Авторизуйтесь Чтобы скачать свежий номер №32(2726) от 26.04.2024 Смотреть архивы
Смотреть свежий номер №32(2726) от 26.04.2024
Ru
Войти
    picture
    Конвертер валют
    Валюта
    USD:
    3.2385
    EUR:
    3.474
    RUB:
    3.503
    Драгметаллы
    Золото:
    241.58
    Серебро:
    2.82
    Платина:
    94.23
    Палладий:
    105.27
    Назад
    ИТ-технологии
    19.11.2019 10 мин на чтение мин
    «ЭГ» выпуск №86 (2287) от 19.11.2019
    Распечатать с изображениями Распечатать без изображений

    Почему срочно нужен закон о персональных данных? Дистанционные услуги банков могут выпасть из правового поля

    Александр Кирильчик

    Указ от 01.12.2015 № 478 «О развитии цифровых банковских технологий» совершил настоящую революцию на белорусском финансовом рынке. Запуск межбанковской системы идентификации позволил любому юридическому или физическому лицу стать клиентом кредитно-финансовых организаций (банков) без визита в банк или офис обслуживания. Но уже сегодня очевидны проблемы и противоречия в действующих нормативных актах, которые могут свести на нет реализацию этой идеи.

    Среди новаций в регулируемой сфере – использование биометрических данных клиентов-физлиц в целях их идентификации или аутентификации. Наиболее важным документом, продвигающим это направление, стал Указ от 18.04.2019 № 148 «О цифровых банковских технологиях» (далее – Указ № 148), вступивший в силу 21 ок­тября.

     

    Что это такое

    Для начала приведем определения базовых терминов «аутентификация» и «идентификация».

    Аутентификация – это процедура проверки данных, представленных клиентами, их представителями, путем их сравнения с данными, ранее зафиксированными пользователями системы идентификации и государственными органами.

    Идентификация – это комплекс мероприятий по установлению данных о клиентах, их представителях (определенных Законом от 30.06.2014 № 165-З «О мерах по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения» и Нацбанком), а также подтверждению достоверности этих данных.

    Таким образом основное отличие идентификации от аутентификации в том, что первая представляет собой первичное установление данных о клиенте (его представителях) и проверку их достоверности, а вторая состоит в сравнении уже имеющихся данных с вновь представляемыми клиентами для получения доступа к какой-либо системе. То есть невозможно осуществить аутентификацию клиента, если он не идентифицирован, поскольку идентификация всегда первична.

     

    Суть нововведений

    Инновационность Указа № 148 состоит в том, что он впервые закрепляет возможность осущест­вления удаленной идентификации. Это значит, что автоматически будут распознаваться биометрические данные клиентов банка (транслируемое изображение лица) и фотография из документа, удостоверяющего личность, а затем сравниваться компьютером (подп. 1.7).

    Аутентификация с использованием биометрических данных клиентов прямо в Указе № 148 не урегулирована, однако в нем определено право ОАО «НКФО «Единое расчетное и информационное пространство» (далее – НКФО ЕРИП) оказывать услуги по аутентификации клиентов, их представителей (представлять данные о клиентах, содержащиеся в системе идентификации, пользователям этой системы и государственным органам).

    Безусловно, Указ № 148 является важным шагом на пути к развитию цифровых технологий и последующему расширению использования биометрических данных клиентов банков. Эта сфера регулирования находится в соприкосновении с другой областью – отношениями, связанными с хранением и защитой персональных данных физлиц. Эти вопросы являются важными как для нацио­нального, так и для международного регулирования, подтверж­дением чему может служить один из самых обсуждаемых межгосударственных нормативных актов – Общий регламент по защите данных, утв. Парламентом ЕС в апреле 2016 г. и вступивший в силу 25.05.2018 (см. «Защита персональных данных – миф или реальность? Кто и зачем собирает ваши личные данные»).

     

    Ваши фото, голос и отпечатки с юридической точки зрения

    Биометрические данные согласно Указу № 148 – это сведения (фото- и видеоизображение, голос), характеризующие физиологические и биологические особенности человека, используемые для его идентификации.

    Для определения понятия персональных данных необходимо обратиться к Закону от 10.11.2008  № 455-З «Об информации, информатизации и защите информации» (далее – Закон): под ними понимаются как данные физлица, вносящиеся в регистр населения, так и иные данные, позволяющие его идентифицировать  (ст. 1).

    Очевидно, что перечисленные в Указе № 148 биометрические дан­ные однозначно подпадают под определение персональных данных, которое дано в Законе, поскольку используются именно с целью идентификации.

    Если обратиться к ст. 18 Закона, то мы увидим, что сбор, обработка, хранение информации о частной жизни физлица и его персональных данных, а также пользование ими осуществляются исключительно с письменного согласия дан­ного физлица. Иное может быть установлено законодательными актами РБ.

    Порядок получения, передачи, сбора, обработки, накопления, хранения и представления информации о частной жизни физлица и его персональных данных, а также пользования ими устанавливается законодательными актами.

    Напомним, что к законодательным актам относятся Конституция Рес­публики Беларусь, законы, декреты и указы Президента, но не нормативные акты иных государственных органов.

    Таким образом, если предположить, что именно порядок получения, передачи, сбора, обработки, накопления, хранения и представления биометрических данных физлиц установлен в Указе № 148, то вполне логично обратиться к его нормам.

     

    Что можно банкам

    Итак, Указом № 148 определено право НКФО ЕРИП оказывать услуги по аутентификации и представлять содержащиеся в системе иден­тификации данные. Установленный порядок представления данных из такой системы не является нарушением банковской или иной охраняемой законом тайны (подпункты 1.9, 1.10).

    Однако следует отметить, что в отношении самостоятельного осуществления банками (и другими пользователями межбанковской системы идентификации (МСИ), предоставляющими финансовые услуги) удаленной идентификации с использованием биометрических данных, Указ № 148 содержит более аккуратные формулировки.

    Так, в случае отсутствия в МСИ данных о клиентах или их представителях для идентификации таких лиц без их личного присутствия может проводиться процедура удаленной идентификации (подп. 1.7) пользователями МСИ.

    Ее возможно проводить с использованием информационных сетей (систем), программно-аппаратных средств и технологий (ПАСТ). С физлицом устанавливается видео­связь и далее следует автоматическое распознавание и сравнение биометрических данных клиента или его представителя и фото­графии из документа, удостоверяющего лич­ность.

    При этом Указом № 148 определено, что Нацбанком и Совмином в пределах их компетенции определяется механизм проведения процедуры удаленной идентификации, а также устанавливаются правила использования ПАСТ при получении и последующем хранении информации, полученной в целях совершения банковских и других финансовых операций. К ним относятся оказание услуг, иная деятельность и сделки от клиентов банков – физлиц, включая их персональные данные (в т.ч. биометри­ческие).

    По сути самостоятельное проведение банками удаленной идентификации клиентов с использованием их биометрических данных может проводиться на собственный страх и риск, пока указанными выше гос­органами не будут определены соответствующие случаи и условия проведения удаленной идентификации, а также порядок использования информации о биометрических данных клиентов.

    Поскольку нормативный правовой акт Совмина и Нацбанка не является законодательным, в ближайшей перспективе было бы крайне желательно внесение изменений в положения Закона: на наш взгляд, в ч. 3 ст. 8 следует расширить перечень нормативных актов, регулирующих порядок получения, передачи, сбора, обработки, накопления, хранения и представления персональных дан­ных физлиц, а также пользования ими.

     

    Что надо корректировать

    В целом следует отметить положительное влияние на развитие цифровых технологий принятого Указа № 148, однако стала очевидной необходимость более полной унификации законодательства.

    Так, сопоставляя нормы Закона и Указа № 148, мы видим, что их сферы регулирования (цифровые бан­ковские технологии и защита ин­формации) пересекаются в части обработки и обращения с персональными (в т.ч. биометрическими) данными физлиц. Однако органы, принимающие подзаконные акты в этих областях, отличаются.

    Согласно ст. 8 Закона госрегулирование и управление в области информации, информатизации и защиты информации осуществляются Президентом, Совмином, НАН Беларуси, ОАЦ, Минсвязи и иными гос­органами в пределах их компетенций. В то же время в рамках положений Указа № 148, наряду с Совмином, госорганом, ответственным за принятие подзаконных актов в развитие его положений, является Нацбанк.

    Во избежание пробелов в правовом регулировании полагаем целесообразным для развития Указа № 148 внести изменения в Закон на предмет упрощения возможностей использования персональных (в т.ч. биометрических) данных физлиц с учетом развития цифровых и иных технологий.

    Безусловно, прояснить ситуацию сможет принятие закона о персональных данных.

    Использование материала в полном объеме запрещено без получения предварительного письменного разрешения в электронном виде редакции neg.by. За разрешением обращаться на op@neg.by
    Белгосстрах бюджет отпуск
    Авторы публикации:
    Александр КИРИЛЬЧИК, юрист
    Распечатать с изображениями Распечатать без изображений
    img
    Разместить рекламу на neg.by
    +

    Мы используем файлы cookie, чтобы улучшить работу и повысить эффективность сайта.

    Продолжая пользование данным сайтом, Вы соглашаетесь с использованием файлов cookie.

    Политика конфиденциальности.