Правительственный законопроект: Закон о включении биометрических идентификаторов и данных в документы удостоверяющие личность и в базы данных (изменение № 6), 5785-2025

Документ с исходными материалами

17 июня 2024 г.

Членам Совместной комиссии в соответствии с Законом о включении биометрических идентификаторов и биометрических идентификационных данных в документы, удостоверяющие личность, и в базу данных (חוק הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע), 5770-2009

От: юридического советника комиссии, адвоката Ниры Лаамей Рехлебски

---

Подготовительный документ к обсуждению Совместной комиссией Кнессета Законопроекта о включении биометрических идентификаторов и биометрических идентификационных данных в документы, удостоверяющие личность, и в базу данных (Поправка № 5), 5784-2024

Рамки обсуждения в Совместной комиссии

Совместная комиссия Комиссии по Конституции, законодательству и правосудию, Комиссии по науке и технологиям и Комиссии по внутренним делам и защите окружающей среды была учреждена Законом о включении биометрических идентификаторов и биометрических идентификационных данных в документы, удостоверяющие личность, и в базу данных, 5770-2009 (далее — Биометрический закон). Поправки к закону, приказы и правила, издаваемые на его основании (за исключением засекреченных вопросов, связанных с защитой информации), а также обсуждения контроля за исполнением закона проводятся в данной комиссии с 2009 года.

Общие сведения о Биометрическом законе

1. В 2009 году, на фоне стремления выпускать «умные» национальные документы, предотвращающие подделку удостоверений личности и выдачу себя за другое лицо, был принят Биометрический закон, установивший порядок выдачи документов, удостоверяющих личность, и проездных документов (паспортов и т. п.) жителям Израиля, содержащих биометрические идентификаторы, — а именно «умные» удостоверения личности с электронным чипом, на котором записаны фотография лица и отпечатки указательных пальцев. Они являются биометрическими идентификаторами.

2. Закон также установил, что биометрические средства и данные будут храниться в базе данных Министерства внутренних дел в зашифрованном виде. Перед выдачей документа, удостоверяющего личность, биометрические средства жителя (фотография лица и отпечатки пальцев, снимаемые в Министерстве внутренних дел) сравниваются с данными, имеющимися в базе, для предотвращения выдачи себя за другое лицо и «двойного присвоения» одних и тех же биометрических данных двум разным идентичностям одного лица.

3. В 2017 году Биометрический закон был изменён, и было установлено, что с учётом технологического прогресса в мире можно ограничиться хранением в биометрической базе только фотографий лица для реализации цели закона в части надёжной идентификации. Это также было обусловлено малым количеством попыток выдачи себя за другое лицо при обращении к базе и рисками хранения биометрической базы, включающей также отпечатки пальцев. Удостоверения личности и паспорта по-прежнему будут содержать на встроенном чипе фотографию лица и два отпечатка пальцев. Параллельно было установлено, что указанная поправка будет применяться поэтапно, по мере технологического прогресса.

4. Согласно временному приказу, введённому в марте 2017 г., жителям была предоставлена возможность не соглашаться на хранение в биометрической базе отпечатков пальцев, снятых для записи на чип удостоверения личности или паспорта; с 1 июля 2022 г. отпечатки пальцев вовсе не хранились в базе, а в рамках нового временного приказа в связи с войной «Железные мечи» в декабре 2023 г. хранение отпечатков пальцев жителей в биометрической базе было возобновлено.

Положения, предлагаемые в законопроекте

5. Статья 1(1) законопроекта: расширение круга должностных лиц государственных органов, уполномоченных снимать отпечатки пальцев или фотографии лица для верификации личности (поправка статьи 6 Закона):

(а) В настоящее время закон позволяет должностным лицам определённых государственных органов снимать отпечаток пальца или фотографию лица и сравнивать их с данными на биометрическом документе, удостоверяющем личность, для верификации (с помощью сканера и камеры). Среди таких лиц в настоящее время — полицейский, тюремный надзиратель, сотрудник органа безопасности, уполномоченный его руководителем, военнослужащий, сотрудник охраны Кнессета и другие.

(б) Предлагается расширить этот перечень и включить в него органы, указанные в Первом и части Второго приложений к Закону об урегулировании безопасности государственных органов (חוק להסדרת הביטחון בגופים ציבוריים), 5758-1998, в том числе: все министерства и их подразделения, предприятия системы обороны, канцелярию Президента государства, Министерство иностранных дел, а также компании, обслуживающие морские переходы в портах Хайфа и Ашдод. Также предлагается добавить в явном виде сотрудников безопасности Управления аэропортов (далее — РАШАТ), уполномоченных в соответствии с Законом о воздушном транспорте (безопасность гражданской авиации), который распространяется и на все наземные пограничные переходы. Данная поправка будет применима и к верификации личности в аэропорту Бен-Гурион «селекторами» для пассажиров. (Поправка в отношении РАШАТ не содержится в тексте внесённого законопроекта и является результатом договорённости между представителями правительства, РАШАТ и юридическим советником комиссии.)

6. Статьи 1(2) и (3) законопроекта: предоставление полномочия на автоматическую верификацию личности посредством автомата («киоска») и возложение обязанности на лицо позволить идентифицировать себя автоматически.

Использование киосков параллельно с расширением возможности их применения для идентификации при входе во все министерства и многие другие органы, а также возложение обязанности идентифицироваться данным способом требует рассмотрения ряда вопросов:

(а) Лица с ограниченными возможностями, которые не могут воспользоваться автоматическим средством, — необходимо обеспечить доступность верификации личности человеком и исключить ущерб лицам с ограниченными возможностями или с низкой цифровой грамотностью из-за отсутствия доступности верификации человеком. Это особенно актуально на пограничных переходах и в аэропорту Бен-Гурион. Также необходимо обеспечить, чтобы лицо, не способное идентифицироваться через «киоск» ввиду ограниченных возможностей или иного затруднения (например, пожилое лицо), не рассматривалось как отказавшееся от идентификации.

(б) Необходимо обеспечить надлежащий уровень защиты и кибербезопасности биометрических идентификаторов — отпечатков пальцев и фотографий — и их автоматическое удаление из «киосков».

Рекомендация юридического советника: предлагается добавить в текст законопроекта положения в отношении лиц с ограниченными возможностями, а также в отношении защиты информации и кибербезопасности в «киосках» и обеспечения удаления хранящихся в них отпечатков пальцев и фотографий.

7. Статьи 2 и 3 законопроекта: статья, впервые допускающая в законодательстве использование биометрического удостоверения личности для верификации личности путём открытия доступа к фотографии лица на чипе удостоверения посредством программного обеспечения / приложения, которое будет доступно и для использования частными лицами.

(а) Следует отметить, что новаторский и прецедентный порядок не детализирован в законопроекте, а лишь кратко упомянут в пояснительной записке. Фактически из текста законопроекта невозможно понять порядок, который государство намерено допустить после принятия поправки. Законопроект также не содержит ссылок на правила или иное регулирование, которые планируется принять для реализации данного порядка.

(б) По сведениям, полученным устно от представителей правительства, для расширения использования биометрических удостоверений личности правительство позволит лицу установить на мобильном устройстве или ином компьютере приложение, позволяющее считать фотографию, хранящуюся на чипе биометрического удостоверения (другого лица), путём поднесения удостоверения к мобильному телефону или компьютеру. По завершении процесса фотография загружается на мобильное устройство на постоянной основе (она не исчезает, в отличие от других программ). Для реализации этого порядка правительство намерено снизить существующий уровень шифрования фотографии на чипе биометрического удостоверения.

(в) Как указано, законопроект не детализирует, каким образом будет реализован порядок и каковы его подробности. Предлагаемые статьи устанавливают лишь, что просмотр лицом фотографии другого лица, находящейся на чипе его удостоверения, является разрешённым использованием, тогда как компьютерное хранение фотографии и её передача третьему лицу являются запрещённым и наказуемым действием. В законопроекте указано, что фотография подлежит удалению по завершении просмотра.

8. Вопросы для обсуждения:

(а) Каковы опасности/сбои, которые могут возникнуть при предоставлении возможности считывания чипа удостоверения личности, которое должно быть защищено? Возможен ли сбой, при котором будет открыт также чип с отпечатком пальца и фактически изображение отпечатка также перейдёт на считывающее устройство?

(б) Каким образом лицо должно узнать, что его удостоверение «считывается»? Фактически любой коммерческий субъект — клуб, фитнес-зал, гостиница — может установить устройство на входе и попросить положить на него удостоверение, при этом лицо не будет понимать, что его удостоверение «считывается» и фотография передаётся на компьютер этого субъекта. Следует подчеркнуть, что наряду с фотографией коммерческий субъект параллельно располагает и иной информацией о лице, указанной на удостоверении, — номером удостоверения, датой рождения и именами родителей.

(в) Возможно ли считывание чипа удостоверения на определённом расстоянии, а не только при прикладывании? Не создаёт ли это возможность для мошенничества, о котором держатель удостоверения должен быть осведомлён?

(г) Очевидно, что будет затруднительно обеспечить соблюдение требования закона об удалении фотографии после просмотра и запрета на её компьютерное хранение, что создаёт незащищённую биометрическую базу. Нельзя ли обойти этот вопрос посредством механизма, при котором фотография исчезает через короткое время после считывания?

(д) Будет ли порядок распространяться на биометрические удостоверения, уже выданные и находящиеся у граждан, или только на удостоверения, которые будут выданы в будущем?

(е) Предполагается ли позволить «считывать» также биометрическое удостоверение несовершеннолетнего?

9. Рекомендации юридического советника:

10. Как минимум, в единственной статье законопроекта, относящейся к будущему порядку, следует указать, что просмотр фотографии на чипе разрешён при условии согласия лица — держателя удостоверения.

11. Если физически возможна ситуация, при которой чип удостоверения может быть считан без ведома лица (дистанционно или без уведомления о считывании), следует установить уголовную ответственность и за такое действие.

12. Ввиду широкого охвата и прецедентности формирующегося порядка, который может привести к непредвиденным событиям, связанным с защитой биометрических удостоверений и информации на чипе, целесообразно добавить статью, уполномочивающую министра издавать правила по урегулированию реализации данного проекта, в особенности в части защиты биометрических данных жителей и действий в отношении несовершеннолетних.

13. Статья 4 законопроекта: поправка положения, предоставляющего органам безопасности (ШАБАК и Моссад) доступ к биометрической базе и получение информации из неё.

(а) Статья 21 Закона устанавливает, что администрация биометрической базы передаёт органам безопасности информацию из биометрической базы и предоставляет им к ней доступ для реализации их предназначения и функций; передача информации и доступ к базе осуществляются в соответствии с правилами, которые будут установлены. Статья 22 Закона устанавливает, что ШАБАК или Моссад могут передавать полученную из биометрической базы информацию субъектам, определённым в правилах. Статья 23 Закона устанавливает, что указанные правила (а также определённые дополнительные правила и инструкции, установленные в соответствии с Законом) являются секретными, и их раскрытие или публикация запрещены.

(б) Статья 40 Закона обусловливает вступление в силу статей 21–22 различными условиями, большинство из которых выполнено, но также и условием принятия правил о передаче информации из биометрической базы полиции Израиля и военной полиции. Такие правила не были переданы полицией на утверждение Совместной комиссии с момента вступления Закона в силу в 2010 г., и их отсутствие препятствует доступу органов безопасности к базе, а также передаче информации из базы органам безопасности. Предлагаемая поправка устраняет указанную зависимость от данного конкретного условия принятия правил.