Внедрение технологий идентификации личности в повседневную жизнь для ограничения иммиграции и борьбы с преступностью, увеличение числа составляемых досье и рост практики обмена информацией между различными организациями
Регулирование практики видеонаблюдения в России
В крупных городах России распространяется практика видеонаблюдения в общественных местах в целях предотвращения и расследования преступлений. В российской столице видеокамерами оборудуются подъезды домов, на автодорогах, в электропоездах. Нет системы предупреждения граждан о ведении видеонаблюдения, правила хранения видеозаписей и доступ к ним не обеспечивается никакими процессуальными гарантиями защиты от возможных злоупотреблений.
Использование биометрических средств идентификации
Зарубежный опыт
Биометрия представляет собой совокупность автоматизированных методов и средств идентификации человека, основанных на его физиологической или поведенческой характеристике. Учеными разработано множество способов идентификации человека: распознавание по отпечаткам пальцев, по форме руки, по радужной оболочке глаза, по форме лица, по рукописному почерку, по клавиатурному почерку (по динамике набора кодового слова), по голосу, по термографии лица, по расположению вен на запястье, по динамике поворота ключа в дверном замке и т.д. Несмотря на 20-летний стаж развития биометрии как отдельной области в информационной безопасности, резкий скачок интереса к ней произошел только в 2001 году после трагических событий в США 11 сентября. Следствием этих событий стало сокращение времени на адаптацию технологии в различных областях применения. В первую очередь эти изменения коснулись систем проверки личности на стратегических объектах и регистрации в различных государственных системах идентификации (визовых, миграционных службах, силовых министерствах и ведомствах и т. д.). Наибольший интерес был обращен к технологиям идентификации по форме лица, радужной оболочке глаза и отпечаткам пальцев.
В интересах безопасности системы идентификации применяются не только на особо охраняемых объектах, но и в общественных местах. Система сканирования лиц, настроенная на опознавание пропавших детей и насильников предусматривает прохождение принудительной процедуры идентификации всех учащихся, преподавателей и посетителей одной из школ в США. С 2002 года в британских школьных библиотеках начато использование сканеров отпечатков пальцев. Системы идентификации применяются в аэропортах в связи с угрозой терроризма. В США с 2004 года, въезжающих в США иностранных граждан фотографируют и снимают у них отпечатки пальцев[15]. В рамках инициативы по автоматическому биометрическому контролю за лицами, пересекающими границы Евросоюза, одобренной восемнадцатью европейскими странами и предназначенной для улучшения "контроля на границах" и повышения внутренней безопасности" в аэропорту Франкфурта было введено обязательное для всех пассажиров сканирование сетчатки глаза.
Использование биометрических средств идентификации в России
В России на 2003 год в электронной базе данных содержалась информация об отпечатках пальцев 10 млн. человек. Объединенной компьютерной дактилоскопической базы данных в РФ не создано. Отдельные дактилоскопические базы есть в Службе внешней разведки, Федеральной службе безопасности, Федеральной службе охраны, налоговой полиции, в криминальной милиции, в экспертно-криминалистическом управлении МВД. Создание и расширение баз данных биометрической информации требует внесение изменений в законодательство, а также больших расходов, что в настоящее время является ограничением для распространения этой практики.
В феврале 2004 года в комиссии по законодательству и безопасности Московской городской Думы было принято решение о создании рабочей группы для разработки мероприятий по внедрению биометрической технологии "Бикарт" (отечественная технология дактилоскопической регистрации и идентификации граждан) в области миграции, выдачи лицензий на оружие, в системах безопасности на объектах особой важности столицы (с ограничением доступа), а также законодательных инициатив по применению биометрических технологий. Рабочая группа выступила с предложением к МВД РФ рассмотреть возможность применения технологии "Бикарт" в качестве эксперимента в системе регистрации, учета и идентификации московских мигрантов. В 2005 году министры внутренних дел стран СНГ заявили о намерении внедрить систему биометрической идентификации для регистрации мигрантов в рамках борьбы с терроризмом.
В 2004 году в московском аэропорту "Домодедово" были установлены технические средства, которые позволят автоматически фиксировать отпечатки пальцев пассажиров. Данные об отпечатках пальцев собираются в базы данных и позволят быстро устанавливать личность пассажира.
Внедрение паспортов с биометрическими данными
Летом 2003 года страны большой восьмерки приняли решение об усилении средств защиты паспортов и идентификации личности - внедрении высокотехнологичных паспортов снабженных микрочипом с данными об отпечатках пальцев и, возможно, сетчатке глаза обладателя. В нескольких странах, например, Канаде, Финляндии, США, дан старт многолетним государственным проектам построения системы идентификации по отпечаткам пальцев и переходу на паспорта, содержащие биометрические данные.
Внедрение паспортов с биометрическими данными в России
18 сентября 2004 года Президент России подписал распоряжение "Об образовании межведомственной рабочей группы по подготовке введения в Российской Федерации паспортно-визовых документов нового поколения". Рабочей группе поручено до 1 января 2006 года создать нормативно-правовую базу для внедрения государственной системы изготовления, оформления и контроля паспортно-визовых документов нового поколения с использованием биометрической информации. По информации руководителей ведомств - биометрические данные будут вноситься как в заграничные паспорта (в соответствии со стандартами принятыми "большой восьмеркой"), так, в перспективе, и в гражданские.
Генетическое тестирование и создание баз данных ДНК
В Исландии закон разрешает генетические тесты для иностранных граждан, указывающих на свою родственную связь с гражданами Исландии как на основание своего права пребывать в стране. Подобные полномочия требовать генетического подтверждения родства для получения гражданства имеет миграционная служба Дании.
Во многих странах существуют полицейские базы данных образцов ДНК осужденных судом и подозреваемых в совершении преступления. Такие базы данных существуют, например, с 1998 года в Германии, с 2000 года в Швейцарии. В Великобритании в общенациональную базу данных заносятся образцы ДНК всех арестованных. В США введено принудительное генетическое тестирование всех осужденных.
Защита прав при создании баз данных ДНК, внедрении систем идентификации, обмена информацией
Из мер по регулированию генетического тестирования можно отметить рекомендации греческого совета по защите персональных данных о том, что генетический анализ ДНК должен ограничиваться "некодифицированным отделом ДНК" и только идентификацией личности. Совет рекомендовал запретить любые методы, которые позволяют делать выводы о чертах личности того или иного лица на основании их ДНК, включая составление личного дела (досье). Такой метод следственных действий должен использоваться лишь для установления личности правонарушителя или жертвы, а результаты анализа должны быть уничтожены по достижении поставленных целей. Закон о генной инженерии Австрии 1994 года содержит требование получать предварительное согласие субъекта данных для того, чтобы его данные были использованы в целях, отличных от первоначальных.
Ограничение банковской тайны в рамках борьбы против отмывания денег
После террористических атак 11 сентября 2001 года в мире были заморожены активы на сумму более $200 млн., арестовано боле 1.4 тыс. банковских счетов, принадлежащих 300 организациям, связанным с террористами. В рамках международных договоренностей по противодействию терроризму во многих развитых странах были введены более жесткие ограничения банковской тайны, в том числе требования к финансовым учреждениям сообщать в специальные органы сведения о лицах, которых можно заподозрить в отмывании средств. Самыми широкими полномочиями в этой сфере были наделены спецслужбы США: с декабря 2003 года ФБР были даны полномочия без специального ордера получать финансовую информацию о гражданах от банков, страховых компаний, бюро путешествий, риелторских фирм, брокеров, почтового ведомства, ювелирных магазинов, казино, автодилеров и т.д. В Великобритании недонесение о подозрительных банковских счетах, которые могли иметь отношение к терроризму подлежит уголовному преследованию, если для подозрений были "разумные основания". Во Франции был принят Закон "Об ориентации и планировании в области внутренней безопасности", который наделяет правоохранительные органы правом прямого и дистанционного доступа к негосударственным (банковским, корпоративным и т.д.) базам данных при наличии санкции суда. Ограничения банковской тайны касаются не только борьбы с финансированием терроризма, но и борьбы с экономическими преступлениями. Например, в Норвегии в июне 2003 года был принят новый закон против отмывания денег, который требует от работников финансовой сферы, индустрии азартных игр и других учреждений, связанных с движением средств, чтобы те уведомляли Агентство по экономическим преступлениям в случаях, когда они подозревают, что клиент может отмывать деньги.
Ограничение банковской тайны в России
Закон "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" обязывает "организации, осуществляющие операции с денежными средствами" собирать и передавать в уполномоченные органы информацию об участниках операций с денежными средствами на сумму более 600 тысяч рублей, либо в случаях, когда хотя бы одной из сторон является организация или физическое лицо, в отношении которых имеются сведения об их участии в экстремистской деятельности. Закон вводит прямой запрет на информирование на информирование клиентов и иных лиц о принимаемых мерах. В мае 2004 года Центробанк РФ впервые отозвал лицензию по закону о противодействии легализации преступных доходов и финансированию терроризма у "Содбизнесбанка" в связи с обвинениями в содействии легализации преступных доходов.
Стремление государства оптимизировать свою работу
Внедрение и использование идентификационных карточек и объединение баз персональных данных
Зарубежный опыт
Поскольку работа практически всех государственных служб и учреждений с населением строится на использовании персональных данных граждан, любые меры, повышающие удобство хранения, поиска, систематизации и обработки персональных данных повышают эффективность работы государственных учреждений. Объединение баз данных, создание единых национальных баз данных персональной информации во много раз снижает экономические издержки. Хранение баз данных в Интернет повышает удобство обращения к информации. Внедрение единых персональных идентификаторов - универсальных личных номеров облегчает поиск и обмен информации между различными службами и создает тот же эффект, что и объединение баз данных. Уровень развития современных технологий и благосостояние государств делает подобные проекты реальными и реализуемыми. Однако такие проекты сводят на нет усилия по защите персональных данных и делают персональную информацию прозрачной и доступной. Поскольку объединение, например, налоговой, медицинской, социальной информации, данных об имуществе, сведений о семейном положении, судимостях и т.д. создает практически исчерпывающее досье, включающее ряд профессиональных тайн, но тем не менее доступное большому кругу лиц. Поэтому объединение баз данных и использование личных идентификационных номеров требует существенных ограничений и гарантий защиты персональной информации и сохранения личных тайн.
Тем не менее, в том или другом виде идентификационные карточки используются в около 100 странах мира. Типы карточек, их содержание и функции очень различаются: карточки используются для идентификации личности (Бразилия, Корея, Малазия, Италия), для установления системы квотирования (Пакистан), как средство построения общества (Китай), для реализации права на социальное обеспечение (Новая Зеландия), как средство борьбы с преступностью (Великобритания) или с уклонениями от уплаты налогов (Австралия), для упрощения процедуры пограничного контроля (Голландия), как средство доступа к государственным услугам (Испания, Португалия, Тайланд, Сингапур) и т.д. наиболее открытыми для всеобщего доступа являются персональные данные граждан Исландии, они широко используются наряду с именами, адресами и другими персональными сведениями. Например, совершение такого обыденного действия, как взятие в прокат видеокассеты, основано на использовании персонального идентификационного номера. В 2003 году в Румынии начато создание интегрированной информационной системы (SII), базы данных, которая централизованно объединит информацию, хранящуюся во всех государственных учреждениях о физических и юридических лицах. Национальный идентификационный номер Финляндии широко используется в общественном и частном секторе. Он включен в паспорта, водительские права, а также в другие файлы персональных данных, которые ведут государственные службы.
В некоторых странах внедряются и разрабатываются смелые проекты по объединению технологий будущего и технологий идентификационных карточек. В Ирландии единый номер (Personal Public Service Number) планируется использовать как уникальный идентификатор и в области телекоммуникаций, и для обеспечения доступа его владельца к определенным государственным службам. Идентификационный номер - часть более широкого проекта модернизации государственной системы и создания полнофункционального "электронного правительства". С декабря 1999 года правительство Финляндии начало выдавать новые национальные идентификационные карточки (FINEID) на основе технологии смарт-карт. Карточки включают цифровую подпись для онлайновых коммуникаций с правительственными органами и коммерческими структурами. Карточки можно использовать в считывателях смарт-карт на персональных компьютерах. Есть планы включить их в SIM-карточки мобильных телефонов и в интерактивные телевизионные системы. Центр регистрации населения также сотрудничает с операторами мобильной связи для разработки смарт-карты, пригодной для электронного голосования. Планируется, что к 2007 году жители Финляндии смогут голосовать через Интернет или по мобильному телефону.
Защита персональных данных в России
Законодательство о защите персональных данных в России представлено лишь рамочным законом "Об информации, информатизации и защите информации". Не предусмотрены правила регулирования обращения с персональными данными и механизмы их защиты. Общепринятые международные нормы о защите персональных данных в России не действуют. Несмотря на требование Закона "Об информации…" не определены перечни персональных данных, которые могут собираться органами власти и негосударственными организациями, а также перечни органов и организаций, ответственных за сбор и обработку федеральных информационных ресурсов. Законом РФ "О лицензировании отдельных видов деятельности" от 10.01.03 г. были исключены рамочные нормы о лицензировании деятельности по формированию и использованию информационных ресурсов, которые до принятия этого Закона содержались в Законе "Об информации, информатизации и защите информации" и могли выступать одной из гарантий защиты персональной информации.
Большие угрозы защищенности персональных данных несут в себе инициативы по объединению всех существующих баз данных о гражданах в одну, а также введение единого идентификационного номера гражданина. На сегодняшний момент законодательством установлено присвоение индивидуального номера налогоплательщика. Существует система персонального учета населения (СПУН), которая ставит целью объединить 18 официальных баз данных о гражданах России. Были попытки разработки проекта федеральной целевой программы "Создание общегосударственной автоматизированной системы учета лиц, проживающих в Российской Федерации и временно пребывающих на ее территории, и официальных документов, удостоверяющих их личность", в которой предполагалось для наиболее точной идентификации гражданина присваивать ему цифровое обозначение (гражданский код).
В нашей стране практически все существующие государственные базы данных о гражданах можно приобрести на "черном рынке", существует система регулярного обновления этих баз данных, фирмы, специализирующиеся на предоставлении подобных услуг. Масштабы российского "черного рынка" баз персональных данных несопоставимы с любой другой страной, что свидетельствует о незащищенности персональных данных.
Посягательства на приватность со стороны компаний и корпораций в интересах бизнеса и получения прибыли
Создание медицинских баз данных, некорректное использование медицинской информации и разглашение врачебной тайны
Медицинская тайна традиционно считались наиболее характерным видом конфиденциальной информации. Однако, обеспечение конфиденциальности пациента идет в разрез с интересами индустрии медицинского страхования. Медицинские базы данных и результаты исследований - очень дорогостоящий товар. И несмотря на обязательства медиков хранить врачебную тайну - появляется информация о дорогостоящих проектах, нарушающих приватность пациентов. Так, голландский институт здравоохранения RIVM создал базу данных образцов крови более чем миллиона младенцев без ведома их родителей. В Исландии была создана общенациональная централизованная медицинская база данных, которые могут использоваться при генных исследованиях. Пациентам предоставляется право отказаться от того, чтобы сведения о них включались в базу данных, по состоянию на июнь 2003 года более 20 тысяч пациентов воспользовалось этим правом. Управляющая базой данных компания заявила о намерении осуществить исследование генофонда страны с целью поиска ген, относящихся к таким распространенным заболеваниям, как рак, астма, шизофрения, болезни Альцгеймера и Паркинсона. Данная инициатива встретила противодействие профессиональных медицинских ассоциаций. По заключению экспертов последствия создания предлагаемой базы данных в области приватности и этики находятся "вне рамок того, что является общепринятым во всей Европе". И с 2002 года развитие базы данных было отложено. В 2003 году в этой же стране был принят закон о базах данных рецептов, разрешив Организации государственного медицинского страхования регистрировать данные из всех медицинских рецептов на лекарства для борьбы со злоупотреблениями. Ассоциация исландцев за этику в науке и медицине отметила, что необходимость иметь доступ к информации о большинстве лекарств и рецептов, подпадающих под действие закона, отсутствует поскольку вероятность злоупотреблений или угрозы здоровью населения отсутствует, а сбор информации деликатного характера Организацией государственного медицинского страхования подвергнет риску ее целостность, подрывая доверие своих клиентов.
Поскольку подобные проекты являются очень дорогостоящими и требуют высокого уровня развития медицины, а также в силу того, что право на врачебную тайну регулируется законодательством для России угроза создания подобных баз данных пока не является актуальной.
Создание персональных досье пользователей Интернет
Информацию о пользователях Интернета собирают коммерческие компании. Собранными базами активно интересуются маркетологи, рекламисты, менеджеры сетевых магазинов, профессиональные спамеры. Для сбора информации используются специальные компьютерные программы-шпионы (spyware), которые незаметно для пользователя собирают заданную информацию. Одни программы могут фиксировать активность пользователя в Интернете и составлять исходя из тех сайтов, которые посещает пользователь и данных анкет, которые он заполняет в сети своего рода досье, портрет индивидуальных предпочтений и интересов. Другие программы, разрабатываемые компаниями производителями программного обеспечения для борьбы с пиратством сканируют жесткий диск, накапливая данные о его содержимом (чаще всего, о программном обеспечении, проинсталлированном на пользовательском компьютере) и отсылают результаты разработчику. Программы клавиатурные шпионы, устанавливаемые через интернет, либо непосредственно на компьютер пользователя, собирают информацию о каждой нажатой клавише и о времени запуска каждого приложения, записывая ее в текстовый файл. Шпионские программы доступны, их можно скачать бесплатно или за плату в Интернет. Равно как и доступны бесплатные версии программ обнаружения "шпионов".
Одна из разновидностей программ-шпионов - файлы cookie. Они собирают данные, отражающие пользование Интернет-услугами, хранятся на компьютере пользователя и могут быть использованы для согласования передачи данных между Интернет-броузером и сервером.
Распространенность использования этих программ подтверждают многочисленные исследования. В середине апреля 2004 года одним из крупнейших американских интернет-провайдеров, компанией EarthLink, были опубликованы результаты исследований примерно миллиона подключенных к Сети компьютеров на степень инфицированности программами-шпионами. Оказалось, что в среднестатистическом ПК с интернет-доступом сейчас функционирует около 28 всевозможных шпионских программ, в том числе в более 300 тысяч случаев были выявлены далеко не безопасные программы: "троянские кони", регистраторы нажатия клавиш (key loggers) и другие программы системного мониторинга.