Відповідність практики Франції щодо обробки даних обличчя параграфу 2 (а), (g) ст атті 9 Загального регламенту про захист даних Європейського Союзу
DOI:
https://doi.org/10.18523/2617-2607.2023.11.64-76Ключові слова:
біометричні дані, розпізнавання людини, оцифрована особа, унікальна ідентифікація, додаток AlicemАнотація
У цифрових екосистемах правосуб’єктність фізичних осіб має вирішальне значення, а біометричні системи відіграють життєво важливу роль у перевірці особи впродовж усього життя. Однак ці системи також становлять значні ризики і потребують відповідального використання. Європейський Союз розробив цифрову стратегію для створення надійної та безпечної цифрової ідентифікації, що встановлює глобальний стандарт технологічного розвитку в галузі ідентифікації. Відповідно до параграфа 1 ст. 9 Загального регламенту про захист даних (General Data Protection Regulation, GDPR), країни-члени повинні обґрунтовувати будь-які винятки з цього правила. Франція відіграє провідну роль у легальному використанні унікальної ідентифікації та впровадженні цифрових атрибутів, як-от розпізнавання обличчя через додаток Alicem на смартфонах для підтвердження достовірності особи в цифровому середовищі, що також вдосконалює електронні послуги. Загальний регламент про захист даних (GDPR) у параграфі 1 ст. 9 забороняє біометричну обробку, однак дає можливість країнам-учасницям згідно з параграфом 4 ст. 9 робити винятки з урахуванням умов, зазначених у параграфі 2 ст. 9 щодо випадків можливості уникнення такої заборони. Тому в цьому дослідженні проаналізовано відповідність практики Франції умовам, викладеним у пп. (a), (g) параграфа 2 ст. 9 Загального регламенту про захист даних (GDPR). Зокрема, ретельно вивчено проблематику законодавства Франції, а саме Декрет № 2019-452 від 13 травня 2019 р., який дозволив створення засобів електронної ідентифікації під назвою «Сертифікована онлайн-автентифікація на мобільних пристроях» (Authentification en ligne certifiée sur mobile (ALICEM)), тобто використання унікальної ідентифікації завдяки розпізнаванню обличчя осіб, які користуються додатком Alicem. Зважаючи на це, у дослідженні розглянуто два критично важливих питання. По-перше, чи отримує система Alicem згоду користувачів на обробку їхніх біометричних даних? По-друге, чи є використання технології розпізнавання облич для надання державних послуг необхідним засобом досягнення поставленої мети ідентифікувати користувача електронного сервісу?
У результаті дослідження було визначено п’ять ключових елементів практики додатка Аlicem у Франції:
1. Задоволення суспільних інтересів. Обробка біометричних даних, яку здійснює Alicem, є публічним впровадженням, що означає, що вона призначена для надання послуги, яка відповідає суспільним інтересам. У цьому випадку такою послугою є надання електронного підтвердження особи, що дає змогу користувачам ідентифікувати себе в цифровому вигляді та автентифікувати себе за допомогою термінального обладнання, оснащеного контактним зчитувальним пристроєм статичної та динамічної системи розпізнавання обличчя.
2. Вільна згода. Людина дає дозвіл на обробку біометричних даних. Це означає, що користувачі не зобов’язані використовувати Alicem, у них є вибір – погоджуватися чи ні надавати свої біометричні дані для сервісу. Такий підхід відповідає вимогам GDPR стосовно того, що згода має бути вільною, конкретною, поінформованою та однозначною.
3. Повага до людської гідності. Дослідження показало, що Alicem поважає людську гідність завдяки надійності й точності використовуваного алгоритму. Це означає, що технологію розроблено так, щоб мінімізувати ризик помилкових ідентифікацій, які потенційно можуть завдати шкоди репутації або гідності людини.
4. Контроль користувача. Alicem встановлюється на мобільний пристрій користувача за допомогою провідної технологічної інтегрованої платформи, програмованої під егідою ANTS (Agence Nationale des Titres Sécurisés), що дає змогу користувачеві здійснювати ексклюзивний контроль над зберіганням даних. Це означає, що користувачі мають повний контроль над своїми біометричними даними і можуть видалити їх у будь-який час.
