«Оставлять биометрические данные опасно». Правда ли это?
21 декабря Госдума приняла в заключительном чтении проект федерального закона об информационной системе идентификации и аутентификации с использованием биометрических персональных данных физлиц. Этот закон определяет, какие биометрические данные можно собирать, как их необходимо хранить и передавать, как осуществляется контроль над уже собранными данными — в том числе самими гражданами.
Вокруг биометрической идентификации личности часто возникают споры. Здесь мы разберем одно из мнений, которое высказывают противники этой системы.
Утверждают, что.
1
«Биометрия — это опасно, нельзя отдавать свои персональные данные банку / финансовой организации, так как мошенники смогут легко воспользоваться этой информацией».
А на самом деле?
2
Для начала разберемся с понятиями.
Под биометрическими сведениями понимают физиологические и биологические особенности человека, на основании которых можно установить его личность. Это понятие закреплено в ст. 11 федерального закона от 27.07.2006 №152-ФЗ (ред. от 14.07.2022) «О персональных данных».
В соответствии с разъяснением Роскомнадзора, к биометрическим данным могут относиться:
- дактилоскопические данные (отпечатки пальцев и ладоней);
- радужная оболочка глаз;
- анализы ДНК;
- другие физиологические или биологические характеристики человека, в том числе его изображение (фотография и видеозапись).
С помощью специальных устройств — сканеров, сенсоров и других считывателей — биометрические данные записываются в базу (единую биометрическую систему, работу которой обеспечивают Банк России и «Ростелеком»). Система запоминает информацию (например, отпечаток пальца) и преобразует в цифровой код, который получают запрашивающие компании. В случае взлома системы злоумышленники смогут найти только этот код, который нельзя будет применить при мошеннических действиях.
Сбор данных осуществляется исключительно добровольно, кроме нескольких случаев: реадмиссии (то есть приема депортированных граждан назад), осуществления правосудия или предусмотренной законом обязательной дактилоскопии (например, для трудовых мигрантов и военнослужащих).
В основном биометрические данные используют в финансовой сфере — банках, платежных системах, торговых сетях — для защиты потребителя от мошенников. Они значительно надежнее ПИН-кодов и других систем безопасности, так как их сложнее подделать: злоумышленники не смогут точно воспроизвести ваш голос, лицо или отпечатки пальцев. Если они и получат код, то все равно не смогут по нему пройти идентификацию.
В декабре 2022 года Государственная дума приняла новый закон о единой биометрической системе. Цель этого закона — создать единый механизм по сбору и хранению биометрических данных, а также обеспечению их сохранности. Закон призван устранить пробелы в требованиях к хранению и обработке таких данных, а в конечном итоге — сделать этот способ идентификации еще более безопасным и надежным.
Что в сухом остатке?
3
- Биометрические данные позволяют гражданам получать более безопасные услуги в банковской и финансовой сфере. Такой способ идентификации личности значительно надежнее, чем привычные ПИН-коды и push-сообщения, так как эту информацию тяжелее подделать и получить.
- В Госдуме прорабатывается вопрос о введении уголовного наказания за утечку биометрических данных (как и за незаконное принуждение к их сдаче). Это может стимулировать компании лучше заботиться о сохранности данных. В случае утечки гражданин может претендовать на компенсацию вреда.
- Сдача биометрии была и остается добровольной. Гражданину не могут отказать в коммерческих и государственных услугах, если он не захотел предоставлять биометрию. Если кому-то удобнее использовать старые способы идентификации, никаких препятствий к этому нет. Гражданин может в любой момент отозвать ранее выданное согласие.
Стоит помнить, что сам по себе скепсис в отношении новых технологий не всегда обусловлен конкретными недостатками этих технологий. Он распространялся и по поводу 5G-интернета, и QR-кодов. Но, как показало время, эти новшества только упростили жизнь и получение услуг. То же может произойти и с биометрией.
Редакция проекта «Проверка информации»
© Информационное агентство ТАСС
Свидетельство о регистрации СМИ №03247 выдано 02 апреля 1999 г. Государственным комитетом Российской Федерации по печати.
Коммерсантъ: Что означает передача личных биометрических данных государству
Владислав Архипов, директор Центра исследования проблем информационной безопасности и цифровой трансформации СПбГУ, о том, надо ли что-то с этим делать.
