Что такое сбор биометрических данных

Зачем банки передают биометрию в Единую биометрическую систему?

Кругом говорят, что скоро мою биометрию передадут в единую базу данных и нужно написать заявление в МФЦ, чтобы этого не произошло. Что за единая база? Когда нужно написать заявление, если я туда не хочу?

изучила закон о биометрии

Понимаю ваше беспокойство — никто не хочет, чтобы персональными данными могли пользоваться без его ведома и согласия. Расскажу, что такое биометрия, как она работает, для чего и как запретить ее передачу в единую базу данных.

Что такое биометрия и ЕБС

Биометрия — это особый способ распознать человека или подтвердить его личность по поведенческим или физиологическим характеристикам. В настоящее время есть пять самых распространенных типов биометрии:

1. Радужная оболочка глаза.
2. Отпечаток пальца.
3. Голос.
4. Изображение лица.
5. Рисунок вен ладони.

Единая биометрическая система — это государственная база, которая хранит биометрию граждан. Она появилась в России в 2018 году по инициативе Минцифры и Банка России при участии «Ростелекома», который стал ее оператором. В декабре 2021 года оператор сменился на специально созданную структуру — АО «Центр биометрических технологий».

Первыми ЕБС стали использовать банки. По желанию клиента сотрудники «снимали» его биометрические данные и передавали в систему с использованием Единой системы идентификации и аутентификации (ЕСИА), которая позволяет заходить на госуслуги.

Благодаря этому, банки могли оказывать услуги конкретным клиентам в любой точке мира. После предоставления биометрических данных человек мог получать кредиты и открывать новые счета без повторного посещения банковского офиса. Потом по биометрии начали выдавать электронные подписи, eSIM и оказывать другие услуги.

И это одно из главных отличий биометрии, например, от подтвержденного аккаунта на портале госуслуг. Даже имея личный кабинет на госуслугах, некоторые услуги не получить без визита в офис или личной встречи с сотрудником, который проверит документы и подтвердит личность клиента.

Как раньше регулировалась биометрия

До 2022 года банки хранили собранную биометрию во внутренних базах и по желанию передавали в ЕБС.

Полноценного закона, описывающего принцип работы биометрии, тогда не было. Поэтому к ней применяли разные нормативные акты. Например, согласие на размещение биометрических данных регулировалось законом от 27.07.2006 № 152-ФЗ «О персональных данных».

Рассылка Т—Ж о мире инвестиций

Новый закон о Единой биометрической системе и ее операторе

Со временем стало очевидно, что для работы с биометрией клиентов не хватает законодательной базы. Поэтому в декабре 2022 года Госдума приняла отдельный закон № 572-ФЗ.

Не все его положения заработали сразу — часть требований вступила в силу 1 июня 2023 года. Поэтому активно о биометрии заговорили только летом этого года.

Вот самые важные положения нового закона, которые стоит знать:

1. Граждане передают биометрические данные только добровольно — по своему согласию.
2. Отозвать согласие можно в любой момент — никаких ограничений по срокам нет. Делается это тем же способом, которым клиент его предоставлял.
3. Муниципальным органам, банкам и другим уполномоченным органам запрещено отказывать в услуге без сдачи биометрии.
4. Обработка биометрических данных вне базы ЕБС запрещена.
5. Оператор ЕБС с декабря 2022 года — АО «Центр биометрических технологий», которым владеют «Ростелеком» (49%), Росимущество (26%) и Банк России (25%).
6. Собирать биометрию могут только аккредитованные компании, которые соответствуют требованиям закона. Например, не могут этого делать иностранные организации или компании с долей иностранного капитала более 49%, а также любые компании с собственным капиталом менее 500 000 000 ₽.

Также в законе есть другие положения, которые заработают позже. Например, 1 января 2024 года вступит в силу часть 14 статьи 3, которая даст гражданину право через портал госуслуг ознакомиться с предоставленными согласиями на обработку его биометрии. Другая часть норм вступит в силу 1 января 2027 года

Что с принятием нового закона изменилось для обычных людей

Одно из важных изменений касается способов взаимодействия банков и других организаций, собирающих биометрию граждан, с ЕБС. Если раньше банки использовали биометрию клиентов в своей внутренней базе, а обязанность передавать данные была только у банков с универсальной лицензией, то теперь закон это меняет. С 1 июня 2023 года банки, нотариусы, государственные или муниципальные ведомства при получении биометрических данных от пользователя обязаны передавать их в Единую биометрическую систему

Объясню, как это работает, на примере. Предположим, клиент передал свою биометрию банку А, а потом обратился в банк Б. До 1 июня 2023 года у первого банка не было обязанности передавать сведения в ЕБС, поэтому у второго банка не было доступа к биометрии клиента. Из-за этого людям приходилось сдавать биометрию в каждом банке отдельно.