5. Необхідність і пропорційність. Дослідження показало, що обробка біометричних даних компанією Alicem є необхідною та пропорційною меті сервісу. Метою послуги є надання можливості французьким та іноземним громадянам ідентифікувати себе в електронному вигляді, що є законним суспільним інтересом.
У дослідженні зроблено висновок, що розрізнення облич є пропорційним засобом досягнення цієї мети. Отже, Франція зробила кроки для впровадження положень пп. (а), (g) параграфа 2 ст. 9 GDPR, що стосуються обробки виняткових персональних даних, приділяючи особливу увагу технології розпізнавання облич. Ця технологія була корисною для забезпечення безпечного та ефективного доступу до електронних послуг, але Франція повинна гарантувати дотримання вимог законодавства та захист унікальних даних осіб за допомогою необхідних технічних та організаційних заходів. Тому в дослідженні визначено кілька умов, які потрібно виконати для відповідального використання обробки біометричних даних. По-перше, потрібно провести оцінювання необхідності обробки біометричних даних з урахуванням принципу пропорційності, особливо щодо біометричних даних. По-друге, національне законодавство має додатково обмежувати обробку біометричних характеристик через їхній вплив на людську гідність. По-третє, національне законодавство повинно забороняти комерціалізацію елементів людського тіла, оскільки біометричні технології може бути використано для експлуатації їх з метою отримання фінансової вигоди. Зрештою, біометричні технології для ідентифікації потрібно використовувати лише в крайньому разі, коли інші методи ідентифікації є неефективними. Тож дослідження рекомендує країнам-членам ЄС зважати на конкретні потреби та занепокоєння своїх громадян, оскільки дуже важливо збалансувати переваги біометричних систем із ризиками для захисту персональних даних, гарантуючи, що відповідальне використання таких даних сприятиме створенню безпечної та надійної цифрової екосистеми.
Посилання
- European Parliament and the Council. “Regulation (EU) 2016/679 on the Protection of Natural Persons with Regard to the processing of Personal Data and On the Free Movement of Such Data, and Repealing Directive 95/46/EC (General Data Protection Regulation).” Official Journal of the European Union. Law 119/1 (4 May 2016).
- France. Council of State. Decree n° 2019-452 of 13 May 2019, authorizing the creation of electronic identification means called “Certified online authentication on mobile.” Authenticated Official Electronic Journal 0113 (16 May 2019).
- France. Council of State. 10th - 9th chambers combined, Case No. 432656; ECLI:FR:CECHR:2020:432656.20201104, 4 November 2020.
- France. National Commission for Informatics and Liberty. Deliberation n° 2018-342 of 18 October 2018. Authenticated Electronic Official Journal 0113 (16 May 2019).
##submission.downloads##
Опубліковано
Як цитувати
Номер
Розділ
Ліцензія
Авторське право (c) 2023 Daria Bulgakova, Valentyna Bulgakova
Ця робота ліцензується відповідно до Creative Commons Attribution 4.0 International License.
Автори зберігають за собою авторські права на твір на умовах ліцензії Creative Commons Attribution 4.0 International License, котра дозволяє іншим особам вільно поширювати опублікований твір з обов’язковим посиланням на його авторів та його першу публікацію в цьому журналі.
Автори мають право укладати самостійні додаткові угоди щодо неексклюзивного поширення твору в тому вигляді, в якому його було опубліковано в журналі (наприклад, розміщувати роботу в електронному репозитарії установи або публікувати у складі монографії), за умови збереження посилання на його першу публікацію.
Політика журналу дозволяє розміщення авторами в мережі Інтернет (наприклад, у репозитаріях установ або на особистих веб-сайтах) рукопису роботи, як до подання його до редакції, так і під час його редакційного опрацювання, оскільки це сприяє виникненню продуктивної наукової дискусії та позитивно позначається на оперативності та динаміці цитування опублікованої роботи (див. The Effect of Open Access).