Клиентам банков начали приходить уведомления о том, что их биометрические данные будут переданы в Единую биометрическую систему (ЕБС). Банки (как и многие другие) теперь обязаны использовать ЕБС, если они осуществляют обработку биометрических персональных данных для целей идентификации и аутентификации в автоматическом режиме. Биометрические персональные данные в этом контексте — это сведения о лице и о голосе в особом формате. В то же время обработка биометрических персональных данных банками по-прежнему возможна только на основании согласия субъекта в письменной форме, предоставление таких данных банкам не является обязательной, и они не вправе отказать в обслуживании, если субъект не дает свое согласие или не предоставляет такие данные.
Понятие биометрических персональных данных и основные правила их обработки были закреплены в Федеральном законе от 27.07.2006 № 152 «О персональных данных» с момента его принятия в 2006 году. Биометрические персональные данные — это «сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных» (то есть нас с вами). Это понятие чуть уже, чем в некоторых других странах, где к биометрическим данным также относятся типовые особенности поведения, в том числе в цифровой среде. В банковских системах в отношениях с клиентами используются данные о лице и голосе.
Биометрические персональные данные по общему правилу могут обрабатываться только на основании письменного согласия субъекта — такое согласие содержит ряд обязательных реквизитов, включая паспортные данные. Без согласия обработка биометрических персональных данных может использоваться только в очень специфических случаях (например, в связи с осуществлением правосудия и исполнением судебных актов, в соответствии с законодательством о противодействии терроризму или о нотариате), банковские услуги к таким не относятся. Кроме того, как это следует из общих правил, согласие всегда можно отозвать. Оператор, правда, вправе определять разумный способ отзыва согласия и может предусмотреть способы установления личности того, кто согласие отзывает. Эти общие правила продолжают действовать. Также действовали и действуют отдельные подзаконные акты и методические документы в области информационной безопасности, учитывающие особенности биометрических персональных данных.
Долгое время какого-либо специального регулирования порядка обработки биометрических персональных данных не было. Коммерческие организации, в том числе банки, могли собирать и использовать биометрию на указанных общих основаниях, получая письменное согласие субъекта. Иными словами, если вас уведомили, что ваши биометрические персональные данные будут передаваться в ЕБС, это означает, что вы их когда-то сдавали и подписали согласие на обработку биометрических персональных данных. Хотя клиенты разных организаций не всегда получают полную информацию о том, что конкретно происходит с юридической точки зрения, по закону согласие на обработку персональных данных должно даваться свободно, своей волей и в своем интересе и быть конкретным, предметным, информированным, сознательным и однозначным. Если вы уверены, что совершенно точно не предоставляли биометрию и не давали согласие (даже мимоходом, не обратив на это должное внимание),— это повод обратиться в банк.
С принятием и вступлением в силу 572-ФЗ* от 29.12.2022 автоматическая обработка биометрии возможна только с использованием ЕБС. Установлен сложный и многоступенчатый переходный период. Та часть, которую мы сейчас наблюдаем, связана с положением, согласно которому соответствующие операторы, включая коммерческие банки, обязаны обеспечить размещение биометрических персональных данных в ЕБС в срок до 30 сентября 2023 года (ч. 2 ст. 26 572-ФЗ). Согласно пояснительной записке к тогда еще законопроекту он был подготовлен в связи с реализацией государственной политики в части повышения безопасности обработки биометрических персональных данных. Предполагается, что в отсутствие единых условий и инфраструктуры обработки и защиты биометрии государство не может проконтролировать уровень этой защиты, а потому ЕБС должна быть более надежной. Это соображение, разумеется, не лишено оснований. Некоторые эксперты в области информационной безопасности при этом отмечают, что в условиях, когда ЕБС будет обогащена огромным количеством биометрии, она станет более привлекательной целью для злоумышленников в информационной сфере, но и государство это тоже вполне осознает.
Как банкам, так и клиентам биометрия может быть интересна тем, что она повышает доступность и скорость оказания услуг, если все идет нормально. Банки несут меньше издержек и им проще оказывать услуги удаленно, а клиентам получать такие услуги становится легче. Например, Сбербанк отмечает, что такой способ идентификации особенно актуален для труднодоступных регионов, и с этом сложно поспорить.
