Камеры хранения: Москва получит свою информационную систему с биометрическими данными

Только государственные пользователи

30 июля Госдума рассмотрит во втором чтении законопроект о так называемых обезличенных данных.

Поправки в закон «О персональных данных» разрабатывались несколько лет. Изначально они предполагали, что бизнес сможет заручаться согласием своих клиентов и сотрудников на обработку их персональных данных сразу в нескольких целях. Такая поправка была нужна, чтобы можно было обезличивать данные и использовать их для статистики и развития технологий ИИ. Например, сервисов рекомендаций или рекламных предложений. По текущему законодательству, необходимо заручаться согласием субъекта на каждую из целей обработки его личной информации.

В марте 2021 года Минцифры радикально переписало законопроект. Новая версия предполагала создание ГИС, куда бизнес и государственные муниципальные организации по запросу должны передавать персональные данные своих клиентов и сотрудников. Согласие на передачу данных от пользователя в «госозеро» в законопроекте не предусмотрено. Доступ к этим данным в первый год после размещения получат только государственные пользователи, а потом и все остальные, кого одобрит правительство.

Документ и после этого претерпевал значительные изменения, в том числе те, что были внесены буквально накануне второго чтения. Так, 29 июля комитет по информполитике Госдумы на заседании одобрил новую версию законопроекта (копия есть в распоряжении Forbes), который теперь также предполагает, что свою региональную информационную систему (РИС) данных будет иметь и правительство Москвы. Однако она будет отличаться от федеральной тем, что обрабатываться в ней будут также и биометрические персональные данные, причем без согласия их субъекта. «Донорами» информации смогут быть все подведомственные правительству Москвы организации, а также те, кто находится под прямым или косвенным контролем мэрии. Еще одно отличие: если в федеральное «госозеро» бизнес и госструктуры будут передавать информацию уже в обезличенном, анонимизированном виде, то в РИС Москвы — «сырые» персональные данные.

Автором этих поправок в Системе обеспечения законодательной деятельности указан глава комитета Госдумы по информполитике Александр Хинштейн. Стоит отметить, что в понедельник, 29 июля, на заседании профильного думского комитета в ходе обсуждения законопроекта между экспертами и некоторыми депутатами разгорелись нешуточные страсти, свидетелем чего стал корреспондент Forbes.

Столичный статус-кво

Как сообщал Forbes, исключение для Москвы сделано потому, что в регионе действует экспериментально-правовой режим (ЭПР) для разработки и тестирования технологий ИИ. Он действует с 2020 года и позволяет участникам эксперимента получить широкие возможности по использованию ИИ, и среди прочего — доступ к данным граждан (включая изображения с камер распознавания лиц и обезличенные персональные данные). При этом кто именно участвовал в этом эксперименте, государственные органы или частные компании, — не ясно.

По мнению источника Forbes в IT-отрасли, по сути, Москва закрепляет за собой возможность обрабатывать персональные данные жителей столицы по-прежнему. «По крайней мере до завершения ЭПР», — добавил он.

Благодаря ЭПР Москва имеет возможность сама обезличивать персональные данные и использовать их, не получая согласия субъектов данных на это, сообщил Forbes источник в мэрии.

В законопроекте привлекает внимание то, что столичная база создается из данных не частных компаний, а только организаций или компаний, учрежденных регионом, говорит руководитель юридического отдела IDX Михаил Тевс. «Видимо, это связано с тем, что Москва построила большую сеть камер, агрегацию данных с которых и предстоит легализовать», — допускает он.

В рамках программы «Безопасный город», действующей с 2011 года, в Москве создана обширная система видеонаблюдения. Сейчас в столице установлено более 225 000 камер, из них почти 7000 — в местах массового скопления граждан, а с 2017 года в столице работают камеры с функцией распознавания лиц. Финансирование «Безопасного города» в столичном бюджете предусмотрено в 2024 году в объеме 106,2 млрд рублей. На 2025 и 2026 годы запланировано 98,2 млрд и 100,5 млрд рублей соответственно.

«Гарантировать устойчивость данных к атакам никто не может»

Биометрия — самая ценная категория персональных данных с точки зрения их возможного использования в медицине, борьбе с преступностью, миграционном контроле, перечисляет эксперт юридической фирмы DRC Кира Таран, добавляя, что это наиболее точная информация, дающая самые достоверные результаты при обучении и развитии технологии ИИ. «Вместе с тем возникает множество взаимосвязанных вопросов о формировании единых технических стандартов по обезличиванию биометрических данных с использованием ИИ и их дальнейшей обработке, — указывает она. — Поскольку такие данные наиболее важны для личности и государства, для их хранения и исключения возможности их персонифицировать нужны наиболее эффективные правовые и технические меры. Это может послужить импульсом к дальнейшему развитию IT-инфраструктуры Москвы и организаций, которые будут участвовать в этом проекте, но и приведет к большим расходам».

Проблема с обезличиванием биометрических данных в том, что они почти не меняются в течение жизни, отметил главный юрисконсульт практики интеллектуальной собственности юридической компании «ЭБР» Кирилл Ляхманов. «Если паспорт и номер мобильного можно поменять, то цвет глаз и историю болезни поменять не получится», — рассуждает он. По словам эксперта, сейчас существует несколько перспективных технологий, анонимизирующих биометрические данные через подавление одних признаков и сохранение других, необходимых для последующего использования в машинном обучении. «При этом гарантировать устойчивость обезличенных биометрических данных к атакам через обогащение датасетов никто не может», — заключил он.

«Сейчас мы ничего не знаем о том, как именно правительство Москвы и подведомственные ему организации обрабатывают персональные данные жителей столицы», — обращает внимание источник Forbes, близкий к Минцифры. По его словам, в публичном поле нет информации, где находятся эти системы, как они работают, по каким принципам они обрабатывают информацию о жителях Москвы, как обеспечивается защита этих данных. «Когда Москва будет иметь свою РИС, мы, возможно, получим какое-то представление об этом. Позиция министерства и думского комитета в том, что персональные данные в любой государственной системе абсолютно защищены. Однако когда нет возможности проанализировать, то и причин полагать, что это так, нет», — пояснил собеседник Forbes.

В Минцифры, Департаменте информационных технологий Москвы и комитете Госдумы по информполитике на запрос Forbes не ответили.