Как отказаться от биометрии в банках?

Ряд банков требуют от своих клиентов сдать биометрические данные в обязательном порядке. Даже чтобы открыть вклад или дебетовую карту, в некоторых банках клиентам придется сфотографироваться. ЦБ и Росфинмониторинг указывают на добровольность сдачи биометрии, а юристы разошлись во мнениях о правомерности отказа банков в открытии вклада лицам, не пожелавшим предоставить фотографии.

Клиенты банка «ФК Открытие» начали жаловаться на сбор биометрических данных в обязательном порядке. Так, один из клиентов пожаловался на портале «Банки.ру», что в банке невозможно открыть дебетовую карту без фотографирования, а другой клиент не смог открыть по этой же причине вклад. Похожая ситуация существует и в Почта-банке, только с тем различием, что клиент, отказавшийся сдать биометрию, может рассчитывать на лимитированный набор услуг.

Официальный представитель «ФК Открытие», комментируя жалобы, подтвердил, что банк действительно в обязательном порядке фотографирует вкладчиков. В банке пояснили “Ъ”, что преследуют две цели. «Во-первых, согласно требованиям законодательства в рамках 115-ФЗ (закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».— “Ъ”), банки обязаны идентифицировать своих клиентов, при этом выбор необходимых для этого сведений и документов остается на усмотрение самих кредитных организаций,— считают в «ФК Открытие».— Таким образом, фотографирование клиентов необходимо для соблюдения регуляторных требований в части идентификации клиентов». Во-вторых, «наличие базы фотоснимков позволяет снизить риски мошеннических операций»,— добавили в банке.

В Почта-банке заявили, что собирают биометрию сугубо для защиты клиентов от мошеннических действий. «Всем клиентам мы поясняем, с какой целью мы их фотографируем и как будет использоваться фото»,— заявили в банке. При этом в Почта-банке считают, что действуют в соответствии с Гражданским кодексом, согласно которому при заключении договора банковского счета клиенту открывается счет на условиях, согласованных сторонами. «Договором на открытие банковского счета предусмотрена процедура аутентификации клиента по фотографии,— заявили в кредитной организации.— Таким образом, принимая оферту банка о заключении договора банковского счета, клиент соглашается и на фотографирование».

Законодательство требует согласия субъекта данных на их сбор и обработку, таким образом, клиент банка может отказаться от предоставления биометрии, что является его законным правом, поясняет партнер юридической фирмы «Рустам Курмаев и партнеры» Дмитрий Горбунов. «Это не отменяет того факта, что банк может в этом случае отказать в заключении договора, поскольку действительно имеет право самостоятельно определять сведения или документы, необходимые для идентификации клиента,— считает господин Горбунов.— Принцип свободы заключения договора предполагает, что ни одна из сторон не может принуждать другую к его заключению, так что если клиент не хочет предоставлять свою фотографию, а банк не согласен заключать договор в отсутствие обязательных к предоставлению данных, то они могут просто этот договор не заключать».

Договор банковского счета или вклада является публичным, в отличие, например, от кредитного договора (банки часто фотографируют заемщиков), поясняет юрист компании FMG Group Данил Пашуткин. «Банк не может отказать в открытии вклада гражданину с паспортом, при этом, может не давать ему же кредит, если гражданин не соответствует критериям, которые устанавливает сам банк»,— считает он. Юрист считает, что написанное в договоре условие о биометрии для публичных договоров незаконно, пока это не будет явно предусмотрено законом. При этом, по его мнению, человеку, не сдавшему биометрию, банк может отказать в определенных видах услуг, но только связанных с удаленным обслуживанием.

В Росфинмониторинге на вопрос “Ъ”, является ли трактовка банками 115-ФЗ корректной или нет, заявили, что этот закон дает клиентам право на сдачу биометрических данных, но не вменяет им это в обязанность. В ЦБ заявили, что 115-ФЗ накладывает обязанность на банки размещать сведения о клиенте в единой системе идентификации и аутентификации и единой информационной системе персональных данных, но лишь с согласия клиента. При этом регулятор не ответил на вопрос, правомерен ли отказ в обслуживании клиента, не сдавшего биометрию.

Виталий Солдатских

Биометрические персональные данные россиян

В свете скорого вступления в действие закона о биометрической идентификации клиентов банков хотелось бы вернуться немного назад и вспомнить, а чем собственно являются биометрические персональные данные. Что по этому поводу нам говорит Роскомнадзор и как нам быть, если придется с ними работать.

Согласно Федеральному закону от 27.07.2006 N 152-ФЗ «О персональных данных», ст. 11:
«Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.»Для детей у Роскомнадзора есть упрощенное объяснение:
Биометрические персональные данные представляют собой сведения о наших биологических особенностях. Эти данные уникальны, принадлежат только одному человеку и никогда не повторяются.
Биометрические данные заложены в нас от рождения самой природой, они никем не присваиваются, это просто закодированная информация о человеке, которую люди научились считывать. К таким данным относятся:
отпечаток пальца, рисунок радужной оболочки глаза, код ДНК, слепок голоса и пр.

О стандартах

В соответствии с приказом Федерального агентства по техническому регулированию и метрологии от 6 марта 2017 года №448 была организована деятельность технического комитета по стандартизации ТК 098 «Биометрия и биомониторинг».

Согласно Приложению N 3 к приказу Федерального агентства по техническому регулированию и метрологии от 6 марта 2017 г. N 448 (Положение о техническом комитете по стандартизации «Биометрия и биомониторинг») ТК призван решать следующие задачи:

  • формирование программы национальной стандартизации по закрепленной за ТК 098 областью деятельностью и контроль за реализацией этой программы;
  • рассмотрение предложений по применению международных и региональных стандартов на национальном и межгосударственном уровнях в закрепленной за ТК 098 области деятельности;
  • проведение экспертизы проектов национальных и межгосударственных стандартов и проектов изменений к действующим стандартам, а также представление их на утверждение (принятие) в Росстандарт;
  • участие в работе межгосударственного технического комитета по стандартизации (МТК) и международных технических комитетах (ИСО/ТК), которые имеют общую с ним область деятельности;
  • регулярная проверка действующих в Российской Федерации и закрепленных за ТК 098 национальных и межгосударственных стандартов с целью выявления необходимости их обновления или отмены;
  • оценка целесообразности утверждения закрепленных за ТК 098 предварительных национальных стандартов в качестве национальных стандартов Российской Федерации по результатам мониторинга их применения;
  • рассмотрение проектов международных стандартов в закрепленной за ТК 098 области деятельности и подготовка позиции Российской Федерации при голосовании по данным проектам;
  • рассмотрение предложений по разработке международных стандартов, в том числе на основе национальных и межгосударственных стандартов, закрепленных за ТК 098;
  • проведение экспертизы официальных переводов на русский язык международных и региональных стандартов, национальных стандартов и сводов правил иностранных государств в закрепленной за ТК 098 области деятельности и пр.

В данном ТК, по состоянию на 31.10.2017 г., отражен перечень действующих национальных стандартов в области биометрических технологий. Данный перечень сведен в таблицу, представленную ниже.

Обозначение национального стандарта

Наименование национального стандарта

ГОСТ ISO/IEC 2382-37-2016*

Информационные технологии. Словарь. Часть 37. Биометрия (принят протоколом МГС №93-П от 22 ноября 2016 г.)

ГОСТ ISO/IEC 19794-1-2015*

Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 1. Структура

ГОСТ Р ИСО/МЭК 19794-2-2013

Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 2. Данные изображения отпечатка пальца — контрольные точки

ГОСТ Р ИСО/МЭК 19794-3-2009

Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 3. Спектральные данные изображения отпечатка пальца

ГОСТ Р ИСО/МЭК 19794-4-2014

Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 4. Данные изображения отпечатка пальца

ГОСТ Р ИСО/МЭК 19794-5-2013

Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 5. Данные изображения лица

ГОСТ Р ИСО/МЭК 19794-6-2014

Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 6. Данные изображения радужной оболочки глаза

ГОСТ Р ИСО/МЭК 19794-7-2009

Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 7. Данные дина­мики подписи

ГОСТ Р ИСО/МЭК 19794-8-2015

Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 8. Данные изображения отпечатка пальца — остов

ГОСТ Р ИСО/МЭК 19794-9-2015

Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 9. Данные изображения сосудистого русла

ГОСТ Р ИСО/МЭК 19794-10-2010

Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 10. Данные гео­метрии контура кисти руки

ГОСТ Р ИСО/МЭК 19794-11-2015

Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 11. Обрабатываемые данные динамики под­писи

ГОСТ Р ИСО/МЭК 19794-14-2017

Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 14. Данные ДНК

ГОСТ Р ИСО/МЭК 19795-1-2007

Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 1. Принципы и структура

ГОСТ Р ИСО/МЭК 19795-2-2008

Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии.

Часть 2. Методы проведения технологического и сценарного испыта­ний

ГОСТ Р ИСО/МЭК

ТО 19795-3-2009

Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 3. Особенности проведения испытаний при различных биомет­рических модальностях

ГОСТ Р ИСО/МЭК 19795-4-2011

Информационные технологии. Биометрия. Эксплуатационные испыта­ния и протоколы испытаний в биометрии. Часть 4. Испытания на сов­местимость

ГОСТ Р ИСО/МЭК 19795-6-2015

Информационные технологии. Биометрия. Эксплуатационные испыта­ния и протоколы испытаний в биометрии. Часть 6. Методология про­ведения оперативных испытаний

ГОСТ Р ИСО/МЭК 19784-1-2007

Автоматическая идентификация. Идентификация биометрическая. Биометрический программный интерфейс. Часть 1. Спецификация биометрического программного интерфейса

ГОСТ Р ИСО/МЭК 19784-2-2010

Автоматическая идентификация. Идентификация биометрическая. Биометрический программный интерфейс. Часть 2. Интерфейс постав­щика биометрической функции архива

ГОСТ Р ИСО/МЭК 19784-4-2014

Информационные технологии. Биометрия. Биометрический программ­ный интерфейс. Часть 4. Интерфейс поставщика функции биометриче­ского датчика

ГОСТ Р ИСО/МЭК 19785-1-2008

Автоматическая идентификация. Идентификация биометрическая. Единая структура форматов обмена биометрическими данными. Часть

1. Спецификация элементов данных

ГОСТ Р ИСО/МЭК 19785-2-2008

Автоматическая идентификация. Идентификация биометрическая. Единая структура форматов обмена биометрическими данными. Часть 2. Процедуры действий регистрационного органа в области биометрии

ГОСТ Р ИСО/МЭК 19785-4-2012

Информационные технологии. Биометрия. Единая структура форматов обмена биометрическими данными. Часть 4. Спецификация формата блока защиты информации

ГОСТ Р ИСО/МЭК 24708-2013

Информационные технологии. Биометрия. Протокол межсетевого об­мена БиоАПИ

ГОСТ Р ИСО/МЭК 24709-1-2009

Автоматическая идентификация. Идентификация биометрическая. Ис­пытания на соответствие биометрическому программному интерфейсу (БиоАПИ). Часть 1. Методы и процедуры

ГОСТ Р ИСО/МЭК 24709-2-2011

Информационные технологии. Биометрия. Испытания на соответствие биометрическому программному интерфейсу (БиоАПИ). Часть 2. Те­стовые утверждения для поставщиков биометрических услуг

ГОСТ Р ИСО/МЭК 24709-3-2013

Информационные технологии. Биометрия. Испытания на соответствие биометрическому программному интерфейсу (БиоАПИ). Часть 3. Те­стовые утверждения для инфраструктур БиоАПИ

ГОСТ ISO/IEC 24713-1-2013*

Информационные технологии. Биометрические профили для взаимо­действия и обмена данными. Часть 1. Общая архитектура биометриче­ской системы и биометрические профили

ГОСТ Р ИСО/МЭК 24713-2-2011

Информационные технологии. Биометрия. Биометрические профили для взаимодействия и обмена данными. Часть 2. Физический контроль доступа сотрудников аэропорта

ГОСТ Р ИСО/МЭК 24713-3-2016

Информационные технологии. Биометрия. Биометрические профили для взаимодействия и обмена данными. Часть 3. Биометрическая вери­фикация и идентификация моряков

ГОСТ Р ИСО/МЭК 29109-1-2012

Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 1. Обобщен­ная методология испытаний на соответствие

ГОСТ Р ИСО/МЭК 29109-4-2015

Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 4. Данные изображения отпечатка пальца

ГОСТ Р ИСО/МЭК 29109-5-2013

Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 5. Данные изображения лица

ГОСТ Р ИСО/МЭК 29109-6-2016

Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 6. Данные изображения радужной оболочки глаза

