Как законодательство Узбекистана защищает сбор и хранение биометрических данных

Проблема создания действенных систем регулирования и обеспечения безопасности в процессе сбора и использования личных данных приобретает особую важность на фоне участившихся инцидентов мошенничества с личными данными людей. В скором времени особенно остро встанет задача обеспечения сбора, хранения, использования и защиты такого рода персональных данных, как биометрические. В этой статье мы рассмотрим законодательные аспекты, касающиеся сбора и использования биометрических данных.

Сбор, хранение, а также предоставление биометрических данных граждан Узбекистана регулируется Законом Республики Узбекистан «О персональных данных» № ЗРУ-547 от 02.07.2019 г.. Согласно закону, под биометрическими данными понимаются персональные данные, которые характеризуют анатомические и физиологические особенности субъекта. Обработка биометрических данных правомерна только при наличии согласия субъекта биометрических данных. Согласие не требуется в следующих случаях:

• реализация международных договоров Республики Узбекистан;
• осуществление правосудия;
• исполнительное производство;
• иными случаями, предусмотренными законодательством.

Что касается хранения биометрических данных в электронной форме вне информационных систем, это может осуществляться только на материальных носителях информации, исключающих несанкционированный доступ к ним. Тем не менее законодательство не уточняет, что относится к таким носителям информации.

Кроме того, действующее законодательство Республики Узбекистан не имеет отдельного закона, регулирующего обработку биометрических данных. Обработка биометрических данных осуществляется в соответствии с общими положениями об обработке персональных данных, под которой понимается реализация одного или совокупности действий по сбору, систематизации, хранению, изменению, дополнению, использованию, предоставлению, распространению, передаче, обезличиванию и уничтожению персональных данных (ст. 4 Закона РУз «О персональных данных»).

Если опираться на опыт стран Центральной Азии в отношении биометрических данных, то отдельный закон о регулировании биометрических данных принят и действует лишь в Кыргызстане. Закон Кыргызской Республики о биометрической регистрации граждан был принят 14 июля 2014 года. В статье 3 данного закона говорится о том, что сбору, обработке, хранению и использованию в обязательном порядке подлежат такие биометрические данные, как:

1) цифровое графическое изображение лица;

2) графическое строение папиллярных узоров пальцев обеих рук;

3) собственноручная подпись.

В Узбекистане вышеперечисленные биометрические данные подлежат сбору при выдаче идентификационных ID-карт гражданам Узбекистана. Несмотря на то, что Закон «О персональных данных» содержит лишь общее определение понятия биометрических данных, в других нормативно-правовых актах можно найти данные, которые включены в биометрические данные. Так, согласно Указу Президента Республики Узбекистан «О мерах по внедрению идентификационных ID-карт в Республике Узбекистан» от 22.09.2020 г. электронное носимое устройство (чип) ID-карты должно содержать цифровое фото, а по достижении лицом 16 лет – отпечатков пальцев рук, а также электронной цифровой подписи (ЭЦП), которая действительна в период действия ID-карты.

Таким образом гражданин Республики Узбекистан по достижении 16 лет впервые предоставляет биометрические данные в виде отпечатков пальцев рук, а также ЭЦП государственным органам (подразделения миграции и оформления гражданства органов внутренних дел, центры государственных услуг).

Совокупность собранных биометрических данных формируется в базу данных, которая подлежит регистрации в Государственном центре персонализации при Кабинете Министров Узбекистана. Порядок формирования и ведения Государственного реестра баз персональных данных определяется Положением о Государственном реестре баз персональных данных, утвержденное Постановлением Кабинета Министров Республики Узбекистан от 08.02.2020 г. № 71. Ведение данного реестра возложено на Уполномоченный государственным орган в области персональных данных – Государственный центр персонализации при Кабинете Министров Республики Узбекистан, который в свою очередь реализует государственную политику в сфере персональных данных, осуществляет контроль за соблюдением законодательства о персональных данных, выносит обязательные для исполнения юридическими и физическими лицами предписания об устранении нарушений законодательства о персональных данных, а также выполняет иные функции, предусмотренные в статье 8 Закона Республики Узбекистан «О персональных данных».

Примечательно то, что понятийные аппараты перечисленных нормативно-правовых актов не конкретизируют виды биометрических данных, на которые распространяется действующее законодательство Республики Узбекистан. Лишь в п. 1 Приказа Министра юстиции Республики Узбекистан «Об утверждении типового порядка обработки персональных данных» от 15 ноября 2023 года указывается, что в понятие биометрических данных входят отпечатки пальцев, черты лица, цвет глаз, особенности голоса и т.п. Тем не менее данный перечень не является исчерпывающим.