С точки зрения как информационной безопасности, так и правового регулирования особенность биометрических персональных данных заключается в том, что если кто-либо получил возможность незаконно использовать достоверные и «оригинальные» биометрические данные, себя почти невозможно защитить именно с помощью изменения таких данных (в отличие, например, от ситуации с номером телефона, который можно поменять, хотя это может быть и неудобно). Казалось бы, это соображение однозначно подталкивает к тому, чтобы отказаться от использования биометрии, но ситуация далеко не так проста: это соображение из области теории, а его актуальность сильно зависит от защищенности исходных биометрических данных. Если эти данные безопасны, на что и нацелена вся концепция ЕБС, то использование биометрии, напротив, позволяет защититься от других и весьма многочисленных видов недобросовестных практик и преступлений, причем способов совершения мошенничества и прочих подобных деяний в областях, где требуется устанавливать личность, и без использования биометрии очень и очень много. Поэтому выбор в данной области лежит скорее в плоскости того, кто как для себя воспринимает риски на индивидуальном уровне с учетом ситуации: в области биометрии или в области классического способа получения банковских услуг, причем с учетом необходимости регулярно пользоваться дистанционными услугами, для которых биометрическая идентификация будет полезна.
Проверить данные согласия на биометрию можно на «Госуслугах», в МФЦ можно оформить полный запрет на сбор и обработку биометрии. Банки, развивающие биометрические сервисы, также внедряют соответствующие функции в свои личные кабинеты.
* Полное название закона — Федеральный закон от 29.12.2022 № 572 «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации».
Многофункциональныe центры Омской области
Единый контакт-центр по социальным вопросам (меры социальной поддержки Министерства труда и социального развития Омской области, Социального фонда России): 8-800-100-00-01 . Оформите личный секретный код в клиентской службе Социального Фонда России или в любом офисе многофункционального центра для получения расширенной консультации по телефону!
29 авг 2023
Новости — МФЦ разъясняет: отказ от сбора и хранения ваших биометрических данных
По закону сбор, хранение и обработка биометрических персональных данных осуществляется с помощью Единой биометрической системы. Каждый человек может отказаться от обработки данных либо, наоборот, позволить использовать их для подтверждения личности. В этой статье мы отвечаем на самые распространенные вопросы по данной теме.
Правда ли нужно подать заявление на отказ от хранения биометрии до 1 сентября 2023 года?
Нет. Если вам не нужны ваши биометрические данные, вы можете отказаться от их сбора, хранения и использования в любой момент. Эта услуга предоставляется в МФЦ.
Куда кредитные организации передают мою биометрию и почему?
По закону до 30 сентября 2023 года вся собранная государственными и коммерческими системами биометрия должна быть передана в Единую биометрическую систему.
Передача данных означает, что те организации, которые регистрировали биометрические данные граждан (изображение лица или голос) больше не смогут хранить её у себя и самостоятельно обрабатывать. Для повышения безопасности им будет разрешён только ограниченный доступ к данным, но не к самой биометрии гражданина.
Откуда взялся миф о том, что после 1 сентября нельзя будет отказаться от хранения биометрии?
До 30 сентября текущего года будет формироваться Единая биометрическая система хранения данных. Это значит, что банки и другие организации, в которых вы могли оставлять свою биометрию передают эти данные в государственную систему. Формирование единой биометрической системы не запрещает вам отказаться от хранения ваших данных.
Что такое Единая биометрическая система?
Единая биометрическая система является государственной информационной системой (цифровой платформой), которая позволяет идентифицировать человека по его биометрическим характеристикам. Функции оператора данной системы возложены на АО «Центр Биометрических Технологий», который будет обеспечивать сбор, хранение, обработку и проверку биометрических персональных данных с учетом требований действующего законодательства РФ.
Что делает специалист МФЦ с моими биометрическими данными заявителя?
Ничего! Специалист МФЦ не имеет доступа к вашей биометрии: он просто принимает ваше заявление и передает его в соответствующее ведомство. При этом специалисту необходимо идентифицировать вашу личность. Это возможно сделать только с помощью паспорта и СНИЛС.
Почему мне не дают расписку, когда я подаю заявление в МФЦ?
Данная услуга не предполагает приём документов, а расписка выдается только в том случае, если вы отдаете свои документы или их копии специалисту МФЦ.
Законом предусмотрено проставление сотрудником МФЦ соответствующей отметки о приеме вашего отказа от сбора биометрии в бланке заявления. Данная отметка проставляется специалистом МФЦ непосредственно в момент обслуживания в окне МФЦ.
Почему мне не дают документы, подтверждающие, что мои биометрические данные больше нигде не хранятся?
Узнать зарегистрирована ли ваша биометрия в Единой биометрической системе можно в личном кабинете портала Госуслуг. В профиле есть раздел «Биометрия». В случае отсутствия зарегистрированной биометрии в Единой биометрической системе информация будет отображаться в разделе «Биометрия» как «Биометрия не зарегистрирована». Если биометрия была сдана, она отразится в личном кабинете. Также будет виден срок её действия и место регистрации.