ГОСТ Р ИСО/МЭК 29109-7-2016

Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 7. Данные ди­намики подписи

ГОСТ Р ИСО/МЭК 29109-8-2016

Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 8. Данные изображения отпечатка пальца — остов

ГОСТ Р ИСО/МЭК 29109-9-2017

Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 9. Данные изображения сосудистого русла

ГОСТ Р ИСО/МЭК 29109-10-2017

Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 10. Данные геометрии контура кисти руки

ГОСТ Р ИСО/МЭК 29794-1-2012

Информационные технологии. Биометрия. Качество биометрических образцов. Часть 1. Структура

ГОСТ Р ИСО/МЭК 29141-2012

Информационные технологии. Биометрия. Одновременное получение изображений отпечатков десяти пальцев с помощью БиоАПИ

ГОСТ Р 54412-2011/ISO/IEC TR 24741:2007

Информационные технологии. Биометрия. Обучающая программа по биометрии

Как видим, перечень довольно обширный, но и это еще не все. Кроме непосредственно биометрических технологий, так же касаются биометрии и стандарты на машиносчитываемые паспортно-визовые документы, а так же на идентификационные карты с биометрическими данными. Приводить в рамках данной статьи их не будем, при желании ознакомиться с ними, все это можно найти на сайте ТК 098.

О разъяснениях Роскомнадзора

Выпущенные в свет разъяснения Роскомнадзора, которые как раз поднимали «…вопросы отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки.», многими были проигнорированы и зря. До сих пор возникает много вопросов, ответы на которые можно было найти в разъяснениях, не закапываясь в ГОСТы. Поэтому предлагаю еще раз пройти по основным тезисам, а для кого-то ознакомиться с ними впервые.

Исходя из определения, приведенного выше, в контексте Федерального закона «О персональных данных» отнесение сведений персонального характера к биометрическим персональным данным и их последующая обработка должны рассматриваться в рамках проводимых оператором мероприятий, направленных на установление личности конкретного лица, если иное не предусмотрено федеральными законами и принятыми на их основе нормативными правовыми актами.

Т.е., если пользователь, допустим, ставит свою фотографию на какую-нибудь аватарку, то мы не считаем это биометрическими данными, т.к. по аватарке мы не определяем личность пользователя. Тем не менее, есть случаи, когда фотографию прямо относят к биометрическим персональным данным.

«Согласно пункту 6 Перечня персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию, утвержденного постановлением Правительства Российской Федерации 4 марта 2010 г. № 125, цветное цифровое фотографическое изображение лица владельца документа является биометрическими персональными данными владельца документа.»

В случаях, когда сканирование паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом, например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных и ст. 11 Федерального закона «О персональных данных» не регулируются. Соответственно, обработка сведений, в данных случаях, осуществляется в соответствии с общими требованиями, установленными Федеральным законом «О персональных данных».

Не являются биометрическим персональными данными рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека, и находящиеся в истории болезни (медицинской карте) пациента (не имеет значения, бумажной или электронной), поскольку они не используются оператором (медицинским учреждением) для установления личности пациента. Но в случае их передачи по запросу субъектов оперативно-розыскной деятельности, органов следствия и дознания в рамках проводимых ими мероприятий указанные сведения становятся биометрическими персональными данными, поскольку используются операторами — органами следствия и дознания в целях установления личности конкретного лица. Т.е. в органы следствия передаются сведения медицинского характера, а там они уже становятся биометрическими персональными данными.

Аналогичным подходом нужно руководствоваться и при получении иных сведений, которые можно отнести к биометрическим персональным данным. Таким образом, если мы используем полученные сведения характеризующие физиологические и биологические особенности человека для установления личности, то у нас биометрия, если нет – иное.

Главное, что в случае обработки биометрических персональных данных необходимо помнить:

«В соответствии с ч. 1 ст. 11 Федерального закона «О персональных данных» обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных.»
P.S. По ссылке вы можете скачать наш White Paper о Федеральном Законе №152.
Это книга, которая была опубликована с целью помочь устранить путаницу в вопросах обработки персональных данных и ясно описать процесс приведения ИС персональных данных в соответствии с законодательством России. Тема раскрывается «с нуля». Это помогает удовлетворить потребности широкого круга читателей.

