Всему должна быть мера - даже мерам

Ольга Магомедова Ольга Магомедова Эксперт Центра Россия-ОЭСР опубликовано Цифровая экономика
Всему должна быть мера - даже мерам

В некоторых странах, затронутых пандемией COVID-19, функция контроля за поведением и состоянием здоровья населения частично возлагается на новые цифровые технологии. Однако их применение должно ограничиваться необходимостью соблюдения неприкосновенности частной жизни. Например, обсуждались меры, как введение контроля за девайсами пользователей без их согласия, однако они противоречат национальным нормам о защите персональных данных.

В Совете Европы отметили, что «в течение периода действия специальных режимов в странах, исполнение прав человека, закреплённых в международных соглашениях и национальных инструментах, должно осуществляться и не может быть временно прекращено, допускаются только отступления или некоторые законные ограничения строго в пределах необходимого».

Обработка персональных данных в условиях эпидемии без согласия субъекта должна ограничиваться легитимной целью и оценкой риска.

Во многих странах столкнулись с необходимостью соблюдения баланса между необходимыми мерами безопасности и обеспечением неприкосновенности частной жизни (в Южной Корее, Израиле, Гонконге).

Например, в Южной Корее пришлось отказаться от практики публичного оповещения при каждом новом выявленном случае заражения, поскольку это противоречило принципу минимизации обработки данных.

В Израиле общественность высказалось против использования данных граждан страны, собранных для целей борьбы с терроризмом, в целях борьбы с пандемией, поскольку средства превышают уровень необходимого для достижения новой цели.

В Гонконге был поставлен вопрос оправданность обязательного ношения чипованного браслета, для всех пребывающих из-за границы, в целях контроля за соблюдением карантина. Было сочтено, что практика противоречит принципу свободного согласия.

Есть удачные практики введения мер контроля при соблюдении защиты персональных данных.

В Сингапуре было разработано приложение TraceTogether по предотвращению заражения и оповещению, которое работает на абсолютном минимуме информации – номер телефона и состояние здоровья пользователя. Приложение отключится автоматически при объявлении окончания пандемии.

Норвежские разработчики подготовили аналогичное приложение. Получается, проблема не в плохой совместимости технологий и прав человека, а в том как организовано применение технологий.

В России на федеральном и региональном уровнях постепенно вводятся технические меры контроля, как цифровые пропуска. Ранее рассматривались меры по введению системы видеонаблюдения с распознанием лиц, контроля геолокаций телефонов, транзакций с кредитных карт. Реализация этих инициатив сталкивается со следующими проблемами.

1) Системы видеонаблюдения, контроля геолокаций и транзакций предполагают обработку персональных данных без согласия субъектов. ФЗ «О персональных данных» предусматривает исключения из правил о получении согласия, однако режим повышенной готовности к ним не относится, поскольку в перечне нет исключений по причинам публичной безопасности или сохранения здоровья населения (п.1 ст.6). Есть исключение для «исполнения полномочий органов власти», однако в российском законодательстве о чрезвычайных ситуациях не предусматривается принятия органами действий по ограничению режима защиты персональных данных.

Следовательно, в России нет правовых основ для обработки данных субъекта без его согласия в условиях пандемии.

2) Применение системы видеонаблюдения с распознанием лиц противоречат правилам обработки биометрических данных только с письменного согласия субъекта. Допускаются исключения в случаях, предусмотренных законодательством о безопасности, однако, как было отмечено, в законе, которым введён режим повышенной готовности в связи с пандемией, нет норм об ограничении режима персональных данных.

3) Введение контроля за перемещением пользователя телефона не только противоречит режиму защиты данных, но также является неэффективным, поскольку не может охватить большую часть населения. В России пользователей смартфонов (девайсов с постоянно отслеживаемой локацией) – 59,1% населения, тогда как в Южной Корее – 76%, в США – 81,8%. Кроме того, контроль по номеру телефона – это контроль за пользователем, но не за конкретным физическим лицом.

4) Контроль за перемещением лиц, по транзакциям с кредитных карт противоречит правовому режиму банковской тайны, который действует в отношении таких транзакций. По законодательству о банковской тайне такая информация может быть получена госорганами в соответствии с их законодательно установленными правомочиями (ст.26 ФЗ «О банках и банковской деятельности»). Российское законодательство не предусматривает специально таких полномочий в случае введения режима повышенной готовности.

5) Введение системы цифровых пропусков в Москве с 15 апреля 2020 г. для перемещений на транспорте требует предоставления большого количества персональных данных, в предоставлении части которых нет необходимости для достижения цели предотвращения необоснованных перемещений. Это противоречит принципу минимизации обработки персональных данных. Система действует тотально в отношении всех водителей и пассажиров.

6) Минкомсвязи выпустило приложение «Госуслуги СТОП Коронавирус», через которое россияне смогут оформить цифровые пропуска по необходимости, если региональные власти введут режим перемещений по цифровым пропускам. Приложение работает в тестовом режиме для граждан всей страны, кроме Москвы, где уже запущено своё технологическое решение. Примечательно, что процедура получения пропуска рассматривается как услуга, поэтому оформление пропуска проходит через личный кабинет пользователя портала «Госуслуги», в таком случае персональные данные, предоставляемые для новой «услуги», будут пользоваться теми же гарантиями, предусмотренными пользовательским соглашением портала. В отличие от цифровых пропусков в Москве, на цифровом пропуске в новом приложении будет установлен таймер пребывания на улице, который позволит ограничить злоупотребления пропускной системой для перемещений без законной причины.

Стоит подчеркнуть, что в условиях пандемии важно поддерживать доверие населения к правительственным мерам и сознательный подход каждого к личной безопасности и безопасности окружающих. Поэтому Правительствам Москвы и регионов остаётся только порекомендовать обратиться в своих мерах к «человеку-ориентированному подходу» в терминологии ОЭСР: обеспечить автоматическое удаление всех собранных персональных данных для получения пропусков; сделать указание цели перемещения пунктом по желанию; снять ограничение на количество допустимых выходов; ограничить объём запрашиваемой информации.