Доктор права Бернского университета Асель Ибраимова проанализировала, насколько кыргызский закон о сборе биометрических данных граждан соответствует европейским стандартам.

Повествование ведется от лица Ибраимовой.

Как уже отмечали гражданские активисты и эксперты в кыргызской прессе, сбор биометрических данных конфликтует с правом гражданина на частную жизнь.

Сбор таких данных, как фотография, отпечатки пальцев и подпись касаются уникальных физических характеристик человека и являются информацией персонального характера.

Другие формы идентификации человека, например, по id-карте, не связаны напрямую с такими характеристиками. Риски с биометрическими данными, после их сдачи и хранения в единой базе данных, касаются возможности злоупотребления такими данными и дальнейшей идентификации человека без его знания или согласия.

Статья 29 действующей Конституции Кыргызстана регулирует сбор, хранение, использование и распространение информации о частной жизни человека. В соответствии с этой статьей, указанные выше действия запрещены, если осуществляются без согласия гражданина. В соответствии с Конституцией, изменения в разделы о правах человека, прописанных в ней, недопустимы.

Однако в той же статье есть оговорка: сбор, хранение, использование и распространение информации о частной жизни человека возможны без его согласия, если это оговорено законом.

Другими словами, в Конституции есть возможность обхода права человека на защиту информации о частной жизни, если на это есть необходимость.

Сбор биометрии в Европейском союзе

В 2012 году органы, регулирующие исполнение законов Европейского Союза в сфере защиты личных данных из каждой из стран-участниц объединения, опубликовали совместное «Заключение о развитии биометрических технологий», которое отражает в себе положения конвенции ЕС о правах человека на неприкосновенность частной жизни.

В «Заключении» анализируются различные риски, связанные со сбором биометрических данных, и рекомендуются оптимальные способы их сбора.

К Кыргызстану конвенция ЕС о правах человека неприменима — республика, как известно, не является ни членом ЕС, ни членом Совета Европы, в странах которого ратифицирована данная конвенция.

otorbaev

Тем не менее, Кыргызстан ратифицировал документ, схожий с европейской конвенцией — Конвенцию СНГ по правам человека, а европейский опыт является весьма полезным источником принципов защиты биометрических данных и мог бы послужить руководством для их законного сбора в Кыргызстане: европейское законодательство является лидирующим в мире в данной сфере, ставящим интересы граждан в первую очередь.

В соответствии с европейскими документами при сборе, хранении, использовании и распространении биометрических данных должен соблюдаться баланс между интересами общества и правом человека на неприкосновенность частной жизни.

Несмотря на развитие технологий и привлекательность методов опознавания граждан, такая информация не должна быть использована так, чтобы стиралась анонимность частной жизни граждан.

Европейский опыт допускает сбор биометрии при отсутствии его негативного воздействия на право человека на неприкосновенность частной жизни. Были определены принципы, которые должны соблюдаться при сборе биометрии:

  1. Цели сбора и обработки биометрических данных должны быть адекватными;
  2. Сбор данных персонального характера не должен быть чрезмерным;
  3. Категории собираемых данных должны соответствовать озвученным целям.

Мой анализ закона «О биометрической регистрации граждан Кыргызской Республики» основан на данных принципах.

Соответствует ли практика с биометрией в Кыргызстане европейским стандартам?

Согласие

Согласие граждан на сбор биометрии является необходимым обстоятельством, делающим такой сбор законным. Согласие должно быть на конкретизированное использование собранных данных, при полной информированности сдающего их человека. Оно должно быть получено без какого-либо воздействия или давления. Кроме того, граждане должны иметь право отозвать свое согласие на сдачу биометрических данных и их дальнейшее использование в любое время.

Это означает, что если человек не желает сдавать свои биометрические данные, то у него должен быть выбор пройти идентификацию альтернативным путем. Например, в случае голосования во время выборов, необходимо дать право голоса гражданам, независимо сдали они биометрические данные или нет, путем использования идентификации по паспорту, военному билету и другим ранее приемлемым методам.

Цели

Цели сбора биометрических данных должны быть четко сформулированы, при этом данные не могут использоваться помимо объявленных целей. Принцип адекватности целей сбора биометрии предполагает, что перед ним был проведен анализ и сравнение с другими способами идентификации человека. Сбор биометрии может рассматриваться, только если такой анализ показал, что единственным эффективным способом достижения поставленных целей является сбор биометрии.

В кыргызском законе о биометрической регистрации указывается шесть категорий для использования собранных таким способом данных, что уже представляет собой их широкое применение: от переписи населения и борьбы с терроризмом до предоставления услуг населению. Эти задачи входят в интересы общества, но о том, что все они приоритетны для общества и что для их обеспечения сбор биометрии является необходимым условием, можно поспорить.

