Кратко — какие правовые и этические ограничения должны существовать (с опорой на международные стандарты и практику Европейского суда по правам человека).
1. Законность и предсказуемость
- Закон должен быть формальным, публичным, чётко определять цели, объекты, процедуры, сроки и санкции; допуски не‑ясные или слишком общие недопустимы (принцип «в соответствии с законом», ЕКПЧ ст.8).
2. Законная и объективно оправданная цель
- Применение допускается только для конкретных, серьёзных публичных интересов (профилактика тяжких преступлений, национальная безопасность), не для массового наблюдения за законопослушными гражданами или подавления протестов.
3. Необходимость и пропорциональность
- Государство должно доказать, что цель не может быть достигнута менее вмешательскими средствами; объём, продолжительность и интенсивность слежки должны быть соразмерны. (Практика ЕСПЧ: S. and Marper v. UK, Zakharov v. Russia, Big Brother Watch и пр.)
4. Предварительная независимая авторизация и надзор
- До запуска — оценка/разрешение независимого суда или иной независимой инстанции; постоянный надзор со стороны парламентских органов и независимого надзорного органа по защите данных.
5. Чёткие ограничители доступа и использование «человеческого подтверждения»
- Результаты распознавания не должны использоваться как единственное основание для задержания/обвинения; обязательная проверка человеком; строгие правила разграничения доступа по ролям и логирование всех обращений.
6. Минимизация данных и сокращённые сроки хранения
- Сбор — только минимально необходимого; временное хранение с явными сроками уничтожения; массовое хранение биометрических профилей широкого населения недопустимо (S. and Marper — хранение ДНК/отпечатков недопустимо в отношении невиновных).
7. Целевое использование и запрет на «вторичное» использование
- Данные можно использовать только для прописанных целей; передача третьим лицам и коммерческое использование запрещены без дополнительного правового основания.
8. Оценки воздействия и тестирование
- Обязательный DPIA (оценка воздействия на защиту данных) и HIA (оценка воздействия на права человека) до внедрения; независимые экспертизы точности, устойчивости к ошибкам и дискриминации.
9. Прозрачность и информированность
- Объявления о наличии систем в публичных местах, общая информация о целях, периодах хранения, правах субъектов; регулярные публичные отчёты о применении и инцидентах.
10. Антидискриминационные гарантии и качество алгоритмов
- Требования по снижению и мониторингу биасов (по расе, полу и пр.); стандарты точности и обязанность корректировать/приостанавливать системы при выявлении системных ошибок.
11. Средства правовой защиты и ответственность
- Право на доступ к данным о себе, исправление, удаление, обжалование действий органов; эффективные, быстрые и доступные судебные и административные средства защиты; санкции за неправомерное использование.
12. Ограничение применения к уязвимым группам и к общественным мероприятиям
- Чувствительные сферы (митинги, религиозные собрания, пресса, политическая деятельность) требуют особо жёстких ограничений или запрета на контроль.
13. Международные и процессуальные гарантии при трансграничной обработке
- Передача биометрии за границу — только при эквивалентных гарантиях и под контролем.
14. Возможный запрет или мораторий на массовое автоматизированное распознавание лиц
- Международные рекомендации (спецдокладчики ООН, ВКЧП и др.) и некоторые европейские инициативы поддерживают запрет или жёсткий мораторий до внедрения надёжных правовых гарантий.
Ключевые ориентиры: ЕКПЧ (ст.8) — требование «в соответствии с законом», «законная цель», «необходимость в демократическом обществе»; решения ЕСПЧ: S. and Marper v. UK (профили ДНК/отпечатков), Roman Zakharov v. Russia (секретное массовое наблюдение), Big Brother Watch (массовый доступ к коммуникационным данным). На европейском уровне — GDPR (биометрические данные как специальная категория, принцип минимизации, Art.35 — DPIA), проект Регламента ЕС об ИИ (ограничения на распознавание в публичных местах).