Використання біометричних даних у ЄС та США

Ви чули коли-небудь про біометричні дані? Так-так, це той відбиток пальця або відображення обличчя, якими можна розблокувати телефон. Ці дані органічно увійшли в наше життя, спростили його, але разом з цим принесли чимало занепокоєння щодо безпеки їх використання. Біометричні дані дозволяють з високою вірогідністю ідентифікувати людину, а тому не хотілось би, щоб вони потрапили до рук злодіїв чи шахраїв. У цій статті дізнаємось як у Європі і США регулюють використання біометричних даних та дбають про безпеку їх носіїв. 

ЄС

Відповідно до європейського General Data Protection Regulation (GDPR) біометричні дані – дані, (1) отримані в результаті спеціального технічного опрацювання, (2) які стосуються фізичних, фізіологічних чи поведінкових ознак людини і (3) дозволяють однозначно її ідентифікувати або підтвердити таку ідентифікацію. Прикладами біометричної ідентифікації можуть бути:

• розпізнавання обличчя;
• перевірка відбитків пальців
• сканування райдужної оболонки ока;
• аналіз сітківки;
• розпізнавання голосу; 
• розпізнавання форми вуха;
• аналіз ходи; 
• аналіз рукописного підпису; та
• інші.
  

Біометричні дані за GDPR розглядаються як особливо чутливі і щодо них встановлюються спеціальні правила обробки. Відповідно до ст. 9 GDPR заборонено опрацьовувати біометричні дані для цілі єдиної ідентифікації фізичної особи, окрім якщо: (1) згода на опрацювання була надана в явній формі (щодо згоди див. критерії ст. 7 GDPR); (2) обробка необхідна для виконання зобов’язань контролера або суб’єкта даних у сфері трудового права, права соціального забезпечення та соціального захисту; (3) для захисту життєво важливих інтересів суб’єкта даних і він/вона неспроможна надати згоду; (4) якщо опрацювання стосується персональних даних, що відкрито оприлюднені суб’єктом даних; (5) опрацювання є необхідним з причин значного суспільного інтересу; (6) з інших підстав встановлених ст. 9(2) GDPR. Крім того, GDPR дозволяє державам-членам запроваджувати інші деталізовані умови та обмеження. 

Умовно, якщо ви з комерційною метою збираєте фотографії користувачів Facebook – це не означає автоматично, що ви збираєте біометричні персональні дані (преамбула 51 GDPR). Так, дійсно, з колекції фотокарточок конкретної людини і на роботі, і на пляжі, і вдома можна отримати хороше уявлення про риси її обличчя, але біометричними даними стануть лише ті, які опрацьовані за допомогою спеціальних технічних засобів, що дозволяють однозначну ідентифікацію або автентифікацію фізичної особи. У випадку з FaceID програма має створити математичну модель (т.з. “шаблон”) обличчя, яка накладається на нове фото/відео/зображення і видає результат знайдено/не знайдено. Саме цей “шаблон” і є біометричними даними.

Here’s another scan. Cleaned up a little. Probably a better representation of what it “sees”

I should note, this is one frame from the #TrueDepth camera. You could probably sample multiple frames to build a better depth map. pic.twitter.com/yweJ7hBJ1U

— Brad Dwyer {????} (@braddwyer) November 15, 2017

GDPR також запроваджує вимогу, згідно з якою контролери даних зобов’язані перед обробкою даних проводити оцінку впливу на захист даних (“Data protection impact assessment” (“DPIA”)), коли обробка може призвести до високого ризику для прав і свобод суб’єктів персональних даних. Особливо це стосується випадків, коли обробка передбачає використання нових технологій. Проведення DPIA є обов’язком контролера у разі широкомасштабної обробки біометричних даних (ст. 35(3)(b) GDPR).

