11 марта 2026 г. Рязанский областной суд вынес интересное решение по спору гражданина с ООО «КЕХ еКоммерц» (Авито).
Напомним, гражданин посчитал, что Авито нарушает его права и компания незаконно обрабатывает его биометрические персональные данные, когда для подтверждения доступа к аккаунту потребовалось пройти видеопроверку. Суд первой инстанции встал на сторону потребителя и признал предоставление видеоизображения биометрическими персональными данными. Суд апелляционной инстанции не согласился с выводами суда первой инстанции и отменил решение. Подробнее с решениями можно ознакомиться на сайте.
Чем интересно апелляционное определение
Обработка данных для входа в аккаунт обусловлена гражданскими правоотношениями и в приоритет ставится заключенный между пользователем и сервисом договор (п. 2 ст. 421 ГК РФ).
Регистрируясь в сервисе, пользователь безоговорочно принимает условия, установленные правилами использования сервиса. Способ проверки, установленный сервисом, является неотъемлемым условием предоставления сервиса.
Правда, здесь есть определенная "ловушка": для процесса регистрации зачастую требуется меньше данных, чем для последующего подтверждения их достоверности. Так, при регистрации на сайте может потребоваться только имя, адрес электронной почты и номер телефона. В дальнейшем при восстановлении доступа может потребоваться прохождение проверки по видеоизображению с предоставлением данных паспорта или иного документа, что выходит за пределы ранее предоставленных сведений. При отсутствии альтернативных способов прохождения проверки ставится под сомнение соответствие объема предоставляемых данных целям их обработки.
Вывод суда, что предложение пройти проверку на видео и подтвердить, что профилем управляет живой человек, не является способом сбора биометрических персональных данных в смысле ст. 11 152-ФЗ, поскольку данная проверка не используется сайтом «Авито» для установления личности или слежения за ним. Цель — обеспечение безопасности пользователей.
Отсутствие факта обработки биометрических данных прямо подтверждено уполномоченными органами Минцифры России и Роскомнадзором, а также партнером ответчика – ПАО «МТС». Авито также указало на отсутствие технической возможности использовать видеоизображения для установления личностей пользователей. Определение, правда, не содержит информации, какими документами от Минцифры России и Роскомнадзора были подтверждены факты отсутствия обработки биометрии, а также отсутствие технической возможности.
В то же время, на фоне появления большого количества ботов с развитием ИИ, мошенников, крадущих аккаунты, переход к проверке по биометрии для восстановления аккаунтов имеет смысл как механизм повышения доверия к тому, кто находится по ту сторону экрана (“proof of personhood” (PoP) and “proof of human” (POH))[1] .
"Компании постепенно либо отказываются, либо предлагают другие методы входа в аккаунты, отличных от привычных логинов и паролей: Passkeys, либо биометрия.
При использовании таких методов сайт не хранит ваш пароль. Устройство просит подтвердить личность с помощью биометрии (посмотреть в камеру или приложить палец). После этого сайт получает только подтверждение, что это действительно вы. Никакие личные данные или биометрия при этом не передаются" [2].
Выводы
Грамотно составленное пользовательское соглашение, предусматривающее порядок взаимодействия с пользователем сайта, проверку достоверности предоставленных им данных в целях предоставления услуг, может защитить владельца сайта в спорных ситуациях. В силу п. 4 ст. 421 ГК РФ условия договора определяются по усмотрению сторон, кроме случаев, когда содержание соответствующего условия предписано законом или иными правовыми актами (ст. 422 ГК РФ).