Теперь можно обратиться в один из уполномоченных банков, который взаимодействует с ЕБС, передать свои данные, и они попадут в общую базу. Так их смогут использовать все банки, которые сотрудничают с ЕБС.

Передать свои данные в ЕБС можно разными способами. Например:

— сейчас их больше 80 по всей стране. Если захотите воспользоваться этим способом, рекомендую уточнить в офисе конкретного банка, есть ли у них техническая возможность провести биометрическую аутентификацию.
1. Через МФЦ.
2. С помощью приложения «Госуслуги.Биометрия».

Еще одно изменение — в том, что все организации, которые ранее получили от пользователей биометрические данные, обязаны передать их в ЕБС до 30 сентября 2023 года. При этом уведомить граждан о такой передаче они должны не менее чем за 30 дней. И в этот период — после получения уведомления — у пользователей есть право отозвать ранее данные согласия на передачу биометрии.

Именно из-за этого в соцсетях и мессенджерах в конце августа распространили слух, что отказаться от попадания в ЕБС можно только до 1 сентября 2023 года. Но это не так! Подробно об этом написано в другой статье Тинькофф Журнала.

Как можно отказаться от использования биометрии и на что это повлияет

Отказаться можно теми же способами, что и разрешить использование биометрии:

1. Через уполномоченный банк.
2. Через гослуслуги.
3. В МФЦ.

Отказ можно отозвать в любое время, а потом — при желании или необходимости — заново передать данные.

Отсутствие биометрии в ЕБС повлияет лишь на доступность некоторых услуг, которые нельзя выполнить дистанционно без биометрии. Например, клиенту, который сдал биометрию, можно открыть счет, вклад или получить кредит дистанционно в любом банке, работающем с ЕБС. Без биометрии клиент дистанционно может взаимодействовать только с теми банками, клиентом которых уже является.

Что в итоге

Сдавать биометрию или нет, каждый решает самостоятельно. Закон запрещает принуждать к этому.

Чтобы получить доступ к максимальному количеству услуг, для которых необходимо предъявлять паспорт, необходим статус подтвержденной биометрии. Его присваивают очно в уполномоченном органе — МФЦ или банке.

Отозвать согласие на использование биометрических данных можно в любой момент тем же способом, каким клиент его предоставил.

Я не давала согласия никаким банкам ни на какой сбор биометрии. По крайней мере — в явном виде (невозможно прочитать весь мелкий шрифт в соглашениях, которых даже нет в открытом доступе, но которые лежат где-то на сайте и могут быть предоставлены по запросу клиента).

Тем не менее тот же Тинькофф для изменения номера телефона затребовал от меня видеозвонок. Значит ли это, что некую биометрию они все же хранят и бодро передали государству, чтобы ему было удобнее следить за мной по наружним камерам?

И второй вопрос: ну допустим, я пойду в МФЦ и напишу некий отказ. Меня внесут в базу людей, написавший отказ, и потом по запросу будут показывать, что меня в ебсе (простите) нет. Но серьёзно: неужели кто-то в здравом уме поверит, что после написания этой бумажки его действительно уберут из такой удобной для полицейщины базы?

Очередная кормушка для ворья и мошенников. Если сейчас звонят тугодумы из "службы безопасности всех банков" и пытаются втереть вам свой дешевый скрипт, то потом они самостоятельно будут заходить в ваш профиль используя разворованные базы

Жизнь очистилась настолько, что в новостях только контроль над всеми и луна. Все другие проблемы решены. Ну а оригиналы, так сказать, если не задумываются, зачем сдавать бертильонаж на допельгангера, может, туда им и дорога, на луну? К чему, например, банку все ваши особые приметы? Вы что, без кошелька ходите в магазины? Ещё ни один самый слабый не увечился, нося пластиковую карточку.

Нельзя использовать для безопасной авторизации/идентификации данные, находящиеся в публичном доступе:

Лицо и голос таковыми являются – наше лицо, голос, а с некоторыми поправки отпечатки и слюна находятся в открытом доступе для неограниченного круга лиц: это значит, что их может скопировать и воспользоваться кто угодно.

Развитие AI-технологий откроет тут ящик пандоры.

Самое безопасное, что существует – это сложный пароль, который знаете только вы. Всю инфраструктуру
такой «удаленной авторизации» можно было построить на блокчейне – это было бы быстро, удобно и супербезопасно.

Никакая биометрия для этого не нужна вообще: прямой связи между анальным зондом и созданием продвинутой электронной подписи нет.

————-
Но как вы понимаете, конечная цель сбора этих данных другая и технлогия блокчейн, при всех ее плюсах, для достижения этой цели не подходит, и даже наоборот – противоречит.

Биометрия в банках: что это, зачем и к чему приведет

Биометрические данные — это уникальные физические характеристики человека, которые используются для установления (идентификации) или проверки (аутентификации) личности. К ним относятся лицо, движение губ, сетчатка глаза, отпечаток пальца, рисунок вен и голос.

Зачем банки собирают биометрию

Российские банки собирают биометрические данные клиентов в двух направлениях: для собственных целей, чтобы повысить безопасность, удобство и скорость обслуживания клиентов, а также для Единой биометрической системы (ЕБС), которая была запущена Банком России и «Ростелекомом» летом 2018 года. Эта система позволяет гражданам становиться клиентами банков без посещения офиса за счет удаленной идентификации. В двух этих случаях сдача биометрии для клиентов является добровольной.

Собирать данные в ЕБС (изображение лица и цифровой слепок голоса) по закону должны все банки, однако услуги через ЕБС (открытие счета, выдача кредита и проведение платежей) пока оказывают только несколько кредитных организаций:

• ВТБ,
• Почта Банк,
• Тинькофф Банк,
• «Хоум кредит»,
• Совкомбанк,
• Промсвязьбанк,
• Ак Барс Банк,
• Россельхозбанк,
• СКБ-Банк.

Скоро к этому списку должны добавится Росбанк, «Русский Стандарт» и РНКБ. Собственные биометрические проекты реализуют не все участники рынка: из крупнейших игроков это делают Сбербанк, ВТБ, Альфа-банк, Почта Банк и «Хоум Кредит».

Способы использования биометрии кредитными организациями

• Для удаленной идентификации новых клиентов через ЕБС. Клиенту надо один раз посетить банковское отделение и сдать свои данные. После этого пользователи системы могут удаленно становиться клиентами других банков без посещения офиса и предоставления паспорта. По словам представителя РНКБ, для банков это становится возможностью привлечь новых клиентов в регионах отсутствия. Пользователь же может стать клиентом банка не выходя из дома, что особенно актуально для людей, живущих в отдаленных уголках страны, а также для людей с ограниченными возможностями, добавил председатель правления Банка «Русский стандарт» Александр Самохвалов.
• Биометрия для идентификации клиентов. По словам представителя Сбербанка, биометрия упрощает клиентский путь, так как при обслуживании в физических каналах и контактном центре не потребуется паспорт или карта для проверки личности. Биометрию вместо документов решил использовать и Альфа-банк: эта технология распознает клиентов на входе в отделение, подтверждает проведение операций, а также помогает сформировать наилучшее клиентское предложение. Аналогичный проект планируют запустить ВТБ и Почта Банк. «Ак-Барс» использует биометрию для узнавания клиентов на входе в отделение банка и для идентификации пользователей программы лояльности в ряде ресторанов Татарстана. Этот способ использования биометрии ускоряет обслуживание и повышает продажи.
• Использование биометрии для безопасности. Например, ВТБ таким образом повышает лимиты по операциям, рассказал старший вице-президент банка Никита Чугунов. Почта Банк использует биометрию для борьбы с мошенническими переводами: технология помогает распознать поддельный или утерянный паспорт, а в мобильном приложении с помощью селфи — подтверждать нетипичные для клиента операции (например, переводы на чужие карты, нехарактерные суммы переводов, оплата онлайн-покупок, закрытие вклада раньше срока). Как рассказал заместитель президента — председателя правления Почта Банка Святослав Емельянов, в 2019 году банк с помощью биометрии предотвратил более 1,2 тыс. попыток использования чужих учетных записей для входа в системы и свыше 2 тыс. случаев с подозрением оформления операций без ведома клиента на сумму более 500 млн руб. Также за прошлый год было выявлено порядка 100 обращений в банк, когда предъявленные паспорта оказались поддельными. Еще одно направление использования биометрии — защита от внутреннего мошенничества, продолжает Емельянов: «Получить доступ к счету клиента и провести все операции сотрудник банка в отделении может только при личном присутствии клиента и после его идентификации по фото, таким образом полностью исключается несанкционированный доступ к счетам». Банк «Хоум Кредит» использует биометрию для выявления мошенников при заключении кредитного договора, обмениваясь фотографиями клиентов с другими банками.
• Биометрия вместо карты. Относительно новое направление развития технологии — это биоэквайринг. С его помощью можно оплачивать покупки путем сканирования лица, просто посмотрев в камеру (биометрия привязана к карте или счету). Такой сервис разработал Сбербанк, а также «Русский Стандарт» и ВТБ совместно с «Ростелекомом». Это позволяет клиентам быстрее оплачивать покупки, а магазинам — сокращать свои затраты, говорит Чугунов из ВТБ. «Вместо среднестатистических 15 секунд весь процесс оплаты с помощью биометрии займет не более пяти секунд. Если учитывать временные расходы на все действия клиента на кассе магазина — поиск карты в кошельке или активация смартфона с платежными сервисами, а также поиск карты лояльности, — то использование биометрии еще более существенно ускоряет процесс», — добавляет Самохвалов из «Русского стандарта». Также в 2021 году банки совместно с Московским метрополитеном планируют запустить оплату по лицу в метро, сообщил ранее в эфире радиостанции «Эхо Москвы» заммэра Москвы по вопросам транспорта Максим Ликсутов.

