"Руководство по распознаванию лиц" от 28.01.2021 T-PD(2020)03rev4 (принято Консультативным комитетом Конвенции о защите физических лиц при автоматизированной обработке персональных данных (Конвенция 108))
Неофициальный перевод ООО «Развитие правовых систем»
Распознавание лиц - это автоматическая обработка цифровых изображений, содержащих лица людей, для идентификации или проверки данных людей с использованием лицевых шаблонов.
В статье 6 обновленной Конвенции о защите физических лиц при автоматизированной обработке персональных данных1) (далее - Конвенция 108+) конфиденциальность информации биометрического характера была особо отмечена путем отнесения данных, уникальным образом идентифицирующих физических лиц, к специальным категориям данных.
Контекст обработки изображений имеет значение для определения конфиденциального характера данных, поскольку не любая обработка изображений предполагает обработку конфиденциальной информации. Изображения охватываются понятием биометрических данных, только если они обрабатываются при помощи особого технического средства, которое делает возможной уникальную идентификацию или аутентификацию физического лица2).
Настоящее руководство касается использования технологий распознавания лиц, в том числе технологий распознавания лиц в режиме реального времени. Данные технологии широко используются с применением различных способов, некоторые из которых могут серьезно нарушать права субъектов персональных данных. Законодательство, которое разрешает обширное наблюдение за физическими лицами, может вступать в противоречие с правом на уважение частной жизни3).
Интеграция технологий распознавания лиц в существующие системы наблюдения представляет собой серьезную угрозу для права на конфиденциальность и права на защиту персональных данных, а также для других базовых прав, поскольку использование данных технологий не всегда требует осведомленности или согласия физических лиц, чьи биометрические данные обрабатываются, если рассмотреть, например, возможность получения доступа к цифровым изображениям людей в Интернете.
С целью предупреждения таких нарушений государства - участники Конвенции 108+ должны обеспечивать соблюдение прав на конфиденциальность и на защиту персональных данных в рамках развития и использования технологий распознавания лиц, тем самым укрепляя права человека и основные свободы путем применения принципов, закрепленных в Конвенции, в специфическом контексте технологий распознавания лиц.
Данное руководство4) содержит справочный список тех мер, которым власти, разработчики технологий распознавания лиц, изготовители, сервис-провайдеры и организации, использующие данные технологии, должны следовать и которые они должны применять с целью предупреждения негативных последствий для человеческого достоинства, прав человека и основных свобод любого физического лица, в том числе права на защиту персональных данных.
Руководство имеет общую сферу действия и распространяется на использование технологий распознавания лиц как в частном, так и в публичном секторе. Оно не исключают того, что в рамках соответствующей правовой системы могут потребоваться дополнительные меры защиты в зависимости от конкретного случая такого использования. Оно оценивает различные случаи использования данных технологий в разных секторах с учетом целей такого использования и его потенциальных последствий для права на защиту персональных данных и других основных прав.
Под правоохранительными целями в данном руководстве понимаются предупреждение, расследование преступлений и исполнение уголовных наказаний. Это включает в себя поддержание полицией общественного порядка (далее - правоохранительные цели)5). Под «правоохранительными органами» понимаются также, в более широком смысле, прокуратура и (или) другие государственные и (или) частные организации, которые на основании закона наделены правом обработки персональных данных для тех же целей (далее - правоохранительные органы).
Ничто в настоящем руководстве не должно пониматься как исключение или ограничение положений Конвенции 1086). Данное руководство также принимает во внимание новые гарантии, закрепленные в Конвенции 108+.
I. РУКОВОДСТВО ДЛЯ ЗАКОНОДАТЕЛЕЙ И ПРИНИМАЮЩИХ РЕШЕНИЯ ОРГАНОВ
1. ЗАКОННОСТЬ
Как предусматривает статья 6 Конвенции 108+, обработка особых категорий данных, таких как биометрические данные, может быть разрешена только в том случае, если для нее установлена надлежащая правовая база, а в законодательстве государства закреплены дополнительные и надлежащие гарантии. Данные гарантии должны быть адаптированы к соответствующим рискам и к интересам, правам и свободам, которые подлежат защите.
В некоторых нормативных актах7).)) запрет такой обработки закреплен в качестве общего правила, и обработка допускается только в виде исключения, в некоторых конкретных случаях (например, с ясно выраженного согласия физических лиц, для защиты их жизненно важных интересов или если обработка необходима из соображений универсального общественного интереса) и сопровождается гарантиями, которые необходимы с учетом соответствующих рисков.
Необходимость использования технологий распознавания лиц должна оцениваться вместе с соразмерностью такого использования по отношению к соответствующей цели, а также последствиями для прав субъектов данных.
Различные случаи использования должны быть категоризированы, и должна быть создана правовая база для обработки биометрических данных путем распознавания лиц. Данная правовая база для каждого отдельного вида использования должна включать в себя, в частности:
- подробное объяснение конкретного использования и его цели;
- требования к минимальной надежности и точности8) используемого алгоритма;
- требования относительно продолжительности хранения используемых фотографий;
- возможность проверки данных критериев;
- возможность отслеживать обработку;
- гарантии.
1.1. СТРОГИЕ ЗАКОНОДАТЕЛЬНЫЕ ОГРАНИЧЕНИЯ В ОТНОШЕНИИ НЕКОТОРЫХ ВИДОВ ИСПОЛЬЗОВАНИЯ
Уровень интрузивности распознавания лиц и связанные с ним нарушения права на конфиденциальность и защиту данных различаются в зависимости от конкретной ситуации использования данных технологий, и существуют случаи, когда закон строго ограничивает или даже полностью запрещает такое использование, когда к такому решению приводит демократический процесс.
Использование технологий распознавания лиц в режиме реального времени в неконтролируемой обстановке9), в свете его интрузивности для права на конфиденциальность и достоинство индивидов, в сочетании с риском негативных последствий для других прав человека и основных свобод10), должны быть предметом демократического обсуждения, и должна существовать возможность моратория на время, необходимое для полного анализа.
Использование распознавания лиц исключительно для цели определения цвета кожи индивида, его религиозных или других верований, пола, расовой или этнической принадлежности, возраста, состояния здоровья или социального положения должно быть запрещено, если законом не предусмотрены соответствующие гарантии с целью исключения риска дискриминации11).
Аналогичным образом эмоциональное распознавание12) также может проводиться с помощью технологий распознавания лиц с предполагаемой целью выявления личностных черт, чувств, состояния психического здоровья или мотивированности работников на основе изображений лиц. Установление связи между эмоциональным распознаванием, например, с подбором персонала, получением страховки, образованием может нести в себе риски, которые вызывают большую озабоченность с точки зрения как отдельных индивидов, так и общества в целом и которые должны быть запрещены.
1.2. ПРАВОВАЯ БАЗА В РАЗЛИЧНЫХ КОНТЕКСТАХ
Правовая база для обработки биометрических данных путем распознавания лиц должна, в дополнение к элементам, указанным в разделе 1, касаться следующего:
- различных стадий использования технологий распознавания лиц, в том числе стадий создания баз данных и развертывания;
- секторов, в которых используются данные технологии;
- интрузивности различных типов технологий распознавания лиц, таких как технологий распознавания лиц в режиме реального времени или офлайн, и при этом содержать ясное руководство относительно законности.
1.2.1. Интеграция цифровых изображений в технологии распознавания лиц
Законодатели и принимающие решения органы должны обеспечивать, чтобы изображения, доступные в цифровом формате, не могли быть обработаны с целью получения биометрических образцов13) или интегрированы в биометрические системы без конкретных правовых оснований для новой обработки, если первоначально данные изображения были получены для других целей (например, из социальных сетей).
Поскольку получение биометрических образцов из цифровых изображений связано с обработкой конфиденциальной информации, следует обеспечивать возможную правовую базу, рассматриваемую ниже, меняющуюся в зависимости от секторов и разновидностей использования. Более конкретно, использование цифровых изображений, которые были загружены в Интернет, в том числе в социальных сетях, или на сайтах редактирования фотографий, или были получены с записей камер видеонаблюдения, не может считаться законным только на основании того, что субъекты данных явно опубликовали свои персональные данные в общем доступе. Законодатели и принимающие решения органы должны обеспечивать, чтобы существующие базы цифровых изображений, которые первоначально использовались для других целей, могли быть использованы для получения биометрических образцов и их интеграции в биометрические системы, когда это необходимо для первостепенных правомерных целей, предусмотрено законом, строго необходимо для достижения данных целей и соразмерно им (например, правоохранительные цели или медицинские цели).
1.2.2. Использование технологий распознавания лиц в публичном секторе
Наличие согласия, как правило, не должно быть правовым основанием для распознавания лиц органами власти ввиду дисбаланса полномочий между субъектами данных и органами власти. По той же причине, как правило, это не должно являться правовым основанием для использования технологий распознавания лиц частными организациями, уполномоченными на выполнение задач, аналогичных задачам властей.
