Недостаточная защита биометрических данных в Казахстане создает угрозы для личной безопасности граждан. Также есть вероятность, что власти могут используя такие данные, усилить контроль над обществом, считает Дана Буралкиева, независимая исследовательница и эксперт в области цифровых прав и свобод человека, участница школы аналитики CABAR.asia.
В Казахстане понятие «биометрические данные» до 2016 года было упомянуто только в Законе РК «О персональных данных и их защите», который регламентирует процесс сбора и обработки. В нем также предусмотрена ответственность за нарушения, связанные с их потерей.
После был принят Закон РК «О дактилоскопической и геномной регистрации», который раскрыл понятие биометрических данных подробнее, а также частично раскрыл механизм сбора и обработки данных.
Биометрические данные человека являются сенситивным видом персональных данных, к оторому необходим высокий уровень защиты. Но на данный момент правительство Казахстана не может гарантировать стопроцентную безопасность данных граждан. До тех пор, пока закон полностью не вступил в силу, необходимо минимизировать риски утечек биометрических данных.
В опыте правительства Казахстана уже происходили утечки персональных данных. Именно поэтому эксперты отмечают повышенный уровень риска для нового вида сбора данных.
Так одной из самых больших утечек стала потеря данных избирателей Центральной Избирательной Комиссией РК, которая произошла в 2019 году. На тот момент в сети оказались данные одиннадцати миллионов казахстанцев, около 60% всего населения на тот год, достигнувших избирательного возраста. Можно было найти их имена, фамилии, ИИН, номер паспорта и точный адрес проживания, что ставило под угрозу не только их использование злоумышленниками с целью мошенничества, но и физическую безопасность.
Так в июле 2019 года МВД РК было начато расследование по статье о неправомерном распространении электронных информационных ресурсов ограниченного доступа (211 ст. УК РК). Однако никто не понес наказание за преступление, в качестве обоснования было приведено утверждение, что данные не были использованы и никто не пострадал, хотя сам факт утечки уже предполагает уголовную или административную ответственность.
МВД РК прекратили производство дела уже в декабре того же года, по причине отсутствия состава уголовного правонарушения, а многие казахстанцы так и не узнали о произошедшем.
Похожая ситуация произошла в Швеции в 2015 году, когда были потеряны данные автовладельцев. Из-за отсутствия должной защиты во время передачи, в сети стали доступны имена, фотографии и адреса проживания миллионов граждан. Проблема коснулась не только частного сектора, но и представителей полиции и армии. В результате были отправлены в отставку Министр Внутренних Дел, Министр инфраструктуры, а глава агентства по транспорту была не только уволена, но и оштрафована примерно на восемь с половиной тысяч долларов.
Несмотря на то, что детали этих дел различаются, суть остается одной – утечка данных граждан – это нарушение прав человека, которое в международной практике преследуется и наказывается. Отличие состоит в том, что в Европе действует общий регламент по защите персональных данных GDPR жителей всех стран, входящих в Европейский Союз.
Он предоставляет резидентам ЕС инструменты для полного контроля над своими данными, налагает штрафы как на бизнес структуры, так и на государственные органы.
Подобные ситуации происходят во всем мире. В 2019 году в Великобритании произошла масштабная утечка данных, включающих пароли, фото, информацию по распознаванию лиц и отпечатки пальцев свыше миллиона пользователей компании Suprema, которая разрабатывает охранное ПО для настройки биометрических замков Biostar 2.
Данной системой пользуются тысячи организаций по всему миру, в числе которых находилась полиция, банки и оборонные структуры в Великобритании. Утечка была обнаружена исследователями из vpnmentor, которые установили, что база данных была не защищена, то есть практически все данные не были зашифрованы. В целом они получили доступ к около двадцати восьми миллионам учетных записей. Если бы данные попали в руки злоумышленников, они могли бы отредактировать эти записи, поменять отпечатки пальцев и получить возможность входа в учреждения. Помимо граждан Великобритании с данным риском столкнулись организации в США, Индонезии, Индии, Шри-Ланке и Финляндии – все клиенты Suprema.
Казахстанскому правительству необходимо принимать во внимание подобные кейсы и учиться превентивным мерам для того, чтобы граждане не столкнулись с проблемой потери своих данных. В случае с Suprema исследователи обнаружили проблему первыми, поэтому данными не успели воспользоваться злоумышленниками. В противном случае, пользователи не только бы потеряли свои данные навсегда, но и могли бы возникнуть угрозы для их безопасности.
Для того, чтобы законодательство и техническая безопасность соответствовала стандартам, государству необходимо работать с передовыми экспертами и правозащитниками, которые готовы предложить антикризисную стратегию. Проблема же заключается в том, что коммуникация с ними не ведется с самого момента рассмотрения законопроекта. Как следствие, изучая текст закона, мы видим, что остается множество вопросов в каждом из процессов: сборе, хранении и обработке. Так же, как и эксперты не конца могут разобраться в этой системе из-за отсутствия точных определений и регламента, так и обычные граждане не понимают, что и как именно государство пытается запустить, а самое важное: с какой целью будет использовать.
Это в первую очередь обусловлено тем, что после принятия закона уполномоченные органы не провели разъяснительную работу с населением, оставив людей один на один с этой новостью. Она то появлялась в повестке, то забывалась. Это привело к тому, что в обществе появилось волнение, связанное с неизвестностью перед теорией цифрового рабства. Это происходило пока правозащитники не взяли на себя задачу объяснить всем желающим что означает это нововведение, и самое главное – с какими рисками могут столкнуться казахстанцы.
Так был запущен проект ОФ «Еркіндік Қанаты» – #БиометрияKZ, в рамках которой проводится информационная кампания и исследование опыта и последствий, с которыми можно столкнуться после вступления закона в силу. Отсутствие коммуникации с населением – большое упущение со стороны правительства, ведь одно из обязательств граждан РК – обязательное прохождение процедуры дактилоскопической регистрации.
То есть у граждан не будет выбора, а в случае отказа будут применяться штрафные санкции. Причем по известной на данный момент информации, граждане не смогут получить новые документы (удостоверение личности или паспорт) и будут оплачивать штраф, пока не сдадут биологические данные.
Что если биометрические данные будут использованы правительством против граждан?
Однако есть вероятность, что власть в Казахстане по примеру соседних стран станет использовать биометрические данные в своих целях.
После посещения Президентом Касымжомартом Токаевым китайской кампании Hikvision, была представлена идея внедрения систем распознавания в Казахстане. Она не только устанавливает личность по чертам лица и поведенческим характеристикам, но и выдает все данные, которые содержатся в базах спецслужб Китая. В 2018 году на 1,4 миллиарда жителей Китая работали 176 миллионов камер. Это позволяет осуществлять слежку за теми, кто выступает против власти.
В России также зафиксированы случаи использования камер распознавания лиц для привлечения граждан к ответственности. Так в 2019 году произошло задержание активистки за проведение одиночного пикета, личность которой была установлена с помощью обработки ее биометрических данных.
А на недавних протестах против против мобилизации в московском метро полиция начала активное задержание участников акции, используя технологии обрабатывающие данные по лицу. На распознанных протестующих заводят протоколы об административных правонарушениях постфактум. Кроме того, задерживают активистов, которые даже не участвовали в данной акции, но выходили на антивоенные акции ранее. Согласно последним новостям россиян, которые избегают мобилизации также отслеживают по камерам с системой распознавания лиц. На данный момент они активно используются в московском метро с 2020 года, молодых людей отслеживают по камерам, задерживают и сразу отправляют в военкомат. Это является не только нарушением российского законодательства, но и прав человека, в целом. На данный момент власти собираются внедрять камеры и в регионах.
Международные эксперты утверждают, что биометрическое наблюдение в общественных местах – это инструмент слежки и общественного мониторинга.
