08 жовтня 2019, 15:18

Біометричні дані: збір і захист у Європі, США та Україні

Опубліковано в №40 (694)

Сергій Бригинець
Сергій Бригинець «Evris» юрист практики інтелектуальної власності

Чи є реальною атака «аватарів» на наше життя? Про це та багато іншого піде мова у цій статті.


Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час!


Коротка історія

Питання є достатньо актуальним для сьогодення, хоча перша відома каталогізація біометричних даних відбулась 128 років тому (рання каталогізація відбитків пальців Хуаном Вучетичем, Аргентина), а термін «біометрія» вперше був вжитий майже 130 років тому Френсісом Гальтоном.

Що відтоді змінилося? Нічого. І все! Так само продовжується збір даних, але не тільки й не стільки на папері, адже ми живемо в еру цифрових технологій (відбувається діджиталізація). До того ж зараз у більшості випадків ми навіть не підозрюємо про збір наших даних. Вже значно розширилися можливості обробки та поширення біометричних даних.

Що таке біометричні дані, біометричні параметри, біометрія?

Біометричні дані — це сукупність даних про особу, зібраних на основі фіксації її характеристик, що мають достатню стабільність та суттєво відрізняються від аналогічних параметрів інших осіб (біометричні дані, параметри — відцифрований підпис особи, відцифрований образ обличчя особи, відцифровані відбитки пальців рук) (ст. 3 Закону ЄДДР).

Біометричні параметри — це вимірювальні фізичні характеристики або особистісні поведінкові риси, які використовуються для ідентифікації (впізнання) особи або верифікації наданої ідентифікаційної інформації про особу (ст. 3 Закону ЄДДР).

Біометрія — це сукупність автоматизованих методів і засобів ідентифікації людини, заснованих на її фізіологічній або поведінковій характеристиці (інтернет-портал «Вікіпедія»).

Біометрика сьогодні охоплює найрізноманітніші технології, в яких для ідентифікації та автентифікації використовуються унікальні атрибути людей.

Що належить до біометричних даних?

У вузькому розумінні — відбиток пальця людини, райдужної оболонки ока або сітківки, особливості кінцівок, обличчя, вухо, відбиток язика, голос, розташування вен, ДНК, ЕКГ, підпис.

У широкому розумінні — поведінка людини (в частині особливостей, які можна виокремити): фізичні рухи (спосіб ходи); сила/швидкість натискання на екран, клавіатуру; спосіб, яким індивідуум вводить дані (пальцем (яким саме), стилусом), як утримує пристрій (наприклад, кут нахилу телефона) тощо.

Для чого використовуються біометричні дані?

Біометричні дані використовуються для перевірки особи (автентифікації) з метою надання права доступу до пристроїв, приміщень, транспорту та інформації, для здійснення платежів, перетину державних кордонів та отримання послуг.

Отже, збір, використання та обробка біометричних даних вже давно увійшли до нашого життя. Водночас актуальність безпеки даних постійно зростає. Допоки дехто з нас обирає бути «відлюдником» чи «потрапити до каталогу», держави та корпорації вже все за нас вирішили. Вони вже навіть встигли злякалися і видати правила збору, використання та обробки біометричних даних.

Як відбувається процедура збору і використання біометричних даних у Європі?

Найвідомішими в Європі правилами є Директива 95/46/ЄС Європейського Парламенту і Ради «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних» від 24.10.1995 р. (далі — Директива), яка застосовувалася до GDPR, а також GDPR (The General Data Protection Regulation, 2016/Загальний регламент захисту даних для європейських держав-членів), який застосовується з 25.05.2018 р. Організації, які не є членами ЄС, підпадають під дію GDPR, коли вони обробляють персональні дані суб'єктів даних ЄС. Фактично це робить GDPR глобальним законом.

GDPR (§1 ст. 9) спеціально виділяє біометричні дані як «чутливу» категорію особистої інформації, гарантуючи надійний захист. GDPR визначає біометричні дані достатньо широко, в багатьох випадках вимагає оцінки впливу на конфіденційність для їх обробки та надає державам-членам можливість здійснювати різні варіанти захисту біометричних даних.

На відміну від Директиви, GDPR спеціально визнає біометричні дані як підмножину чутливих персональних даних, які вважаються «чутливою категорією персональних даних». Зокрема, GDPR визначає біометричні дані як «персональні дані, отримані в результаті специфічної технічної обробки, що стосується фізичних, фізіологічних чи поведінкових характеристик фізичної особи, які дозволяють або підтверджують унікальну ідентифікацію цієї фізичної особи, наприклад, зображення обличчя або дактилоскопічні дані (відбитки пальців)».

Загалом, GDPR було встановлено дві категорії біометричних даних. По‑перше, інформація, що стосується тілесних характеристик (фізичні або фізіологічні особливості людини: обличчя, відбитки пальців, сканування райдужної оболонки ока тощо). По‑друге, інформація, що стосується поведінки людини (будь-які поведінкові характеристики людини, які є унікальними, завдяки чому є можливість ідентифікації людини). На жаль, конкретизація у правилах відсутня.