Выдача документов, предоставление услуг населению, перепись населения являются текущими, а не первоочередными задачами общества, для обеспечения которых необходимо вмешаться в право граждан на частную жизнь и снять защиту, предоставляемую Конституцией на информацию о частной жизни. Указанные операции могут наверняка проводиться при помощи использования идентификационных карт или других документов, удостоверяющих личность.

Более того, статья 7 закона о биометрии предусматривает дальнейшее использование собранных данных без согласия граждан в «иных определяемых законом случаях» помимо уже недопустимо широких рамок этого закона.

Принципы соблюдения адекватности целей, соблюдения баланса между интересами общества и правами человека на частную жизнь и защиту информации о ней, bне были продуманы в кыргызском законеb и представляют собой базу для возможных злоупотреблений.

Президент Алмазбек Атамбаев сдал свои биометрические данные спустя год после начала кампании по сбору биометрии.
Президент Алмазбек Атамбаев сдал свои биометрические данные спустя год после начала кампании по сбору биометрии.

Что касается сбора биометрии для обеспечения охраны имущества и безопасности граждан, то такие задачи были признаны в Европе как недостаточные причины для признания вмешательства в право на частную жизнь граждан законной.

Для признания законности сбора таких данных государству необходимо показать обществу существующие риски, подтвержденные фактами и документально, и продемонстрировать, что обеспечить безопасности другими способами невозможно.

Не совсем ясно, почему для «эффективной борьбы с преступностью, нелегальной миграцией, терроризмом и торговлей людьми» нужно собирать биометрические данные со всего населения Кыргызстана. Результаты проведенного анализа данного вопроса, если он вообще был проведен, и детальная информация о способах дальнейшего использования собранных биометрических данных, не были должным образом донесены до населения республики ни по одной из шести задач, озвученных в законе.

Следовательно, первый принцип об адекватности целей не был соблюден с точки зрения европейских принципов защиты биометрических данных. Наличие четких формулировок целей гарантирует использование личных данных граждан только в указанных целях и предотвращает их использование иными способами.

Хранение биометрических данных

Целью сбора и обработки биометрических данных, согласно закону, принятому в Кыргызстане, является создание базы данных. Она будет использована для осуществления шести задач, о которых уже сказано выше. Само по себе создание базы данных не может быть адекватной причиной сбора биометрические данные граждан.

Возникают вопросы о том, насколько долго будут храниться данные в базе. В соответствии с принципами, принятыми в Европе, они должны храниться только в период, достаточный для достижения объявленных целей. Из-за широкой формулировки каждой из шести задач в кыргызском законе, возникает опасность того, что собранные биометрические данные будут храниться без ограничения во времени.

Существует мнение, что комбинация трех категорий биометрических данных, таких как отпечатки пальцев, подпись и фотография могут быть использованы для более точной идентификации человека. Тем не менее, хранение всех собранных данных в централизованной базе говорит о чрезмерности этой меры и увеличивает риски для безопасности данных.

Рабочая группа Европейского союза, которая анализировала риски использования биометрии, в своем заключении предостерегает от создания больших централизованных баз биометрических данных. В соответствии с ним, такая база может быть создана только при тщательном взвешивании необходимости вмешательства в частную жизнь граждан и решения приоритетного вопроса в интересах общества, при соблюдении законности и использовании демократических методов при сборе данных.

Рекомендуется использование децентрализованной системы хранения данных, когда биометрические данные хранятся только на носителях, используемых для идентификации человека — например, чип в паспорте. В случае утери паспорта, доступ к биометрическим данным в документе защищен цифровым кодированием. В то же время, государство не хранит и не имеет доступа к единой базе биометрических данных, чтобы избежать злоупотреблений при их использовании.

5_47

Создание единой базы биометрических данных также вызывает тревогу с точки зрения обеспечения её безопасности. Наличие такой базы увеличивает риск в связи с возможными недостатками в системе безопасности. Не стоит забывать и про человеческий фактор — часть персонала, обслуживающего базу, вполне может оказаться нерадивым. Необходимо иметь соответствующую систему хранения, безопасности и доступа к биометрическим данным и строго её соблюдать.

При утере данных или незаконном доступе к ним, об этом должно быть сообщено гражданам, чьих биометрических данных это коснулось — для того, чтобы они знали что их данные могут быть использованы кем-то другим, и чтобы у них была возможность доказать факт утери или незаконного доступа к их данным в будущем для своей защиты.

Дальнейшие шаги

Согласно европейским стандартам, граждане должны быть уведомлены о новом мероприятии, где планируется использовать уже собранные биометрические данные. В случае Кыргызстана я бы рекомендовала уведомлять граждан обо всех таких мероприятиях, так как применение биометрии определено в законе чрезмерно широко.

Также необходимо предоставить гражданам право доступа к их данным и право исправлять их — например, если подпись была изменена. Граждане также должны иметь право отзыва своего согласия на сбор биометрических данных, так как это связано с их конституционным правом на неприкосновенность частной жизни и на защиту информации о частной жизни.