Цифровой концлагерь от ГД: АНАЛИТИЧЕСКАЯ СПРАВКА ПО ЗАКОНОПРОЕКТУ № 211535-8 О ЕБС. ч.1
АНАЛИТИЧЕСКАЯ СПРАВКА ПО ЗАКОНОПРОЕКТУ № 211535-8 О ЕБС
«О ГОСУДАРСТВЕННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЕ "ЕДИНАЯ ИНФОРМАЦИОННАЯ СИСТЕМА ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБЕСПЕЧИВАЮЩАЯ ОБРАБОТКУ, ВКЛЮЧАЯ СБОР И ХРАНЕНИЕ БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ, ИХ ПРОВЕРКУ И ПЕРЕДАЧУ ИНФОРМАЦИИ О СТЕПЕНИ ИХ СООТВЕТСТВИЯ ПРЕДОСТАВЛЕННЫМ БИОМЕТРИЧЕСКИМ ПЕРСОНАЛЬНЫМ ДАННЫМ ФИЗИЧЕСКОГО ЛИЦА»
#
Общественный уполномоченный по Защите Семьи
19:04 / 03.11.2022
12 октября 2022 года депутат Государственной Думы А.В. Горелкин внес в Государственную Думу РФ проект федерального закона № 211535-8 «О государственной информационной системе "Единая информационная система персональных данных, обеспечивающая обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица» (https://sozd.duma.gov.ru/bill/211535-8).
В тот же день он был направлен в Комитет Государственной Думы по информационной политике, информационным технологиям и связи. Как говорится в пояснительной записке, законопроект подготовлен в связи «с реализацией государственной политики в части повышения безопасности обработки биометрических персональных данных».
Итак, несмотря на все заверения государственных чиновников о полной безопасности для граждан сдачи биометрических персональных данных, состояние дел в этой сфере таково, что требует мер по повышению безопасности их обработки. Ритуальные мантры про безопасность стали обыденным делом для апологетов цифровизации, которым почему-то никак не приходит в голову, что наилучшее и наиболее дешевое средство обеспечения безопасности в этой сфере заключается в том, чтобы перестать принуждать граждан сдавать свои биометрические персональные данные.
Понятна и причина появления нового законопроекта: по состоянию на конец марта 2020 г. в ЕБС было зарегистрировано лишь около 130 000 человек (Людмила Петухова, Яна Милюкова. Почему забуксовал проект по оцифровке россиян и при чем тут ФСБ и Греф // https://www.forbes.ru/finansy-i-investicii/395605-pochemu-zabuksoval-proekt-po-ocifrovke-rossiyan-i-pri-chem-tut-fsb-i), что красноречиво говорит о том, что основная масса наших граждан отнюдь не рвется воспользоваться навязываемой им в основном через банки технологией биометрической идентификации.
Биометрические персональные данные Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 14.07.2022) "О персональных данных" определяет как «сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных…» (статья 11).
Дальнейшие утверждения А.В. Горелкина еще более интересны: «Законопроект устанавливает правовые основы обработки биометрических персональных данных в целях осуществления идентификации и (или) аутентификации с применением единой биометрической системы, иных, в том числе, государственных, информационных систем.
Законопроектом предусмотрено, что идентификация, в том числе проводимая для реализации установленных нормативными правовыми актами полномочий государственных органов, органов местного самоуправления, организаций, осуществляющих отдельные публичные полномочия, с применением биометрических персональных данных, осуществляется с применением единой биометрической системы.
При этом аутентификация может быть осуществлена с применением иных информационных систем» (Пояснительная записка к проекту федерального закона № 211535-8 «О государственной информационной системе "Единая информационная система персональных данных, обеспечивающая обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица», л. 1).
Итак, мы видим, что помимо государственных существуют еще и иные информационные системы, с помощью которых осуществляется идентификация и (или) аутентификация граждан. Как это соотносится с декларируемой заботой о повышении безопасности обработки биометрических персональных данных, никак не объясняется. Не объясняется по достаточно простой причине - каждому понятно, что чем больше систем содержат биометрические данные, тем выше риск утечек из них.