Камеры «двойного назначения»: чем опасна система распознавания лиц

«Поскольку тема распространения биометрических данных становится все более актуальной, «Роскомсвобода» выступила за введение моратория на системы распознавания лиц, которые являются технологиями двойного назначения.

Обработка биометрии граждан без их письменного согласия нарушает закон о персональных данных, а также право на частную жизнь, которую нам предоставляет Конституция. Т.е., по закону граждане должны давать согласие на обработку персональных данных; но при распознавании лиц это правило почему-то не учитываются. Кроме того, люди, которые имеют доступ к системе биометрических данных, могут продавать доступ к ней за деньги. Именно поэтому очень часто у нас происходят утечки данных.

Мораторий же предполагает запрет на отслеживание граждан с помощью камер наблюдения и обработки их биометрии — до тех пор, пока эти процедуры не станут общественно прозрачными и контролируемыми со стороны самих граждан. Поэтому мы поддержали иск Алены Поповой.

Что касается перспектив этого судебного разбирательства, то они довольно туманны. Учитывая правоприменительную практику, которая уже накоплена в судебных делах, связанных с использованием персональных данных и тайной переписки и звонков (например, требования Роскомнадзора к соцсети Telegram отдать ФСБ ключи шифрования), то можно сказать, что российские суды и сотрудники правоохранительных органов не слишком компетентны в области интернет-технологий. Поэтому можно предположить, что истец, скорее всего, не найдет понимания в российских судах. Однако суды в России — это важная ступень для подачи жалобы в ЕСПЧ.

«Российские суды и сотрудники правоохранительных органов не слишком компетентны в области интернет-технологий»

Кроме того, мы долго изучали проблему с точки зрения российского и международного права и теперь готовы рассказывать о практиках, в том числе мировых, использования системы распознавания лиц. Мы готовы доводить подобные дела до международных судов. Параллельно мы будем требовать законодательного запрета этих систем».

Карен Казарян, гендиректор Института исследований интернета, главный аналитик Российской ассоциации электронных коммуникаций (РАЭК):

«Ситуация с распознаванием лиц у нас в стране сложная. С одной стороны, российское законодательство говорит о том, что для обработки персональных данных требуется согласие пользователя. С другой — государственным и частным предприятиям нужны камеры слежения и системы распознавания лиц, чтобы обеспечить, например, сохранность имущества или безопасность граждан.

Далее возникает главный вопрос — что мы делаем с полученными данными после того, как проанализировали их. Если мы ловим преступника, то его надо попытаться распознать на фото и «прогнать» через базы данных. Но если человек, которого мы посчитали преступником, им не является, то получается, что мы идентифицировали его личность, не имея на это законного права. Выходит, что у организации нет законного основания для обработки данных, но она все равно это делает.

«Если человек, которого мы посчитали преступником, им не является, то мы незаконно идентифицировали его личность»

Если исходить из европейской практики, то после обработки данных их следует уничтожить, либо ограничить их использование. А в США, например, организация может свободно пользоваться только обезличенными данными, то есть пока фотография не привязана к имени и фамилии конкретного человека.

Разные концепции использования биометрических данных обсуждаются в России уже года три. И исковое заявление москвички о запрете на распространение биометрических данных можно рассматривать как положительный момент для бизнеса, поскольку это возможность еще раз обратить внимание на проблему и выслушать мнение о ней предпринимателей.

Для бизнеса хуже всего — неизвестность и неопределенность правил. Предприниматели вполне могут работать с учетом ограничений; главное, чтобы они были четкими, ясными и прозрачными. Потому что формально сейчас большинство компаний, обрабатывающих биометрические данные, нарушают законодательство, а значит работают в «серой зоне». При этом я думаю, что в случае ввода ограничений на обработку биометрических данных это направление бизнеса в России все равно будет развиваться, потому что прогресс не сдержать.

Что касается конкретного судебного иска, то я не верю в его перспективы в России, иски к госструктурам обычно не выигрывают».

О рисках цифровизации речь шла на V Digital City Forum РБК. Итоги мероприятия подвели главный редактор РБК Петербург Елена Кром и шеф-редактор региональных лент РБК Федор Гаврилов ​ (Видео: РБК Петербург)

Владислав Архипов, советник Dentons, доцент СПбГУ:

«Согласно федеральному законодательству, обработка биометрических персональных данных возможна только на основании письменного согласия человека. Из этого правила есть исключения, но они связаны с особыми случаями, включая исполнение судебных актов, а также случаи, предусмотренные в законодательстве о безопасности и противодействии терроризму.

