выборах, проводимых на основе всеобщего и равного избирательного права при тайном голосовании и обеспечивающих свободное волеизъявление избирателей;
Таким образом, акты международного права, имеющие, согласно Конституции Кыргызской Республики, прямое действие, закладывают необходимый фундамент для решения вопроса получения и использования персональной информации, даже с учетом того, что Кыргызская Республика не имеет международных обязательств в области собственно обеспечения защиты персональных данных.
3.Сбор и использование биометрических данных в отдельных государствах
Использование биометрических данных имеет огромные перспективы, поэтому неудивительно, что проекты биометрической идентификации реализуются во многих странах мира.
На уровне ООН и организаций ООН вопросы использования биометрической идентификации рассматриваются и успешно решаются в ИКАО. Один из базовых документов ИКАО – Документ 9303 – содержит спецификации трех видов систем биометрической идентификации. Это физиологические системы:
распознавания черт лица,
распознавания отпечатка пальца,
распознавания радужной оболочки глаза.
В результате пятилетнего изучения операционных потребностей в биометрическом идентификаторе, пригодном для использования в соответствии с законами различных государств о неприкосновенности частной жизни, ИКАО определила, что распознавание черт лица должно стать глобально интероперабельной биометрической технологией. В поддержку этой технологии каждое государство факультативно может использовать технологию распознавания отпечатка пальца и/или радужной оболочки глаза.
Сделав этот вывод, ИКАО отметила, что для большинства государств использование изображения лица человека связано со следующими преимуществами:
фотографии с изображением лица не раскрывают информацию, которую человек обычно не раскрывает широкой публике;
фотография (изображение лица человека) в социальном и культурном отношении уже принята на международном уровне;
изображение лица уже в обычном порядке используется и верифицируется в рамках процесса обработки заявлений на получение паспорта в соответствии со стандартами документа Doc 9303;
общество уже знакомо с процедурой получения изображения лица и использования его для целей верификации личности;
получение изображения лица не является интрузивной процедурой. Для регистрации конечному пользователю не надо соприкасаться или взаимодействовать с физическим устройством в течение продолжительного времени;
получение изображения лица не требует введения новых и дорогостоящих процедур занесения в систему;
технология получения изображения лица может быть развернута практически незамедлительно, причем с возможностью также ретроспективного получения изображения;
многие государства имеют действующие базы данных с изображениями лица, полученными в рамках изготовления паспортных фотографий в цифровой форме, которые могут быть закодированы в шаблоны изображения лица и верифицированы в целях сравнения идентификационной информации;
в соответствующих случаях по решению государства выдачи изображение лица можно снимать с заверенной фотографии без необходимости физического присутствия человека;
для списков особого внимания фотография с изображением лица обычно является единственным биометрическим параметром, имеющимся для сравнения;
верификация человеком биометрического параметра путем сравнения с фотографией/субъектом является относительно простым и известным органам пограничного контроля процессом.
Международный стандарт ИСО/МЭК 19794, состоящий из нескольких частей, устанавливает спецификации на предусмотренные Документом 9303 виды биометрической идентификации.
Регулирование вопросов биометрических данных на уровне Евросоюза осуществляется, как минимум, по двум направлениям: в части биометрических виз и в части биометрических паспортов. Еще одним направлением является выдача национальных электронных карт гражданина в отдельных странах ЕС, содержащих биометрическую информацию.
После трагических событий 11 сентября 2001г. на уровне Комиссии Евросоюза было принято решение предпринять действия по повышению уровня защиты визовых документов. Очевидно, что возможность выявлять людей, пытающихся использовать поддельные официальные документы для получения доступа на территорию Европейского Союза, является важным средством обеспечения национальной безопасности. Предотвращение использования поддельных удостоверений личности может лучше всего обеспечиваться надежной проверкой соответствия предъявителя документа человеку, который этот документ получал.
19-20 июня 2003 Европейский Совет в Тессалониках подтвердил, что «в ЕС необходимо использовать логически обоснованный подход для биометрических идентификаторов или биометрических данных, который может привести к согласованным решениям для документов граждан третьих стран, паспортов граждан ЕС и информационных систем (VIS и SIS II)» и пригласил Комиссию «подготовить соответствующие предложения, начав, прежде всего, с виз». Таким образом была установлена тесная связь между единым форматом виз, регистрацией пребывания граждан третьих стран и Информационной Системой Виз (Visa Information System, VIS).
Цель, функции и направления эксплуатации VIS, а также условия и процедуры обмена визовой информацией между странами ЕС, были закреплены в Регламенте № 767/2008 от 9 июля 2008 года.
В соответствии со статьей 2 Регламента 767/2008, целями функционирования системы являются:
создание единой визовой политики ЕС;
консульское взаимодействие и консультации;
облегчение процедур обращения за визами;
определения критериев определения государства, ответственного за рассмотрение обращения за визой;
облегчение борьбы с мошенничеством;
облегчение проверок на пунктах пересечения границы и внутри территории ЕС;
помощь в идентификации любого лица, которое не соответствует (в том числе больше не соответствует) условиям нахождения на территории стран-участниц ЕС;
помощь в нейтрализации угроз внутренней безопасности стран-участниц ЕС.
Статья 5 Регламента 767/2008 определяет перечень информации, хранимой в системе VIS. В нее включаются:
цифро-буквенная информация о заявителе и визах, запрошенных, выданных, отказанных, отозванных возобновленных или продленных в соответствии с Регламентом;
фотография заявителя;
отпечатки пальцев заявителя;
ссылки на ранее поданные заявления и групповые заявления.
Сообщения, передаваемые по инфраструктуре VIS, не хранятся в этой системе.
Второй (помимо цифрового изображения лица) биометрический идентификатор – отпечатки пальцев – начал использоваться в VIS с октября 2011 года.
Технические требования к биометрическим проездным документам были установлены Регламентом (EC) 2252/2004, Решениями Комиссии C(2005)409 от 28 февраля 2005 и C(2006)2909 от 28 июня 2006. Эти требования являются обязательными для стран-участниц Шенгенского соглашения, то есть всех стран ЕС, кроме Соединенного Королевства и Ирландии, а также для трех стран Европейской Ассоциации свободной торговли – Исландии, Норвегии, Швейцарии.
Основные требования к выдаче биометрических проездных документов в ЕС были установлены Регламентом (EC) 2252/2004. В соответствии с ним, каждая страна ЕС должна назначить орган, уполномоченный на изготовление биометрических проездных документов, и сообщить сведения об этом органе Комиссии.
В целях защиты прав субъектов персональных данных были установлены следующие принципиальные положения:
биометрические данные в биометрических проездных документах могут использоваться только для подтверждения подлинности документа и идентификации его владельца в случаях, когда предъявление паспорта требуется по закону;
на машиночитаемый носитель не может записываться никакая иная информация, кроме установленной Регламентом (EC) 2252/2004 либо включаемой в паспорт в соответствии с национальным законодательством страны, изготовившей паспорт.
Ключевым положением Регламента (EC) 2252/2004 является Статья 1, в соответствии с которой биометрические проездные документы должны иметь носитель информации, содержащий изображение лица. Страны ЕС также должны включать отпечатки пальцев в формате, обеспечивающем интероперабельность. Данные должны быть защищены, и носитель должен иметь достаточный объем и характеристики, чтобы обеспечить целостность, аутентичность и конфиденциальность данных.
Одним из базовых документов СНГ по вопросам использования биометрической идентификации является Соглашение о сотрудничестве в создании государственных информационных систем паспортно-визовых документов нового поколения и дальнейшем их развитии и использовании в государствах – участниках СНГ (Кишинев, 14 ноября 2008 г.; Кыргызская Республика подписала, но не ратифицировала данное соглашение) (далее – Кишиневское соглашение).
Кишиневское соглашение предусматривает, что Стороны создают государственные информационные системы паспортно-визовых документов нового поколения в целях:
– совершенствования системы национальной безопасности государств – участников Соглашения;
– обеспечения на взаимной основе выезда граждан государств – участников Соглашения в третьи государства и въезда граждан третьих государств в государства – участники Соглашения с использованием паспортно-визовых документов нового поколения;
– создания оптимальных условий пересечения гражданами границ государств – участников Соглашения.
Основными задачами создания государственных информационных систем являются:
– предотвращение незаконной миграции с помощью мер предупреждения фальсификации, подделки или незаконного использования документов, удостоверяющих личность;
– повышение эффективности пограничного контроля, а также контроля за выдачей и обращением паспортно-визовых документов нового поколения;
– совершенствование пограничного и миграционного контроля, а также реализация мер по борьбе с незаконной миграцией, терроризмом, организованной преступностью на основе межгосударственного информационного взаимодействия;
– повышение защиты паспортно-визовых документов нового поколения от подделки за счет применения современных методов и средств защиты;
– обеспечение технической возможности информационного обмена в процессе межгосударственного сотрудничества правоохранительных органов в сфере борьбы с незаконной миграцией, криминальными и террористическими проявлениями;
– повышение эффективности контроля за соблюдением гражданами третьих государств и лицами без гражданства требований национального законодательства государств – участников Соглашения.
При создании государственных информационных систем Стороны соблюдают следующие условия:
– фиксирование биометрических данных граждан без унижения достоинства личности и причинения вреда здоровью;
– исключение возможности незаконного воспроизведения биометрических данных граждан, содержащихся в паспортно-визовых документах нового поколения;
– обеспечение конфиденциальности информации, содержащейся в государственной информационной системе, и ограничение этой информации только теми сведениями, которые необходимы для проверки подлинности паспортно-визовых документов нового поколения;
– обеспечение доступа граждан к содержащейся в государственной информационной системе информации о них в соответствии с требованиями национального законодательства государств – участников Соглашения.
Для введения в заинтересованных государствах – участниках СНГ паспортно-визовых документов нового поколения Стороны принимают национальные законодательные и иные нормативные правовые акты, определяющие:
– возможность использования биометрических данных в документах, удостоверяющих личность;
– меры по защите прав и свобод человека и гражданина при фиксации биометрических данных и последующей автоматизированной обработке информации о гражданах, а также принципы контроля системы хранения персональных, в том числе биометрических, данных о гражданах;
– полномочия, ответственность и взаимодействие национальных органов исполнительной власти государств – участников Соглашения, участвующих в изготовлении, оформлении и контроле паспортно-визовых документов нового поколения;
– порядок доступа к информации, содержащейся в государственной информационной системе;
– состав и содержание информации о гражданах, вносимой в паспортно-визовые документы нового поколения, порядок ее документирования, обработки, хранения, использования и защиты;
– вопросы эксплуатации государственных информационных систем;
– порядок разработки стандартов в области использования биометрических данных, гармонизированных с международными стандартами, необходимых для введения в заинтересованных государствах – участниках СНГ паспортно-визовых документов нового поколения.
Принятым в Германии 9 января 2002 года Федеральным Законом «О борьбе с международным терроризмом» внесены изменения в базовые законы ФРГ «О паспортах», «Об удостоверениях личности» и «Об иностранцах», разрешающие применение биометрических идентификаторов в паспортно-визовых документах. В соответствии с этими поправками загранпаспорта, удостоверения личности, визы, разрешения на пребывание и виды на жительство могут, помимо фотографии и подписи владельца, «содержать дополнительные биометрические характеристики пальцев, ладоней или лица». Фотография, подпись, другие биометрические идентификаторы, а также персональные данные (гражданство, фамилия, имена, дата рождения, пол и др.) могут вноситься в документ в закодированной форме.
Законом запрещено создание Единого федерального регистра персональных данных граждан ФРГ, а также объединение в единую сеть местных регистров, выходящее за пределы земли. Местные регистры паспортных служб не должны содержать биометрических идентификаторов.
После записи в чип паспорта биометрических данных последние подлежат уничтожению. Доступ к записанным в чип персональным данным возможен только с ведома и при непосредственном участии самого гражданина.
Централизованное хранение строго ограниченного набора сведений допускается лишь в Федеральной типографии. В ее базе данных может содержаться лишь полный перечень серийных номеров выданных загранпаспортов и удостоверений личности. Что касается персональных данных иностранных граждан, то никаких законодательных ограничений на этот счет нет.
Вопросы оформления паспортов и удостоверений личности в Австрии регулируются Законом «О паспортах» 1992 года и Дополнением к нему 2001 года. Данными законами определяется порядок выдачи и учета паспортов. Паспорт выдается гражданину Австрии сроком на 10 лет и может быть оформлен в любом органе местной власти без привязки к постоянному месту жительства.
