Прежде всего это относится к тем бизнесам, где используются фото и видео для проверок благонадежности в онлайн сервисах. Кроме того, данное решение может быть актуальным для сервисов, которые используют речевые интерфейсы в своей деятельности (осуществление и заказ голосом, автоматизированные службы поддержки и т. д.), а также для тех, кто использует фото и видео для других бизнес-процессов (контроль доступа, видеонаблюдение на рабочих местах, видеонаблюдение в клиентских зонах, в торговых залах, запись интервью с кандидатами на работу, с клиентами, подтверждение возраста с помощью фото и видео и т. д.).
Историческая ретроспектива оценки фото и видеоизображений в качестве биометрических персональных данных
С даты принятия ФЗ «О персональных данных» («Закон о персональных данных») у бизнеса нередко возникали вопросы относительно квалификации фото и видео в качестве биометрических персональных данных. В 2013 году Роскомнадзором было выпущено письмо касательно отнесения фото и видеоизображения к биометрическим персональным данным«Разъяснения Роскомнадзора „О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки“» от 2 сентября 2013 года.. Хотя данные разъяснения были отозваны в 2021 годуПисьмо Роскомнадзора от 19 ноября 2021 года № 09-78548 «О неактуальности разъяснений Роскомнадзора»., именно в них был сделан акцент на такой важный признак отнесения конкретных персональных данных к биометрическим как наличие у оператора цели установления личности субъекта.В частности, в данных разъяснениях было подчеркнуто, что, когда обрабатываются данные, которые характеризуют физиологические и биологические характеристики, но не используются с целью установления личности (например, сканирование паспорта в целях заключения договора, фото в личном деле работника, видеонаблюдение на рабочих местах и т. д.), такие данные не относятся к биометрическим.
В 2020 году было издано еще одно письмо Роскомнадзора, которое также указывало на то, что одним из обязательных признаков отнесения фото и видео к биометрическим персональным данным, является их использование для установления личностиПисьмо Роскомнадзора от 10 февраля 2020 года № 08АП-6782 «О направлении информации по протоколу совещания»..
Вместе с тем, обычно глубоко вопрос о том, что собой представляет установление личности либо не анализировался, либо игнорировался. В одном письме Роскомнадзор, признавая фото на пропуске в качестве биометрических персональных данных (для целей организации прохода на территорию в рамках функционирования СКУД), не стал анализировать то, что собой представляет установление личности и просто признал такие данные биометрическимиПисьмо Роскомнадзора от 10 февраля 2020 года № 08АП-6782 «О направлении информации по протоколу совещания».. Аналогичные выводы можно найти и в судебных решенияхПостановление Арбитражного суда Северо-Западного округа от 21 ноября 2017 года по делу № А42-342/2017, оставленное без изменений Определением Верховного суда РФ от 5 марта 2018 года по делу № А42-342/2017..
Хотя, например, в ответе на запрос частного лица (относительно пропуска в музей «Эрарта»), Роскомнадзором было отмечено, что фотоизображение не содержит информации, являющейся биометрической по своей сути, поскольку не отражает индивидуальных параметров субъекта персональных данных, таких как термограмма лица, рисунок радужной оболочки глаза, папиллярных узоров, позволяющих установить личностьОтвет Роскомнадзора от 9 марта 2022 года № 9627-12/78..
Использование видеоизображения в целях проверки безопасности
11 марта 2026 года Рязанским областным судом было вынесено решение относительно того, в каких случаях видеоизображение можно отнести к биометрическим персональным даннымАпелляционное определение Рязанского областного суда № 33-342/2026 (2-2087/2025) по делу № 33-342/2026. («Решение»).Согласно фабуле дела истец был зарегистрирован на одном из классифайдов. Его доступ был заблокирован со ссылкой на подозрительную активность при использовании сервиса. Для восстановления доступа к профилю истцу предлагалось пройти проверку на то, что аккаунтом пользуется реальный человек. Для этого истец должен был направить владельцу сервиса свое видеоизображение, на котором он поворачивает голову. Истец отказался, сославшись, в частности, на то, что это является обработкой его биометрических персональных данных.
Однако, суд указал, что само по себе предложение пройти проверку на видео и подтвердить, что профилем управляет живой человек, не является обработкой биометрических персональных данных истца, поскольку в рассматриваемом случае они не использовались непосредственно для установления его личности. Напротив, целью данной проверки являлась непосредственно обеспечение безопасности пользователей сайта.
Кроме того, суд отметил, что доказательств того, что предполагаемое к созданию изображение содержало бы сведения, позволяющие идентифицировать личность истца, не имеется. Напротив, отменяя решение нижестоящего суда, было обращено внимание на то, что ранее суд проигнорировал доводы и доказательства, что сервис не используется и не имеет технической возможности использовать видеоизображения для установления личностей пользователей.
Значение дела для бизнеса
Руководствуясь логикой суда, вывод о том, что использование фото и видео в целях проверки благонадежности (без цели установления личности) не является обработкой биометрических персональных данных, можно также применить к другим аналогичным ситуациям в качестве еще одного аргумента, почему фото, видео или запись голоса в той или иной ситуации не являются биометрическими персональными данными.Потоковое видео
Например, данный вывод также подходит для обоснования позиции о том, что потоковое видео, записываемое для проверки качества обслуживания, проверки соблюдения условий труда и т. д., не является биометрическими персональными данными. Как правило, запись такого видео не преследует цели установления личности, а используется для других целей (например, оценить, насколько в принципе в организации соблюдаются условия труда, посчитать количество посетителей за день и т. д.).
Речевые интерфейсы
Аналогичным образом использование речевых интерфейсов также не должно быть биометрическими персональными данными, так как зачастую при их использовании нет установления личности (обычно их обработка осуществляется с целью оказать услугу, принять заказ, способствовать поддержке и т. д.). Запись голоса также часто используется для анализа качества обслуживания клиентов. В данном случае могут использоваться речевые боты или различные системы на основе искусственного интеллекта для распознавания голоса, однако в данном случае также не приходится говорить об обработке биометрических персональных данных, так как в таких сценариях идентификация также не производится, и оператор не преследует такую цель.
Продуктовые исследования и собеседования
Также этот вопрос актуален для видеозаписей продуктовых интервью (которые также иногда называются «customer development» или «user research») с клиентами или потенциальными клиентами, а также для записей собеседований с кандидатами на работу. В первом случае как правило записывается либо только видео и голос, либо еще и действия пользователя (движения по экрану, последовательность открытия страниц и последовательность действий при использовании продукта и т. д.). Поскольку идентификация пользователя в данных случаях не нужна, а необходима только сама информация для дальнейшего анализа, то обработки биометрических персональных данных в данном случае также не происходит.
Верификация возраста
Зачастую бизнесу необходимо сделать доступным сервис только для определенных категорий пользователей (например, только для совершеннолетних). В этом случае можно применять разные методики: от простого заявления пользователя о своем возрасте, например ввода даты рождения, до биометрической верификации с использованием документов, удостоверяющих личность. Есть также промежуточные методы, например, установление предполагаемого промежутка возраста (например, больше 18 лет или от 13 до 16 лет) на основе анализа изображения. Рассматриваемое Решение может также усилить позицию о том, что в данном рассматриваемом случае не стоит цели идентификации личности, а значит не приходится говорить об обработке биометрических персональных данных.
