Биометрические персональные данные могут обрабатываться без письменного согласия гражданина в случаях, установленных программой экспериментального правового режима, следует из пакета поправок Минэкономики, подготовленного в дополнение к законопроекту о «регуляторных песочницах» и опубликованного на regulation.gov.ru 17 июня. Соответствующее уточнение предлагается внести в закон «О персональных данных».
Основной законопроект о «регуляторных песочницах» Минэкономики сейчас дорабатывает ко второму чтению в Госдуме. О первом чтении «Ъ» сообщал 13 мая. Дополнительный пакет поправок сейчас проходит межведомственное согласование, уточнили в Минэкономики.
Само по себе согласие на обработку биометрических персональных данных останется обязательным, но в эпоху цифровой экономики неконструктивно требовать его исключительно в письменном виде на бумаге, пояснили «Ъ» в Минэкономики.
В случае принятия проекта можно будет использовать технологии удаленной биометрической идентификации, например, для дистанционного заключения договоров об оказании услуг связи без посещения салона оператора, указывают там (о соответствующем законопроекте Минэкономики, который поддерживают большинство операторов связи, «Ъ» сообщал 23 июня).
При этом экспериментальный правовой режим налагает существенные ограничения на масштаб самого эксперимента, а к организациям, реализующим такие проекты, предъявляются повышенные требования, в том числе в части контроля и надзора, добавили в Минэкономики.
Сейчас письменное согласие — основное правовое основание для обработки биометрических данных в России, говорит учредитель Ассоциации российских специалистов по защите данных Алексей Мунтян. Применение иных правовых оснований создает потенциальную опасность злоупотреблений, так как гражданин фактически может утратить контроль за обработкой его данных, предупреждает он.
Учитывая неразрывную связь биометрических данных с личностью и невозможность их замены в случае утечки, подобного рода либерализация видится весьма рискованной для гражданина, согласен заместитель председателя комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Александр Савельев. Учитывая, что биометрическая идентификация уже широко распространена в банковской и IT-сфере, утечка таких данных сопряжена, в частности, с рисками получения злоумышленниками доступа к счетам и аккаунтам граждан, добавляет директор Deloitte Legal в СНГ Екатерина Портман.
К вопросам безопасности обработки данных следует с особой тщательностью подходить при разработке цифровых экспериментов, полагает директор по правовым инициативам Фонда развития интернет-инициатив Александра Орехович. Компенсирующей мерой может стать введение права гражданина на заявление, по которому оператор биометрических данных будет обязан в установленный законом срок прекратить обработку этих данных без возможности ее повторного возобновления, предлагает Алексей Мунтян.
Минэкономики само могло бы выступить гарантом сохранности персональных данных граждан в рамках экспериментального правового режима — это не снимет все риски, но позволит возложить обязанность по обеспечению сохранности на государство, обладающее достаточным ресурсом для этого, считает Екатерина Портман.
В целом же технологические эксперименты с персональными данными допустимы и даже полезны, что показывает опыт Великобритании, где «песочницу» для технологических компаний запустили в прошлом году, рассуждает она.
Реалии цифрового мира и в России меняются так быстро, что социальные и регуляторные нормы не успевают за изменением технологий и законодатель вынужден создавать особые условия, говорит ведущий юрист IT-компании КРОК Антон Серяков. Изменения могут сильно упростить ситуацию, полагает директор компании Б-152 Максим Лагутин, подчеркивая, что важно путем публичных обсуждений четко определить цели и сферы, где возможна обработка биометрических персональных данных без письменного согласия, и проводить независимый внешний аудит.
Юлия Степанова
Это тоже интересно: