О биометрических персональных данных (фотографических изображениях лица человека)
Столько лет прошло с принятия в Российской Федерации Федерального закона «О персональных данных», однако из года в год не снижается актуальность вопроса, касающегося причисления фотографического изображения лица человека к биометрическим персональным данным.
В 2013 г. Роскомнадзор попытался разъяснить вопрос отнесения фото- и видео- изображения, дактилоскопических данных и другой информации к биометрическим персональным данным, опубликовав соответствующей документ (разъяснения). Однако в 2018 г. представитель регулятора озвучил информацию, что данные разъяснения утратили силу и более не подлежат применению. Других официальных заявлений по этому поводу не последовало, в связи с чем указанные разъяснения в известных справочно-правовых системах имеют статус действующих и, как следствие, закономерно, активно используются операторами персональных данных. Замечу, что излагаемые в настоящей статье мысли будут учитывать пояснение представителя Роскомнадзора о том, что вышеуказанные разъяснения утратили силу.
Итак, Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» относит к биометрическим персональным данным сведения, которые одновременно удовлетворяют двум основным требованиям:
Здесь важно отметить, что в момент написания данного материала в Государственной Думе рассматриваются поправки, дополняющие данный тезис еще и генетическими особенностями человека.
2. Позволяют установить личность человека.
То есть если некий набор информации, характеризующий физиологические и биологические особенности человека, не позволяет установить его личность, то такой набор сведений не может считаться биометрическими персональными данными по формальному признаку.
Отвечает ли фотографическое изображение человека или его лица этим требованиям?
Действительно, по фотографии можно произвести отождествление человека. В общем случае фотографическое изображение может передать, как минимум, овал лица и некоторые другие его черты, которых будет достаточно, чтобы узнать человека (произвести идентификацию). Собственно, так и поступают правоохранительные органы, когда разыскивают правонарушителей, преступников и других представляющих интерес лиц.
Казалось бы, на этом можно было бы и закончить, так как получается, что фотографическое изображение человека хоть немного, но характеризует его физиологические и биологические особенности, по которым возможно установить личность. Однако этим летом представитель Роскомнадзора на Дне открытых дверей постулировал (да, запись выступления длится почти 3 часа, поэтому лучше проматывать под самый конец, где в рубрике ответов на вопросы будет озвучиваться данный тезис), что биометрическими персональными данными признаются не всякие фотографические изображения. Представитель регулятора отметил, что в вопросе о признании того или иного фотографического изображения биометрическими персональными данными необходимо полагаться на нормативную правовую базу, подтверждающую, что в данном конкретном случае фотографическое изображение представляет биометрические персональные данные. Помимо этого, было отмечено, что фотографическое изображение может считаться биометрическими персональными данными, если оно выполнено с учетом соответствия ГОСТу Р ИСО/МЭК 19794-5-2013 «Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица.».
И такая позиция одного из представителей регулятора, в принципе, представляется разумной, ведь остается открытым вопрос о том, насколько достоверно фотографическое изображение человека характеризует его физиологические и биологические особенности: точно ли передается овал лица, расположение зрачков глаз, цвет радужной оболочки глаз, волос, другие пропорции лица, туловища, длина конечностей и т.п.? А как быть если фотография подвергалась обработке и/или редактированию? Ведь такое отредактированное фотографическое изображение уже точно не будет содержать достоверных сведений о физиологических и биологических особенностях человека. Здесь достаточно вспомнить о некоторых современных технических средствах, которые производят фото- видео-фиксацию и корректировку получаемого изображения в автоматическом режиме. Можно ли в этом случае (при отсутствии гарантии достоверности передаваемой информации) говорить о том, что фотография характеризует физиологические и биологические особенности человека?
Вопрос передачи на фотографиях достоверных сведений о физиологических и биологических особенностях человека посетил отдельные умы еще в позапрошлом веке. В 19 веке Альфонс Бертильон предложил способ фотографирования, при котором производились определённые антропологические измерения. Информация об этих измерениях фиксировалась в отдельных случаях и на фотографии, и в отдельном документе. Таким образом получалась фотография, которая имела сопроводительную информацию сфизиологическими и биологическими характеристиками человека, на ней запечатленного. Так на свет появилсябертильонаж, сыгравший заметную роль в криминалистической идентификации.
Отходя от исторического примера вспомним об определении термина «биометрические данные», приведенного в п. 14, ст. 4 Регламента Европейского Парламента и Совета Европейского Союза 2016/679 от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных / General Data Protection Regulation /GDPR) – под ними понимаются «персональные данные, возникающие в результате особой технической обработки, касающиеся физических, физиологических или поведенческих характеристик физического лица, которые предусматривают или подтверждают уникальную идентификацию указанного физического лица, например, изображение лица человека или дактилоскопические данные». Из данного определения видно, что «биометрические данные» должны получаться в результате некоей особой технической обработки. Вероятно, под «особой технической» обработкой понимается получение, например, фотографического изображения с использованием специальных технических средств и методик (собственно, как об этом и говорил один из представителей Роскомнадзора).
С этим мнением коррелирует и подход регулирования биометрических персональных данных в Единой биометрической системе, например, в соответствии с п. 12 Порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, утвержденного приказом Минкомсвязи от 25 июня 2018 г. № 321. Согласно этому подходу образцы данных изображения лица должны соответствовать определённым требованиям:
1. Цвета пикселей изображений фронтального типа должны быть представлены в 24-битовом цветовом пространстве RGB, в котором на каждый пиксель приходится по 8 битов на каждый компонент цвета: красный, зеленый и синий.
2. Поворот головы должен быть не более 5° от фронтального положения.
3. Наклон головы должен быть не более 5° от фронтального положения.
4. Отклонение головы должно быть не более 8° от фронтального положения.
5. Расстояние между центрами глаз должно составлять не менее 120 пикселей.
6. При расстоянии между центрами глаз 120 пикселей значение горизонтального размера изображения лица должно составлять не менее 480 пикселей.
7. При расстоянии между центрами глаз 120 пикселей значение вертикального размера изображения лица должно составлять не менее 640 пикселей.
8. Не допускается перекрытие волосами или посторонними предметами изображение лица по всей ширине от бровей до нижней губы.
9. На изображении должно присутствовать только одно лицо, наличие других лиц, фрагментов других лиц не допускается.
10. Выражение лица должно быть нейтральным, рот закрыт, оба глаза открыты нормально для соответствующего субъекта (с учетом поведенческих факторов и (или) медицинских заболеваний).
11. Лицо должно быть равномерно освещено, чтобы на изображении лица отсутствовали тени и блики.
12. Не допускается использование ретуши и редактирования изображения;
13. Допускается кадрирование изображения.
14. В случае фотографирования человека в очках не допускается наличие солнцезащитных очков и ярких световых артефактов или отражения вспышки от очков.
15. Изображение лица должно быть сохранено в формате .jpeg или .png; код сжатия: JPEG (0 x 00), PNG (0 x 03).
И вот тут мы переходим к тому, что, действительно, не каждая фотография (фотографическое изображение человека и/или его лица) может содержать биометрические персональные данные.
Конечно, можно предположить, что вышеприведенное обоснование того, что чтобы содержать биометрические персональные данные фотография должна отвечать некоторым требованиям, выглядит притянутым за уши и недостаточно доказанным. Тем более, даже заявление одного отдельного, хоть и уважаемого, представителя Роскомнадзора – это все же его личное мнение, которое, как это говорится, «к делу не пришьешь».
Зато к делу можно пришить определение Верховного Суда Российской Федерации от 5 марта 2018 г. № 307-КГ18-101 по делу № А42-342/2017, в котором поддерживается позиция Управления Роскомнадзора по Мурманской области о том, что фотография – биометрические персональные данные. Вот здесь уже, к сожалению, ничего и не попишешь, придется согласиться.
Как видно выше, ситуация спорная и неоднозначная, в связи с этим, представляется, что в данном случае лучше «перебдеть». Поэтому операторам персональных данных при сборе любых фотографических изображений субъекта персональных данных, которые будут использоваться в целях его идентификации (действительно, есть небольшой процент операторов, которые собирают биометрию в иных целях, не связанных с идентификацией), лучше сразу подготовить соответствующее письменное согласие (за основу такого согласия, к слову, можно взять форму, приведенную в распоряжении Правительства Российской Федерации от 30 июня 2018 г. № 1322-р).
Если фотографические изображения будут обрабатываться в некоей информационной системе, то, к сожалению, требования к защищенности персональных данных для такой системы никак не могут быть ниже 3-го уровня (УЗ 3) (см. здесь). Кроме того, необходимо будет выполнять положения Требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных, утвержденных Постановлением Правительства РФ от 6 июля 2008 г. № 512.
Не бойтесь обрабатывать биометрические персональные данные, гораздо легче выполнить требования по организации их обработки и защиты, нежели потом доказывать в суде, что некая информация не является биометрией. Ну и не забываем про экономические риски.
Перейти в Telegram-канал "Листок бюрократической защиты информации".