ПРАВО
БИОМЕТРИЯ, FACE ID И ГОЛОСОВЫЕ ДАННЫЕ: КОМУ ПРИНАДЛЕЖИТ НАШЕ ЛИЦО
Автор: Ренат Оспанов
Еще несколько лет назад биометрические технологии воспринимались прежде всего как вопрос удобства: Face ID ускорял разблокировку смартфона, голосовая идентификация сокращала время общения с банком, а системы распознавфания лиц использовались в основном в сфере безопасности.

Сегодня ситуация изменилась. Биометрия стала полноценным объектом правового регулирования, а ее обработка – источником серьезных юридических рисков для бизнеса. Ренат Оспанов, член Адвокатской Палаты Санкт-Петербурга, разбирает, какое место занимает биометрия в правовом поле.
С юридической точки зрения, биометрические данные занимают особое положение. В российском праве их регулирование закреплено прежде всего в статье 11 Федерального закона №152-ФЗ «О персональных данных». Закон определяет биометрические персональные данные как сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность. К таким данным относятся: изображение лица, голос, отпечатки пальцев, радужная оболочка глаза, особенности ДНК и другие физиологические характеристики.

Отдельным этапом развития регулирования биометрии в России стало принятие Федерального закона №572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных», вступившего в силу в конце 2022 года. Фактически этот закон сформировал отдельный правовой контур регулирования биометрии, выделив ее из общей системы законодательства о персональных данных.

Если Федеральный закон №152-ФЗ устанавливает универсальные правила обработки любой информации о человеке, то Федеральный закон №572-ФЗ регулирует именно порядок идентификации и аутентификации с использованием биометрических характеристик:  лица, голоса и иных физиологических параметров. Ключевое значение закона заключается в том, что он закрепил централизованную модель обращения биометрии через Единую биометрическую систему (ЕБС).

Наше законодательство устанавливает повышенные требования к обработке биометрии. В большинстве случаев требуется отдельное письменное согласие субъекта персональных данных. При этом согласие на обработку обычных персональных данных не считается автоматически распространяющимся на биометрические сведения. Для бизнеса это создает отдельную категорию рисков. Компании должны:
  • документально подтверждать получение согласия;
  • обосновывать необходимость обработки биометрии;
  • ограничивать объем собираемых данных;
  • обеспечивать специальные меры защиты информации;
  • соблюдать требования локализации данных.

Дополнительные обязательства появились после развития Единой биометрической системы. Банки, финансовые организации и ряд цифровых сервисов получили возможность проводить удаленную идентификацию клиентов по лицу и голосу. Однако одновременно усилился и государственный контроль над инфраструктурой хранения таких данных.

Для юристов принципиальным остается вопрос правового основания обработки биометрии. На практике многие компании продолжают воспринимать согласие пользователя как универсальную форму легализации любых действий с данными. Однако современная регуляторная практика показывает, что этого уже недостаточно. Роскомнадзор и суды все чаще оценивают соразмерность обработки: действительно ли компании необходимо использовать биометрию для конкретной цели или существуют другие способы идентификации.
Биометрия
– зона максимальных штрафов
С 2025 года существенно увеличены штрафы за нарушения в сфере персональных данных и распространение информации. За незаконную обработку или утечку биометрии штрафы существенно выше:
  • для физических лиц – до 500 тысяч рублей
  • для должностных лиц – до 1,5 миллиона рублей
  • для компаний – до 20 миллионов рублей
Более того, в случае повторных нарушений может применяться, так называемая, оборотная модель штрафа. В этом случае размер санкции рассчитывается как процент от годовой выручки компании – от 1% до 3%, но не менее 20 миллионов и не более 500 миллионов рублей.

Отдельный правовой риск возникает в сфере трудовых отношений. Работодатели все чаще внедряют системы контроля доступа и учета рабочего времени с использованием биометрических данных: распознавания лица или отпечатков пальцев. Ключевой юридический вопрос заключается в правомерности получения согласия работника на обработку биометрии. В условиях трудовых отношений такое согласие не всегда может рассматриваться как полностью добровольное, поскольку работник находится в зависимом положении по отношению к работодателю.

Поэтому и регуляторы, и суды обращают внимание не только на наличие подписанного согласия, но и на реальные условия: может ли сотрудник отказаться от биометрии без последствий для работы, например без ограничений доступа в офис или ухудшения условий труда. В итоге биометрия в трудовой сфере выходит за рамки только цифрового регулирования. Она становится вопросом на стыке трудового и цифрового права.
Deepfake, цифровая идентичность и новые риски:
к чему готовиться бизнесу
Еще одна причина ужесточения регулирования – стремительное развитие искусственного интеллекта. Если раньше биометрия воспринималась как надежный инструмент подтверждения личности, то сегодня сама технология идентификации начинает терять абсолютную достоверность. Современные AI-системы способны воспроизводить голос, мимику и внешность человека с высокой точностью. Deepfake-технологии уже создают серьезные проблемы для финансового сектора, медиаиндустрии и цифровых платформ.

В юридической плоскости возникает сразу несколько сложных вопросов:
  • кому принадлежит цифровая копия лица или голоса;
  • можно ли считать deepfake нарушением права на изображение;
  • кто несет ответственность за использование синтезированной биометрии;
  • как квалифицировать мошенничество с использованием AI.

Сейчас большинство правовых систем фактически не успевают за развитием технологий. Законодательство о персональных данных создавалось в эпоху, когда главным риском считалась утечка информации. Сегодня проблема значительно шире: данные могут использоваться для создания цифрового двойника человека.

Для бизнеса это означает необходимость пересмотра всей системы управления биометрическими рисками. Юридическая практика постепенно движется к модели, при которой компания обязана оценивать не только вероятность утечки данных, но и потенциальные последствия их последующего AI-использования. Крупные компании уже создают отдельные направления управления рисками, связанными с искусственным интеллектом и биометрией.  Фактически бизнес входит в новую фазу цифрового регулирования, где ключевым объектом защиты становятся уже не просто данные пользователя, а сама человеческая идентичность. 

Именно поэтому вопрос «кому принадлежит наше лицо» перестает быть метафорой. Для юристов, технологических компаний и государств это становится одним из центральных вопросов цифрового права ближайшего десятилетия.