Важливим добутком GDPR є те, що суб'єкт даних має право відкликати свою згоду в будь-який час, тобто має право бути забутим. Стрімкий розвиток біометричних технологій, невідповідність, пов'язана з поводженням з біометричними даними GDPR, а також можлива розбіжність підходів держав-членів ЄС до біометричних даних вимагатиме більшої уваги та обережності контролерів даних.

Варто зазначити, що у квітні цього року Європарламент схвалив створення однієї з найбільших у світі біометричної бази даних. Нова база даних називатиметься Common Identity Repository (CIR) і буде призначена для об'єднання записів понад 350 млн осіб.

Що в США?

У Сполучених Штатах Америки не існує єдиного, всебічного федерального закону, який регулював би збір та використання біометричних даних. Однак, окрім директив Президента, існує достатньо велика кількість законів, які регулюють зазначені правовідносини в США:

  • Закон «Про захист користувачів кабельних мереж» (The Cable Television Consumer Protectionand Competition Act, 1992);
  • Закон «Про захист конфіденційності відеоматеріалів» (The Video Privacy Protection Act, 1980);
  • Закон «Про конфіденційність» (The Privacy Act, 1974);
  • Закон «Про надання кредитної інформації про покупця» (The Fair Credit Reporting Act, 1970);
  • Закон «Про право на фінансову приватність» (The Rightto Financial Privacy Act, 1978);
  • Закон «Про свободу інформації» (The Freedom of Information Act, 1996);
  • BIPA (Biometric Information Privacy Act, passed by Illinoys (2008), Texas, Washington, Michigan, New Hampshire, Alaska, Montana) — найсуворіший у США закон, який вимагає, щоб люди та організації обробляли біометричні дані, як і всі персональні дані, із заходами безпеки, відповідними шкоді, яку може заподіяти втрата цих даних;
  • CCPA (California Consumer Privacy Act, 2018/Каліфорнійський закон про конфіденційність споживачів) набуває чинності 01.01.2020 р.

Станом на червень 2019 р. у 47 штатах (окрім штатів з BIPA, де існує заборона з метою комерційного використання) законно використовувати програмне забезпечення для визначення особи, застосовуючи зображення, зроблені без згоди, поки вони знаходяться на публіці.

CCPA часто подається як потенційна модель закону про конфіденційність даних США. Фактично, за рівнем впливу CCPA може стати як другий GDPR. Проте цей закон підвищує права на конфіденційність та захист споживачів для жителів штату Каліфорнія. Можна сказати, що тлумачення біометричних даних CCPA більш розширене, якщо порівнювати з GDPR. Це «фізіологічні, біологічні та поведінкові особливості індивіда, включаючи ДНК індивіда, які можуть використовуватися окремо або у поєднанні один з одним чи з іншими ідентифікаційними даними для встановлення особи індивіда».

Якщо коротко, то права, надані CCPA споживачам штату Каліфорнія на захист їхньої особистої інформації та біометричних даних, стосуються можливості видалення отриманих даних (право бути забутим); доступу до даних (право на розголошення або доступ); отримання даних (можливість перенесення даних, тобто дані повинні бути отримані в поширеному загальновживаному форматі); вимоги до компанії не продавати свою особисту інформацію; відмови від участі («Погодження» є основним стандартом згоди, дозволеним європейським GDPR); застосування дії (застосування штрафних санкцій).

Варто звернути увагу на низку постанов у Сан-Франциско (штат Каліфорнія, травень 2019 р.), Сомервілі (штат Массачусетс, червень 2019 р.), Окленді (штат Каліфорнія, 2019 р.), відповідно до яких міста вирішили заборонити застосування технології розпізнавання облич, у тому числі поліцією.

Неможливо не згадати, що найбільша біометрична база даних у світі — в Індії (до найбільшої у світі біометричної бази даних входить понад 90% населення країни, а біометрія використовується всюди) — UIDAI (Unique Identification Authority of India). Унікальний персональний номер, що присвоюється системою, має назву AADHHAAR.

В Україні

В нашій країні ще донедавна продовжувалася боротьба з «міткою звіра», доки в цьому питанні не була поставлена крапка рішенням Верховного суду у складі колегії суддів Касаційного адміністративного суду 26.03.2018 р. у справі №806/3265/17.