Проверить статус о регистрации биометрии вы всегда можете самостоятельно на портале Госуслуг либо воспользоваться помощью сотрудника МФЦ в секторе пользовательского сопровождения.
Что относится к биометрическим данным?
В нашей стране к таким данным относятся запись голоса и изображение человека. Эти данные собираются с помощью специальных устройств и с вашего согласия. Фотографии, голосовые сообщения, видеоролики – не считаются биометрическими данными. Также при сканировании либо копировании вашего паспорта сбор биометрии не осуществляется.
Какие последствия отказа от сбора биометрии при получении услуг?
Предоставление биометрических персональных данных — это право граждан, но не их обязанность. Биометрия упрощает взаимодействие при получении услуг, но не исключает другие способы идентификации и аутентификации.
Отказ от сдачи биометрии не будет рассматриваться как основание для отказа предоставлять гражданину госуслуги, в том числе при обращении в МФЦ.
© 2022 МФЦ Омской области
Биометрия: кто не спрятался, тот в ЕБС
По данным ВЦИОМ, 71% россиян не имеют опыта сдачи биометрии, а 39% не имеют представления, что это такое. В то время как в Центре биометрических технологий подсчитали, что половина жителей России уже сдала биометрические данные (изображение лица) — 75 млн человек из 150 млн граждан РФ.
Дмитрий
Федонин
Вчера, 4 июля, прошла дискуссия Всероссийского центра изучения общественного мнения (ВЦИОМ) об отношении Россиян к биометрии.
На сегодняшний день с понятием «биометрия», по собственным оценкам, знакомы более половины россиян (55%). Под этим термином россияне понимают в первую очередь уникальные физические признаки человека (58% в группе осведомленных). В частности, речь идет о биометрических данных в целом (35%), отпечатках пальцев (17%), внешности (9%) и сетчатке глаза (7%). О том, что биометрия представляет собой систему распознавания человека, известно каждому третьему (31%), в том числе в единичных случаях упоминаются конкретные способы идентификации — распознавание голоса (3%) и анализ ДНК (2%). Чаще других верное определение биометрии («система идентификации личности») давала молодежь: 18-24 лет — 41%, 25-34 лет — 36%.
По данным ВЦИОМ, не имеют представления о биометрии 39% россиян. Чаще о ней ничего не известно женщинам (43%), старшему поколению 60+ лет (54%), гражданам с неполным средним образованием (70%), жителям сел (58%) и активным телезрителям (68%).
Использование биометрических данных не ограничивается банковским сектором — помимо отделений банков, их можно сдать через специальное мобильное приложение. И хотя некоторые эксперты отмечают, что в скором времени на смену бумажных паспортов придут биометрические данные, говорить о широком распространении последних пока не приходится. Согласно результатам опроса, с предложением сдать биометрию в общей сложности сталкивались 42% россиян, в том числе 29% соглашались на сбор и обработку таких данных, не соглашались — 13%. Никогда не поступало предложения сдать биометрические данные 56% россиян.
Однако, похоже, что точных данных, сколько россиян сдали биометрию, не может привести никто. Например, по данным Центра биометрических технологий, уже 75 млн жителей России сдали биометрические данные.
Директор дивизиона «Биометрия» Сбербанка сообщил корреспонденту ComNews, что в банке собрано более 30 млн биометрических слепков россиян. «В соответствии с требованиями №572-ФЗ, биометрические персональные данные, такие как изображения лица и записи голоса граждан, будут храниться в государственной Единой биометрической системе (ЕБС). В рамках выполнения законодательства, Сбербанк начал кампанию по уведомлению клиентов о передаче их биометрических данных в ЕБС. В дальнейшем, Сбербанк перейдет на сбор биометрических образцов только в ЕБС и обработку в собственной системе векторов, которые получены односторонним математическим преобразованием из фотографий», — рассказал Олег Евсеев.
Пресс-служба Министерства цифрового развития, связи и массовых коммуникаций РФ сообщила, что россияне для получения различных услуг и сервисов сдали биометрические образцы более 50 млн раз.
«Напоминаем, что использование биометрии носит исключительно добровольный характер. Отказать человеку в получении услуг без биометрии организации не имеют право. После регистрации биометрические персональные данные в любой момент можно удалить и отозвать согласие на их обработку», — заверила пресс-служба ведомства.
