Правительственный законопроект: Закон о передаче информации для идентификации или подтверждения личности человека, включая тело, и поиске пропавшего или захваченного, необходимой в связи с актами насилия или военными действиями (Временные положения - Железные мечи), 5784-2023

Замечания к меморандуму Закона о включении биометрических идентификаторов и биометрических идентификационных данных в удостоверяющие документы и базу данных (Временное положение — Железные мечи), 5784-2023

Досточтимому Юридическому советнику Министерства внутренних дел Юридическому советнику Министерства по вопросам национальной безопасности

5 ноября 2023 г.

Уважаемые господа,

Предмет: Замечания к меморандуму Закона о включении биометрических идентификаторов и биометрических идентификационных данных в удостоверяющие документы и базу данных (Временное положение — Железные мечи), 5784-2023

1. Нижеподписавшиеся, эксперты в области конфиденциальности и информации из академической и практической среды, пишут вам в связи с необходимостью проявления исключительной осторожности при обращении с биометрическими данными в Национальной биометрической базе данных, созданной и управляемой в соответствии с Законом о включении биометрических средств и биометрических идентификационных данных в удостоверяющие документы и базу данных, 5769-2009 (далее — Закон).

2. Следует сразу пояснить, что нет никаких разногласий относительно важной цели — содействия идентификации жертв в экстремальных обстоятельствах, навязанных государству Израиль атакой на сёла Западного Негева 7 октября 2023 г. Вместе с тем мы пишем вам о необходимости проявления исключительной осторожности при использовании базы данных в этих целях и о разработке средства, необходимого для достижения этой цели, — в особенности обеспечения того, чтобы способ действия действительно служил этой высокой цели и чтобы специалистами в данной области были приложены все усилия, — во избежание любых рисков, которые может порождать это действие для граждан Израиля, сведения о которых хранятся в базе данных.

3. На этом фоне цель замечаний к меморандуму Закона — гарантировать, что использование базы данных и содержащихся в ней сведений будет осуществляться только в этой надлежащей цели, после того как были исчерпаны все иные возможные средства без обращения к базе данных, и без создания дополнительных рисков для безопасности хранящейся в базе данных информации и конфиденциальности граждан государства. Ведь это очевидно для всех: извлечение информации из базы данных и создание технических возможностей для её использования создаёт огромную уязвимость, способную подорвать принцип её первоначального создания — в специальном и обособленном органе.

4. Дополнительная сложность в данный момент — это насущная необходимость продвижения соглашения и понятное нежелание широко раскрывать общественности конкретные схемы использования информации, чтобы не создать уязвимости в информационной безопасности.

5. Не ставя под сомнение добросовестность органов, занимающихся важной работой по идентификации жертв, опыт показывает, что именно в чрезвычайных ситуациях существует опасность сбоев или ошибок, способных привести к нежелательным утечкам. Их необходимо минимизировать. Более того, возникает опасение создания производной биометрической базы данных, которая не будет пользоваться защитой, предоставляемой самой базе данных.

6. Для обеспечения того, чтобы использование данных, хранящихся в базе данных, осуществлялось надёжным образом — как в биометрическом, так и в защитном отношении — и не создавало дополнительных рисков, предлагается прямо упомянуть в меморандуме Закона двух независимых профессиональных специалистов, уже действующих в данной области. Ими являются Уполномоченный офицер, то есть руководитель Национального управления по кибербезопасности или назначенное им лицо в соответствии с Законом об обеспечении безопасности в государственных органах, 5758-1998, и Ответственный за биометрические применения в соответствии с Законом.

7. Включение ведущих специалистов в области кибербезопасности из Национального управления по кибербезопасности и подразделения Ответственного, которые, несомненно, будут привлечены к реализации проекта, поможет гарантировать, что порядок реализации требуемого соглашения не создаёт дополнительных рисков и что он осуществляется в защищённом порядке, что позволит снизить риск нежелательного раскрытия базы данных и возникновения угроз для всех граждан Израиля.