Согласно исследованию Дэвида Смита, криптографа с 12-летним опытом работы в государственном и частном секторах, к пяти распространенным техникам идентификации биометрических данных относятся:

1. Идентификация по отпечаткам пальцев. Идентификация по отпечаткам пальцев считается самым распространенным способом защиты данных. В его основе лежит считывание уникальных линий на поверхности пальцев, которые впоследствии фиксируются в виде изображения.
2. Распознавание по радужной оболочке глаза. Идентификация по радужной оболочке глаза основывается на использовании сканера, который считывает уникальные характеристики с человеческого глаза, а затем преобразует информацию в зашифрованный штрих-код.
3. Распознавание лица. Что касается идентификации по лицу, то она также является надежным методом защиты личных данных, действующим за счет считывания уникальных физиологических параметров человека. Данный метод был использован во время регистрации голосующих на всенародном голосовании на референдуме по принятию обновленной Конституции Узбекистана 30 апреля 2023 года. Именно тогда впервые была апробирована система биометрической идентификации голосующих путём сканирования паспорта и идентификации лица. Кроме того, данный метод широко применяется для предотвращения и раскрытия преступлений.

К примеру, по данным издания Gazeta.uz в октябре 2019 года Управления координации деятельности органов внутренних дел (УКД ОВД) 9 из 11 районов Ташкента получили по одному мобильному центру на базе автобусов, которые оснащены камерами, а также имеют функцию распознавания лиц, с углом обзора 360 градусов. Система видеонаблюдения интегрирована с базой данных органов внутренних дел для быстрого установления личности.

Мобильные центры посредством GPS отслеживают расположение служебных автомобилей ОВД на территории района для сообщения им о правонарушениях, совершаемых поблизости. Данные меры приняты в соответствии с созданием комплекса «Безопасный город», внедрение которого утверждено ПП РУз №3245 от 29.08.2017. Комплекс предусматривает системы видеонаблюдения, видео-аналитики и автоматизированной информационной системы приема и регистрации сообщений о преступлениях и происшествиях по г. Ташкенту.

4. Распознавание голоса. С помощью голосовой идентификации считываются физические и поведенческие маркеры в речи человека. Голос является быстрым и удобным методом идентификации практически для всех устройств. Однако наличие внешнего фонового шума, возможность записи вашего голоса мошенниками или дипфейки значительно повышают риск взлома.
5. Распознавание рисунка вен ладони. Идентификация с помощью рисунка вен ладони основана на сканировании рисунка вен с помощью инфракрасных лучей на специальных устройствах. К примеру, в ноябре 2023 года столичное метро в тестовом режиме запустило оплату проезда по ладони (Palm-ID). Система работает, основываясь на сканировании расположения вен ладони пассажиров. В настоящее время данная функция доступна на станции «Дружба народов» ташкентского метрополитена.

Почему же так важно разграничивать виды биометрии в действующем законодательстве? Дело в том, что совершенствование информационных технологий, а также внедрение их в нашу повседневную жизнь нередко предусматривает использование биометрических данных для идентификации личности. Биометрические данные используются в различных областях, включая доступ к государственным услугам, банковское дело, общественный транспорт и многое другое. К примеру, предоставление биометрических данных также требуется для получения доступа к единой системе идентификации «Электронное правительство» через систему One ID (https://id.egov.uz). Эта система помогает удаленно идентифицировать личность в следующих случаях:

• При пользовании государственными услугами через Единый портал интерактивных государственных услуг (https://my.gov.uz/ru);
• При просмотре данных о трудовой деятельности через Единую национальную систему труда (https://my.mehnat.uz);
• При использовании электронными нотариальными услугами (https://e-notarius.uz/);
• При отправке электронных обращений через виртуальную приемную президента (https://pm.gov.uz/ru);
• При электронной подаче налоговых деклараций (https://my.soliq.uz/main/ );
• При участии в решении важных вопросов жизни общества через Портал коллективных обращений (https://meningfikrim.uz/ru).

Согласно п. 4.1. Пользовательского соглашения для регистрации в системе One ID физическое лицо, как пользователь должно указать следующие данные:

• биометрические паспортные данные (ПИНФЛ, серию и номер биометрического паспорта, дату рождения),
• действительный номер мобильного телефона, для получения кода первичной активации учетной записи и восстановления учетной записи, в случае утери логина или пароля;
• действительный адрес электронной почты, для восстановления учетной записи, в случае утери логина или пароля,
• При наличии сертификата ключей ЭЦП пользователь вправе подтвердить свою учетную запись в момент регистрации с использованием ЭЦП. При отсутствии сертификата ключей ЭЦП подтверждение учетной записи с использованием ЭЦП можно осуществить в момент последующих авторизаций в системе.

Согласно п. 23 Положения о единой информационной системе идентификации пользователей системы «Электронное правительство», утвержденном ПКМ №365 от 17.12.2015 г. ответственность за несанкционированный доступ к персональным данным пользователей в единой системе One ID несут владельцы информационных систем и Министерство по развитию информационных технологий и коммуникаций Республики Узбекистан.

Система One ID также интегрирована с кредитными и платежными организациями и позволяет осуществлять удаленную проверку и идентификацию пользователя для оказания своих услуг. Процедура цифровой идентификации предусмотрена в Постановлении Правления Центрального банка Республики Узбекистан «Об утверждении положения о порядке цифровой идентификации клиентов» (зарегистрировано Министерством Юстиции Республики Узбекистан № 3322 от 30.09.2021г.). Соответствующее положение, утвержденное указанным Постановлением распространяет свое действие на порядок и условия цифровой идентификации физических лиц со стороны банков, микрофинасновых организаций, ломбардов и платежных организаций. Кредитная или платежная организация может осуществлять проверку посредством ответственных сотрудников либо без человеческого фактора в режиме реального времени посредством своих информационных систем.

Оба метода предусматривают предоставление клиентом:

• данных из документа, удостоверяющего личность (биометрический паспорт или ID-карта или водительское удостоверение нового образца), которые впоследствии сверяются с электронной системой One ID (далее – центральная база данных);
• номера мобильного телефона, (подключение к мобильному телефону, для отправки SMS-сообщения).

При проверке и идентификации лица с участием ответственного сотрудника платежной организации, он направляет запрос в центральную базу данных для последующей сверки с фотографией, находящейся в документе, удостоверяющем личность лица.

Сотрудник кредитно-платежной организации может также установить сеанс онлайн-видеоконференции с клиентом, для проверки принадлежности полученных документов конкретному клиенту.

Информационная система организации при проверке и идентификации личности клиента без человеческого фактора получает от клиента серию и номер документа, удостоверяющего личность (биометрический паспорт или ID-карта или водительское удостоверение нового образца) или ПИНФЛ и дату рождения физического лица или все эти данные, а также его фото или видео в режиме реального времени.

Кроме того информационная система организации для проверки и идентификации личности отправляет запрос в центральную базу данных и получает персональные данные клиента для последующего сравнения с предоставленными данными, а именно:

– цифровую фотографию (при наличии),

– ПИНФЛ,

– дату выдачи, срок действия и место выдачи биометрического паспорта или ID-карты;

– Ф.И.О. (латиницей),

– сведения о поле, стране рождения, месте рождения, национальности, гражданстве и месте постоянного или временного проживания.

Кредитно-платёжные организации используют для цифровой идентификации клиента собственные информационные системы или информационные системы, предоставляемые третьими лицами на основании договора.

Важно, что для обеспечения безопасности персональных данных, информационные системы, используемые для цифровой идентификации клиентов, должны:

• быть размещены на серверах на территории Узбекистана,
• обеспечивать перекрестное шифрование при передаче информации,
• предусматривать использование только созданных в режиме реального времени фотографий и (или) видеозаписей,
• быть защищены от замены фотографии и (или) видеозаписи и от искажения, использования ранее созданных фотографии и (или) видеозаписи,
• позволять идентифицировать попытки клиентов использовать фотографию и (или) видеозапись других клиентов.

Для дальнейшего совершенствования законодательства Республики Узбекистан в отношении сбора, хранения и предоставления биометрических данных авторы данной статьи предлагают:

1. Осуществлять дальнейшее совершенствование законодательства в области биометрических данных посредством принятия отдельного закона, направленного на регулирование обработки биометрических и генетических данных в Республике Узбекистан.
2. Дать четкое определение видам биометрии, а также способам аутентификации и идентификации личности посредством информационных систем.
3. Регламентировать порядок и способы взаимодействия государственных баз данных, содержащих биометрические и иные персональные данные физических лиц с информационными системами государственных органов и частных компаний.
4. Определить перечень материальных носителей информации, исключающих несанкционированный доступ к ним для обеспечения сохранности биометрических данных граждан Республики Узбекистан.
5. Повышать правовую и техническую осведомленность граждан Республики Узбекистан в области биометрических данных в условиях развития информационных технологий и роста информационных правонарушений.

Илхом Хамидов, юрист Юридической клиники для журналистов

Малика Камалова, юрист ООО «Perspective Consulting»