Практические рекомендации
С практической точки зрения можно порекомендовать точно формулировать во внутренних документах цель обработки (отличную от установления личности), указывать на отсутствие биометрических средств идентификации и сведений, способных идентифицировать конкретного человека, уточнять у продуктовых команд вопрос о том, производится ли идентификация, и какими техническими средствами происходит обработка соответствующих данных. Процессы такого сбора должны быть документированы, а уведомления субъектов очевидны (наглядные знаки при наружном видеонаблюдении, предупреждения о начале записи при видео и аудиозвонках, внутренние политики и т. д.).Применительно к верификации возраста и проверкам благонадежности в международной практике был выработан ряд практических инструментов снижения рисков, которые могут быть адаптированы к требованиям российского регулирования. К таковым можно отнести, например, моментальное удаление данных по завершении проверки, что может исключать их хранение и тем самым сужать объем обработки. Также, например, обработка только на устройстве пользователя исключает передачу данных организации и, соответственно, ее роль как оператора. Наконец, важно активно внедрять минимизацию обработки данных, например, посредством отказа от получения точного возраста в пользу возрастного диапазона или простого ответа о прохождении проверки, что существенно снижает риски для организаций, которым необходимо устанавливать возраст пользователя.
Наконец, Решение может иметь значение для сферы применения искусственного интеллекта. Если какие-либо фото, видеозаписи или запись голоса необходимо использовать для обучения или дообучения своих нейронных сетей или фундаментальных моделей и такие данные не являются биометрическими персональными данными, то в их отношении действует более простой режим (отсутствие необходимости письменного согласия, менее строгие правила относительно защиты данных, менее строгие правила при моделировании угроз и использовании соответствующих методов защиты и т. д.).
При этом стоит помнить о том, что законодательством предусмотрен особый режим для биометрических персональных данных, обрабатываемых с использованием Единой биометрической системы (ЕБС). В ряде случаев использование ЕБС является обязательным при идентификации и аутентификации. Например, это относится к вступающему в силу с 1 октября 2026 года Федерального закона «Об отдельных вопросах регулирования платформенной экономики в РФ» («Закон о платформах»), которым устанавливаются отдельные требования к идентификации и аутентификации пользователей цифровых платформ при продаже через цифровые платформы товаров, свободная реализация которых ограничена законодательством.
Таким образом, применительно к продаже таких товаров процессы по обеспечению благонадежности или проверки возраста и верификация покупателя при совершении покупки должны быть четко разделены как юридически, так и технически. Например, в организации может быть выстроена архитектура по принципу «многоуровневого подтверждения»: антифрод-процедуры или установление возраста без использования биометрии для стандартного доступа, и проверки с использованием ЕБС там, где это прямо предусмотрено законом.
Международный опыт
Хотя позицию суда в Решении можно приветствовать, все же стоит отметить, что в целом многие проблемы толкования статьи 11 Закона о персональных данных можно было бы решить, если бы был заимствован европейских подход, отраженный в GDPR и соответствующих разъяснениях Европейского совета по защите данных (EDPB). Согласно GDPR к биометрическим относятся персональные данные, полученные в результате специальной технической обработки, которые касаются физических, физиологических или поведенческих характеристик физического лица, а также позволяют однозначно идентифицировать это физическое лицоСтатья 4(14) GDPR, преамбула 51 GDPR.. Иными словами, необходимо использование специальных технических средств при обработке для того, чтобы данные признать биометрическими. По этой причине просто фото, видео не являются биометрическими персональными данными по общему правилу.Примечательно, что в комментарии к Закону о персональных данных под редакцией сотрудников Роскомнадзора также указывалось на обязательное применение специальных технических средствФедеральный закон «О персональных данных»: научно-практический комментарий / под ред. А. А. Приезжевой. С. 67..
Учитывая, что формально статья 11 Закона о персональных данных отсылки к биометрическим средствам идентификации не содержит, равно как и указание на то, что идентификация на основании биометрических персональных данных должна быть однозначная, то это все еще порождает неопределенность у бизнеса и правоприменителей относительно использования фото, видео или записи речи на практике.
* * *
Практика защиты персональных данных Denuo является крупнейшей на рынке и отмечена во многих рейтингах («Право-300», «Коммерсант», «Эксперт РА»). Наша практика оказывает полный спектр услуг в области защиты данных: от проведения аудитов соблюдения законодательства и консультирования по сложным вопросам применения Закона о персональных данных до сопровождения проверок Роскомнадзором и судебных споров.