Как происходит сбор биометрии

Для регистрации в ЕБС необходимо один раз посетить отделение банка с паспортом и СНИЛС, а также иметь подтвержденный аккаунт на сайте госуслуг. Если человек еще не является клиентом банка, ему надо открыть счет. Для сдачи своих данных клиент подписывает согласие на их обработку, после чего сотрудники производят запись образца голоса и делают фотографию. Для записи необходимо прочитать три последовательности цифр. Процедура длится не больше десяти минут. В перспективе сдать данные для ЕБС можно будет в МФЦ или в специальном мобильном приложении, рассказал представитель «Ростелекома».

Процедура сдачи биометрии для собственных систем в каждой кредитной организации может отличаться. Например, ВТБ записывает образцы голоса при общении с оператором. Во время записи разговор может вестись на любую комфортную для пользователя тему, чтобы система могла зафиксировать и записать корректный слепок.

Какими законами регулируется сбор биометрии

В настоящее время работа Единой биометрической системы регулируется двумя законами: «Об информации, информационных технологиях и о защите информации», а также «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». Согласно им, использование ЕБС в новых сферах может определяться только отдельными законодательными актами.

На рассмотрении в Госдуме сейчас находится законопроект о расширении сферы деятельности ЕБС, его принятие позволит использовать систему без необходимости внесения изменений в отраслевое законодательство, а также приведет к появлению внебанковских сервисов, предоставляющих услуги через ЕБС.

Почему немногие хотят сдавать биометрию в банке

Россияне пока с настороженностью относятся к ЕБС: по последним данным «Ростелекома», на август 2020 года в ЕБС было зарегистрировано около 150 тыс. пользователей. Внутрибанковским проектам клиенты передают свои данные охотнее. Так, Сбербанк собрал около 1 млн данных клиентов (точную цифру банк не раскрывает, но всего у него насчитывается 94 млн клиентов), ВТБ — более 130 тыс. У Почта Банка внутреннюю биометрическую идентификацию по изображению лица прошли все клиенты. Несмотря на то, что сдача биометрии является добровольной, отказавшемуся фотографироваться клиенту будет доступен ограниченный перечень услуг, поскольку банк иначе не сможет гарантировать безопасность всех операций, объяснил 100%-ную сдачу биометрии представитель Почта Банка.

Небольшое число клиентов, готовых воспользоваться услугами ЕБС, связано с недостаточной информированностью граждан о такой возможности, считает представитель «Хоум Кредит». По мнению Емельянова из Почта Банка, чтобы применение биометрических шаблонов стало массовым, нужно, чтобы технология вышла широко за пределы банковской индустрии. Как пояснил представитель «Ростелекома», после принятия законопроекта о сферах применения биометрии появятся новые массовые сервисы: оплата по биометрии, дистанционная сдача экзаменов в образовательных учреждениях, сервисы для нотариусов, судопроизводства, а также другие продукты, которые сейчас находятся на стадии проработки — технической и нормативной.

Еще одна причина — сильно преувеличенные страхи, связанные с возможными утечками биометрических данных, добавляет Емельянов. С точки зрения безопасности ЕБС хорошо продумана, говорит руководитель проектов департамента технологического развития СКБ-банка Альберт Усенко. Записанные фото и голос хранятся в виде математической модели, поэтому ее попадание в руки злоумышленников ничего им не даст, объясняет он: «Ценность представляет связка биометрического контрольного шаблона и набор персональных данных пользователей. Поэтому биометрический контрольный шаблон хранится в ЕБС, а набор персональных данных храниться в Единой системе идентификации и аутентификации (ЕСИА). Они обе расположены в разных местах и никак напрямую между собой не связаны».

Биометрические системы — это надежный и апробированный механизм повышения защищенности дистанционного взаимодействия клиентов с организациями, говорит начальник отдела по противодействию мошенничеству Центра прикладных систем безопасности компании «Инфосистемы Джет» Алексей Сизов. Однако, по его мнению, биометрия должна быть дополнительным, а не единственным фактором проверки или подтверждения личности клиента, поскольку фото, видео и голос человека не являются «секретами», как пароли и кодовые слова, а значит, в теории могут быть собраны и использованы без ведома клиентов.

Партнер технологической практики KPMG в России и СНГ Оксана Борисова также видит эффективность применения биометрии в защите от мошенников и считает, что несмотря на риски, ее лучше сдавать для обеспечения безопасности операций и настраивать многофакторное подтверждение проведения операции.

«Наиболее частым сценарием хищения денежных средств является получение данных клиента, необходимых для идентификации и проведения операций в удаленных каналах обслуживания. На сегодняшний день клиент может выбрать различные способы идентификации: обычный PIN-код или пароль, отпечаток пальца, распознавание голоса, проверка с помощью видео и т.д. Ни один из способов не обеспечивает 100%-ную защиту от действий злоумышленников, биометрия — не исключение. Однако использование биометрии в качестве второго или третьего фактора аутентификации может значительно повысить безопасность данных и улучшить клиентский опыт, потому что клиенту не требуется запоминать сложные пароли», — считает Борисова.

Что касается ЕБС, то, по мнению руководителя группы по оказанию услуг компаниям финансового сектора Deloitte Максима Налютина, сдача биометрии важна только в том случае, если клиент собирается активно открывать счета и новые продукты в банках, где он ранее не обслуживался, особенно в условиях эпидемиологических ограничений.

Влияние пандемии на будущее биометрии

Под влиянием пандемии COVID-19 технология начала развиваться быстрее. «За последние полгода по биометрии было предоставлено столько же услуг, сколько за предыдущие полтора года», — пояснил представитель «Ростелекома». Он объяснил это тем, что пандемия сформировала тренд на бесконтактные и дистанционные технологии.

«В сложном 2020 году, когда возникла необходимость перевода всех видов банковских и прочих услуг в дистанционный формат, биометрия стала особенно востребованной. Например, мы наблюдали спрос на использование удаленной идентификации, чтобы стать клиентами банка через мобильное приложение, воспользоваться рядом финансовых услуг, зарегистрироваться и подтвердить учетную запись на портале госуслуг с помощью биометрии», — рассказал директор по инновациям банка «Ак Барс» Дамир Галиев.

ВТБ с помощью голосовой биометрии в контакт-центре уже планирует предоставлять сервисы и услуги, которые ранее были доступны только в офисе, например, разблокировка карт, говорит старший вице-президент банка Чугунов.

Согласно Глобальному исследованию KPMG по банковскому мошенничеству за 2019 год, 67% банковских лидеров инвестируют в инструменты с использованием физической биометрии — голос, отпечатки пальцев, распознавание лиц. Наиболее передовые организации уже вкладываются в развитие более сложной поведенческой биометрии, которая представляет собой сбор уникальных для каждого пользователя набора характеристик, позволяющих составить профиль пользователя и отсеивать мошенников.

Если смотреть на мировой опыт применения биометрии, прежде всего она используется для услуг регистрации новых клиентов в банках и верификации существующих, рассказал руководитель аналитического отдела «Ассоциации ФинТех» Никита Ломов: «Несмотря на то, что пользователи с осторожностью соглашаются на предоставление биометрических данных, мировой опыт показывает, что их использование значительно упрощает процесс взаимодействия клиентов с банками».

Самые известные мировые примеры, по его словам, это:

• индийская биометрическая система Aadhaar, где содержится более 1,2 млрд шаблонов биометрических данных жителей страны (отпечатки пальцев, радужка глаза) и которая используется для получения как государственных, так и банковских услуг;
• южноафриканская система ABIS с образцами отпечатков пальцев, радужки глаза и фотографий пользователей, которая применяется для социальных и финансовых услуг;
• таиландская система Digital ID, которая позволяет клиентам открывать счета в банках удаленно с помощью технологии распознавания лиц, гарантируя безопасность процесса.

По аналогии со странами Азии, в России могут начать развиваться сервисы мгновенной оплаты покупок или услуг по индивидуальным чертам лица, считает Ломов:

«Также в ряде европейских стран активно выпускаются биометрические банковские карты, позволяющие пользователям совершать безлимитные операции, для подтверждения которых нужно приложить палец к специальному чипу на карте. Правда, адаптацию данного решения российскими банками предсказать сложно в силу высокого проникновения в России более удобного способа бесконтактной оплаты смартфоном Apple Pay, Android Pay, Samsung Pay и прочих».

Коммерсантъ: Что означает передача личных биометрических данных государству

Владислав Архипов, директор Центра исследования проблем информационной безопасности и цифровой трансформации СПбГУ, о том, надо ли что-то с этим делать.

Клиентам банков начали приходить уведомления о том, что их биометрические данные будут переданы в Единую биометрическую систему (ЕБС). Банки (как и многие другие) теперь обязаны использовать ЕБС, если они осуществляют обработку биометрических персональных данных для целей идентификации и аутентификации в автоматическом режиме. Биометрические персональные данные в этом контексте — это сведения о лице и о голосе в особом формате. В то же время обработка биометрических персональных данных банками по-прежнему возможна только на основании согласия субъекта в письменной форме, предоставление таких данных банкам не является обязательной, и они не вправе отказать в обслуживании, если субъект не дает свое согласие или не предоставляет такие данные.

Понятие биометрических персональных данных и основные правила их обработки были закреплены в Федеральном законе от 27.07.2006 № 152 «О персональных данных» с момента его принятия в 2006 году. Биометрические персональные данные — это «сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных» (то есть нас с вами). Это понятие чуть уже, чем в некоторых других странах, где к биометрическим данным также относятся типовые особенности поведения, в том числе в цифровой среде. В банковских системах в отношениях с клиентами используются данные о лице и голосе.

Биометрические персональные данные по общему правилу могут обрабатываться только на основании письменного согласия субъекта — такое согласие содержит ряд обязательных реквизитов, включая паспортные данные. Без согласия обработка биометрических персональных данных может использоваться только в очень специфических случаях (например, в связи с осуществлением правосудия и исполнением судебных актов, в соответствии с законодательством о противодействии терроризму или о нотариате), банковские услуги к таким не относятся. Кроме того, как это следует из общих правил, согласие всегда можно отозвать. Оператор, правда, вправе определять разумный способ отзыва согласия и может предусмотреть способы установления личности того, кто согласие отзывает. Эти общие правила продолжают действовать. Также действовали и действуют отдельные подзаконные акты и методические документы в области информационной безопасности, учитывающие особенности биометрических персональных данных.

Долгое время какого-либо специального регулирования порядка обработки биометрических персональных данных не было. Коммерческие организации, в том числе банки, могли собирать и использовать биометрию на указанных общих основаниях, получая письменное согласие субъекта. Иными словами, если вас уведомили, что ваши биометрические персональные данные будут передаваться в ЕБС, это означает, что вы их когда-то сдавали и подписали согласие на обработку биометрических персональных данных. Хотя клиенты разных организаций не всегда получают полную информацию о том, что конкретно происходит с юридической точки зрения, по закону согласие на обработку персональных данных должно даваться свободно, своей волей и в своем интересе и быть конкретным, предметным, информированным, сознательным и однозначным. Если вы уверены, что совершенно точно не предоставляли биометрию и не давали согласие (даже мимоходом, не обратив на это должное внимание),— это повод обратиться в банк.

С принятием и вступлением в силу 572-ФЗ* от 29.12.2022 автоматическая обработка биометрии возможна только с использованием ЕБС. Установлен сложный и многоступенчатый переходный период. Та часть, которую мы сейчас наблюдаем, связана с положением, согласно которому соответствующие операторы, включая коммерческие банки, обязаны обеспечить размещение биометрических персональных данных в ЕБС в срок до 30 сентября 2023 года (ч. 2 ст. 26 572-ФЗ). Согласно пояснительной записке к тогда еще законопроекту он был подготовлен в связи с реализацией государственной политики в части повышения безопасности обработки биометрических персональных данных. Предполагается, что в отсутствие единых условий и инфраструктуры обработки и защиты биометрии государство не может проконтролировать уровень этой защиты, а потому ЕБС должна быть более надежной. Это соображение, разумеется, не лишено оснований. Некоторые эксперты в области информационной безопасности при этом отмечают, что в условиях, когда ЕБС будет обогащена огромным количеством биометрии, она станет более привлекательной целью для злоумышленников в информационной сфере, но и государство это тоже вполне осознает.

Как банкам, так и клиентам биометрия может быть интересна тем, что она повышает доступность и скорость оказания услуг, если все идет нормально. Банки несут меньше издержек и им проще оказывать услуги удаленно, а клиентам получать такие услуги становится легче. Например, Сбербанк отмечает, что такой способ идентификации особенно актуален для труднодоступных регионов, и с этом сложно поспорить.

С точки зрения как информационной безопасности, так и правового регулирования особенность биометрических персональных данных заключается в том, что если кто-либо получил возможность незаконно использовать достоверные и «оригинальные» биометрические данные, себя почти невозможно защитить именно с помощью изменения таких данных (в отличие, например, от ситуации с номером телефона, который можно поменять, хотя это может быть и неудобно). Казалось бы, это соображение однозначно подталкивает к тому, чтобы отказаться от использования биометрии, но ситуация далеко не так проста: это соображение из области теории, а его актуальность сильно зависит от защищенности исходных биометрических данных. Если эти данные безопасны, на что и нацелена вся концепция ЕБС, то использование биометрии, напротив, позволяет защититься от других и весьма многочисленных видов недобросовестных практик и преступлений, причем способов совершения мошенничества и прочих подобных деяний в областях, где требуется устанавливать личность, и без использования биометрии очень и очень много. Поэтому выбор в данной области лежит скорее в плоскости того, кто как для себя воспринимает риски на индивидуальном уровне с учетом ситуации: в области биометрии или в области классического способа получения банковских услуг, причем с учетом необходимости регулярно пользоваться дистанционными услугами, для которых биометрическая идентификация будет полезна.

Проверить данные согласия на биометрию можно на «Госуслугах», в МФЦ можно оформить полный запрет на сбор и обработку биометрии. Банки, развивающие биометрические сервисы, также внедряют соответствующие функции в свои личные кабинеты.

* Полное название закона — Федеральный закон от 29.12.2022 № 572 «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации».

Что на самом деле означает запрет на сбор биометрии?

Вступил в силу закон, который запрещает принудительный сбор биометрии. Нельзя также вводить никаких ограничений в отношении того, кто отказывается от сдачи биометрии. Например, госорганизация или банк не смогут отказать в предоставлении услуг тем, кто не согласился предоставить персональные данные для единой биометрической системы. Казалось бы — сплошная забота о населении, но что же на самом деле стоит за этим законом?

_{Как будут собирать наши данные? Фото: vk.com}

Нормативная база

Итак, речь идёт о Федеральном законе от 29 декабря 2022 г. № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных…». Банки уже несколько лет склоняют своих клиентов к идентификации по биометрическим данным — по голосу, например. По нормам нового закона это могут делать не только банки, но и «субъекты национальной платёжной системы, организации финансового рынка, иные организации, индивидуальные предприниматели, нотариусы». Иными словами, биометрия входит в нашу жизнь по полной программе, для чего создаётся единая биометрическая система. В ней будут аккумулироваться и обрабатываться изображения лица человека (его фото или видео) и запись голоса.

Чтобы оценить нормы закона достаточно лишь перечислить понятия, которым он оперирует: единая биометрическая система, мобильное приложение единой биометрической системы, единая система идентификации и аутентификации и т. д.

Для развития в России технологий идентификации и аутентификации с использованием биометрии правительство образовывает Координационный совет.

Безопасность данных

Разумеется, заявлено, что вся обработка должна происходить с обеспечением полной безопасности персональных данных, с криптографическим шифрованием и т. д. Вспомним тут на секунду, что и в законодательстве о защите персональных данных (в целом, не только биометрии) также есть множество норм, декларирующих безопасность их обработки, установлено наказание за нарушение, принято много подзаконных актов о порядке работы с персональными данными. Тем не менее уже никто не обращает особо внимания на новости об утечках персональных данных. Можно констатировать – фактически в России безопасность персональных данных гарантировать не может никто.

А что с согласием?

П. 11 ст. 3 принятого закона гласит, что «предоставление физическими лицами своих биометрических персональных данных в целях, предусмотренных настоящим Федеральным законом, не может быть обязательным», а п. 13 этой же статьи – что «отказ физического лица от прохождения идентификации и (или) аутентификации с использованием его биометрических персональных данных не может служить основанием для отказа ему в оказании государственной, муниципальной или иной услуги, выполнении государственных, муниципальных функций, продаже товаров, выполнении работ или отказа в приёме на обслуживание». Прекрасно, только есть одно «но».

Вопросы добровольности в нашей стране всегда неоднозначны. Очень свежи в памяти эпопея с добровольной вакцинацией, процедуры заключения контрактов с призывниками и много чего подобного.

