Чем опасен закон о биометрии
Перейти к содержимому

Чем опасен закон о биометрии

  • автор:

Что на самом деле означает запрет на сбор биометрии?

Вступил в силу закон, который запрещает принудительный сбор биометрии. Нельзя также вводить никаких ограничений в отношении того, кто отказывается от сдачи биометрии. Например, госорганизация или банк не смогут отказать в предоставлении услуг тем, кто не согласился предоставить персональные данные для единой биометрической системы. Казалось бы — сплошная забота о населении, но что же на самом деле стоит за этим законом?

Как будут собирать наши данные? Фото: vk.com

Нормативная база

Итак, речь идёт о Федеральном законе от 29 декабря 2022 г. № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных…». Банки уже несколько лет склоняют своих клиентов к идентификации по биометрическим данным — по голосу, например. По нормам нового закона это могут делать не только банки, но и «субъекты национальной платёжной системы, организации финансового рынка, иные организации, индивидуальные предприниматели, нотариусы». Иными словами, биометрия входит в нашу жизнь по полной программе, для чего создаётся единая биометрическая система. В ней будут аккумулироваться и обрабатываться изображения лица человека (его фото или видео) и запись голоса.

Чтобы оценить нормы закона достаточно лишь перечислить понятия, которым он оперирует: единая биометрическая система, мобильное приложение единой биометрической системы, единая система идентификации и аутентификации и т. д.

Для развития в России технологий идентификации и аутентификации с использованием биометрии правительство образовывает Координационный совет.

Безопасность данных

Разумеется, заявлено, что вся обработка должна происходить с обеспечением полной безопасности персональных данных, с криптографическим шифрованием и т. д. Вспомним тут на секунду, что и в законодательстве о защите персональных данных (в целом, не только биометрии) также есть множество норм, декларирующих безопасность их обработки, установлено наказание за нарушение, принято много подзаконных актов о порядке работы с персональными данными. Тем не менее уже никто не обращает особо внимания на новости об утечках персональных данных. Можно констатировать – фактически в России безопасность персональных данных гарантировать не может никто.

А что с согласием?

П. 11 ст. 3 принятого закона гласит, что «предоставление физическими лицами своих биометрических персональных данных в целях, предусмотренных настоящим Федеральным законом, не может быть обязательным», а п. 13 этой же статьи – что «отказ физического лица от прохождения идентификации и (или) аутентификации с использованием его биометрических персональных данных не может служить основанием для отказа ему в оказании государственной, муниципальной или иной услуги, выполнении государственных, муниципальных функций, продаже товаров, выполнении работ или отказа в приёме на обслуживание». Прекрасно, только есть одно «но».

Вопросы добровольности в нашей стране всегда неоднозначны. Очень свежи в памяти эпопея с добровольной вакцинацией, процедуры заключения контрактов с призывниками и много чего подобного.

Да, заявляется, что пополняться единая биометрическая система будет с согласия гражданина, это логично — иначе просто не получится записать его голос через специальные технические устройства и программное обеспечение и сфотографировать. Даже приняты подзаконные акты о порядке сбора биометрии, о действиях сотрудников МФЦ при сборе данных, об утверждении форм соответствующих документов.

Кстати, интересный факт, подзаконные акты приняты до самого закона — приказ Министерства цифрового развития, связи и массовых коммуникаций РФ № 658, который предписывает действия сотрудника по сбору биометрии датирован 9 сентября 2022 года, постановление правительства РФ № 1089, которым утверждено положение о единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрии, принято 16 июня 2022 года. И ещё множество подзаконных актов датированы разными датами, начиная от 2018 года и до текущего времени. Это говорит о том, что система разрабатывается давно как с технологической точки зрения, так и с точки зрения правовой базы.

И обратим внимание – все СМИ преподносили информацию так, что было однозначно понятно — без согласия гражданина взять его биометрические данные в систему нельзя. Что скрыто от внимания?

А как будут обстоять дела с уже собранными данными?

Интересный момент — очень подробно расписывается в статьях закона о том, как можно отказаться от сдачи биометрии, отказаться от самого факта наличия своих данных в системе, и гораздо меньше уделяется внимания вопросам, как предоставить согласие.

Всё проще. Посмотрим на п. 14 ст. 4 нового закона: в случае, если в информационных системах государственных органов (а также органов местного самоуправления, Центробанка, организаций финансового рынка, иных организаций, индивидуальных предпринимателей, нотариусов) уже собраны персональные данные, они размещаются в единой биометрической системе без получения согласия граждан.

