Антон Горелкин: Никто не заставит россиян сдавать биометрию против их воли
Если компания откажется удалять персональные данные человека или предоставлять услуги, против нее могут открыть дело
Собранные коммерческими компаниями, в том числе банками, биометрические данные людей должны быть переданы в единую государственную систему или, по желанию их владельца, уничтожены. Ни одна организация не вправе отказать в предоставлении услуг человеку, если он не использует биометрию. Об этом в интервью «Парламентской газете» рассказал автор принятого в первом чтении законопроекта о защите биометрических данных, зампред Комитета Госдумы по информационной политике Антон Горелкин.
— Зачем понадобилось собирать биометрические данные в единую систему?
— На данный момент коммерческие организации уже собрали 70 миллионов образцов биометрических данных россиян. Активный сбор они начали несколько лет назад в условиях правового вакуума и тогда могли злоупотреблять любыми требованиями к безопасности, поскольку их, по сути, не существовало. Сбор и обработка биометрии сейчас абсолютно неконтролируемы, люди не знают, кому они давали согласие на обработку, как хранят и защищают их данные. Каждая организация собирает свою биометрическую базу, многие из них в силу небольших штрафов за обработку персональных данных не уделяют должного внимания их защите, что создает риски утечек. Низкий уровень защиты биометрии отмечается в большинстве компаний.
Джинна из бутылки выпустили еще в 2013 году, когда компания Apple представила встроенный в смартфон считыватель отпечатков пальцев для разблокировки устройства. Тогда уже в России было больше 20 миллионов пользователей их устройств. Позднее в смартфонах появился распознаватель лица Face ID, который многим нравится, но это тоже сбор биометрии. В 2015 году в России начали выдавать биометрические паспорта, а с 2021 года Москва начала развивать свои системы FacePay. Поэтому вопрос отдельной дискуссии — почему такой законопроект не появился несколько лет назад.
— Почему государство должно быть монополистом в этом вопросе?
— Сегодня мы наблюдаем масштабные утечки данных, которые случаются в том числе у медицинских лабораторий, у крупнейших игроков рынка в самых разных сферах. Низкий уровень защиты персональных данных стал обычным делом для коммерческого сектора. Сейчас Минцифры работает над проектом оборотных штрафов для компаний, чтобы они соответствовали ущербу от утечек. Чтобы компаниям дешевле было все-таки оплачивать системы безопасности и нанимать качественных специалистов, а не экономить, как они привыкли. Кстати, законопроект о ГИС ЕБС также готовился совместно с Минцифры.
Что касается биометрии, государство должно взять на себя всю полноту ответственности за нее, поскольку это очень чувствительные данные. В последние месяцы на российские системы и сервисы было совершено множество кибератак, но ни одной утечки из государственных информсистем допущено не было, потому что только государство может позволить себе не экономить на информационной безопасности.
Сегодня некие активисты распространяют по соцсетям инструкции, как направить отрицательную реакцию на законопроект, отменить его. Они пользуются тем, что людям некогда прочитать документ, в котором 115 страниц, и придумывают то, чего в нем нет, говорят о создании «цифрового концлагеря». Интересно, где были эти активисты, когда банки начали активно собирать данные с граждан? Так вот, наш проект не позволит состояться «цифровому концлагерю» в России.
— Что будет с уже собранными частными компаниями данными?
— Закон позволит изъять их из коммерческого сектора и поместить в государственную биометрическую систему. Алармисты говорят, что в таком случае опасность только вырастет, мол, если взломают эту единую базу, то утечки могут быть очень масштабными. Но система устроена сложнее: биометрические слепки находятся в одном секторе, а фамилия и другая идентифицирующая их владельца информация — в другом, это единая система идентификации и аутентификации (ЕСИА). Это как два разных ключа, и один без другого не работает. Это позволяет построить децентрализованный механизм защиты, который к тому же сертифицирован ФСБ.
Все данные, которые находятся в коммерческих компаниях, они будут обязаны передать в государственную систему, предварительно спросив разрешения у их владельца. Если он не хочет, то данные должны быть уничтожены, и госсистема их не получит. Это право четко закреплено в законопроекте. Если коммерческая компания по каким-то причинам данные не уничтожит, то ей будет грозить уголовное дело. Думаю, это никому не нужно.
Поправками ко второму чтению мы предусмотрели механизм «активного отказа», который позволит гражданам в инициативном порядке запретить любую обработку или передачу биометрических данных в целях идентификации и аутентификации.
— Смогут ли компании отказывать в предоставлении услуг тем, кто не сдал биометрию?
— Это невозможно. У человека всегда должен быть выбор, и мы вместе с Правительством РФ и Комитетом Госдумы по информационной политике еще раз отразим это в нашем законопроекте. Обращаясь в госорган или любую коммерческую организацию, человек может использовать любой способ идентификации, и если он выбирает для этого обычные бумажные документы, то ему такая возможность должна быть предоставлена. Это незыблемое право, поэтому я поддерживаю предложение Патриархии по созданию координационного совета, который будет за этим следить.
— В каких сферах у биометрии самые большие перспективы?
— Если человек хочет использовать биометрию для получения услуг, то он добровольно может сдать эти данные в государственную систему. На сегодня такая идентификация возможна в различных сферах — проезд в транспорте, оплата услуг, проход на стадионы, в бизнес-центры и на различные объекты, открытие банковского счета и заключение договора на услуги связи, получение образовательных услуг, участие в судебных заседаниях и другое. Но при этом ни одна организация не может препятствовать в предоставлении этих услуг тем людям, которые свою биометрию сдавать не желают. А после принятия законопроекта у каждого из нас появится возможность на «Госуслугах» контролировать данные ранее согласия на обработку его биометрии или уничтожить ее по нажатию одной кнопки.
Ещё материалы: Антон Горелкин