Такой порядок стал возможен, поскольку в 2001 году в Австрии был создан единый идентификационный регистр документов, представляющий собой электронный учет выдачи паспортов и удостоверений личности.
Законом “О защите данных” 2000 г. регулируются вопросы защиты персональных данных, порядок их предоставления и обмена между различными органами государственной власти как внутри страны, так и в рамках ЕС.
Введение в действие паспортов с биометрическими данными практически (состоялось 16 июня 2006 года) не потребовало ревизии законодательства в области паспортизации и защиты персональных данных, необходимы были лишь некоторые уточнения. Каких-либо существенных изменений не потребовалось и в области защиты персональных данных, поскольку уже сейчас все такие данные (за исключением отпечатков пальцев) хранятся в электронном регистре документов.
Данные, содержащиеся в самом паспорте, надежно защищены от несанкционированного доступа, а расширение круга лиц и организаций, допускаемых к центральной базе данных, не планируется. Паспорта, содержащие отпечатки пальцев, в Австрии начали выдаваться с марта 2009 года.
Действующий вариант швейцарского биометрического паспорта (Паспорт 10) выдается с 1 марта 2010 года и содержит биометрическую информацию (фотографию и отпечатки пальцев). Швейцарии пришлось перейти на выпуск данных паспортов в связи с обязательствами, следующими из Шенгенского соглашения. Тем не менее, вопрос имел достаточно широкий резонанс в государстве, в связи с чем одобрение перехода на биометрические паспорта состоялось 17 мая 2009 года путем проведения референдума, на котором 50,1% от принявших участие высказались за введение нового паспорта.
Основными законодательными документами, регламентирующими выдачу паспортов, являются федеральный закон «О документах, удостоверяющих личность» от 22.06.2001 г. и федеральное постановление «О документах, удостоверяющих личность» от 20.09.2002 г. Также к отношениям по обработке биометрических данных применяются положения федерального закона «О защите персональных данных Швейцарии» от 19.06.1992 г.
Базовым законодательным документом Соединенных Штатов, регулирующим вопросы, связанные с порядком оформления американских паспортов и виз, является закон «Об иммиграции и натурализации» 1952 года (Immigration and Nationality Act). В данный Закон сведены воедино все существовавшие в США до 1952 года законодательные акты по этим вопросам. Он определяет порядок выдачи загранпаспортов гражданам США и виз иностранцам. Закон 1952 года постоянно дополняется новыми положениями, постановлениями и директивами.
Закон об иммиграционной реформе и актах контроля 1986 года (The Immigration Reform and Control Act) ввел в действие «пилотную» программу безвизового въезда для граждан ряда стран. Закон о постоянной программе безвизового въезда 2000 года (The Visa Waiver Permanent Program Act) перевел действие программы в отношении 27 стран на постоянную основу.
Согласно принятым после 11 сентября 2001 года Закону о борьбе с терроризмом 2001 года (USA Patriot Act), Закону о реформе въездных виз 2001 года (Visa Entry Reform Act), Закону о внутренней безопасности 2002 года (The Homeland Security Act) и Закону об усилении безопасности на границе и реформированию визовых процедур 2002 года (Enhanced Border Security and Visa Entry Reform Act), Госдепартамент США приступил к выдаче машиносчитываемых виз с элементами биометрии и снятию отпечатков пальцев заявителей, а Министерство внутренней безопасности (МВБ) США в рамках программы «US Visit» установило посты обработки виз и снятия отпечатков пальцев в пунктах въезда в США.
С 26 октября 2006 года было установлено требование обязательного предъявления при въезде в США паспортов с биометрическими данными владельца для европейских членов безвизовой программы (Visa Wayver Program (VWP). Граждане стран, которые не перешли на выпуск новых паспортов, с 27 октября 2006 года должны въезжать в США по визам.
В качестве вывода из приведенного обзора можно отметить, что сбор биометрических данных для целей обеспечения безопасности широко практикуется в зарубежных странах. Однако при этом всегда большое внимание уделяется вопросам (1) соблюдения человеческого достоинства при сборе данных и (2) правилам защиты персональных данных при их хранении и использовании. Также на момент составления настоящего заключения отсутствуют достоверные данные о том, что предоставление биометрических данных является безусловно обязательным в хотя бы одной из стран.
Анализ доводов и соображений, изложенных в обращении в Конституционную Палату
В связи с большим объемом аргументации, приведенной в обращениях (в сумме более 40 листов), в настоящем заключении доводы и соображения заявителей сгруппированы следующим образом.
Положения Рассматриваемого Закона, в отношении конституционности которых возникла неопределенность, так и доводы и соображения заявителей, находятся в системной взаимосвязи, в связи с чем их дробное рассмотрение нежелательно. Тем не менее, представляется возможным проанализировать узловые сочетания норм Рассматриваемого Закона в контексте соответствующих положений Конституции Кыргызской Республики.
В обращении в Конституционную Палату указывается на неконституционность части 1, пункта 2 части 2 статьи 2 Рассматриваемого Закона, а именно, положений о том, что “Целью настоящего Закона является создание актуализированной базы данных граждан Кыргызской Республики с использованием биометрических данных.
<…>
2) составление актуализированного списка избирателей;“.
Указанные положения Рассматриваемого Закона не являются нормой права, то есть не содержат общеобязательных правил поведения. В то же время, цель и задачи государственного регулирования являются конституционно значимыми в рамках частей 1-3 статьи 20 Конституции, которые гласят:
“1. В Кыргызской Республике не должны приниматься законы, отменяющие или умаляющие права и свободы человека и гражданина.
Если предположить, что Рассматриваемый Закон в целом ограничивает права и свободы человека и гражданина (а этот вопрос будет рассмотрен далее в настоящем заключении), то необходимо установить, насколько цели “создания актуализированной базы данных граждан Кыргызской Республики с использованием биометрических данных” и “составления актуализированного списка избирателей” являются целями “защиты национальной безопасности, общественного порядка, охраны здоровья и нравственности населения, защиты прав и свобод других лиц”. По моему экспертному мнению, законы о национальной безопасности, о защите общественного порядка, об охране здоровья и нравственности населения принимаются в рамках соответствующих отраслей законодательства, ни к одной из которых не относятся вопросы базы данных граждан Кыргызской Республики, а равно вопросы составления актуализированного списка избирателей. С учетом того, что Рассматриваемый Закон предназначен для биометрической регистрации всех граждан Кыргызской Республики, он не осуществляет защиту прав и свобод каких-то одних лиц в отношении каких-то других лиц.
Таким образом, цель и задачи Рассматриваемого Закона, указанные в (оспариваемых) части 1, пункте 2 части 2 статьи 2 Рассматриваемого Закона, не соответствуют требованиям частей 1-3 статьи 20 Конституции в том смысле, что в указанных целях не могут быть ограничены права и свободы человека и гражданина. С учетом того, что положениями части 1 статьи 2 Рассматриваемого Закона заявлена одна единственная цель, все ограничения прав, установленные Рассматриваемым Законом, нарушают требования частей 1-3 статьи 20 Конституции.
Также нельзя не отметить, что подчинение требования биометрической регистрации какой-либо другой цели (разумеется, из числа предусмотренных Конституцией) потребует, как это будет показано далее, полной ревизии норм Рассматриваемого Закона, то есть создания нового, специализированного механизма биометрической регистрации, например, в целях обеспечения безопасности при пересечении государственной границе (как это происходит в других странах мира).
В обращении в Конституционную Палату указывается на неконституционность части 2 статьи 5, части 3 статьи 6, статьи 7 Рассматриваемого Закона, а именно, положений о том, что:
“2. Порядок биометрической регистрации определяется Правительством Кыргызской Республики”;
“3. Представление информации, сведений из базы биометрических данных осуществляется в случаях, предусмотренных законами и иными нормативными правовыми актами Кыргызской Республики”;
“Статья 7. Использование биометрических данных граждан
Если оперировать классическим пониманием субъективного права как юридической возможности определенного поведения, то в качестве ограничения права необходимо рассматривать все то, что сужает такую возможность, ограничивает ее условиями и рамками. С этой точки зрения, вопрос о порядке биометрической регистрации, порядке получения биометрической информации о гражданине без его согласия во всех случаях должен рассматриваться как ограничение его конституционных прав:
на запрет жестокого или унижающего достоинство обращения (часть 1 статьи 22);
на личную неприкосновенность (часть 1 статьи 24);
на неприкосновенность частной жизни, на защиту чести и достоинства (часть 1 статьи 29);
о недопущении сбора, хранения, использования и распространения конфиденциальной информации, информации о частной жизни человека без его согласия (часть 3 статьи 29).