Также из процитированного фрагмента становится ясно, что государственные органы, органы местного самоуправления, организации, осуществляющие отдельные публичные полномочия, будут их реализовывать с применением идентификации с использованием единой биометрической системы. Очевидно, что увеличение числа субъектов, использующих в своей деятельности биометрические персональные данные, еще более повышает риск их утечки, что вновь оказывается в явном противоречии с заявленной заботой о безопасности.
ПФЗ цифровизаторы изготовили весьма объемный - 116 страниц. Одним из ключевых его моментов является статья 11 «Равнозначность использования единой биометрической системы и единой системы идентификации и аутентификации и действий по проверке документов, удостоверяющих личность физического лица»:
«Действия по идентификации и (или) аутентификации физического лица с использованием единой биометрической системы, за исключением региональных сегментов единой биометрической системы, и единой системы идентификации и аутентификации с соблюдением требований, предусмотренных настоящим Федеральным законом, приравниваются к действиям по проверке документов, удостоверяющих личность такого физического лица, в том числе в случаях, если указанная проверка требуется в соответствии с нормативными правовыми актами Российской Федерации, нормативными правовыми актами субъектов Российской Федерации, муниципальными правовыми актами. При этом, если нормативными правовыми актами Российской Федерации, нормативными правовыми актами субъектов Российской Федерации, муниципальными правовыми актами предусматривается получение, использование и (или) сохранение сведений о документе, удостоверяющем личность физического лица, такие сведения могут быть получены из единой системы идентификации и аутентификации после идентификации и аутентификации указанного физического лица с использованием единой биометрической системы. Предъявление документа, удостоверяющего личность физического лица, в этом случае не требуется».
Напомним, что сейчас основным документом, удостоверяющим личность гражданина Российской Федерации на территории Российской Федерации, является паспорт гражданина Российской Федерации, как это установлено в Указе Президента РФ от 13.03.1997 N 232 "Об основном документе, удостоверяющем личность гражданина Российской Федерации на территории Российской Федерации" и Постановлением Правительства РФ от 08.07.1997 N 828 (ред. от 15.07.2021) "Об утверждении Положения о паспорте гражданина Российской Федерации, образца бланка и описания паспорта гражданина Российской Федерации" (с изм. и доп., вступ. в силу с 01.07.2022).
Согласно п. 1 Положения о паспорте гражданина Российской Федерации, паспорт обязаны иметь все граждане Российской Федерации, достигшие 14-летнего возраста и проживающие на территории Российской Федерации.
Поскольку в случае принятия этого законопроекта действия по идентификации и (или) аутентификации физического лица с использованием единой биометрической системы будут приравниваться к действиям по проверке документов, удостоверяющих личность такого физического лица, следующим логическим действием цифровизаторов может стать требование сдавать биометрию всем гражданам Российской Федерации, достигшим 14-летнего возраста и проживающих на территории Российской Федерации.
Чтобы преждевременно не пугать людей, автор ПФЗ включил в ст. 14 ч. 10, согласно которому отказ физического лица от прохождения идентификации и (или) аутентификации с использованием его биометрических персональных данных не может служить основанием для отказа ему в оказании государственной или муниципальной услуги, услуги организации, осуществляющей отдельные публичные полномочия, Центрального банка Российской Федерации, однако в дальнейшем данное положение всегда может быть исключено и прохождение идентификации и (или) аутентификации с использованием его биометрических персональных данных может стать для граждан безальтернативным.
Ч. 1 ст. 3 ПФЗ четко и недвусмысленно определяет сферы в отношении которых цифровизаторы планируют использовать ЕБС: «Единая биометрическая система используется для осуществления идентификации и (или) аутентификации физических лиц государственными органами, органами местного самоуправления, Центральным банком Российской Федерации, кредитными организациями, некредитными финансовыми организациями, которые осуществляют указанные в части первой статьи 76.1 Федерального закона от 10 июля 2002 г. № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» виды деятельности, субъектами национальной платежной системы лицами, оказывающими профессиональные услуги на финансовом рынке (далее - организации финансового рынка), иными организациями, индивидуальными предпринимателями, нотариусами».