Более того, не просто эти данные размещаются, а те органы и лица, кто обладает уже собранной биометрией, обязаны передать её в единую систему. Правда, по закону граждане должны получить уведомление об этом — не позднее чем за 30 дней до планируемого размещения биометрических персональных данных в единой системе. Можно будет отказать и тогда сведения не размещаются.

Вспомним тут, что суды тоже по букве закона обязаны уведомлять участников дела, только вот ситуаций, где вынесенное заочное решение суда становится неприятным сюрпризом — огромное количество. А в материалах дела при этом подшито «надлежащее уведомление». Так что механизм «уведомлений» не нов и очень несовершенен. Будут ли подобные перекосы с уведомлениями по передаче биометрии — даже глупо в этом сомневаться, однозначно будут.

Ну, и задумаемся, сколько времени банки уже собирают информацию о голосах и изображениях. Кто-то давал согласие на сбор бездумно, кто-то вообще не обращал внимания, много и таких, кто сам стремится быть в системе.

Кто управляет этой системой?

Функции оператора единой биометрической системы переданы организации, которую определило правительство. По новому закону она должна быть российской, обладать правами на программу, с помощью которой функционирует система, и быть владельцем технических средств для обработки и сохранности данных.

Депутаты при разработке законопроекта заявили: «новый закон преследует цель лишить сомнительные компании возможности собирать и хранить биометрические данные граждан. За безопасность этих данных теперь будет отвечать государство».

Так кто же на деле сейчас отвечает? Указом президента от 30 сентября 2022 г. № 693 (до принятия закона) функции оператора единой информационной системы персональных данных возложены на акционерное общество «Центр Биометрических Технологий». В уставном капитале этого АО 49% принадлежит ПАО «Ростелеком», 26% — государству, в оставшиеся доли рекомендовано вступить Центральному банку.

Причём в мае 2020 года было создано ООО «Центр Биометрических Технологий» (не АО). Основным видом деятельности значилось строительство коммунальных объектов, а также жилых и нежилых зданий. Общая численность сотрудников этого ООО составляла … 1 (один) человек. А за 2021 год компания понесла 3,16 млн рублей убытков.

В апреле 2022 года данная интересная и полностью убыточная организация преобразовывается уже в акционерное общество с таким же наименованием. У новой организации тот же юридический адрес и тот же руководитель. Только вот вид деятельности уже значится «разработка компьютерного программного обеспечения». В качестве иных видов деятельности в реестре записаны: деятельность по планированию, проектированию компьютерных систем, деятельность по обработке данных, предоставление услуг по размещению информации и связанная с этим деятельность и другие подобные пункты.

Таким образом строительная компания с убытком в несколько миллионов и одним работником в штате удачно преобразовалась в очень важную структуру государства. Видимо, нам самим придётся оценить, насколько цель законопроекта достигнута и сомнительные компании больше не могут собирать и хранить биометрию наших граждан.

Чем опасна утечка биометрических данных?

Как стало известно накануне, мэрия Москвы разрешит оплачивать проезд в автобусах при помощи системы распознавания лиц Face Pay. Функцию биометрического распознавания для оплаты проезда добавит в приложение «Московский транспорт» Центр организации дорожного движения Правительства Москвы.

Биометрическая идентификация – подтверждение личности пользователя через сличение его отпечатка пальца/сканирования лица/сетчатки глаза с образцом, хранящимся либо в памяти конкретного устройства – для его активации, либо в единой биометрической базе – для социальных услуг. Предполагается, что такая идентификация не только более быстрая и удобная для пользователя, но и более безопасная по сравнению с паролями и документами, так как подделать чье-либо тело гораздо сложнее. Экcперты Роскачества предупреждают – никто не может брать у вас эти данные без вашего письменного согласия.

тарачев

Биометрические персональные данные – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных. Эти сведения могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, установленных в законе – например, для правосудия.

С развитием технологий биометрия становится все более распространенной. Если раньше для этого требовались особые ситуации и сложное оборудование, то сегодня просканировать лицо, отпечаток пальца или глаз может любой телефон – ради удобства использования и безопасности, конечно же.

Вместе с тем в биометрических данных очень заинтересовано и государство: недавно предельный срок их хранения в РФ увеличили до 100-летнего возраста носителя. Закон № 479-ФЗ от 29.12.2020 значительно расширил сферы применения биометрии. И еще один новый законопроект: иностранным (хотя бы наполовину) компаниям, которые обладают капиталом менее 500 млн долларов, предлагают запретить взаимодействовать с биометрическими данными. С января 2022 года все IT-сервисы западного происхождения с аудиторией более 500 тысяч россиян в день должны будут открыть офис на территории РФ и подчиняться всем местным законам, в том числе и о биометрических данных.

В настоящее время в России для сбора биометрии и ее использования для идентификации пользователей финансовых услуг работает Единая биометрическая система (ЕБС). Большой популярностью она не пользуется: в феврале 2021 года в ней было зарегистрировано около 164 тысяч россиян (чуть более 0,1% населения страны). Партнерами ЕБС в основном являются банки и страховые компании.

Половина россиян, опрошенных НАФИ в декабре 2020 года, не доверяют ЕБС и вообще сбору биометрических данных. Вместе с тем уже сейчас в тестовом режиме есть оплата «по лицу» в некоторых продуктовых магазинах и транспортных хабах. Насколько безопасно сегодня соглашаться предоставить свои данные (отпечаток пальца, образец голоса, рисунок сетчатки глаза) третьим лицам?

– В случае компрометации любого пароля его можно поменять. В случае же, если мошенники завладеют биометрией, сделать это сложнее. Поэтому рекомендуем с осторожностью относиться к сдаче ваших биометрических данных. В будущем все больше услуг будет возможным получить по биометрии, так что если вашими данными завладеют недобросовестные третьи лица, риск их неправомерного использования будет лишь нарастать.

В целом же, по словам Куканова, избежать попадания своей биометрии в систему, ту или иную, вряд ли удастся, если не изолировать себя от прогресса. Вопрос лишь в том, будут ли они в защищенной системе или в неконтролируемой.

Страшилки про 31 августа: надо ли писать отказ на биометрию и цифровой рубль

Давайте разберемся с шокирующими сценариями, о которых пишут соцсети в последние дни.

Иллюстрация: Вера Ревина/Клерк.ру

Страшилка № 1

До 31 августа надо написать в МФЦ заявление и отказаться от использования своей биометрии. Иначе вас насильно будут снимать камеры банкоматов, ваш голос будет записываться при звонках. Потом это могут использовать мошенники.

Как на самом деле

С 1 июня по 30 сентября организации, ранее собиравшие биометрические данные (голос, видео) должны передать все в государственную Единую биотметрическую систему (ЕБС).

По закону они должны уведомить клиента — это может быть пуш-уведомление, письмо, смс и т.д. Оно может теоретически затеряться.

Если в течение 30 дней клиент не написал отказ от передачи данных, то они автоматически перейдут в ЕБС. Важно: речь идет о тех данных, которые уже были сданы.

Ни о какой съемке банкоматами и прочих актах без спроса речи не идет.

Пример: раньше биометрию в свою систему собирал Сбербанк. С согласия клиента, конечно. Если ничего не писать, эти данные теперь будут хранить в государственной ЕБС, если написать отказ — данные не передадут. Но отказаться в МФЦ от хранения своих данных можно и после 30 сентября.

Можно ли никакую биометрию никуда не сдавать?

Да, можно, это добровольное дело. И если уже сдали, то можно отозвать разрешение на использование. Сейчас нет каких-то значимых услуг и сервисов, которые предоставляются только по биометрии.

Страшилка № 2

До 31 августа надо написать отказ от использования цифрового рубля, иначе все — заставят им пользоваться.

Как на самом деле?

Это тоже дело добровольное. Сейчас пока операции с цифровым рублем проводят несколько банков в тестовом режиме. Пару недель назад Центробанк сообщал, что первых 600 участников эксперимента уже набрали. То есть сейчас даже желающие не могут поучаствовать.

Потом, очевидно, круг будет расширяться, а со временем цифровой рубль будет доступен всем желающим. Но государство всячески подчеркивает, что цифрорубль — дело добровольное.

Просто будет 3 формы рубля: наличный, безналичный и цифровой. Если не хотите пользоваться последним, писать ничего не надо.

Мое мнение: все эти технологичные штуки останутся опцией по желанию. Принуждение будет отталкивать людей в сторону «серых» и «черных» операций, которые государству не выгодны.

Но я не дам руку на отсечение по поводу того, что порядок не поменяется никогда. Могут ли в будущем принять закон об обязательном использовании цифрового рубля или биометрии? Теоретически да, нет ничего невозможного.

Как и могут сделать просто очень привлекательные условия для таких операций — выгода, отсутствие комиссии и т.д. Поживем-увидим, но я лично каких-то негативных сценариев тут не ожидаю.

Есть ли риски использования биометрических персональных данных для граждан? Что нового сказал законодатель на этот счет

На связи Ирина Муравьева, юрист, основатель продюсерского центра “Diamond mine IM”, создатель Академии правовых и финансовых советников.

Сегодня поделюсь своим видением о биометрических персональных данных. Тем более появился хороший инфоповод — внесены глобальные поправки в закон о персональных данных (ФЗ-152).

Известно, что биометрические персональные данные — информация о биофизических характеристиках гражданина, с помощью которой можно достоверно установить его личность. Идентифицировать личность можно с помощью радужной оболочки глаз, отпечатков пальцев, голоса, образа лица, состава ДНК.

На собственной практике я убедилась, что граждане неоднозначно относятся к использованию биометрии, особенно своей собственной. Некоторые люди боятся слежки и не уверены в защите данных. Но, как правило, они не могут объяснить свое недоверие к системе.

Самое комичное объяснение по отказу от использования биометрических данных я получила от “киномана”, который пересказал эпизод из американского фильма “Ангелы и демоны”. В фильме сотрудник научного центра, чтобы попасть в помещение, использовал биометрический пропуск — сканирование радужки глаза. В следующем кадре мы видим лежащий глаз на полу помещения, человек был мертв. Полагаю, низкий уровень юридической и технологической грамотности налицо.

Так обоснованны ли опасения россиян? Пожалуй. Поскольку ранее имели место случаи утечек конфиденциальной информации. Это основной довод взрослого поколения. Граждане минимизируют оставление любых персональных данных, не говоря уже о биометрических. Молодое поколение быстрее адаптирует биометрию в своей жизни — идентификацию Face ID в смартфонах и при прохождении в турникетах московского метро, вход в приложение по отпечаткам пальцев или получение заграничного паспорта нового образца. Не говоря уже об оформлении европейской визы.

Проиллюстрируем самые распространенные риски в отношении персональных данных (в том числе биометрических):

  1. Незаконное распространение персональных данных в пространстве или третьим лицам.

Представим, что вы работаете в корпорации. Многие специалисты утверждают, что даже обособленная внутрикорпоративная система (компьютерная программа или база данных) не способна предотвратить утечки данных, поскольку с ней работают сотрудники вручную и на обычных серверах[1]. Подобный человеческий фактор мы видели на примере недавних инцидентов с Яндекс. Едой, ВТБ, Wildberries.

  1. Отсутствие государственной системы сбора и охраны персональных данных.

На данный момент запущена Единая биометрическая система (ЕБС) — проект Минцифры РФ и ЦБ РФ, в которой собираются данные лица и голоса человека для возможности коммуникации с финансовыми организациями, например, в открытии счета или выдаче кредитов. Но это единственный государственный централизованный проект по сбору персональных данных, к тому же узконаправленный.

Будем честны — в условиях кризиса государство далеко не в первую очередь будет заботиться о кибербезопасности и защите персональных данных. Поэтому резюмируем: риски для любых персональных данных имеются, системы защиты данных в настоящий момент нет, граждане сами несут ответственность за распространение своей информации.

Противникам использования биометрии законодатель подлил масла в огонь — в свежем Постановлении Правительства[2] определены случаи и сроки использования биометрических персональных данных, размещенных физическими лицами в единой информационной системе персональных данных. Если физлица сами разместили в ЕБС свои биометрические данные, то операторы связи, организации финрынка, продавцы услуг вправе их использовать для своей деятельности. И без согласия физлиц.

С одной стороны, это может облегчить бумажную волокиту — не будет необходимости подписывать согласие о распространении персональных данных каждый раз при использовании биометрии из системы. А что по рискам? Как будут защищаться эти данные от постороннего вмешательства? Как сказал классик современной иронии: “Мы не знаем, что это такое, если бы мы знали, что это такое, мы не знаем, что это такое”. Настоящее постановление вступает в силу с марта 2023 года, и за этот период хотелось бы получить разъяснения о практике применения данного нормативного акта.

Любопытно, что сейчас законодатель работает в противоположных плоскостях одного вопроса. Персональные данные лиц о владении имуществом закрывает — теперь получить сведения из Росреестра можно только с согласия собственника, а вот применение биометрии можно использовать на все более расширенные сферы оказания услуг.

Расскажите, как вы видите применение положений постановления и что можно пожелать сомневающимся гражданам относительно применения своих биометрических данных?

[2] Постановление Правительства Российской Федерации от 15 июня 2022 года № 1067.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *