22/06/2021
Международная конференция «ЛИДЕРСТВО УЧИТЕЛЕЙ КАЗАХСТАНА»
12/06/2021
Итоги конкурса имени Анны Александровой
22/06/2021

Правозащитник Роман Реймер: «Биометрическая идентификация — люди просто не понимают, зачем это надо»

Роман Реймер

Молодой правозащитник Роман Реймер в этом году вместе с коллегами провел исследование закона «О дактилоскопической и геномной регистрации» с трех точек зрения: экономической, социальной и правовой. Фонд Сорос-Казахстан поговорил с Романом о невыученных уроках защиты персональных данных, сокращении бюджета на систему биометрической идентификации личности и приоритетах государства.

Начав работу по изучению норм закона «О дактилоскопической и геномной регистрации», команда Романа пришла к выводу, что в этом вопросе между государством и властью возник информационный пробел:

— Мы поняли, что о законе «О дактилоскопической и геномной регистрации» в принципе мало знает, кроме юристов, которые интересуются этой областью, потому как сам закон был принят в 2016 году. Лично я о нем узнал только в августе 2020 года и был очень удивлен. Мы с моими коллегами решили провести информационную кампанию. Спасибо Фонду Сорос-Казахстан за то, что поддержали ее. В процессе информационной кампании, изучая законодательные акты, документы, мы поняли, что необходимо провести исследование и посмотреть на эту тему с трех сторон: экономическая целесообразность, международный опыт и социологическая составляющая — насколько люди отдают себе отчет, что это такое. Мы понимаем, что наше исследование проводилось в короткие сроки и не претендуем на истину в последней инстанции. Исходя из наших данных мы поняли, что есть определенные вопросы к этому закону, есть определенные вопросы к тому, каким образом это будет финансироваться и будет ли достаточно тех денег, которые выделяются на реализацию проекта. В-третьих, существует огромный разрыв между пониманием гражданами того, что происходит в рамках данного законопроекта и пониманием государства о необходимостях его внедрения. Об этом, собственно, наше исследование.

Вы можете в общих чертах рассказать о том, к каким выводам вы пришли на основе большого анализа самого текста законопроекта, его бюджета?

— Основываясь на документах, которые мы получили, в частности, от МВД, мы делаем вывод, что Министерству внутренних дел в настоящее время не хватает финансовых ресурсов для реализации данного закона, то есть для его внедрения в действие.

Не хватает порядка 12 миллиардов тенге. Изначально они планировали бюджет в размере 18 миллиардов тенге, но им выделили всего 6 миллиардов. Более того, в бюджете на 2021-2023 годы отсутствует такая статья, как внедрение базы по геномной и дактилоскопической регистрации. Соответственно, до 2023 года внедрение именно части закона по дактилоскопии откладывается в связи с тем, что не готова база, не готова инфраструктура. А не готова, потому что нет денег. Замкнутый круг. Это то, что касается экономической целесообразности.

В нашем исследовании вы можете увидеть, как мы рассчитываем дефицитность бюджета. Эти цифры говорят о том, что этот закон неприоритетен, исходя из тех реалий, которые на сегодня существуют в Казахстане.

Что касается международного опыта, то он разный: где-то позитивный, где-то негативный. Но международный опыт только тогда позитивен, когда он опирается на четко разработанные нормы и эти нормы соответствуют тем международным стандартам, которые в этой области есть. Лучший пример — европейский GDPR. Соответственно, если наша власть захочет внедрить подобную систему, то неплохо было бы опираться на принципы GDPR.

Что касается социологического обзора, мы видим, что люди просто не понимают, что это такое и зачем нужно. Я уверен, что если мы будем проводить более развернутое и широкое социологическое исследование по тем же вопросам, то получим примерно одинаковую картину с корреляцией в несколько процентов в ту или иную сторону. Но в целом ситуация такова, что люди а) не понимают, зачем это нужно, b) не знают, почему такой закон вообще был принят и с) в большинстве своем не готовы проходить никакие дактилоскопические регистрации.

Вы упоминали, что было принято решение сократить бюджет внедрения этой систему в три раза. Как это может сказать на качестве предоставления услуг по хранению, обработке данных казахстанцев? Можем ли мы говорить о том, что бюджет на реализацию проекта будет восстановлен?

— Вы можете вбить в Гугл «потеря персональных данных в Казахстане» и обнаружите колоссальное количество кейсов, когда персональные данные наших граждан утекали из разных государственных органов: из Генпрокуратуры и ЦИК в 2019 году, есть свежий кейс, когда алматинские полицейские приторговывали базами данных. Отсюда возникает вопрос: «Почему так происходит?» Ответ, вероятно, заключается в том, что отсутствует четкое понимание того, как должна информация храниться, какие люди могут иметь доступ к этой информации, какая степень защиты и так далее. Из этого следует, что государство в первую очередь должно создать нормальную правовую базу, нанять специалистов, которые будут в состоянии это исполнить. И третье, я думаю, что это база должна пройди так называемый гражданский контроль. Группа экспертов айтишников либо «белых» хакеров попытается эту базу взломать. Если у них не получиться, значит все сделано хорошо. Только когда все эти три фактора пройдут, можно считать, что система рабочая.

Отвечая на ваш вопрос, мы не знаем — изначально они заявляли бюджет в 18 млрд тенге, но был ли он достаточен? Расчетами с нами никто не делится. Из запрошенного есть всего 6 млрд. Если с одной стороны на 2023 год запланировано внедрение этой базы, а с другой, — в республиканском бюджете на этот год эти расходы не предусмотрены, то либо имеющихся денег им хватит и смета была завышена, либо…  в 2023 году эта база каким-то образом запустится неизвестно какого качества или может быть перенос внедрения на 2025 год. Пока такие варианты.

В частности, вы говорили, что в исследовании затронут социальный компонент, чтобы понять, как казахстанцы настроены в отношении биометрической идентификации личности. К каким результатам вы пришли? Какие есть страхи относительно этой системы?

— Страхами я это не назову, скорее, это озабоченность. В первую очередь, люди просто не понимают, зачем это надо. Во-вторых, они не хотят сдавать биометрические данные, потому что не понимают, как информация может быть использована. Они не уверенны в том, что персональные данные не будут использованы против них: третьими лицами, органами правопорядка или государственными органами. К примеру, 66,7% респондентов полагают, что есть риск неправомерного использования данных. Второй очень интересный момент: 74,2% респондентов говорят о том, что у них отсутствует доверие к этой базе и государственным органам, которые будут ее собирать. С одной стороны нет доверия, с другой стороны существует риск неправомерных действий со стороны третьих лиц либо государственных органов. Государству нужно работать над тем, чтобы повышать свой имидж, увеличивать доверие и нормально разъяснять гражданам, что это за система.

В таких ситуациях часто на одной чаше весов у нас складывается необходимость обеспечить безопасность общества. На другой стороне — это право человека на анонимность, право на защиту личных данных. Как на ваш взгляд должно решаться это уравнение, чтобы между двумя этими безусловно важными темами установить баланс?

— Если мы говорим об ограничении прав человека, а персональные данные, их хранение — это одна из составляющих прав человека, то если вы хотите их ограничивать, следует действовать согласно международным нормам, а именно согласно нормам ограничения прав и свобод человека. Это как базовый стандарт. Там прекрасно все расписано, в каких случаях это допустимо. В настоящее время, я полагаю, наше государство обладает всеми ресурсами, в том числе законодательными и техническими для того, чтобы предупреждать и раскрывать какие-либо преступления и правонарушения. Тех же активистов перед митингами находят и арестовывают прежде, чем они выйдут из дома. Так что у государства все есть, в том числе и технические средства. Просто применяют их почему-то только к активистам. Государство должно доказать гражданам, что методика сбора и хранения персональных данных не приведет к тому, что эти данные утекут в интернет, попадут в руки к мошенникам. То есть, если государство докажет людям, что система рабочая и уважающая их права, то вопросов возникать не будет. Конечно, всегда есть риски, в любой системе, но это будут единичные случаи, а не на системном уровне. Идеал — европейские страны, которые живут по GDPR.

Как вы можете оценить внедрение аналогичных систем, например, не в Европе, а в России? У них ведь тоже есть свое законодательство в этом плане.

— Мне сложно судить, так как я – правозащитник. Я смотрю на вещи с точки зрения прав человека. Система, которую Россия внедряет, в частности, в Москве, возможно, несет позитивные моменты, но как правозащитник я вижу, что это система в первую очередь работает на подавление протестной активности, на то, чтобы дискредитировать отдельных гражданских активистов и всех тех людей, которые так или иначе пытаются отстаивать свои гражданские права. С этой работай система справляется отлично.

Вы говорите, что государство должно доказать, что оно не будут злоупотреблять такой информацией. На сегодня у нас несколько очень крупных утечек личных данных казахстанцев. Как государство реагирует на такие случаи? Получается, что никто не наказан.

— Ну вот вы ответили на свой вопрос сами. Двоих полицейских из Алматы, которых поймали с флешкой и, грубо говоря, «взяли за руку», скорее всего накажут. А за то, что из базы Генеральной прокуратуры или Центральной избирательной комиссии данные утекли, насколько я знаю, никто не был уволен или привлечен к ответственности. В публичной сфере я не видел ни одного официального заявления, ни одного репортажа о том, что какое-то дело начато, идет разбирательство.

Складывается такое ощущение, что многие госорганы еще не в полной мере отдают себе отчет, насколько чувствительна это информация. Неудивительно, что у нас и сами граждане иногда халатно относятся к своим данным, особенно в интернете.

— Сколько раз мы находили за каким-то акиматом на помойках целые архивы личных дел людей. С другой стороны, да, люди сами, не осознавая, выдают многие свои персональные данные. Поэтому нужно проводить работу. В первую очередь, чтобы государственные органы относились серьезно к персональным данным, которые имеют важность, с другой стороны, надо разговаривать с людьми, чтобы они были более осторожными при публикации своих данных. Наши граждане не подают исковые заявления в суды, не привлекают виновников утечек за разглашение персональных данных. Пока такой практики не было. Поглядим, что будет в будущем. Следующий шаг — у нас есть законодательное регулирование, но нет правоохранительной практики как таковой.

Если граждане через судебную систему будут пытаться воздействовать на государственные органы с целью заставить их более серьезно относиться к персональным данным, вот тогда, возможно, что-то сдвинется. А гражданам просто нужно рассказывать о том, что некоторую информацию лучше не публиковать и не рассказывать, потому что могут быть неприятные последствия.

Скачать/прочитать исследование возможных экономических, социальных и правовых последствий закона РК «О дактилоскопичейской и геномной регистрации» можете по данной ссылке.