Прямо сформулированной и однозначной правовой нормы, которая безусловно допускала бы использование биометрических данных в процессе постоянного мониторинга граждан, в законодательстве нет. В теории, однако, можно попробовать вывести такое обоснование из общих норм, но это спорно.

Не исключено, что вопрос в итоге дойдет до Конституционного суда РФ. Теоретически в суде может быть доказана возможность обработки персональных данных, если все процессы идентификации будут проводиться с помощью компьютерных алгоритмов без участия человека, а доступ к результатам будет осуществляться в рамках установленных норм уголовно-процессуального и другого права.

«В суде может быть доказана возможность обработки персональных данных, если все процессы будут проводиться с помощью компьютерных алгоритмов»

Но для этого обработка биометрии должна предусматривать четкие и конкретные гарантии, позволяющие избежать злоупотреблений, а такие гарантии сейчас законодательством не предусмотрены. Эти вопросы достаточно острые и во многом зависят от качества применяемых технологий. Например, недавно в Калифорнии было ограничено использование видеомониторинга с распознаванием лиц в государственных системах, а основным аргументом стало то, что технология на текущем уровне лучше распознает лица представителей одной расы и хуже — другой, что способствует дискриминации. И это лишь одна из возможных проблем в этой области».

Мнения спикеров могут не совпадать с позицией редакции.

Сбор биометрических данных — удобство или новый способ контроля граждан?

Сначала система будет действовать в общественном транспорте для облегчения оплаты проезда. Билеты, жетоны и карты отменяются: камера идентифицирует человека, деньги списываются с его счёта. Биометрическую систему уже планируют включить в стандарт «смарт-сити», который разрабатывает Минстрой.

Что за стандарт «смарт-сити»?

Международная концепция Smart City подразумевает использование информационно-коммуникационных инструментов для управления городским хозяйством, развитие энергосберегающих и энергоэффективных технологий. В России порядок создания «умных городов» закреплён в проекте программы «Цифровой экономики», разработанной Минкомсвязи по поручению президента.

К 2025 году в России должно появиться 50 «умных городов». В них будет всё очень круто: проблемы с окружающей средой исчезнут, уровень информатизации общественного транспорта поднимется до 100%, муниципальные служащие научатся пользоваться автоматизированными системами обработки данных. Даже показания с коммунальных счётчиков начнут собирать дистанционно.

Проект системы создал Минкомсвязи, а разработкой стандарта «смарт-сити» занимается Минстрой, представитель которого и предложил добавить в него биометрическую идентификацию. С точки зрения общемировой концепции Smart City всё логично: единая система должна повышать эффективность всех служб города и улучшать качество предоставляемых услуг. Ускорение прохода в общественный транспорт — это явный прогресс в развитии инфраструктуры. Но есть вопросы к тому, какие задачи будет выполнять система.

Что такое биометрические данные?

Роскомнадзор разъясняет, что биометрические данные — это сведения, характеризующие физиологические и биологические особенности человека. Они уникальны, не изменяются и позволяют установить его личность. Полный список выглядит так:

  • отпечатки пальцев и ладони;
  • анализ ДНК;
  • образ лица;
  • радужная оболочка глаз;
  • особенности строения тела, отдельных органов и тканей;
  • рост и вес;
  • состояние психического здоровья;

К биометрическим данным относятся также фотографии и видеозаписи с человеком. Фото в паспорте — это уже биометрия. Изображение, полученное на камеру в общественном транспорте, — тоже.

В России уже собирают какие-то биометрические данные?

Банки собирают биометрические данные россиян с 1 июля 2018 года. Из них формируется Единая биометрическая система (ЕБС), на основании которой в дальнейшем планируется внедрение других технологий — например, того же распознавания лиц в общественном транспорте.

ЕБС позволяет банкам удалённо идентифицировать клиентов и оказывать им ряд услуг без предоставления паспорта, карт и личного присутствия. Для опознавания используются два параметра — фотоизображение и голосовой профиль. Идентификационные данные записываются в отделении банка: нужно сфотографироваться и надиктовать цифры в произвольном порядке. Также для получения удалённых услуг потребуется учётная запись на портале «Госуслуги».

При идентификации устройство сверяет лицо с изображением, которое хранится в базе данных, а также анализирует голос по 70 параметрам. Воспользоваться записью не получится: пользователю необходимо прочитать символы, которые появляются на экране при авторизации. Кроме того, для обеспечения безопасности в устройство встраивается детектор живости, который может попросить человека улыбнуться или дотронуться до лица.

По сути, в банках проходит пилотная реализация новых норм по биометрии. Если всё пройдёт успешно, то программа начнёт работать в других сферах.

Кто занимается развитием технологии в России?

Разработкой и внедрением Единой биометрической системы занимается «Ростелеком». Первая рабочая версия была представлена в феврале 2018 года и предлагала все необходимые компоненты, в том числе защитные механизмы, отказывающие в идентификации при низком проценте совпадения голосового профиля и фотоизображения.

Цифровая структура размещается в облачной инфраструктуре «Ростелекома». Доступ к ней банки получают через систему межведомственного электронного взаимодействия. Данные пользователей передаются по каналам, защищённым с использованием отечественных криптоалгоритмов. Для решения этой задачи «Ростелеком» разрабатывает приложение со встроенными средствами криптографической защиты. Оно должно быть представлено пользователям в октябре.

«Коммерсант» сообщает, что «Ростелеком» ведёт переговоры о размещении приложения в Google Play и App Store. Проблема в том, что продукт защищён криптографией. Google уже согласился добавить приложение в магазин, с Apple пока договориться не удаётся.

Есть сложности и с сертификацией средств шифрования в ФСБ. Процедура занимает не менее года, а это значит, что либо приложения будут использовать свежую, но не сертифицированную версию ПО, либо сертифицированную, но устаревшую. Одна из причин сложившейся ситуации — нестыковки в нормативных документах: ФСБ и Центробанк требуют разный уровень сертификации.

Готова ли Россия к вводу биометрической системы?

Крупные города — да, но не в таком объёме, чтобы в ближайшее время организовать проход в общественный транспорт по образу лица. Сейчас реально использовать биометрию только в правоохранительных целях.

В дни проведения чемпионата мира по футболу-2018 около 500 камер в нескольких регионах были подключены к биометрическим комплексам. После окончания турнира пресс-служба «Ростеха» сообщила, что технология FindFace Security помогла задержать 180 правонарушителей. Некоторые из них находились в федеральном розыске.

Разработчики утверждают, что система правильно идентифицирует личность в 99% случаев.

Гендиректор «Ростеха» Сергей Чемезов рассказал о случае, когда болельщик, которому было запрещено посещать матчи, попытался пройти на стадион, закрыв лицо очками, кепкой и капюшоном. Однако обмануть FindFace Security не удалось, и он был задержан.

Ценность биометрии для других общественных отношений пока остаётся неясной. В августе Центробанк сообщил, что сбор данных идёт медленнее, чем планировалось изначально. За месяц финансовые учреждения собрали информацию о 1200 россиянах. Построить на основании этого ничтожного количества сведений единую систему точно не получится. Граждане России сдавать биометрические данные явно не торопятся.

Какие могут быть проблемы?

Самые большие риски связаны с защитой собранной информации. Решением может стать разделение системы на две базы, с персональными и биометрическими данными, чтобы при получении доступа к биометрии злоумышленник получал только математический шаблон лица и не мог сопоставить его с конкретным человеком. Проблема в том, что закрытые базы в России часто оказываются в свободном обороте, так что их может купить любое заинтересованное лицо.

Даже если предположить, что данные будут полностью защищены, а несанкционированный доступ к базе исключён, остаётся другой вопрос — как государство будет использовать полученные сведения? Трешбокс рассказывал о том, как китайские власти следят за гражданами и туристами. В регионе Синьцзян, где проживают уйгуры, биометрия фактически используется для построения полицейского режима, при котором жители лишены права свободного перемещения.

Минстрой не скрывает, что к разработке биометрической системы привлекут китайских партнёров — например, компанию Huawei, которая поможет «Ростелекому» внедрить технологию и анализировать полученные данные. Вопрос лишь в том, какой именно опыт Россия собирается перенимать: построения «умного города» или получения новых средств контроля.

Как отказаться от биометрии в банках?

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *