$

2.5973 руб.

2.8478 руб.

Р (100)

3.2869 руб.

Ставка рефинансирования

8.75%

ИТ-технологии

Почему срочно нужен закон о персональных данных? Дистанционные услуги банков могут выпасть из правового поля

19.11.2019
Почему срочно нужен закон о персональных данных? Дистанционные услуги банков могут выпасть из правового поля
Александр Кирильчик

Указ от 01.12.2015 № 478 «О развитии цифровых банковских технологий» совершил настоящую революцию на белорусском финансовом рынке. Запуск межбанковской системы идентификации позволил любому юридическому или физическому лицу стать клиентом кредитно-финансовых организаций (банков) без визита в банк или офис обслуживания.
Но уже сегодня очевидны проблемы и противоречия в действующих нормативных актах, которые могут свести на нет реализацию этой идеи.

Среди новаций в регулируемой сфере – использование биометрических данных клиентов-физлиц в целях их идентификации или аутентификации. Наиболее важным документом, продвигающим это направление, стал Указ от 18.04.2019 № 148 «О цифровых банковских технологиях» (далее – Указ № 148), вступивший в силу 21 ок­тября.

 

Что это такое

Для начала приведем определения базовых терминов «аутентификация» и «идентификация».

Аутентификация – это процедура проверки данных, представленных клиентами, их представителями, путем их сравнения с данными, ранее зафиксированными пользователями системы идентификации и государственными органами.

Идентификация – это комплекс мероприятий по установлению данных о клиентах, их представителях (определенных Законом от 30.06.2014 № 165-З «О мерах по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения» и Нацбанком), а также подтверждению достоверности этих данных.

Таким образом основное отличие идентификации от аутентификации в том, что первая представляет собой первичное установление данных о клиенте (его представителях) и проверку их достоверности, а вторая состоит в сравнении уже имеющихся данных с вновь представляемыми клиентами для получения доступа к какой-либо системе. То есть невозможно осуществить аутентификацию клиента, если он не идентифицирован, поскольку идентификация всегда первична.

 

Суть нововведений

Инновационность Указа № 148 состоит в том, что он впервые закрепляет возможность осущест­вления удаленной идентификации. Это значит, что автоматически будут распознаваться биометрические данные клиентов банка (транслируемое изображение лица) и фотография из документа, удостоверяющего личность, а затем сравниваться компьютером (подп. 1.7).

Аутентификация с использованием биометрических данных клиентов прямо в Указе № 148 не урегулирована, однако в нем определено право ОАО «НКФО «Единое расчетное и информационное пространство» (далее – НКФО ЕРИП) оказывать услуги по аутентификации клиентов, их представителей (представлять данные о клиентах, содержащиеся в системе идентификации, пользователям этой системы и государственным органам).

Безусловно, Указ № 148 является важным шагом на пути к развитию цифровых технологий и последующему расширению использования биометрических данных клиентов банков. Эта сфера регулирования находится в соприкосновении с другой областью – отношениями, связанными с хранением и защитой персональных данных физлиц. Эти вопросы являются важными как для нацио­нального, так и для международного регулирования, подтверж­дением чему может служить один из самых обсуждаемых межгосударственных нормативных актов – Общий регламент по защите данных, утв. Парламентом ЕС в апреле 2016 г. и вступивший в силу 25.05.2018 (см. «Защита персональных данных – миф или реальность? Кто и зачем собирает ваши личные данные»).

 

Ваши фото, голос и отпечатки с юридической точки зрения

Биометрические данные согласно Указу № 148 – это сведения (фото- и видеоизображение, голос), характеризующие физиологические и биологические особенности человека, используемые для его идентификации.

Для определения понятия персональных данных необходимо обратиться к Закону от 10.11.2008  № 455-З «Об информации, информатизации и защите информации» (далее – Закон): под ними понимаются как данные физлица, вносящиеся в регистр населения, так и иные данные, позволяющие его идентифицировать  (ст. 1).

Очевидно, что перечисленные в Указе № 148 биометрические дан­ные однозначно подпадают под определение персональных данных, которое дано в Законе, поскольку используются именно с целью идентификации.

Если обратиться к ст. 18 Закона, то мы увидим, что сбор, обработка, хранение информации о частной жизни физлица и его персональных данных, а также пользование ими осуществляются исключительно с письменного согласия дан­ного физлица. Иное может быть установлено законодательными актами РБ.

Порядок получения, передачи, сбора, обработки, накопления, хранения и представления информации о частной жизни физлица и его персональных данных, а также пользования ими устанавливается законодательными актами.

Напомним, что к законодательным актам относятся Конституция Рес­публики Беларусь, законы, декреты и указы Президента, но не нормативные акты иных государственных органов.

Таким образом, если предположить, что именно порядок получения, передачи, сбора, обработки, накопления, хранения и представления биометрических данных физлиц установлен в Указе № 148, то вполне логично обратиться к его нормам.

 

Что можно банкам

Итак, Указом № 148 определено право НКФО ЕРИП оказывать услуги по аутентификации и представлять содержащиеся в системе иден­тификации данные. Установленный порядок представления данных из такой системы не является нарушением банковской или иной охраняемой законом тайны (подпункты 1.9, 1.10).

Однако следует отметить, что в отношении самостоятельного осуществления банками (и другими пользователями межбанковской системы идентификации (МСИ), предоставляющими финансовые услуги) удаленной идентификации с использованием биометрических данных, Указ № 148 содержит более аккуратные формулировки.

Так, в случае отсутствия в МСИ данных о клиентах или их представителях для идентификации таких лиц без их личного присутствия может проводиться процедура удаленной идентификации (подп. 1.7) пользователями МСИ.

Ее возможно проводить с использованием информационных сетей (систем), программно-аппаратных средств и технологий (ПАСТ). С физлицом устанавливается видео­связь и далее следует автоматическое распознавание и сравнение биометрических данных клиента или его представителя и фото­графии из документа, удостоверяющего лич­ность.

При этом Указом № 148 определено, что Нацбанком и Совмином в пределах их компетенции определяется механизм проведения процедуры удаленной идентификации, а также устанавливаются правила использования ПАСТ при получении и последующем хранении информации, полученной в целях совершения банковских и других финансовых операций. К ним относятся оказание услуг, иная деятельность и сделки от клиентов банков – физлиц, включая их персональные данные (в т.ч. биометри­ческие).

По сути самостоятельное проведение банками удаленной идентификации клиентов с использованием их биометрических данных может проводиться на собственный страх и риск, пока указанными выше гос­органами не будут определены соответствующие случаи и условия проведения удаленной идентификации, а также порядок использования информации о биометрических данных клиентов.

Поскольку нормативный правовой акт Совмина и Нацбанка не является законодательным, в ближайшей перспективе было бы крайне желательно внесение изменений в положения Закона: на наш взгляд, в ч. 3 ст. 8 следует расширить перечень нормативных актов, регулирующих порядок получения, передачи, сбора, обработки, накопления, хранения и представления персональных дан­ных физлиц, а также пользования ими.

 

Что надо корректировать

В целом следует отметить положительное влияние на развитие цифровых технологий принятого Указа № 148, однако стала очевидной необходимость более полной унификации законодательства.

Так, сопоставляя нормы Закона и Указа № 148, мы видим, что их сферы регулирования (цифровые бан­ковские технологии и защита ин­формации) пересекаются в части обработки и обращения с персональными (в т.ч. биометрическими) данными физлиц. Однако органы, принимающие подзаконные акты в этих областях, отличаются.

Согласно ст. 8 Закона госрегулирование и управление в области информации, информатизации и защиты информации осуществляются Президентом, Совмином, НАН Беларуси, ОАЦ, Минсвязи и иными гос­органами в пределах их компетенций. В то же время в рамках положений Указа № 148, наряду с Совмином, госорганом, ответственным за принятие подзаконных актов в развитие его положений, является Нацбанк.

Во избежание пробелов в правовом регулировании полагаем целесообразным для развития Указа № 148 внести изменения в Закон на предмет упрощения возможностей использования персональных (в т.ч. биометрических) данных физлиц с учетом развития цифровых и иных технологий.

Безусловно, прояснить ситуацию сможет принятие закона о персональных данных.

Использование материала в полном объеме запрещено без получения предварительного письменного разрешения в электронном виде редакции neg.by. За разрешением обращаться на op@neg.by

Автор публикации: Александр КИРИЛЬЧИК, юрист