Как было показано при описании Документа 9303 ИКАО, вопросы сбора биометрических данных и их использования без согласия человека являются крайне чувствительными. У разных людей субъективно разное отношение к собственной личности, собственной частной жизни, разное чувство собственного достоинства и пределов своей неприкосновенности. Любая регламентация связанных с этим процедур потенциально ограничивает установленные и гарантированные Конституцией права человека, поскольку она неизбежно сужает объем доступных человеку способов поведения, способов реализации своего конституционного права.
Приведенный в предыдущем абзаце вывод подтвержден проанализированной ранее практикой применения Рассматриваемого Закона. Именно в силу положений части 2 статьи 5 Рассматриваемого Закона на уровне распоряжения Правительства Кыргызской Республики (подзаконного акта) были решены такие важные вопросы, определяющие рамки ограничений прав человека, как собственно способ сбора (цифровым сканером), перечень исключений (в отношении лиц до 16 лет и лиц, не имеющих рук целиком или пальцев на руках), срок хранения данных и перечень лиц, осуществляющих сбор данных. По смыслу частей 2 и 3 статьи 20 Конституции, вынесение такого рода вопросов на уровень подзаконного акта недопустимо.
С данным выводом неразрывно связан вывод о том, что все вопросы, касающиеся порядка биометрической регистрации должны решаться только положениями закона, поскольку они неизбежно связаны с ограничением конституционных прав граждан, и только в целях, допускаемых Конституцией. Допущение открытого перечня случаев, когда конституционное право человека может быть ограничено (пусть даже и на уровне закона, но в целях, не допускаемых Конституцией), также необходимо рассматривать как нарушение требований статьи 20 Конституции.
В обращениях в Конституционную Палату указывается, что обязательная биометрическая регистрация как принцип (пункт 1 статьи 4) и как требование (часть 1 статьи 5) Рассматриваемого Закона нарушают часть 1 статьи 24, статью 29 Конституции.
Между тем, Конституция в части 4 и 5 статьи 20 содержит исчерпывающий перечень прав и их гарантий, которые не могут быть ограничены. В отношении иных прав допускается их соразмерное ограничение законом, что логично: “границы есть неотъемлемое свойство всякого субъективного права, ибо при отсутствии таких границ право превращается в свою противоположность – в произвол и тем самым вообще перестает быть правом”.[1]
Как следствие, требование обязательного прохождения биометрической регистрации является не нарушением Конституции, но условием применения всех тех фильтров, которые Конституция делает обязательными для любых ограничений прав человека. Не было бы требования обязательности – не было бы и ограничения права; устанавливая обязательность как принцип, Рассматриваемый Закон должен соответствовать положениям статьи 20 Конституции. Как было показано выше в настоящем заключении, требования статьи 20 Конституции не соблюдены ни в части целей, в которых могут быть введены ограничения, ни в части источников, которыми могут быть введены такие ограничения.
В силу имеющейся неразрывной связи между положениям Рассматриваемого Закона об обязательности биометрической регистрации и о порядке и целях биометрической регистрации, требование обязательности биометрической регистрации (пункт 1 статьи 4, часть 1 статьи 5) в контексте остальных положений Рассматриваемого Закона также не соответствует положениям статьи 20 Конституции.
В обращении в Конституционную Палату указывается на возникшую в результате принятия Рассматриваемого Закона неопределенность с решением следующих вопросов:
а) будет ли прохождение биометрической регистрации условием участия в голосовании (с учетом положения пункта 2 части 2 статьи 2 Рассматриваемого Закона);
б) применяются ли к отношениям, регулируемым Рассматриваемым Законом, нормы Закона об ИПХ?
Сам по себе Рассматриваемый Закон ни в коей степени не ограничивает ни конституционное право гражданина на участие в голосовании (часть 4 статьи 2 Конституции), ни права гражданина, вытекающие из Закона об ИПХ. Однако при реализации Рассматриваемого Закона, с учетом актуальной редакции Конституционного Закона КР “О выборах Президента Кыргызской Республики и депутатов Жогорку Кенеша Кыргызской Республики”, неизбежно возникнет ситуация, когда все граждане Кыргызской Республики разделятся на две группы – прошедшие и не прошедшие биометрическую регистрацию. Возможности реализации прав гражданами каждой из групп будут различаться:
не прошедшие биометрическую регистрацию граждане не попадут в список избирателей;
в силу того, что Рассматриваемый Закон прямо не устанавливает порядок доступа граждан к отобранной у них биометрической информации (имеется только бланкетная норма части 3 статьи 6), возникает вопрос о возможности такого доступа как такового (что, в свою очередь, нарушает части 2 и 4 статьи 33 Конституции).
Вопрос о применении к отношениям по сбору и иной обработке биометрических данных Закона об ИПХ является крайне важным. Часть 1 статьи 10 Закона Кыргызской Республики “О нормативных правовых актах Кыргызской Республики ” предусматривает, что нормативный правовой акт (структурный элемент) прекращает свое действие в случае принятия нового нормативного правового акта, которому противоречат положения ранее принятого нормативного правового акта (структурного элемента) или который поглощает нормативный правовой акт (структурный элемент). Следовательно, в случае противоречия между нормами Рассматриваемого Закона и Закона об ИПХ должны применяться положения Рассматриваемого Закона. Это означает возможность возникновения ситуации, в которой права субъектов персональных данных, предусмотренные Законом об ИПХ, и процедуры реализации таких прав не распространяются на отношения по биометрической регистрации и последующему использованию биометрических данных.
Независимо от положений Закона об ИПХ и Конституционного Закона КР “О выборах Президента Кыргызской Республики и депутатов Жогорку Кенеша Кыргызской Республики”, сама по себе способность положений Рассматриваемого Закона (речь идет о частях 1 и 3 статьи 6, пункта 2 статьи 4, пункта 2 части 2 статьи 2) ставить реализацию конституционных прав граждан Кыргызской Республики под условие в зависимости от факта прохождения ими биометрической регистрации является нарушением частей 2 и 3 статьи 16 Конституции. Положениями Рассматриваемого Закона не установлено никаких мер, направленных на недопущение дискриминации граждан Кыргызской Республики в ходе реализации данного закона.
[1] Грибанов В.П. Пределы осуществления и защиты гражданских прав // Грибанов В.П. Осуществление и защита гражданских прав. М., 2001. С.22.
В обращениях в Конституционную Палату обращается внимание на то обстоятельство, что, в соответствии с положениями Рассматриваемого Закона, база биометрических данных является собственностью Кыргызской Республики, а держателем базы биометрических данных является государственный орган, уполномоченный Правительством Кыргызской Республики. По мнению заявителей, это снимает с государственных органов обязательство согласовывать с субъектом персональных данных использование его биометрических данных.
В соответствии с Законом Кыргызской Республики “О правовой охране программ для электронных вычислительных машин и баз данных”, база данных – это объективная форма представления и организации совокупности данных, систематизированных таким образом, чтобы эти данные могли быть найдены и обработаны с помощью ЭВМ. В соответствии со статьей 5 указанного закона, авторское право на базу данных, состоящую из материалов, не являющихся объектами авторского права, принадлежит лицам, создавшим базу данных. Авторское право на базу данных признается при условии соблюдения авторского права на каждое из произведений, включенных в эту базу данных. Авторское право на каждое из произведений, включенных в базу данных, сохраняется. Эти произведения могут использоваться независимо от такой базы данных. Авторское право на базу данных не препятствует другим лицам осуществлять самостоятельный подбор и организацию произведений и материалов, входящих в эту базу данных.
Если не принимать во внимание сугубо юридическую ошибку с подменой авторского права правом собственности (а база данных не может быть объектом права собственности), закрепление прав на базу данных за государством не может быть признано нарушением Конституции. Право на базу данных как на составной объект возникает независимо от прав на данные, входящие в такую базу, и не ограничивает реализацию прав в отношении таких данных.
Вопросы использования базы биометрических данных и вопросы использования самих таких данных отчасти разграничиваются и в Рассматриваемом Законе. Так, пункты 4 и 5 статьи 4 Рассматриваемого Закона говорят о защите базы биометрических данных и, отдельно, об обеспечении безопасности биометрических данных при их сборе, обработке, хранении и использовании в информационных системах.