Загалом, питання збору, використання та обробки біометричних даних регулюється низкою нормативних актів:

  • Цивільний кодекс України;
  • Закон України «Про Єдиний державний демографічний реєстр та документи, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус» (далі — Закон ЄДДР);
  • Закон України «Про захист персональних даних» (далі — Закон ЗПД);
  • Закон України «Про інформацію»;
  • Закон України «Про правовий статус іноземців і осіб без громадянства»;
  • Закон України «Про біженців та осіб, які потребують додаткового або особливого захисту»;
  • Положення про національну систему біометричної верифікації та ідентифікації громадян України, іноземців та осіб без громадянства, затверджене постановою КМУ від 27.12.2017 р. №1073 (далі — Положення);
  • Інструкція про порядок фіксації біометричних даних (параметрів) іноземців та осіб без громадянства посадовими особами Державної міграційної служби України, її територіальних органів і територіальних підрозділів, затверджена наказом МВС України від 23.11.2018 р. №944 (зареєстрована в МЮ України 17.12.2018 р. за №1428/32880).

Українське законодавство значно вужче захищає права українських громадян, якщо порівнювати з GDPR, BIPA і CCPA, в результаті чого можливі зловживання.

Хоча біометричні технології спрощують автентифікацію та мали б посилювати захист, фактичний збір і зберігання даних створюють нові загрози для нашої безпеки та водночас є причиною виникнення нових проблем (конфіденційності щодо збору та зберігання біометричних даних). Все частіше в ЗМІ ми чуємо про випадки викрадення та/або втрати біометричних даних.

Наскільки надійною є біометрична автентифікація?

Біометричні дані — це буквально частина нас, тому немає ризику забути їх або втратити. Однак, оскільки вони унікальні, то їх неможливо замінити, як пароль. Отже, якщо ваші біометричні дані були порушені, то це набагато більша проблема, ніж втрачений чи викрадений пароль.

Таким чином, рівень безпеки біометричних даних є прямо пропорційним рівню безпеки їх захисту. У зв'язку із зазначеним, найбільш безпечною моделлю захисту персональних даних є їх зберігання шляхом розподілу в різних місцях, а також можливість багаторівневого способу автентифікації індивіда для надання прав доступу.

Найвідоміші витоки біометричних даних та їх наслідки

На сьогодні зафіксовано великі витоки даних у мережах супермаркетів Morrisons (штраф 10,5 тис. фунтів стерлінгів), British Airways (штраф 183 млн фунтів), витік даних 500 млн користувачів Marriott у листопаді 2018 р., Нова Пошта (навесні 2018 р. було повідомлено про витік скріншотів бази паспортних даних клієнтів, позапланова перевірка не знайшла доказів), Uber у грудні 2017 р. (компанія заплатила викуп 100 тис. доларів за нерозголошення даних), Facebook Inc. (існує вже багато справ, в одній з яких штраф становить 5 млрд доларів), Toyota і Lexus (хакери у березні 2019 р. викрали інформацію про власників автівок), Suprema Biostar (серпень 2019 р.), Mastercard (серпень 2019 р.), Habr.com (серпень 2019 р.), Yves Rocher (вересень 2019 р.), Даримакс (РФ, вересень 2019 р.), Novaestrat (витік даних про майже всіх жителів Еквадору, вересень 2019 р.) та багато інших.

Варто звернути увагу на постанову Верховного суду штату Іллінойс від 25.01.2019 р. у справі корпорації Rosenbach v. Six Flags Entertainment Corporation. У цій справі батьки неповнолітньої дитини подали до суду на парк розваг Six Flags Great America в Ґурнелл (штат Іллінойс), стверджуючи, що біометричні дані збиралися без згоди та порушували BIPA (мова йде про сканування квитка з подальшим біометричним скануванням на турнікеті з метою запобігання шахрайству та надання можливості доступу у разі втрати квитка). Верховний суд штату Іллінойс скасував рішення нижчих інстанцій і вирішив, що Six Flags Entertainment Corporation порушили BIPA. Важливим є висновок у справі: «Достатньо того, що збір був неправильним, незважаючи на наслідки (не потрібно доводити завдання шкоди)».

Отже, чи атакуватимуть успішно «аватари»?

Необхідно усвідомлювати, що систему можуть обійти. Існують пристрої розпізнавання обличчя та райдужки ока, які «обдурили» фотографіями. У 2016 р. дослідники компанії Vkansee розблокували iPhone з відбитками пальців, зібраними з Play-Doh. Варто зауважити, що технології також не стоять на місці. З метою протидії такому обходу сканери відбитків пальців тепер можуть виявити пульс, а також було створене програмне забезпечення для розпізнавання обличчя з вимірюванням глибини зображення тощо.

Наскільки це легко? Надскладно, надресурсоємно (в тому числі фінансово), а тому навряд чи буде застосовано до звичайних людей. Біометричні системи безпеки, з належним чином захищеними даними, роблять майже неможливими шахрайські автентифікації звичайних людей. Однак ми все ще знаходимося на початку шляху використання, обробки та безпеки біометричних даних. Навіть передові біометричні системи ще можуть бути вразливими до підробки. Кожен з нас повинен відповідально ставитися до своєї ідентичності та безпеки даних.

0
0

Додати коментар

Відмінити Опублікувати