Правомерность использования технологий распознавания лиц должна быть основана на целях биометрической обработки, предусмотренных законом, и на необходимых гарантиях, дополняющих Конвенцию 108+.
Законодатели и принимающие решения органы должны определять конкретные правила биометрической обработки путем технологий распознавания лиц для правоохранительных целей. Данные законы должны обеспечивать, чтобы такое использование всегда было строго необходимо для достижения данных целей и было соразмерно им, и предусматривать необходимые гарантии, которые должны быть предоставлены.
Правоохранительные органы
Биометрическая обработка с помощью технологий распознавания лиц для целей идентификации в контролируемой14) или неконтролируемой обстановке должна быть ограничена в целом правоохранительными целями. Она должна выполняться только уполномоченными в сфере безопасности органами.
Законом могут быть предусмотрены различные тесты необходимости и соразмерности в зависимости от того, является ли целью идентификация или проверка, с учетом потенциальных рисков для основных прав, при условии, что изображения физических лиц получены законно.
Для целей идентификации требование строгой необходимости и соразмерности должно соблюдаться и на стадии создания базы данных (списка наблюдения), и на стадии развертывания технологий распознавания лиц (онлайн) в неконтролируемой обстановке.
Законом должны быть предусмотрены ясные параметры и критерии, которые должны соблюдаться правоохранительными органами при создании баз данных (списков наблюдения) для конкретных, правомерных и явных правоохранительных целей (например, подозрение в тяжком преступлении или риск для общественной безопасности).
Принимая во внимание интрузивность данных технологий, на стадии развертывания технологий распознавания лиц в режиме реального времени в неконтролируемой обстановке закон должен обеспечивать обоснование правоохранительными органами того, что различные факторы, в том числе место и время развертывания данных технологий, оправдывают строгую необходимость и соразмерность их использования.
Иные государственные органы
Законодатели и принимающие решения органы должны определить конкретные правила для биометрической обработки данных с помощью технологий распознавания лиц для иных существенных общественных интересов государственными органами, которые не преследуют правоохранительные цели.
Законом могут быть предусмотрены различные тесты необходимости и соразмерности в зависимости от того, является ли целью идентификация или проверка, с учетом потенциальных рисков для основных прав и при условии, что изображения физических лиц получены законным путем.
Принимая во внимание потенциальную интрузивность данных технологий, законодатели и принимающие решения органы должны обеспечить наличие ясной и четкой правовой базы, предусматривающей необходимые гарантии для обработки биометрических данных. Такая правовая база должна предусматривать строгую необходимость и соразмерность использования данных технологий и учитывать уязвимость субъектов данных и характер обстановки, в которой данные технологии используются для целей проверки.
Например, обеспечение безопасности в контролируемой и неконтролируемой обстановке, в том числе в школах и других общественных зданиях, как правило, не должно считаться строго необходимым и соразмерным при наличии менее интрузивных альтернативных механизмов.
1.2.3. Использование технологий распознавания лиц в частном секторе
Использование технологий распознавания лиц частными организациями, за исключением частных организаций, наделенных полномочиями по выполнению задач, аналогичных тем, которые выполняют органы власти, требует в соответствии со статьей 5 Конвенции 108+ добровольного, четко выраженного, информированного и однозначного согласия субъектов данных, чьи биометрические данные подвергаются обработке.
Принимая во внимание требование о наличии такого согласия субъектов данных, использование технологий распознавания лиц может иметь место только в контролируемой обстановке для целей проверки, аутентификации или категоризации15).
В зависимости от цели необходимо уделять особое внимание качеству ясно выраженного согласия субъектов данных, когда оно является правовым основанием для обработки.
С целью обеспечения добровольного характера согласия субъектам данных необходимо предлагать альтернативы использованию технологий распознавания лиц (например, использование пароля или идентификационного бэйджа), которые легко использовать, поскольку если их слишком долго или слишком сложно использовать по сравнению с технологиями распознавания лиц, выбор не был бы подлинным.
Если согласие должно быть получено для конкретной цели, персональные данные не должны обрабатываться таким образом, который противоречит данной цели. Аналогичным образом в случае раскрытия данных третьей стороне, такое раскрытие также должно быть предметом конкретно выраженного согласия.
Частные организации не должны использовать технологии распознавания лиц в неконтролируемой обстановке, такой как торговые центры, особенно для идентификации лиц, которые представляют собой интерес для маркетинговых целей или из соображений частной безопасности.
Прохождение через пространство, в котором применяются технологии распознавания лиц, не может рассматриваться как ясно выраженное согласие.
2. НЕОБХОДИМОСТЬ ВМЕШАТЕЛЬСТВА НАДЗОРНЫХ ОРГАНОВ
В соответствии с пунктом 3 статьи 15 Конвенции 108+ у надзорных органов необходимо запрашивать мнение по любым предложениям о принятии законодательных или административных мер, предполагающих обработку персональных данных с помощью технологий распознавания лиц. Необходимо систематически привлекать надзорные органы и, в частности, запрашивать их мнение по любым возможным экспериментам или запланированному развертыванию.
Таким образом, необходимо систематически консультироваться с данными органами до реализации соответствующих проектов. Аналогичным образом у них должен быть доступ к оценкам последствий таких проектов, а также всем аудиторским, аналитическим и другим заключениям, полученным в контексте таких экспериментов или проектов.
Законодатели и принимающие решения органы должны обеспечивать эффективное сотрудничество между различными надзорными органами, уполномоченными осуществлять надзор в отношении различных аспектов обработки таких данных, если контроль за соблюдением требований закона в ходе такой деятельности осуществляют разные органы власти.
3. СЕРТИФИКАЦИЯ
Законодатели и принимающие решения органы должны пользоваться различными механизмами для обеспечения ответственности разработчиков, изготовителей, сервис-провайдеров или организаций, использующих данные технологии.
Создание независимого и квалифицированного механизма сертификации для распознавания лиц и защиты данных с целью подтверждения полного соответствия операций обработки соответствующим требованиям могло бы стать главным элементом, позволяющим добиться доверия со стороны пользователей.
Такая сертификация может внедряться в зависимости от применения искусственного интеллекта для технологии распознавания лиц: один вид сертификации для категоризации структур (дизайна алгоритма, интеграции алгоритма и так далее) и другой вид для категоризации алгоритмов (компьютерное распознавание, умный поиск и так далее).
4. ПОВЫШЕНИЕ ОСВЕДОМЛЕННОСТИ
Осведомленность субъектов данных и понимание широкой общественностью технологий распознавания лиц и их последствий для основных прав должны активно обеспечиваться путем доступных и образовательных действий.
Идея заключается в том, что предоставить доступ к простым понятиям, которые могут позволить субъектам данных до того, как они примут решение об использовании технологии распознавания лиц, понять, что означает использование конфиденциальных данных, таких как биометрические данные, как работает распознавание лиц и какова потенциальная опасность, в частности, в случае ненадлежащего использования.
Законодатели и принимающие решения органы должны способствовать участию общественности в разработке и использовании данных технологий и в предоставлении надлежащих гарантий защиты основных прав при использовании распознавания лиц.
II. РУКОВОДЯЩИЕ ПРИНЦИПЫ ДЛЯ РАЗРАБОТЧИКОВ, ИЗГОТОВИТЕЛЕЙ И ПРОВАЙДЕРОВ УСЛУГ
Данный раздел руководства отдельно касается вопросов, связанных со стадиями разработки и изготовления технологий распознавания лиц. В случае обработки биометрических данных разработчиками, изготовителями и провайдерами услуг для своих собственных целей на стадии разработки к ним будет также применяться раздел III, который касается организаций, использующих данные технологии.
1. КАЧЕСТВО ДАННЫХ И АЛГОРИТМОВ
1.1. РЕПРЕЗЕНТАТИВНОСТЬ ИСПОЛЬЗУЕМЫХ ДАННЫХ
Как и другие применимые нормативные акты, Конвенция 108+ в статье 5 предусматривает требование о точности данных. Таким образом, разработчики или изготовители технологий распознавания лиц должны принимать шаги с целью обеспечить точность данных распознавания лиц. В частности, они должны избегать неправильной идентификации путем достаточного тестирования своих систем, идентификации и устранения неточностей, например, в отношении демографических вариаций цвета кожи, возраста и пола и тем самым избегать непреднамеренной дискриминации.
Кроме того, с целью обеспечить как качество данных, так и эффективность алгоритмов последние должны разрабатываться с использованием синтетических наборов данных, основанных на достаточно разнообразных фотографиях мужчин и женщин с различным цветом кожи, различной морфологией, различных возрастов, при этом фотографии должны быть сделаны под разным углом. Должны быть предусмотрены резервные процедуры на случай сбоя системы, если физические характеристики не соответствуют техническим стандартам.
К биометрическим данным, которые неизбежно раскрывают другие конфиденциальные данные, такие как информация о типе заболевания или физической инвалидности, должны применяться соответствующие дополнительные гарантии.
1.2. СРОК ХРАНЕНИЯ ДАННЫХ
Система распознавания лиц требует периодического обновления данных (фотографии лиц, которые необходимо распознать) с целью обучения и улучшения используемого алгоритма.
Для каждого алгоритма существует определенный процент надежности распознавания, как в ходе его разработки, так и во время его использования. Таким образом, представляется важным датировать и фиксировать данный процент для отслеживания развития алгоритма. В случае ухудшения его надежности будет необходимо обновить «тренировочные» фотографии и в связи с этим запросить более новые фотографии. Это также позволит защитить алгоритм от последствий изменения формы лиц (в связи с возрастом, наличием аксессуаров - пирсинг и так далее - или другими изменениями).
Физическим лицам, заинтересованным покупателям или организациям, использующим технологии распознавания лиц, должен обеспечиваться простой доступ к данным показателям надежности, например, в форме информационной панели, с целью помочь им сделать выбор при приобретении и развертывании той или иной технологии.
2. НАДЕЖНОСТЬ ИСПОЛЬЗУЕМЫХ ИНСТРУМЕНТОВ
Надежность используемых инструментов зависит от эффективности алгоритма. Данная эффективность основывается на различных факторах, в том числе: ложные позитивы, ложные негативы, результативность при различном освещении, надежность в случаях, когда лица повернуты в сторону от камеры или когда лицо чем-то закрыто.
Должен обеспечиваться настолько высокий уровень надежности, насколько это возможно, с учетом того, что использование системы распознавания лиц может привести к очень значительным негативным последствиям для физического лица.
3. ОСВЕДОМЛЕННОСТЬ
Компании, которые осуществляют разработку и продажу технологий распознавания лиц, должны принимать разумные шаги, такие как рекомендации или советы, чтобы помочь организациям, использующим данные технологии, обеспечивать транспарентность и соблюдение конфиденциальности (путем предоставления им примеров политики конфиденциальности или рекомендаций относительно ясного и доступного для понимания обозначения, указывающего на то, что в том или ином пространстве используется технология распознавания лиц).
4. ОТВЕТСТВЕННОСТЬ
Компании, которые осуществляют разработку и продажу технологий распознавания лиц, должны принимать конкретные меры с целью обеспечения соблюдения принципов защиты данных, такие как:
- интеграция защиты данных в дизайн и архитектуру продукции и услуг, связанных с распознаванием лиц, а также во внутренние IT-системы и интеграция использования специально предназначенных для этого инструментов, в том числе автоматического удаления исходных данных после извлечения биометрических образцов;
- обеспечение определенного уровня гибкости при разработке данных технологий с целью адаптации технических гарантий в соответствии с принципами целевых ограничений, минимизации данных и ограничения срока хранения данных;
- имплементация внутреннего процесса проверки, целью которого является выявление и снижение возможных последствий для прав и основных свобод до того, как технологии распознавания лиц будут предоставлены в распоряжение пользователей;
- интеграция подхода защиты данных в их организационную практику, в том числе назначение специальных сотрудников, проведение тренингов по вопросам конфиденциальности для работников, а также проведение оценки последствий защиты данных на разработку или изменение продукции и услуг, связанных с распознаванием лиц.
III. РУКОВОДСТВО ДЛЯ ОРГАНИЗАЦИЙ, ИСПОЛЬЗУЮЩИХ ТЕХНОЛОГИИ РАСПОЗНАВАНИЯ ЛИЦ
Организации16) должны соблюдать все соответствующие принципы положения о защите данных, обрабатывая биометрические данные при использовании технологий распознавания лиц. Организации, использующие технологии распознавания лиц, должны быть в состоянии доказать, что такое использование строго необходимо и соразмерно в конкретном контексте и что оно не нарушает права субъектов персональных данных.
Организации могут ссылаться на исключения, предусмотренные применимым законодательством, отвечающим требованиям статьи 11 Конвенции 108+ (использование, которое предусмотрено законом, преследует правомерную цель, не нарушает самой сути основных прав и свобод и является необходимой и соразмерной мерой в демократическом обществе).
Организации, использующие технологии распознавания лиц, должны обеспечивать, что добровольное использование технологии не будет иметь последствий для физических лиц, которые непреднамеренно будут с ними контактировать.
1. ПРАВОМЕРНОСТЬ ОБРАБОТКИ ДАННЫХ И КАЧЕСТВО ДАННЫХ
Субъекты (обработки данных) будут опираться на различную правовую базу, в зависимости от сектора, к которому они принадлежат, и целей использования технологий распознавания лиц, упомянутых в разделе I.
Транспарентность и справедливость
Поскольку технологии распознавания лиц могут использоваться без какого-либо намерения или содействия со стороны субъектов данных, транспарентность и справедливость обработки имеют наиважнейшее значение и должны надлежащим образом приниматься во внимание организациями, которые используют данные технологии.
Организации должны предоставлять всю необходимую информацию об обработке, как указано в статье 8 Конвенции 108+.
Факторы, которые определяют, обеспечивается ли транспарентность, включают в себя, например, предоставление информации физическим лицам, контекст сбора данных, разумные ожидания относительно того, как будут использованы данные, то, является ли распознавание лиц лишь одним из свойств продукции или услуги или же, наоборот, их неотъемлемой частью. Также должна быть предоставлена информация о том, как сбор, использование или распространение данных распознавания лиц может затронуть физических лиц, особенно если речь идет о лицах, которые находятся в уязвимом положении. Также должна быть предоставлена информация о правах субъектов данных и о средствах правовой защиты, которыми они имеют право воспользоваться.
Политика конфиденциальности в области распознавания лиц или информационные материалы, касающиеся технологий, должны включать в себя, в дополнение к информации, указанной в статье 8 Конвенции 108+, следующую информацию17):
- могут ли данные распознавания лиц быть переданы третьим сторонам и в какой степени (если да, должна быть также предоставлена информация о личности контрагентов, получающих данные в ходе предоставления товаров или услуг);
- сведения относительно хранения, удаления или деидентификации данных распознавания лиц;
- контактные данные лиц, к которым физические лица могут обратиться с вопросами по поводу сбора, использования и распространения данных распознавания лиц;
- если практика сбора, использования и распространения данных значительно изменились, организации должны обновлять политику конфиденциальности или делать доступной информацию о данных изменениях в свете контекста изменений и их последствий для физических лиц.
В случае, если базы данных созданы правоохранительными органами для целей идентификации и проверки, обязательство обеспечения транспарентности может быть соразмерным образом ограничено, чтобы не ущемлять правоохранительные цели, в соответствии со статьей 11 Конвенции 108+ и при условии соблюдения закрепленных в ней требований.
Если технологии распознавания лиц развертываются в неконтролируемой обстановке, правоохранительные органы могут придерживаться многоуровневого подхода к предоставлению необходимой информации субъектам данных, которые проходят через неконтролируемое пространство.
Первый уровень предоставления информации касается читабельной и понятной информации о цели обработки, органе, использующем технологию, продолжительности обработки и соответствующем периметре; данные сведения должны быть размещены в зоне видимости в том месте, где используются технологии.
Второй уровень касается всей необходимой информации, которая требуется в соответствии со статьей 8 Конвенции 108+; данная информация должна быть размещена при входе в места, где установлена (система распознавания лиц).
Скрытое использование технологий распознавания лиц правоохранительными органами может допускаться только в том случае, когда оно является строго необходимым и соразмерным для предупреждения непосредственного и существенного риска для общественной безопасности, который должен быть подтвержден документально до начала скрытого использования.
Целевое ограничение, минимизация данных и ограниченная продолжительность хранения
Персональные данные, подлежащие обработке, должны быть получены для ясно обозначенных, конкретных и правомерных целей и не должны обрабатываться таким образом, который несовместим с данными целями, в соответствии с пунктом 4 статьи 5 Конвенции 108+.
Кроме того, перед любой последующей обработкой организации должны проверить, совместимы ли цели новой обработки с изначальными целями. В противном случае для новой обработки потребуется отдельное правовое основание.
Организации должны соблюдать принцип минимизации данных, в соответствии с которым обработке подлежит только требуемая информация, а не вся информация, к которой у организаций есть доступ.
Организации также должны установить срок хранения, который не может превышать тот, который необходим для конкретной цели обработки, и обеспечивать удаление биометрических образцов, когда данная цель достигнута. При определении срока хранения необходимо принимать во внимание биометрический характер персональных данных.
При развертывании технологий распознавания лиц в режиме реального времени организации также должны обеспечивать, что к разным стадиям обработки применяются разные сроки хранения данных:
- если совпадения с биометрическими образцами не зафиксировано, биометрические образцы физических лиц, оказавшихся в неконтролируемом пространстве, не подлежат хранению и должны быть автоматически удалены;
- если зафиксировано совпадение, биометрические образцы могут храниться в течение строго ограниченного срока, установленного законом наряду с необходимыми гарантиями, и отчеты о совпадениях, включающие персональные данные, также могут храниться в течение ограниченного срока;
- в любом случае список наблюдения и биометрические образцы должны быть удалены, когда достигнута цель, которую преследовало использование технологии распознавания лиц онлайн.
Точность
Организации должны обеспечивать, что биометрические образцы и цифровые изображения являются точными и обновленными. Например, качество изображений и биометрических образцов, включенных в списки наблюдения, должны проверяться для предупреждения потенциальных ложных совпадений, поскольку низкое качество изображений может являться причиной ряда ошибок. Это напрямую связано с источниками изображений, включенных в список наблюдения, от которых требуется строгое соблюдение принципов защиты данных, таких как принцип целевого ограничения.
В случае ложных совпадений организации должны принимать все разумные шаги для исправления ситуации и обеспечения точности цифровых изображений и биометрических образцов.
2. БЕЗОПАСНОСТЬ ДАННЫХ
Любое нарушение безопасности данных может иметь особенно тяжкие последствия для субъектов данных, поскольку несанкционированное раскрытие такой конфиденциальной информации невозможно исправить.
Поэтому как на техническом, так и на организационном уровне должны применяться строгие меры безопасности с целью защиты данных распознавания лиц и наборов изображений от утечки и несанкционированного доступа или использования данных на всех этапах обработки, будь то сбор, передача или хранение.
Организации должны принимать меры для предупреждения специфических для данных технологий атак, в том числе презентационных и морфинговых атак.
О любом нарушении безопасности данных, которое может серьезно затронуть права и основные свободы субъектов данных, необходимо докладывать в надзорный орган и, в случае необходимости, сообщать субъектам данных.
Меры безопасности должны меняться с течением времени и в ответ на изменение угроз и выявление уязвимостей. Они также должны быть соразмерными конфиденциальности данных, контексту использования конкретной технологии распознавания лиц и ее целям, вероятности причинения вреда физическим лицам и другим значимым факторам.
Строгие практики хранения и удаления - через безопасные процедуры - для данных распознавания лиц и максимально короткие периоды хранения, также способствуют снижению рисков для безопасности.
3. ОТВЕТСТВЕННОСТЬ
Организации должны принимать надлежащие меры для того, чтобы выполнять свои обязательства и иметь возможность доказать, что обработка данных, которая осуществляется под их контролем, соответствует данным обязательствам, как предусмотрено в статье 10 Конвенции 108+.
Следующие организационные меры должны рассматриваться организациями, использующими технологии распознавания лиц:
- применение транспарентной политики, процедур и практик для обеспечения того, что в основе использования технологий распознавания лиц лежит защита прав субъектов данных;
- публикация докладов о транспарентности в отношении конкретных случаев использования технологий распознавания лиц;
- создание и проведение образовательных программ и аудиторских процедур для тех, кто отвечает за обработку данных распознавания лиц;
- создание комитетов внутреннего надзора для оценки и улучшения любой обработки с использованием данных распознавания лиц;
- распространение договорных обязательств по соблюдению соответствующих требований на третьи стороны - сервис-провайдеров, деловых партнеров или другие организации, использующие технологии распознавания лиц (и отказ в доступе третьим сторонам, которые не выполняют данные обязательства);
- в публичном секторе: предварительная оценка ограничений процедур государственных закупок с участием инструментов распознавания лиц, оценка минимальных уровней результативности в плане точности, особенно если речь идет о правоохранительных целях.
Организации должны принимать все необходимые технические меры для обеспечения качества биометрических данных путем соблюдения международных технических стандартов в зависимости от контекста их использования.
Организации, использующие технологии распознавания лиц, должны обеспечивать, что люди продолжают играть решающую роль в действиях, предпринимаемых по итогам использования данных технологий. Организации, использующие данные технологии, должны принимать организационные меры для контроля за лицами, принимающими решения, которые могут привести к значительным последствиям для индивидов.
3.1. ОЦЕНКА ПОСЛЕДСТВИЙ ЗАЩИТЫ ДАННЫХ
Организации, использующие технологии распознавания лиц, должны проводить оценку последствий до обработки, поскольку использование данных технологий предполагает обработку биометрических данных и влечет за собой высокие риски для основных прав субъектов данных.
В ходе подготовки оценки последствий организации должны не только признать риски, связанные с возможной обработкой, но также рассмотреть необходимые смягчающие меры для снижения этих рисков, принимая необходимые технические и организационные меры. В рамках оценки они должны объяснять среди прочего:
- правомерность использования данных технологий;
- какие основные права затронуты биометрической обработкой;
- уязвимость субъектов данных;
- каким образом эти риски могут быть эффективно снижены.
Более конкретно, при рассмотрении возможности развертывания технологий распознавания лиц в неконтролируемой обстановке правоохранительные органы должны:
- оценить и объяснить строгую необходимость и соразмерность развертывания данных технологий;
- оценить риски для разных основных прав, в том числе защиты данных, личной жизни, свободы выражения, свободы собраний, свободы передвижения или запрета дискриминации, в зависимости от возможных случаев использования в разных местах.
Оценка последствий должна проводиться либо самими организациями, либо независимым наблюдательным органом, либо аудитором с надлежащим опытом, позволяющим выявить, измерить или предугадать возникающие со временем последствия и риски.
В ходе подготовки оценки последствий организации должны контактировать с заинтересованными лицами, в том числе физическими лицами, интересы которых могут быть затронуты, для оценки потенциальных последствий с их стороны.
Такая оценка последствия должна проводиться регулярно.
В случае выявления риска соответствующие организации должны иметь возможность обратиться в любые существующие комитеты по этике, а также в уполномоченные надзорные органы для рассмотрения потенциальных рисков.
После завершения оценки организации должны опубликовать ее результаты с целью получения отзывов со стороны общественности по вопросу возможного развертывания технологий распознавания лиц.
3.2. ЗАЩИТА ДАННЫХ НА СТАДИИ РАЗРАБОТКИ
Защита данных на стадии разработки охватывает всю цепочку активности обработки с помощью технологий распознавания лиц. Организации, использующие данные технологии для целей идентификации или проверки, должны обеспечивать, чтобы продукция или услуги, которыми они пользуются, были разработаны для обработки биометрических данных в соответствии с принципами целевых ограничений, минимизации данных или ограниченного срока хранения и чтобы в них были интегрированы все другие необходимые гарантии.
Если организации устанавливают технические свойства данных технологий, они должны соблюдать данные принципы с целью обеспечения того, что развертывание не будет нарушать право на защиту данных.
4. ЭТИЧЕСКИЕ ПРИНЦИПЫ
В дополнение к соблюдению юридических обязательств также очень важно обозначить этические принципы использования данных технологий, в частности, с учетом повышенных рисков, неразрывно связанных с использованием технологий распознавания лиц в некоторых секторах. Для этого могут быть созданы независимые консультативные советы по этике, с которыми могут быть проведены консультации перед и во время длительных развертываний, которые могут проводить проверки и публиковать результаты своих исследований, чтобы дополнять или подтверждать ответственность организации. Этические соображения могут помочь в соблюдении надлежащего баланса между противоположными интересами явно справедливым образом18).
Кроме того, с целью избежать нарушений прав человека комитеты экспертов в разных областях знаний, вероятно, смогут определить наиболее потенциально сложные случаи, возникающие при использовании технологий распознавания лиц.
В этой сфере важную роль также играют информаторы (разоблачители), и работники организаций, использующих данные технологии, должны иметь возможность пользоваться надлежащей защитой, как предусмотрено, в частности, в Рекомендации (2014)7 Комитета Министров «О защите информаторов, сообщающих о противозаконной деятельности»19).
IV. ПРАВА СУБЪЕКТОВ ДАННЫХ
Поскольку распознавание лиц основано на обработке персональных данных, субъектам данных гарантируются все права, предусмотренные в статье 9 Конвенции 108+, в частности, право на информацию, право на доступ, право на получение сведений об основании обработки, право на возражение и право на ректификацию.
Данные права могут быть ограничены, но при условии, что ограничение предусмотрено законом, не нарушает саму суть основных прав и свобод и представляет собой необходимую и соразмерную меру в демократическом обществе для достижения конкретных правомерных целей (таких, как правоохранительные) в соответствии со статьей 11 Конвенции 108+.
В случае ограничения прав субъектов данных правоохранительные органы должны информировать субъектов данных, помимо прочего, об их праве подать жалобу в надзорные органы и об их общем праве на средство правовой защиты.
В случае ложных совпадений субъекты данных могут требовать ректификации с целью предупреждения дальнейших/повторяющихся ложных совпадений.
Когда использование технологий распознавания лиц направлено на то, чтобы решение было принято исключительно на основании автоматизированной обработки, что может в значительной степени затронуть субъекта данных, последний должен, в частности, иметь право на то, чтобы такая обработка не проводилась без учета его или ее мнения.
При развертывании технологий распознавания лиц в режиме реального времени, если операторы-люди действуют только на основании результатов использования данных технологий, это может рассматриваться как исключительно автоматизированный процесс принятия решений, который в значительной степени затронет субъекта данных в связи с последствиями возможных ложных совпадений. В связи с этим субъект данных может требовать в соответствии с подпунктом «а» пункта 1 статьи 9 Конвенции 108+, чтобы его мнение было принято во внимание.