Мы требуем ввести мораторий на системы распознавания лиц

После нашего иска к МВД и ДИТ Москвы из-за утечек данных с городских камер видеонаблюдения СК возбудил уголовные дела в отношении двух полицейских, но мы продолжаем борьбу с распознаванием лиц, поскольку системная проблема неконтролируемого доступа к персональным данным так и остаётся нерешённой.  

В августе этого года мы провели собственное расследование на предмет утечек данных с московских камер видеонаблюдения с функцией распознавания лиц.

Сообщения об утечках этих данных и продажи доступа к камерам появились еще в конце 2019 года, мы же решили проверить насколько за полгода улучшилась ситуация и сделали ли что-то чиновники, чтобы предотвратить утечки данных. 

В рамках проведенного эксперимента стало понятно: ничего не изменилось. Утечки и неавторизованный доступ к технологиям распознавания лиц позволяют следить за любым. 

По просьбе «РосКомСвободы» журналист Андрей Каганских провел мониторинг предложений о продаже данных с камер видеонаблюдения на чёрных рынках.

Что удалось выяснить:

• доступ к камерам по прямой ссылке, а также уязвимость (возможность копировать ссылки на доступ и передавать их третьим лицам — она описана в официальном руководстве пользователя) все еще на месте, цены на «пробив» данных остались на уровне 2019 года;
• изменилось предложение на данные из систем распознавания лиц. Некоторое время купить выписку из данных московских «умных камер» было невозможно, однако примерно к концу карантина услуга вернулась на рынок.
  

В эксперименте приняла участие волонтёр «Роскомсвободы» Анна Кузнецова. За 16 тысяч рублей она заказала «пробив» собственного лица и получила подробный отчет с результатом от 79 московских камер с точностью определения лица 71%, с указанием всех адресов, где она была за последний месяц.

Чтобы понять, пытаются ли московские чиновники бороться с утечками данных из этих систем и проводят ли они мониторинг предложений черного рынка, мы направили запросы в МВД и ДИТ с требованием разъяснить ряд моментов:

• имеется ли на данный момент в системе Единого центра хранения данных (далее — ЕЦХД) функция предоставления доступа к ресурсам ЕЦХД для неавторизованных пользователей посредством генерации прямой ссылки с доступом к камерам;
• для каких целей и какими способами используют данную функцию сотрудники Министерства внутренних дел;
• сообщить — какие изменения, пресекающие утечку данных, о которой рассказывали представители СМИ в своих публикациях в декабре 2019 года, произошли в Министерстве внутренних дел;
• сообщить — какие изменения и совершенствования (реформирование) процедур и/или уровней доступа произошли, и чем регламентируется порядок такого доступа;
• сообщить — какие дисциплинарные и иные меры наказания для сотрудников, позволивших утечку и производивших реализацию данных на «чёрном рынке» , были применены;
• разъяснить информацию об имеющихся в Московской системе распознавания лиц критериях соответствия в процентах, позволяющие установить информацию о том, что гражданин на двух изображениях в поисковой выдаче является одним и тем же;
• сообщить — проводит ли Министерство внутренних дел, иные спецслужбы, министерства и департаменты постоянный мониторинг «чёрного рынка» на предмет утечек данных из системы, и производятся ли контрольные закупки таких данных.

В сентябре мы получили ответ на наш запрос от ДИТ, однако в нём ведомство предпочло избежать конкретики и формально сослаться на регламенты, приказы и постановления Правительства. Ответа от МВД так и не поступило.

Ответ ДИТ Москвы на запрос РосКомСвободы

Ведущий юрист «РосКомСвободы», партнёр Центра цифровых прав Саркис Дарбинян, ознакомившись с письмом ДИТ, отметил:

«ДИТ ничего не говорит о том, по каким именно основаниям может давать доступ, проверяют ли они по такому запросу наличие у запрашивающих решения суда или постановления оперативных и следственных органов на это? Очевидно, что никаких механизмов проверки того, как этим правом в дальнейшем распоряжаются силовики (например, в случае дальнейшей передачи логина и пароля от системы), не существует. По крайней мере, нам про это ничего не говорят».

16 сентября Анна Кузнецова по факту утечки своих данных с московских видеокамер подала в Тверской районный суд столицы иск к ДИТ Москвы и МВД с требованием запретить использование системы распознавания лиц. Также наш волонтёр требует 100 тысяч компенсации за вред, причинённый утечкой данных.

«Мы будем добиваться публичности регламентов доступа к системе и запрета на использование технологии двойного назначения в текущем виде», — поясняет Саркис Дарбинян.

Уже спустя неделю после подачи судебного иска Следственный комитет возбудил два уголовных дела в отношении двух сотрудников правоохранительных органов, которые были причастны к утечке данных. 

В результате проверки выяснилось, что «пробивом по лицу» занимались оперативник УВД Северо-Восточного округа Москвы Дмитрий Шершнев и сотрудник патрульно-постовой службы Бутырского района Константин Иванов. Первый искал данные, имея доступ к системе распознавания лиц в течение последних трёх месяцев, а второй хотел получить информацию о «частной жизни» Анны Кузнецовой и Надежды Соболь и передал полученную информацию «при неустановленных обстоятельствах» третьим лицам.

Уголовное дело возбуждено о злоупотреблении должностными полномочиями и нарушении неприкосновенности частной жизни с использованием служебного положения. Каждый полицейский теперь может получить до восьми лет лишения свободы по совокупности совершённых преступлений.

Это дело показало, что доступ к системе может получить любой сотрудник полиции, и никто это не отслеживает. 

«Ни прокуратура, ни Роскомнадзор не проверяют МВД на предмет использования технологии распознавания лиц и обработки биометрических данных граждан. Нет никаких регламентов, которые бы устанавливали порядок работы с такими данными и основания для возможности осуществления слежки с использованием биометрии», — рассказывает руководитель нашей юридической практики Саркис Дарбинян.

Сейчас действия властей говорят о том, что наказать намерены лишь отдельных лиц, однако системная проблема всё еще остаётся нерешённой.

«РосКомСвобода» продолжит требовать через суд раскрытия всех регламентов и предоставления этих документов для изучения.

Напоминаем нашу позицию: пока система видеонаблюдения не станет прозрачной и подотчётной и не будет иметь гарантии защиты от подобных злоупотреблений, использовать технологию распознавания лиц нельзя. Данный кейс — результат пробела в правовой базе.

Сейчас Роскомсвобода продолжает активно вести кампанию против распознавания лиц. Вы можете помочь нам, присоединившись к кампании и подписав петицию на сайте Change.org.