Як ідентифікувати особу в Україні

22 березня, 09:00
3094
Вы также можете прочесть этот материал на русском языке

Один з принципів відкритих даних - порівнянність та інтероперабельність. Це означає, що споживачі інформації повинні мати можливість об’єднувати та порівнювати дані з різних реєстрів.

Opendatabot аналізує відкриті українські реєстри й в нашій роботі особливо важливо мати можливість коректно ці дані співставляти.

Єдиний спосіб це реалізувати - надати кожному об’єкту унікальний ідентифікатор.

У випадку з юридичними особами - це код ЄДРПОУ. Якщо він буде зазначений в різних базах даних, ми матимемо змогу співставити всю інформацію й зробити свій висновок щодо репутації та історії цієї компанії.

У випадку з ідентифікацією людей все складніше. На даний момент в Україні немає чіткого розуміння, як саме ідентифікувати особу, не порушуючи її право на захист персональних даних. Судячи з того, що Україна робить в цьому напрямку, такого способу найближчий час і не буде. Розбираємося, чому так відбувається.

Як можна ідентифікувати особу?

Для того, щоб зрозуміти, що в двох різних реєстрах йде мова про одну й ту саму людину, нам необхідно мати певні ознаки, які будуть однаковими і при цьому будуть достатньо унікальними.

З якими ж даними ми зазвичай маємо справу. В більшості реєстрів міститься інформація про ім’я, прізвище та по-батькові людини, її місцепроживання. В деяких реєстрах може міститися інформація про освіту, роботу, бізнес, особисті зв’язки людини. В 90% цієї інформації може вистачити для того, щоб відрізнити двох різних людей, але так буває не завжди.

Одного разу ми робили журналістське розслідування. Суть його полягала в тому, що один харків’янин зареєстрував за однією адресою 154 компанії з однаковими назвами.

Досліджуючи цю історію ми знайшли декларацію чиновника. Його прізвище, ім’я та по-батькові повністю збігалося з ПІБ бізнесмена. Згідно з його декларацією, проживав він також у Харкові. Серед тих 154 компаній знайшлося дві, які знаходилися за тією ж адресою, за якою була вказана адреса компанії, яка зазначалася в декларації.

Але відповіді на питання, чи це дійсно одна й та сама людина нам знайти не вдалося. В такій ситуації журналісту необхідно або відмовитися від написання матеріалу, або висловити припущення (але його, на жаль, більшість читачів не помітить). Так ми стоїмо перед вибором – виносити цікаву історію в публічну площину або лишитися на боці людини й не ставити її репутацію під сумнів, допоки уся інформація не буде підтверджена на 100%. Але чи буде вона підтверджена?

З тією самою проблемою ми зіштовхуємося, коли не можемо співставити ім’я фізичної особи-підприємця та суму її податкового боргу (ДФС не хоче публікувати код ЄДРПОУ та ідентифікаційний номер, посилаючись на порядок, озвучений Мінфіном). В такому випадку в Opendatabot доводиться  приховати інформацію про податковий борг людей з однаковими іменами.

Вирішенням цього питання міг би стати деякий унікальний ідентифікатор, номер, який би належав виключно одній людині і при цьому був публічним. Тоді б ми сміливо змогли зв’язати одну особу або навпаки відхилити свою тезу.

Чи є вже такий ідентифікатор?

В більшості громадян України є реєстраційний номер облікової картки платника податків, більше відомий як -- ідентифікаційний податковий номер (далі ІПН). Його отримує кожен українець незалежно від віку. Зазвичай це відбувається перед тим як отримати соціальну виплату, влаштуватися на роботу, придбати нерухомість або завести рахунок у банку. Відповідно, більшість повнолітніх людей вже мають ІПН.

ІПН не змінюється протягом усього життя й не може бути присвоєний комусь іншому після смерті особи. Дані, пов’язані з номером, мають зберігатися в архіві 75 років.

Відтак ІПН цілком міг би стати таким ідентифікатором.

То чому ж його не використовують?

Справа в тому, що ІПН містить інформацію про дату народження. Правозахисники вважають, що подібна інформація є персональними даними, а отже її обробка та розповсюдження можливі лише за згодою особи, в іншому випадку це порушення права людини на повагу до її приватного та сімейного життя, свого житла та кореспонденції.

В Україні органом, який відповідає за удосконалення системи захисту персональних даних, є Уповноважений Верховної Ради України з прав людини.

В своєму коментарі Opendatabot Уповноважений з прав людини відніс код ІПН до персональних даних і підкреслив, що його використання містить чимало серйозних ризиків для особи.

"До персональних даних можна віднести: прізвище, ім’я, по-батькові, адресу, телефони, паспортні дані, реєстраційний номер облікової картки платника податків, національність, освіту, сімейний стан тощо. Така інформація про фізичну особу та членів її сім’ї є конфіденційною і може оброблятися в тому числі поширюватись тільки за їх згодою.

Поширення інформації про реєстраційний номер облікової картки платника податків може призвести до безпідставного втручання у її особисте життя та свідчити про порушення статті 8 Конвенції про захист прав людини і основоположних свобод.

Зокрема це може призвести до незаконного використання реєстраційного номеру облікової картки платника податків. Наприклад, для укладення та виконання неправомірного правочину стороною якого буде суб’єкт персональних даних (без його на те згоди) або який буде укладено на користь суб’єкта персональних даних (при відкритті рахунків в банку або оформленні кредиту; при купівлі/продажу дорогих матеріальних цінностей (нерухомість, автомобіль і т.д.); при оформленні соціальних виплат тощо)".

Гаразд, то може є якісь більш безпечні альтернативи?

Дійсно, альтернативою ІПН міг би стати унікальний номер запису в реєстрі (УНЗР). Саме про нього говорив заступник голови Державного агентства з питань електронного урядування Олексій Вискуб. В минулому році на наше питання щодо ідентифікатора особи він відповів наступним чином:

"Використовувати ІПН як унікальний номер громадянина неправильно. Він призначений не для цих цілей й, відповідно, не може використовуватися.

Зараз розвивається Єдиний демографічний реєстр, в якому є УНЗР. Це 13-значний код громадянина.

Зараз в цьому реєстрі 5 млн населення (на квітень 2017 року) й він активно поповнюється. У нас з цього приводу є план з міграційною службою".

Унікальний номер запису у реєстрі складається із 13 цифр, може бути розділений рискою після 8 позиції. Перші 8 цифр – дата народження (YYYYMMDD), решта 5 цифр номер запису на цей день.

Відповідно, УНЗР має той само недолік, що й ІПН - він містить персональну інформацію, а отже так само не може бути поширеним без згоди особи.

Ще одна проблема - далеко не всі громадяни мають УНЗР. Його використання - це перспектива 10-15 років, коли база буде достатньо повною.

Виходить, що потрібні інші альтернативи?

Є кілька можливий шляхів вирішення цієї ситуації.

  1. Можна переглянути наші погляди на персональну інформацію, визнати, що дата народження не є персональними даними. Якщо так - то використання ІПН як ідентифікатора буде цілком логічним.
  2. Можна прописати ряд виключень, в яких використання ІПН або УНЗР буде можливим. Це можна зробити за аналогією з інформацією з декларацій чиновників або ФОПів.
  3. Працювати над новим ідентифікатором або видозмінити старі.

Допоки це питання не буде вирішеним, ми ризикуємо правами людей набагато більше. Випадкові припущення на основі автоматичних співпадінь можуть нашкодити репутації особи та її персональному життю, а наслідки будуть драматичнішими, ніж в ситуації коли інформація про її дату народження буде опублікована.