Іншими елементами захисту суб’єктів біометричних даних є: (1) базові принципи обробки (зокрема, мінімізації даних); (2) наявність прав суб’єктів даних (зокрема, право на забуття); (3) обов’язок компанії сповіщати суб’єкта даних про порушення захисту даних у разі високого ризику для його/її прав і свобод протягом 72 годин; (4) захист даних за призначенням і за замовчуванням (“by design and by default”); (5) екстериторіальна дія GDPR (до відповідальності можуть бути притягнені не лише компанії з ЄС); (6) значні штрафи (до 20 000 000 EUR і більше); (7) інші елементи для збереження цілісності та конфіденційності оброблюваних біометричних даних.

European Data Protection Board (EDPB) окремо публікували гайдлайни щодо обробки персональних через відеопристрої та використання технології розпізнавання обличчя у сфері правоохоронної діяльності. Ось ключове з них:

• Аналогічно як і з фото, відеозапис особи не може сам по собі вважатися біометричними даними відповідно до статті 9 GDPR, якщо він не був спеціально технічно оброблений для того, щоб сприяти ідентифікації особи.
• Використання систем відеоспостереження з функцією біометричного розпізнавання, встановлених приватними суб’єктами для власних цілей (наприклад, маркетингових, статистичних або забезпечення безпеки), у більшості випадків вимагатиме явної згоди всіх суб’єктів даних (ст. 9(2)(а) GDPR), однак може також застосовуватися і інший відповідний виняток із ст. 9 GDPR.
• Контролер даних не повинен обумовлювати доступ до своїх послуг згодою на біометричну обробку.

За рекомендаціями EDPB для забезпечення безпеки біометричних даних контролер повинен, зокрема, вжити таких заходів: розділяти дані під час передачі та зберігання, зберігати біометричні “шаблони” та необроблені дані (“raw data”) або ідентифікаційні дані в окремих базах даних, видалити непотрібні після створення “шаблону” необроблені дані, шифрувати біометричні дані, зокрема біометричні шаблони, та визначити політику шифрування та управління ключами, впровадити організаційні та технічні заходи для виявлення шахрайства, асоціювати код цілісності з даними (наприклад, підпис або хеш) та заборонити будь-який зовнішній доступ до біометричних даних. Такі заходи повинні вдосконалюватись з розвитком технологій.

• Використання технології розпізнавання обличчя органами правоохоронної діяльності підпадає під сферу регулювання статей 8, 10 Директиви про правоохоронну діяльність (ЄС) 2016/680.

Розглянемо ситуацію з обробки біометричних даних на прикладі реальної справи. У грудні 2019 року нідерландський наглядовий орган із захисту персональних даних (Autoriteit Persoonsgegevens – AP) оштрафував компанію на 750 000 євро за незаконну обробку відбитків пальців працівників. У цій справі співробітники компанії могли отримати доступ до приміщень за відбитком свого пальця, що дозволяло компанії вести облік відвідуваності та відсутності з реєстрацією часу, отримувати уявлення про робочі години та прогули працівників, і на цій основі здійснювати адміністрування заробітної плати, відпусток та лікарняних. Існує два винятки, які були б доступні компанії для легітимізації обробки біометричних даних у цій ситуації: (1) явна згода (ст. 9(2)(а) GDPR) та (2) необхідність обробки для цілей автентифікації або безпеки (виняток, запроваджений ст. 29 нідерландського закону, що імплементує GDPR (Uitvoeringswet Algemene Verordening Gegevensbescherming – UAVG), уточнюючи ст. 9(2)(g) GDPR – обробка біометричних даних з міркувань значного суспільного інтересу).

AP у цій справі встановив, що жодна з цих підстав не була застосовною:

• компанія не змогла довести, що від її працівників була отримана явна згода на обробку даних, про яку йдеться у ст. 9(2)(а) GDPR. Враховуючи залежність, що виникає внаслідок відносин роботодавець-працівник, малоймовірно, що суб’єкт даних міг би відмовити в обробці даних без страху або реальної загрози несприятливих наслідків унаслідок такої відмови. Ба більше, у цій ситуації якщо працівники відмовлялися надати свої відбитки пальців, то їм призначалася зустріч з директором компанії;
• обробка не була необхідною та пропорційною в рамках ст. 29 UAVG та ст. 9(2)(g) GDPR. Компанія не використовувала дані для автентифікації в цілях безпеки, а для ідентифікації працівників могли бути використані інші методи (наприклад, check-in система за допомогою персоналізованих бейджів).

США

У США немає комплексного закону про захист персональних даних, який би включав біометричні дані і поширювався на всю територію країни (нам теж від цього сумно). Але при цьому на рівні окремих штатів:

• У 2008 році в Іллінойсі був прийнятий Biometric Information Privacy Act (BIPA). BIPA вимагає від компаній отримувати згоду на збір біометричних даних, забороняє продавати зібрану інформацію без дозволу, зобов’язує їх розкривати, чому вони її збирають, і встановлює правила її видалення. Документ також дозволяє приватним особам подавати позови до суду на компанії за порушення закону. Збитки встановлюються за кожне порушення: 1 000 доларів США, якщо воно було спричинене через недбалість, і 5 000 доларів США, якщо навмисне.
• Обмеження щодо обробки біометричних даних були прийняті і в Техасі (2009 р.), Вашингтоні (2017 р.), Вермонті (2021 р.), Массачусетсі (2021 р.) та в інших штатах. На міському рівні обмеження щодо обробки біометричних даних були прийняті у Сан-Франциско та Окленді (Каліфорнія) (2019 р.), Портленді (Орегон) (2020 р.), Міннеаполісі (Міннесота) (2021 р.), м. Нью-Йорк (Нью-Йорк) (2021 р.) та в інших містах. 
• На окрему увагу заслуговує прийнятий 2018 року (чинний з 2020 року) у штаті Каліфорнія California Consumer Privacy Act (CCPA), який поширюється на “бізнес”, який збирає персональну інформацію про резидентів штату Каліфорнія (“споживачів”) в комерційних цілях. 2023 року до CCPA були внесені зміни законом “California Privacy Rights Act (CPRA)”, який ввів поняття “чутлива персональна інформація”, куди, серед іншого, належить біометрична інформація.

Поняття “бізнес” в CCPA є специфічним (§ 1798.140(d)), під нього, зокрема, можуть підійти ті компанії, які збирають біометричні дані значної кількості людей за допомогою технології розпізнавання обличчя або машинного навчання.

Відповідно до § 1798.140 CCPA різновидами персональної інформації є біометрична інформація (v)(1)(Е) та чутлива персональна інформація (v)(1)(L), куди належить біометрична інформація з метою однозначної ідентифікації споживача. Біометрична інформація означає (1) фізіологічні, біологічні або поведінкові характеристики особи, включаючи ДНК особи, (2) які можуть бути використані окремо або в поєднанні одна з одною чи з іншими ідентифікаційними даними для встановлення особи (§ 1798.140(с)). Окремо робиться зауваження, що “загальнодоступною” не може бути біометрична інформація, зібрана бізнесом про споживача без його відома – така інформація є персональною (§ 1798.140(v)(2)).

Біометрична інформація включає, зокрема, зображення райдужної оболонки ока, сітківки, відбитки пальців, обличчя, руки, долоні, візерунки вен та голосові записи, з яких може бути вилучений шаблон ідентифікатора, наприклад, відбиток обличчя, пальця або голосу (voiceprint), а також шаблони або ритми натискання клавіш, шаблони або ритми ходи, а також дані про сон, стан здоров’я або фізичне навантаження, які містять ідентифікаційну інформацію. 

Для захисту біометричної інформації у CCPA застосовуються загальні положення щодо персональної інформації та особливі правила щодо чутливої персональної інформації. Загальні права споживачів на біометричну інформацію включають:

• право на обізнаність;
• право доступу до інформації;
• право на видалення інформації;
• право на виправлення інформації;
• право вимагати від бізнесу не продавати або не поширювати біометричну інформацію (opt-out rule);
• право на недискримінацію;
• право звертатись з позовом для захисту своїх прав (з можливістю відшкодувати встановлені законом збитки в розмірі від 100 до 750 доларів США за один інцидент або фактичні збитки, залежно від того, яка сума є більшою).