Вопросы принадлежности прав на биометрические данные Рассматриваемым Законом не регулируются. Следовательно, за субъектами персональных данных сохраняются все права в отношении данных о них, предусмотренные Законом об ИПХ; речь об отчуждении или ограничении таких прав правом собственности на базу биометрических данных не идет.
Вопросы принадлежности базы данных (вид права и субъект права) определены Рассматриваемым Законом. Это является разумным приемом юридической техники, позволяющим на законодательном уровне определить лицо, на которое возлагаются установленные законом обязанности и которому законом предоставлены определенные правомочия. Закрепление права собственности или иного абсолютного права не дает управомоченному лицу абсолютной свободы: Конституцией предусмотрено, что пределы и порядок осуществления собственниками своих прав и гарантии их защиты определяются законом (часть 6 статьи 13), а открытость и ответственность государственных органов, органов местного самоуправления перед народом и осуществления ими своих полномочий в интересах народа закреплены в качестве принципа государственной власти (часть 3 статьи 3).
В обращении в Конституционную Палату указывается на то, что сбор и использование биометрических данных не может осуществляться на основе принципа открытости (обеспечения доверия граждан к использованию государством биометрических данных). Вместо принципа открытости, закон должен основываться на принципах законности, конфиденциальности и безопасности персональных данных граждан, в том числе биометрических.
В приведенном виде аргумент лица, обратившегося с заявлением в Конституционную Палату, не может быть поддержан, поскольку принцип открытости раскрывается Рассматриваемым Законом как обеспечение доверия граждан к использованию государством биометрических данных. Такое определение соответствует часто встречающемуся в международной практике понятию транспарентности, прозрачности действий государственных органов и их должностных лиц. С учетом приведенного в Рассматриваемом Законе определения данного принципа, нельзя говорить ни о возможности его неправильного толкования, ни о нарушении данным принципом тех или иных положений Конституции.
Заключительные замечания
В ходе проведенного анализа было установлено, что отдельные положения Рассматриваемого Закона в своей взаимосвязи могут рассматриваться как неконституционные. Подробная аргументация для данного вывода, а также указание на нормы Конституции и противоречащие им положения Рассматриваемого Закона приводятся в соответствующих разделах настоящего заключения.
В то же время, по результатам проведенного анализа можно сделать вывод, что нарушение закрепленных Конституцией прав человека и их гарантий возникает не столько в силу установления определенных требований Рассматриваемым Законом, сколько в силу отсутствия в Рассматриваемом Законе полного объема норм, требуемых Конституцией. Рассматриваемым Законом не устанавливаются допускаемые Конституцией цели ограничения прав человека, не предусматривается необходимый объем процедур реализации прав и обязанностей, не содержатся гарантии соблюдения прав и законных интересов личности.
В этой ситуации представляется необходимым рекомендовать, помимо рассмотрения вопроса о конституционности действующей редакции закона, также сформировать четкое и непротиворечивое представление о конституционных рамках, в которые должны укладываться все последующие законодательные акты, принятие которых, в силу технического прогресса, неизбежно потребуется для организации хранения собранной биометрической информации и создания процедур биометрической идентификации граждан Кыргызской Республики и иных лиц, прибывающих или находящихся на территории Кыргызской Республики. Дмитрик Н.А.
Дмитрик Н.А. Кандидат юридических наук, руководитель отдела правового консалтинга ParkMedia Consulting. В 2006-2012 гг. сотрудник Правового департамента Министерства связи и массовых коммуникаций РФ. Принимал участие в разработке законодательства в сфере персональных данных, электронной подписи, электронных государственных услуг, доступа к информации. Автор более 40 научных работ в области ИКТ-регулирования.
The International consortium for the Development of Digital Legislation has successfully completed work on the draft Digital Code for Kyrgyzstan, this document will create a favorable regulatory
On the International Children's Day on June 1, the Children's Information Technology Forum "Kids IT Day" was held in Kyrgyzstan for the first time.
The children's forum was organized for children
On December 14, 2018, Public Foundation Civic Initiative of Internet Policy held a training course on the issues of forensics (computer forensics), digital evidence fixing, cybercrime investigations.