8. В связи с этим неясно, почему предлагаемое соглашение стремится прекратить удаление отпечатков пальцев из базы данных впредь, даже без возможности возражения со стороны субъекта данных. Напомним, что прекращение сбора отпечатков пальцев было произведено после однозначных рекомендаций Ответственного за биометрические применения с согласия органов безопасности и после длительного и тщательного изучения вопроса. Предлагается уточнить, что по окончании чрезвычайного периода и его последствий избыточные данные и данные, накопленные в результате заморозки статьи 10а Закона, подлежат удалению.

9. В связи с этим предлагается следующее:

(а) Сократить срок действия Временного положения до трёх месяцев.

(б) Обеспечить, чтобы по окончании чрезвычайного периода отпечатки пальцев не накапливались в плановом порядке.

(в) Обеспечить удаление избыточных данных, которые более не служат целям Закона.

(г) Прямо включить в предложение Уполномоченного офицера и Ответственного за биометрические применения таким образом, чтобы они проверяли, что способ использования базы данных действительно необходим для достижения целей Закона, и подтверждали, что в данных обстоятельствах были приняты необходимые меры безопасности для предотвращения угроз безопасности базы данных, и докладывали об этом Премьер-министру и Министру внутренних дел.

(д) Предлагается, чтобы эти специалисты ежемесячно докладывали Премьер-министру и Министру внутренних дел в течение всего срока действия указанного соглашения.

(е) Из пояснительной записки следует, что использование данных из базы данных уже осуществлялось на основании чрезвычайного соглашения, поэтому эти специалисты должны рассмотреть вопросы также задним числом.

(ж) Продление срока действия соглашения в соответствии с предложенной статьёй 3 будет осуществляться только после получения заключений профессиональных специалистов — Уполномоченного офицера и подразделения Ответственного — о том, что были приняты соответствующие меры для защиты передаваемых данных от утечки или злоупотребления.

10. К настоящему письму прилагается предложенный текст.

С уважением,

Адв. Амит Ашкенази, бывший юридический советник Национального управления по кибербезопасности и Управления по защите персональных данных

Профессор Михаэль Бирнхак, Юридический факультет, Тель-Авивский университет

Адв. Ривки Дав-Ш, бывший руководитель отдела лицензирования и надзора и исполняющий обязанности руководителя Управления по защите персональных данных

Адв. Хаим Равия, юридическая фирма «Перл Лацер Коэн»

Д-р Техила Шварц-Альтшулер, Израильский институт демократии

Копии: Руководитель Национального управления по кибербезопасности; Ответственный за биометрические применения; Заместитель Генерального прокурора (законодательство)

---

Приложение с предложенным текстом

1. Предлагается добавить в Законопроект следующие статьи:

(7) После статьи 35а Закона будет добавлено:

«Удаление избыточных данных

35б. Данные, переданные из базы данных и более не необходимые для исполнения указанного в соответствии с Временным положением, удаляются не позднее 7 дней с момента установления того, что они не требуются для целей Временного положения, или до окончания срока действия Временного положения, в зависимости от того, что наступит раньше.

Соразмерность, обеспечение информационной безопасности и киберзащиты при проведении чрезвычайных операций с базой данных

35в. (а) Уполномоченный офицер в соответствии с Законом об обеспечении безопасности в государственных органах совместно с Ответственным за биометрические применения ежемесячно представляют Министру и Премьер-министру подробный доклад о необходимости использования базы данных, мерах, принятых для предотвращения использования переданных данных вопреки цели, ради которой они были переданы, а также применительно к безопасности передаваемых данных от их незаконного раскрытия;

(б) эти положения распространяются на данные, переданные также в соответствии с чрезвычайными положениями до вступления в силу настоящего Закона.

(в) Руководитель Управления и органы, имеющие право получать данные в соответствии с настоящей статьёй, предоставляют Уполномоченному офицеру и Ответственному за биометрические применения данные в объёме, достаточном им для подготовки указанного доклада;

(г) Краткое изложение доклада в соответствии с настоящей статьёй представляется Подкомитету Комитета по иностранным делам и безопасности; доклад является секретным.»

2. После статьи 3(а) будет добавлено:

«(б) Министр не принимает указанного решения иначе как после получения заключения Уполномоченного офицера в соответствии с Законом об обеспечении безопасности и Ответственного за биометрические применения о том, что использование базы данных необходимо и что были приняты соответствующие меры для защиты передаваемых данных от утечки или злоупотребления.»