Хотя данная формулировка охватывает большую часть публичных отношений граждан, начиная с государственных органов, органов местного самоуправления и заканчивая ИП и «иных организаций», под понятие которых можно подвести почти все, что угодно, автор ПФЗ постарался сделать «закладку» на будущее и в ч. 2 данной статьи особо оговорил, что ЕБС и ее региональные сегменты могут использоваться в иных правоотношениях в случаях, установленных федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами.
В первую очередь она предназначается для взаимодействия человека и власти и в п. 7 ч. 2 ст. 6 ПФЗ говорится, что федеральный орган исполнительной власти, осуществляющий регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных обеспечивает возможность идентификации и (или) аутентификации физических лиц на основе биометрических персональных данных с использованием единой биометрической системы и единой системы идентификации и аутентификации для предоставления государственных услуг, исполнения государственных функций посредством заключения с многофункциональными центрами предоставления государственных и муниципальных услуг соглашений о взаимодействии с многофункциональными центрами предоставления государственных и муниципальных услуг.
Положение о единой биометрической системе, включая порядок ее функционирования и функционирования ее региональных сегментов, утверждается Правительством Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (ч. 3 ст. 3 ПФЗ).
С учетом стремления Правительства цифровизировать все и вся, не приходится сомневаться, что оно постарается обеспечить максимально широкое функционирование ЕБС. Со значительной степенью вероятности также можно прогнозировать, что по прошествии некоторого времени цифровизаторы заявят, что содержание обоих систем по удостоверению личности, традиционной, с помощью паспорта, и новой, с помощью ЕБС, обходится слишком дорого и что одну из них для экономии следует сократить.
На первом этапе цифровизаторы пока стремятся законодательно приравнять данную идентификацию и (или) аутентификацию к основному документу, удостоверяющего личность гражданина Российской Федерации, т.е. паспорту гражданина Российской Федерации.
Если этот принципиальный шаг, изменяющий один из основных устоев функционирования государства и общества, им удастся, никто им не помешает на втором этапе для экономии государственных средств или под любым иным предлогом в принципе отменить паспорта, оставив прохождение идентификации и (или) аутентификации с использованием его биометрических персональных единственным способом удостоверения личности гражданина Российской Федерации.
В том, что вся логика цифровизаторов направлена именно в этом направлении, несмотря на их успокаивающие заявления, уверяет ряд других ключевых моментов данного ПФЗ. Название его статьи 14 «Взаимодействие с единой биометрической системой в целях осуществления идентификации и (или) аутентификации для реализации полномочий государственных органов, органов местного самоуправления, Центрального банка Российской Федерации, организаций, осуществляющих отдельные публичные полномочия» говорит само за себя.
Ч. 1 данной статьи гласит: «Обработка биометрических персональных данных для идентификации в случаях, если проведение такой идентификации необходимо для реализации установленных нормативными правовыми актами полномочий государственных органов, и (или) органов местного самоуправления, и (или) Центрального банка Российской Федерации, и (или) организаций, осуществляющих отдельные публичные полномочия, осуществляется с применением единой биометрической системы».
Итак, достаточно только провозгласить (непонятно на каком уровне), что идентификация физического лица с использованием единой биометрической системы необходима для реализации полномочий государственных органов и (или) органов местного самоуправления как в соответствующих органах будет введена система сбора и обработки биометрических персональных данных.
Сам разработчик ПФЗ пишет, что принятие Федерального закона «О государственной информационной системе «Единая информационная система персональных данных, обеспечивающая обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица» (далее - Федеральный закон о ГИС ЕБС) потребует принятия нового Федерального закона «О внесении изменений отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О государственной информационной системе
«Единая информационная система персональных данных, обеспечивающая обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица», который необходим для приведения в соответствие с Федеральным законом о ГИС ЕБС в частности положений Федерального закона от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг».
Всего соответствующие изменения планируются внести в пять федеральных законов и Основы законодательства Российской Федерации о нотариате от 11 февраля 1993 г. № 4462-1 (Перечень федеральных законов, подлежащих признанию утратившими силу, приостановлению, изменению или принятию в связи с принятием Федерального закона «О государственной информационной системе «Единая информационная система персональных данных, обеспечивающая обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица»).
Мы видим, что во взаимоотношения гражданина и государства цифровизаторы намерены внести крайне серьезные изменения.
Ч. 2 статьи 14 ПФЗ посвящена способам аутентификации для реализации полномочий государственных органов, органов местного самоуправления:
«Обработка биометрических персональных данных для аутентификации в случаях, если проведение такой аутентификации необходимо для реализации указанных в части 1 настоящей статьи полномочий, может осуществляться одним из следующих способов:
1) с применением единой биометрической системы в соответствии со статьей 10 настоящего Федерального закона или регионального сегмента единой биометрической системы в соответствии со статьей 5 настоящего Федерального закона в случаях, определенных в соответствии с частью 9 статьи 5 настоящего Федерального закона;
2) путем проверки принадлежности физическому лицу идентификатора (идентификаторов) посредством сопоставления его (их) со сведениями о физическом лице, размещенными в единой системе идентификации и аутентификации, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица вектору единой биометрической системы, содержащемуся в государственной информационной системе аккредитованного государственного органа, информационной системе Центрального банка Российской Федерации, в случае прохождения им аккредитации, по указанному идентификатору (идентификаторам);
3) путем проверки принадлежности физическому лицу идентификатора (идентификаторов) посредством сопоставления его (их) со сведениями о физическом лице, размещенными в информационной системе персональных данных аккредитованного государственного органа, Центрального банка Российской Федерации, в случае прохождения им аккредитации, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица вектору единой биометрической системы, содержащемуся в государственной информационной системе аккредитованного государственного органа, информационной системе Центрального банка Российской Федерации, в случае прохождения им аккредитации, по указанному идентификатору (идентификаторам)».
Поскольку в двух последних пунктах говорится об идентификаторах, следует обратиться к ст. 2 ПФЗ, где даются следующие определения:
«1) идентификация - совокупность мероприятий по установлению сведений о лице и их проверке, осуществляемых в соответствии с федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами, и сопоставлению данных сведений с уникальным обозначением (уникальными обозначениями) сведений о лице, необходимым для определения такого лица (далее - идентификатор);
2) аутентификация - совокупность мероприятий по проверке лица на принадлежность ему идентификатора (идентификаторов) посредством сопоставления его (их) со сведениями о лице, которыми располагает лицо, проводящее аутентификацию, и установлению правомерности владения лицом идентификатором (идентификаторами) посредством использования аутентифицирующего (аутентифицирующих) признака (признаков) в рамках процедуры аутентификации, в результате чего лицо считается установленным».
Итак, идентификатор - это уникальное обозначение (уникальные обозначения) сведений о лице, необходимые для определения такого лица. Какими конкретно будут идентификатор или идентификаторы, А.В. Горелкин не раскрывает. Вполне возможно, что они будут устанавливаться на уровне подзаконных актов.
Поскольку в пп. 2 и 3 ч. 2 статьи 14 ПФЗ говорится о проверке принадлежности физическому лицу идентификатора (идентификаторов) и о том соответствуют ли биометрические персональные данные физического лица вектору единой биометрической системы, можно предположить, что идентификатор (идентификаторы), о которых идет речь в ПФЗ, не относятся к числу биометрических персональных данных. Следовательно, это может быть все, что угодно, от чипа до штрих- или куар-кода.
Отметим, что в действующем Федеральном законе от 27.07.2006 N 152-ФЗ (ред. от 14.07.2022) "О персональных данных" ни о каких идентификаторах речи не идет. Как видим, одной биометрии цифровизаторам показалось мало и они для верности решили промаркировать население дополнительно еще каким-то способом. Более того, при аутентификации люди должны будут проходить «совокупность мероприятий по проверке лица на принадлежность ему идентификатора (идентификаторов)… и установлению правомерности владения лицом идентификатором (идентификаторами)».
Похожим образом дело будет обстоять и с биометрией, поскольку аутентификация физического лица будет проходить «на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица вектору единой биометрической системы, содержащемуся в государственной информационной системе».
Таким образом, человек каждый раз для получения госуслуги и т.п. должен будет доказывать свое соответствие данным о нем, содержащимся в государственной информационной системе.
Фактически он оказывается придатком к данным о нем в ЕБС и если по какой-то причине (болезнь, возрастные изменения и т.д.) его биометрические персональные данные не будут соответствовать информации о нем в государственной информационной системе, то он разом окажется лишен если не всех, то значительной части своих прав.
При этом одним только взаимодействием с государственными органами, органами местного самоуправления, Центральным банкой Российской Федерации и организациями, осуществляющими отдельные публичные полномочия дело не ограничится. Статья 13 ПФЗ посвящена осуществлению идентификации и (или) аутентификации при проходе на территорию организаций:
«1. Идентификация и (или) аутентификация при проходе посредством системы контроля и управления доступом на территорию организаций, в том числе организаций оборонно-промышленного, атомного энергопромышленного, ядерного оружейного, химического, топливно-энергетического комплексов, организаций, относящихся к объектам транспортной инфраструктуры, субъектам критической информационной инфраструктуры, объектов, совершение террористического акта на территории которых может привести к возникновению чрезвычайных ситуаций с опасными социально-экономическими последствиями согласно категорированию, проводимому в соответствии с правилами, утвержденными Правительством Российской Федерации, режимных объектов в соответствии с перечнем сведений, отнесенных к государственной тайне, определенных Президентом Российской Федерации, осуществляется с использованием единой биометрической системы.
2. Аутентификация при проходе посредством системы контроля и управления доступом на территорию организаций, за исключением организаций оборонно-промышленного, атомного энергопромышленного, ядерного оружейного, химического, топливно-энергетического комплексов, организаций, относящихся к объектам транспортной инфраструктуры, за исключением инфраструктуры городского общественного транспорта, в том числе внеуличного, субъектам критической информационной инфраструктуры, объектов, совершение террористического акта на территории которых может привести к возникновению чрезвычайных ситуаций с опасными социально-экономическими последствиями согласно категорированию, проводимому в соответствии с правилами, утвержденными Правительством Российской Федерации, режимных объектов в соответствии с перечнем сведений, отнесенных к государственной тайне, определенных Президентом Российской Федерации, может осуществляться с использованием региональных сегментов единой биометрической системы в случаях, установленных Правительством Российской Федерации в соответствии с частью 9 статьи 5 настоящего Федерального закона, государственных информационных систем аккредитованных государственных органов, или информационных систем организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, с применением векторов единой биометрической системы.
3. Аутентификация при проходе посредством системы контроля и управления доступом на территорию организаций, относящихся к объектам транспортной инфраструктуры городского общественного транспорта, в том числе внеуличного, может осуществляться с использованием региональных сегментов единой биометрической системы, если такое использование предусмотрено в установленных Правительством Российской Федерации в соответствии с частью 9 статьи 5 настоящего Федерального закона случаях, а также решением Правительства Российской Федерации, принятом в соответствии с частью 1 статьи 5 настоящего Федерального закона».
Итак, по решению Правительства Российской Федерации ЕБС может быть внедрена на территории наиболее значимых в военно-экономическом плане организаций. Помимо этого аутентификация при проходе на территорию иных организаций, а также объектов транспортной инфраструктуры даже городского общественного транспорта может осуществляться с использованием региональных сегментов единой биометрической системы в случаях, установленных опять-таки Правительством Российской Федерации.
С учетом наличия в Правительстве РФ существенного числа цифровизаторов возникают серьезные опасения, что перечень организаций, на территорию которых работники смогут входить только путем предусмотренной в настоящем ПФЗ процедуры аутентификации, может оказаться весьма широк.
Обращает на себя внимание, что если в случае с получением государственных или муниципальных услуг отказ физического лица от прохождения идентификации и (или) аутентификации с использованием его биометрических персональных данных не может служить основанием для отказа ему в оказании данных государственных или муниципальных услуг (ч. 10 ст. 14 ПФЗ), то в отношении перечисленных в ст. 13 ПФЗ организаций отсутствует оговорка о том, отказ работника от прохождения идентификации и (или) аутентификации с использованием его биометрических персональных данных не может служить основанием для не допуска его на территорию организаций.
Данное обстоятельство может указывать на то, что работники соответствующих организаций, перечень которых может быть весьма широк, будут вынуждены сдавать свои биометрические персональные данные даже не в добровольно-принудительном, а просто в принудительном порядке.
А.В. Горелкин не ограничился даже этим и предусмотрел возможность использования регионального сегмента единой биометрической системы на территории иного субъекта Российской Федерации при организации транспортного обслуживания населения по межрегиональным маршрутам регулярных перевозок в случае наличия сквозного маршрута между субъектом Российской Федерации, осуществляющим функции владельца регионального сегмента единой биометрической системы, и иными субъектами Российской Федерации в пределах двухсот километров от границы субъекта Российской Федерации, осуществляющего функции владельца регионального сегмента единой биометрической системы (ч. 11 статьи 5, ч. 10 ст. 23 ПФЗ).
Достаточно слабым утешением для не желающих сдавать биометрию может быть ч. 13 статьи 16 ПФЗ, согласно которой отказ физического лица от прохождения аутентификации на основе его биометрических персональных данных не может служить основанием для отказа ему в обслуживании. В данной статье речь идет об организациях, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц.
Однако здесь следует иметь в виду два момента.
Во-первых, сам термин «обслуживание» в контексте различных отношений. Так, например, ст. 41 ГК говорит о социальном обслуживании совершеннолетнего дееспособного гражданина, нуждающегося в установлении над ним патронажа, ст. 106.1 ГК - о бытовом обслуживании, ст. 316 ГК - обслуживании кредитора, ст. 426 ГК - гостиничном обслуживании, а ГОСТ Р 51303-2013. Национальный стандарт Российской Федерации. Торговля. Термины и определения" (утв. Приказом Росстандарта от 28.08.2013 N 582-ст) (ред. от 22.04.2020) под торговым обслуживанием понимает «деятельность продавца при непосредственном взаимодействии с покупателем, направленная на удовлетворение потребностей покупателя в процессе приобретения товара и/или услуги..."
Во-вторых, следует иметь в виду, что в случае принятия данного ПФЗ через какое-то время ч. 13 статьи 16 из него может быть исключена.
Автор законопроекта также дал гражданам РФ возможность оценить некоторые прелести «цифрового рая», куда все население нашей страны норовят затянуть адепты цифровизации. Если по действующему законодательству обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных (ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 14.07.2022) "О персональных данных"), то, согласно ч. 7 ст. 4 ПФЗ,
«в случае, если в государственных информационных системах государственных органов, в информационных системах организаций финансового рынка, иных организаций в соответствии с федеральными законами собраны биометрические персональные данные, соответствующие всем видам или только одному из видов, размещаемым в единой биометрической системе, за исключением случаев, указанных в части 2 статьи 1 и части 6 статьи 3 настоящего Федерального закона, указанные государственные органы и организации обязаны разместить в соответствии с порядком размещения и обновления биометрических персональных данных, установленным в соответствии с пунктом 1 части 2 статьи 6 настоящего Федерального закона, такие биометрические персональные данные в единой биометрической системе без получения ими согласия соответствующего субъекта персональных данных на такое размещение, а также на их обработку оператором единой биометрической системы».
Итак, достаточно человеку хотя бы один раз по той или иной конкретной причине сдать свои биометрические персональные данные в любую информационную систему, как они по этому законопроекту обязательно должны будут быть размещены в ЕБС, причем согласие человека на это уже не требуется.
Далее, правда, делается оговорка, что государственные органы и организации не позднее чем за 30 дней до планируемого размещения биометрических персональных данных в единой биометрической системе обязаны уведомить субъекта персональных данных в любой позволяющей подтвердить факт получения уведомления форме о таком размещении.
В случае получения до истечения указанного в настоящей части срока возражения от субъекта персональных данных против размещения его персональных данных в единой биометрической системе указанное размещение не осуществляется. Однако не все люди обратят внимание на это уведомление, если, например, оно придет ему среди десятков других сообщений на электронную почту.
Кроме того, не исключено, что эта оговорка сделана на переходный период для успокоения народа, а после того, как ПФЗ будет принят, данную оговорку через какое-то время уберут и данная возможность принудительно не попасть в ЕБС будет ликвидирована.
Ч. 2 ст. 23 устанавливает, что государственные органы, организации финансового рынка и иные организации, в которых в соответствии с федеральными законами собраны биометрические персональные данные, обязаны обеспечить размещение биометрических персональных данных в единой биометрической системе в срок до 30 сентября 2023 года.
В статье 5 законопроекта, посвященной региональным сегментам единой биометрической системы, также устанавливается, что в случае запросов владельцев региональных сегментов единой биометрической системы оператор ЕБС предоставляет им векторы единой биометрической системы в целях осуществления аутентификации, причем согласие физического лица на передачу этих векторов также не требуется (ч. 4).
Вектор единой биометрической системы ст. 1 ПФЗ определяет как «персональные данные, являющиеся результатом обработки биометрических персональных данных физического лица, содержащихся в единой биометрической системе, произведенной с использованием информационных технологий и технических средств, соответствующих требованиям, определенным в соответствии с пунктом 1 части 2 статьи 6 настоящего Федерального закона, не подпадающие под действие статьи 11 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»».
Напомним, что ст. 11 данного ФЗ устанавливает, что сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных.
Хотя Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» и не является идеальным, но даже он устанавливает обязательное требование о наличии согласия в письменной форме субъекта персональных данных, которое автором данного законопроекта «обнуляется». Мы видим, что раз попав в любую информационную систему, биометрические персональные данные начнут свободно циркулировать как из отдельных информационных систем в ЕБС, а из нее к владельцам региональных сегментов ЕБС.
П. 5 ч. 5 ст. 23 ПФЗ подводит итог в этой сфере: «согласие физического лица на передачу его биометрических персональных данных в единую биометрическую систему из региональных сегментов единой биометрической системы, на обработку в единой биометрической системе, а также согласие на передачу векторов единой биометрической системы из единой биометрической системы в региональный сегмент единой биометрической системы в соответствии с пунктом 4 настоящей части не требуется».
Другим «приятным» сюрпризом является воспроизведение ч. 7 ст. 3 ПФЗ недавно введенной ч. 18.1 ст. 14.1 Федерального закона от 27.07.2006 N 149-ФЗ (ред. от 14.07.2022) "Об информации, информационных технологиях и о защите информации":
«Федеральные органы исполнительной власти, уполномоченные в области безопасности, государственной защиты, государственной охраны и внешней разведки, вправе направлять мотивированный запрос оператору единой биометрической системы и владельцам региональных сегментов единой биометрической системы, о блокировании, об удалении, уничтожении биометрических персональных данных отдельных физических лиц в соответствии с законодательством Российской Федерации о государственной защите отдельных физических лиц, о внесении иных изменений в сведения, содержащиеся в единой биометрической системе или региональных сегментах единой биометрической системы, в случаях, предусмотренных законодательством Российской Федерации, а также обрабатывать указанные сведения в случаях и в порядке, которые предусмотрены законодательством Российской Федерации».
С незначительными изменениями это положение повторяется и в п. 5 ч. 7 ст. 5 ПФЗ, посвященной региональным сегментам ЕБС:
«по мотивированному запросу федеральных органов исполнительной власти, уполномоченных в области безопасности, государственной защиты, государственной охраны, внешней разведки, блокирует, удаляет, уничтожает биометрические персональные данные физических лиц, вносит иные изменения в сведения, содержащиеся в региональном сегменте единой биометрической системы, в случаях, предусмотренных законодательством Российской Федерации, а также предоставляет доступ к указанным сведениям в случаях, предусмотренных законодательством Российской Федерации для реализации указанными федеральными органами исполнительной власти своих полномочий».
Этой же возможностью планируется наделить и оператора ЕБС: по его мотивированному запросу, направленному в соответствии с законодательством Российской Федерации, владелец регионального сегмента единой биометрической системы блокирует, удаляет, уничтожает биометрические персональные данные и векторы единой биометрической системы, а также вносит иные изменения в сведения, содержащиеся в региональном сегменте единой биометрической системы (п. 9 ч. 7 ст. 5 ПФЗ, похожие положения содержатся также в пп. 6 и 8 ч. 2 ст. 8 ПФЗ).
*продолжение в чч. 2, 3