Да, заявляется, что пополняться единая биометрическая система будет с согласия гражданина, это логично — иначе просто не получится записать его голос через специальные технические устройства и программное обеспечение и сфотографировать. Даже приняты подзаконные акты о порядке сбора биометрии, о действиях сотрудников МФЦ при сборе данных, об утверждении форм соответствующих документов.

Кстати, интересный факт, подзаконные акты приняты до самого закона — приказ Министерства цифрового развития, связи и массовых коммуникаций РФ № 658, который предписывает действия сотрудника по сбору биометрии датирован 9 сентября 2022 года, постановление правительства РФ № 1089, которым утверждено положение о единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрии, принято 16 июня 2022 года. И ещё множество подзаконных актов датированы разными датами, начиная от 2018 года и до текущего времени. Это говорит о том, что система разрабатывается давно как с технологической точки зрения, так и с точки зрения правовой базы.

И обратим внимание – все СМИ преподносили информацию так, что было однозначно понятно — без согласия гражданина взять его биометрические данные в систему нельзя. Что скрыто от внимания?

А как будут обстоять дела с уже собранными данными?

Интересный момент — очень подробно расписывается в статьях закона о том, как можно отказаться от сдачи биометрии, отказаться от самого факта наличия своих данных в системе, и гораздо меньше уделяется внимания вопросам, как предоставить согласие.

Всё проще. Посмотрим на п. 14 ст. 4 нового закона: в случае, если в информационных системах государственных органов (а также органов местного самоуправления, Центробанка, организаций финансового рынка, иных организаций, индивидуальных предпринимателей, нотариусов) уже собраны персональные данные, они размещаются в единой биометрической системе без получения согласия граждан.

Более того, не просто эти данные размещаются, а те органы и лица, кто обладает уже собранной биометрией, обязаны передать её в единую систему. Правда, по закону граждане должны получить уведомление об этом — не позднее чем за 30 дней до планируемого размещения биометрических персональных данных в единой системе. Можно будет отказать и тогда сведения не размещаются.

Вспомним тут, что суды тоже по букве закона обязаны уведомлять участников дела, только вот ситуаций, где вынесенное заочное решение суда становится неприятным сюрпризом — огромное количество. А в материалах дела при этом подшито «надлежащее уведомление». Так что механизм «уведомлений» не нов и очень несовершенен. Будут ли подобные перекосы с уведомлениями по передаче биометрии — даже глупо в этом сомневаться, однозначно будут.

Ну, и задумаемся, сколько времени банки уже собирают информацию о голосах и изображениях. Кто-то давал согласие на сбор бездумно, кто-то вообще не обращал внимания, много и таких, кто сам стремится быть в системе.

Кто управляет этой системой?

Функции оператора единой биометрической системы переданы организации, которую определило правительство. По новому закону она должна быть российской, обладать правами на программу, с помощью которой функционирует система, и быть владельцем технических средств для обработки и сохранности данных.

Депутаты при разработке законопроекта заявили: «новый закон преследует цель лишить сомнительные компании возможности собирать и хранить биометрические данные граждан. За безопасность этих данных теперь будет отвечать государство».

Так кто же на деле сейчас отвечает? Указом президента от 30 сентября 2022 г. № 693 (до принятия закона) функции оператора единой информационной системы персональных данных возложены на акционерное общество «Центр Биометрических Технологий». В уставном капитале этого АО 49% принадлежит ПАО «Ростелеком», 26% — государству, в оставшиеся доли рекомендовано вступить Центральному банку.

Причём в мае 2020 года было создано ООО «Центр Биометрических Технологий» (не АО). Основным видом деятельности значилось строительство коммунальных объектов, а также жилых и нежилых зданий. Общая численность сотрудников этого ООО составляла … 1 (один) человек. А за 2021 год компания понесла 3,16 млн рублей убытков.

В апреле 2022 года данная интересная и полностью убыточная организация преобразовывается уже в акционерное общество с таким же наименованием. У новой организации тот же юридический адрес и тот же руководитель. Только вот вид деятельности уже значится «разработка компьютерного программного обеспечения». В качестве иных видов деятельности в реестре записаны: деятельность по планированию, проектированию компьютерных систем, деятельность по обработке данных, предоставление услуг по размещению информации и связанная с этим деятельность и другие подобные пункты.

Таким образом строительная компания с убытком в несколько миллионов и одним работником в штате удачно преобразовалась в очень важную структуру государства. Видимо, нам самим придётся оценить, насколько цель законопроекта достигнута и сомнительные компании больше не могут собирать и хранить биометрию наших граждан.