То есть биометрия – это в том числе, опасный инструмент политических репрессий. Во время январских событий в Казахстане правозащитники и активисты задавались вопросом, были ли все таки использованы камеры распознавания лиц для задержания протестующих, однако правозащитный Фонд «Еркіндік Қанаты» получил ответ МВД РК, с отрицанием этого факта. Однако международный опыт показывает, что в странах, где периодически фиксируются нарушения прав человека в офлайн и онлайн среде, где нарушение прав человека является частой практикой, использование подобных технологий может устроить преследование и давление на гражданское общество.
Неправомерное использование биометрических данных рассматривается как потенциальное продолжение систематического нарушения прав человека в Казахстане, поэтому именно гражданское общество должно взять на себя функцию по предотвращению рисков. В противном случае это может привести к манипуляции данными, незаконным преследованиям и задержаниям. А если базы данных подвергнуться утечке за пределами государства, то может стать и вопрос национальной безопасности, как мы видим на примерах стран, где под угрозой находились правоохранительные органы и представители власти. То есть, от утечек не застрахован никто: ни обычные граждане, ни оппозиционные активисты, ни само правительство.
Возникает вопрос, какие действия могут предпринять казахстанцы и экспертное сообщество?
В первую очередь, необходимо разобраться, что именно представляют из себя понятия «биометрические данные», «дактилоскопическая и геномная регистрация», а также какие условия для граждан регламентирует новое законодательство. В этом гражданам поможет разобраться правозащитная инициатива #БиометрияKZ, в рамках которой эксперты доступным языком раскрывают нормы закона, приводят международные примеры и дают рекомендации по защите своих персональных данных. Осведомленность о законотворческих и правоприменительных процессах является важным компонентом защиты прав человека, который может использовать любой гражданин. Это поможет не только защитить себя, но и проводить мониторинг.
На данный момент закон еще полностью не вступил в силу, однако возможно начать с мониторинга нарушений, связанных с привычными персональными данными. Каждый гражданин может следить за нарушениями, фиксировать их и обращаться к юристам и правозащитникам, которые в свою очередь помогут устранить последствия утечек и злоупотреблений со стороны как частных фирм, так и государственных органов.
Когда закон начнет функционировать к нему необходимо пристальное внимание, контроль процесса сбора данных – что поможет минимизировать риски, это станет возможным в случае, если как можно больше казахстанцев будет осведомлены о своих правах и регламенте сбора данных.
Если в процессе наблюдения за исполнением закона будут обнаружены проблемы и мониторинг установит правовую и техническую неподготовленность уполномоченных институтов, гражданскому обществу необходимо использовать другие правозащитные инструменты для реализации своего права на неприкосновенность частной жизни и защиту данных, такие как: мирные собрания, информационные и адвокационные кампании, петиции по поправкам в данный закон с требованием привлечь к ответственности виновных лиц.
На данный момент граждане уже сталкиваются с биометрией в повседневной жизни, например, при сдаче данных в банки, систему электронного правительства и представительствах посольств других стран в Казахстане. Самое важное – понимать, как происходит обработка и хранение этих данных, запрашивать политику конфиденциальности и в случае утечки ваших данных – требовать их уничтожения из всех баз. С персональными данными это возможно, так как статья 24 Закона РК «О персональных данных и их защите», в которой прописаны права и обязанности субъекта, согласно которой мы имеем право отозвать согласие на сбор, обработку и распространение в общедоступных источниках, а также передачу третьим лица. Логично предположить, что данная статья распространяется и на уничтожение биометрической информации, однако это станет известно на практике после вступления части закона в силу.
Контроль над исполнением данного закона приведет к тому, что у экспертного сообщества наконец появится возможность принять участие в законотворческом процессе по регулированию биометрических данных и улучшить текущий закон.
Данные меры помогут казахстанскому гражданскому обществу сплотиться против общей проблемы. А также понять, как работают новые технологии, которые активно внедряются в государственные процессы. Если правительство принимает решение в области цифровизации, то она должна помогать государственной системе действовать на благо общества, укрепляя права и свободы человека.