Спеціальним є право на обмеження використання та поширення чутливої персональної інформації (ЧПІ) (§ 1798.121). За цим правом споживачі уповноважені вимагати від “бізнесу” обмежити використання ЧПІ лише тим використанням, яке необхідне для надання товарів або послуг, на які обґрунтовано розраховує середньостатистичний споживач, який запитує ці товари або послуги. Якщо бізнес використовує або розкриває ЧПІ для цілей, відмінних від тих, що необхідні для надання товарів або послуг, він має повідомити про це споживача і про його право обмежити таке використання та розкриття ЧПІ.

Щодо інших штатів, то, зокрема, Закон штату Колорадо про конфіденційність (набирає чинності з липня 2023 року) вимагає від бізнесу отримання згоди на обробку біометричних даних, які підпадають під визначення “чутливих даних” (§ 6-1-1308(7). Закон Вірджинії про захист персональних даних споживачів (набирає чинності з січня 2023 року) містить такі ж положення (§ 59.1-574(A)(5)), але при цьому зазначає, що “біометричні дані” не включають, зокрема, фізичну або цифрову фотографію, відео- чи аудіозапис або дані, отримані на їх основі (§ 59.1-571). 

У Нью-Йорку у 2021 році прийнято закон про захист біометричної ідентифікаційної інформації, який став частиною Адміністративного кодексу м. Нью-Йорк (NYC Administrative Code §§ 22-1201 – 22-1205). Закон забороняє комерційним установам Нью-Йорка продавати чи іншим чином отримувати майнову вигоду від передачі біометричної ідентифікаційної інформації, а ті комерційні установи, які збирають, зберігають, перетворюють або передають таку інформацію, повинні про це повідомляти клієнтам “чітким і помітним знаком” біля всіх входів. Закон передбачає приватне право на позов для клієнтів, але він також включає положення про виправлення певних порушень для підприємств протягом 30 днів. А у м. Портленд (Орегон) (§ 34.10.030 Portland City Code) взагалі заборонено використання технологій розпізнавання облич приватними суб’єктами у місцях масового перебування людей.

У США через специфіку і різноманітність законів необхідно детально підійти до оцінки правомірності обробки біометричної інформації конкретною компанією.

Практика захисту біометричної інформації переважно пов’язана із законом штату Іллінойс про конфіденційність біометричної інформації (вже згаданий BIPA), оскільки він містить приватне право на позов та діє вже тривалий час. 2019 року Верховний Суд штату Іллінойс у справі “Rosenbach v. Six Flags” зробив висновок, що особа не повинна доводити наявність реальної шкоди або несприятливих наслідків, окрім порушення її прав, для того щоб вважатися “потерпілою” і мати право на виплату встановлених BIPA збитків та судову заборону. У результаті розгляду цієї справи у 2021 році компанія Six Flags врегулювала колективний позов, зобов’язавшись виплатити 36 000 000 доларів США за зняті без згоди відбитки пальців відвідувачів своїх тематичних парків.

У справі “Patel v. Facebook” позивачі стверджували, що Facebook порушував правила BIPA, використовуючи технологію розпізнавання облич для можливості “тегнути” на фотографії користувачів без отримання їхньої згоди. Facebook 2021 року врегулював спір, зобов’язавшись сплатити 650 000 000 доларів США. 

Висновок

Біометричні дані є частиною нас і їх не можна поставити на reset як пароль від застосунку. Суворі законодавчі обмеження ЄС є цілком виправданими, враховуючи рівень небезпеки, який втрата чи пошкодження біометричних даних можуть завдати. Недоліком США є різноманітність законів у сфері регулювання та підходів щодо захисту біометричних даних, що міг би виправити єдиний уніфікований акт. Водночас компаніям з США не варто забувати, що працюючи «в Інтернеті», вони можуть здійснювати обробку персональних даних європейців і відповідати за правилами GDPR.

У разі, якщо у вас виникають питання: “Як правильно зберігати біометричні дані?”, “Чи не порушує моя компанія або сервіс права працівників або користувачів використовуючи біометричні дані?”, “Чи є дані, які ми збираємо, саме біометричними?” – ми рекомендуємо звернутися до юристів, враховуючи індивідуальність кожної окремої ситуації.