Почему срочно нужен закон о персональных данных? Дистанционные услуги банков могут выпасть из правового поля
Указ от 01.12.2015 № 478 «О развитии цифровых банковских технологий» совершил настоящую революцию на белорусском финансовом рынке. Запуск межбанковской системы идентификации позволил любому юридическому или физическому лицу стать клиентом кредитно-финансовых организаций (банков) без визита в банк или офис обслуживания. Но уже сегодня очевидны проблемы и противоречия в действующих нормативных актах, которые могут свести на нет реализацию этой идеи.
Среди новаций в регулируемой сфере – использование биометрических данных клиентов-физлиц в целях их идентификации или аутентификации. Наиболее важным документом, продвигающим это направление, стал Указ от 18.04.2019 № 148 «О цифровых банковских технологиях» (далее – Указ № 148), вступивший в силу 21 октября.
Что это такое
Для начала приведем определения базовых терминов «аутентификация» и «идентификация».
Аутентификация – это процедура проверки данных, представленных клиентами, их представителями, путем их сравнения с данными, ранее зафиксированными пользователями системы идентификации и государственными органами.
Идентификация – это комплекс мероприятий по установлению данных о клиентах, их представителях (определенных Законом от 30.06.2014 № 165-З «О мерах по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения» и Нацбанком), а также подтверждению достоверности этих данных.
Таким образом основное отличие идентификации от аутентификации в том, что первая представляет собой первичное установление данных о клиенте (его представителях) и проверку их достоверности, а вторая состоит в сравнении уже имеющихся данных с вновь представляемыми клиентами для получения доступа к какой-либо системе. То есть невозможно осуществить аутентификацию клиента, если он не идентифицирован, поскольку идентификация всегда первична.
Суть нововведений
Инновационность Указа № 148 состоит в том, что он впервые закрепляет возможность осуществления удаленной идентификации. Это значит, что автоматически будут распознаваться биометрические данные клиентов банка (транслируемое изображение лица) и фотография из документа, удостоверяющего личность, а затем сравниваться компьютером (подп. 1.7).
Аутентификация с использованием биометрических данных клиентов прямо в Указе № 148 не урегулирована, однако в нем определено право ОАО «НКФО «Единое расчетное и информационное пространство» (далее – НКФО ЕРИП) оказывать услуги по аутентификации клиентов, их представителей (представлять данные о клиентах, содержащиеся в системе идентификации, пользователям этой системы и государственным органам).
Безусловно, Указ № 148 является важным шагом на пути к развитию цифровых технологий и последующему расширению использования биометрических данных клиентов банков. Эта сфера регулирования находится в соприкосновении с другой областью – отношениями, связанными с хранением и защитой персональных данных физлиц. Эти вопросы являются важными как для национального, так и для международного регулирования, подтверждением чему может служить один из самых обсуждаемых межгосударственных нормативных актов – Общий регламент по защите данных, утв. Парламентом ЕС в апреле 2016 г. и вступивший в силу 25.05.2018 (см. «Защита персональных данных – миф или реальность? Кто и зачем собирает ваши личные данные»).
Ваши фото, голос и отпечатки с юридической точки зрения
Биометрические данные согласно Указу № 148 – это сведения (фото- и видеоизображение, голос), характеризующие физиологические и биологические особенности человека, используемые для его идентификации.
Для определения понятия персональных данных необходимо обратиться к Закону от 10.11.2008 № 455-З «Об информации, информатизации и защите информации» (далее – Закон): под ними понимаются как данные физлица, вносящиеся в регистр населения, так и иные данные, позволяющие его идентифицировать (ст. 1).
Очевидно, что перечисленные в Указе № 148 биометрические данные однозначно подпадают под определение персональных данных, которое дано в Законе, поскольку используются именно с целью идентификации.
Если обратиться к ст. 18 Закона, то мы увидим, что сбор, обработка, хранение информации о частной жизни физлица и его персональных данных, а также пользование ими осуществляются исключительно с письменного согласия данного физлица. Иное может быть установлено законодательными актами РБ.
Порядок получения, передачи, сбора, обработки, накопления, хранения и представления информации о частной жизни физлица и его персональных данных, а также пользования ими устанавливается законодательными актами.
Напомним, что к законодательным актам относятся Конституция Республики Беларусь, законы, декреты и указы Президента, но не нормативные акты иных государственных органов.
Таким образом, если предположить, что именно порядок получения, передачи, сбора, обработки, накопления, хранения и представления биометрических данных физлиц установлен в Указе № 148, то вполне логично обратиться к его нормам.
Что можно банкам
Итак, Указом № 148 определено право НКФО ЕРИП оказывать услуги по аутентификации и представлять содержащиеся в системе идентификации данные. Установленный порядок представления данных из такой системы не является нарушением банковской или иной охраняемой законом тайны (подпункты 1.9, 1.10).
Однако следует отметить, что в отношении самостоятельного осуществления банками (и другими пользователями межбанковской системы идентификации (МСИ), предоставляющими финансовые услуги) удаленной идентификации с использованием биометрических данных, Указ № 148 содержит более аккуратные формулировки.
Так, в случае отсутствия в МСИ данных о клиентах или их представителях для идентификации таких лиц без их личного присутствия может проводиться процедура удаленной идентификации (подп. 1.7) пользователями МСИ.
Ее возможно проводить с использованием информационных сетей (систем), программно-аппаратных средств и технологий (ПАСТ). С физлицом устанавливается видеосвязь и далее следует автоматическое распознавание и сравнение биометрических данных клиента или его представителя и фотографии из документа, удостоверяющего личность.
При этом Указом № 148 определено, что Нацбанком и Совмином в пределах их компетенции определяется механизм проведения процедуры удаленной идентификации, а также устанавливаются правила использования ПАСТ при получении и последующем хранении информации, полученной в целях совершения банковских и других финансовых операций. К ним относятся оказание услуг, иная деятельность и сделки от клиентов банков – физлиц, включая их персональные данные (в т.ч. биометрические).
По сути самостоятельное проведение банками удаленной идентификации клиентов с использованием их биометрических данных может проводиться на собственный страх и риск, пока указанными выше госорганами не будут определены соответствующие случаи и условия проведения удаленной идентификации, а также порядок использования информации о биометрических данных клиентов.
Поскольку нормативный правовой акт Совмина и Нацбанка не является законодательным, в ближайшей перспективе было бы крайне желательно внесение изменений в положения Закона: на наш взгляд, в ч. 3 ст. 8 следует расширить перечень нормативных актов, регулирующих порядок получения, передачи, сбора, обработки, накопления, хранения и представления персональных данных физлиц, а также пользования ими.
Что надо корректировать
В целом следует отметить положительное влияние на развитие цифровых технологий принятого Указа № 148, однако стала очевидной необходимость более полной унификации законодательства.
Так, сопоставляя нормы Закона и Указа № 148, мы видим, что их сферы регулирования (цифровые банковские технологии и защита информации) пересекаются в части обработки и обращения с персональными (в т.ч. биометрическими) данными физлиц. Однако органы, принимающие подзаконные акты в этих областях, отличаются.
Согласно ст. 8 Закона госрегулирование и управление в области информации, информатизации и защиты информации осуществляются Президентом, Совмином, НАН Беларуси, ОАЦ, Минсвязи и иными госорганами в пределах их компетенций. В то же время в рамках положений Указа № 148, наряду с Совмином, госорганом, ответственным за принятие подзаконных актов в развитие его положений, является Нацбанк.
Во избежание пробелов в правовом регулировании полагаем целесообразным для развития Указа № 148 внести изменения в Закон на предмет упрощения возможностей использования персональных (в т.ч. биометрических) данных физлиц с учетом развития цифровых и иных технологий.
Безусловно, прояснить ситуацию сможет принятие закона о персональных данных.