Директор по продажам и руководитель практики технологических решений «ЕАЕ-Консалт» Виталий Волнянский считает, что биометрия является очень надежным способом идентификации.
«Еще несколько лет назад можно было уверенно заявлять, что биометрия — это очень надежный способ идентификации. Но с развитием нейросетей ситуация начала резко изменяться. Биометрия подразумевает сейчас много средств идентификации, в том числе и распознавание голоса и лиц, но ЕБС — это только лицо и голос и их комбинация. Распознавание лица камерой, которая в состоянии определять глубину и реальность находящегося перед ней человека — как, например, камера FaceID у Apple, — можно считать довольно безопасным методом, так как на его подделку нужно больше времени и ресурсов, но в приложениях EBS этот метод отключен», — поведал Виталий Волнянский.
«А вот распознавание голоса становится небезопасным средством, ведь современные нейросети способны обучаться голосу, манере речи и интонациям человека всего за две-три минуты разговора, что вполне достижимо при звонках мошенников из «служб безопасности банка» и открывает им новые возможности, если гражданин сдал биометрию в банке. Оператор ЕБС декларирует, что система аттестована ФСБ и ФСТЭК, и это действительно снижает площадь атаки для утечек», — рассказал Виталий Волнянский.
«Я соглашусь с результатами статистики в том, что среди россиян преобладает нейтрально отрицательное отношение к сдаче биометрических данных. Потому что у нас в стране было слишком много утечек персональных данных в последние годы, и это сильно подрывает доверие граждан к тому, чтобы сдать еще и биометрию. Для преломления этого тренда нужна системная работа госорганов и бизнеса, по повышению информационной безопасности систем», — подытожил Виталий Волнянский.
Спикеры из компании — разработчика ключевых компонентов для построения безопасной инфраструктуры «Аладдин» согласились с прошлым экспертом во мнении, что биометрия является надежным и безопасным способом идентификации.
«Применение многофакторной аутентификации всегда положительно сказывается на защите интересов пользователей, вне зависимости от того, в каких услугах и операциях она может применяться. Пользовательский опыт при этом может отставать как на этапе регистрации биометрии, так и на этапе дальнейшего повседневного использования. При этом хотим отметить, что, кроме использования биометрических данных, есть и другие альтернативные «факторы»: Push, OTP, которые до сих пор плохо распространены в ряде B2C-систем (лидирует SMS). Рабочая альтернатива биометрии и организации «беспарольного будущего» существует», — рассказал Александр Гусихин, менеджер по биометрическим продуктам «Аладдин».
«При законном требовании гражданина удалить из единой базы данных (ГИС ЕБС) его биометрические персональные данные, это требование, конечно, будет исполнено оператором. Документ будет направлен гражданину, для него это будет подтверждающим документом. С технической точки зрения 100% гарантий, что данные действительно удалены и не остались в неких «бэкапах», уверен, никто не может дать, это остается на совести основного оператора — Центра биометрических данных. Надзирает за соблюдением необходимых требований со стороны оператора и ГИС — Роскомнадзор, от качества их работы будет зависеть соблюдение прав граждан», — отметил Александр Додохов, руководитель отдела защиты баз данных «Аладдин».
«Со статистикой ВЦИОМ о том, что биометрия вызывает недоверие, я как специалист согласен, сейчас распространено именно такое мнение в обществе. С точки зрения импортозамещения и спроса на биометрические продукты, наши заказчики из финансового сектора отмечают, что поставляемое нами оборудование будет востребовано, но чуть позже, когда произойдет импортозамещение более фундаментальных элементов инфраструктуры: ОС, СУБД, других ключевых компонентов ИТ-инфраструктур. Мы разрабатываем новые продукты, которые будут работать с биометрией» — поведал Александр Гусихин.
Руководитель департамента аудита и консалтинга в компании iTPROTECT Роман Писарев рассказал, что безопасность биометрических данных обеспечить сложнее, чем стандартных данных вроде паролей. «Такая персональная информация, как голос, отпечатки пальцев или внешний вид, распространены гораздо шире, так как любой человек каждый день отвечает на телефонные звонки, появляется в общественных местах и регулярно выкладывает фото в соцсети, — поясняет он. — Что касается вероятности утечек данных из ЕБС, то такая вероятность есть всегда и в любой организации, однако, насколько мне известно, в системе используются все современные решения для минимизации рисков. Никогда нельзя дать полной гарантии, что та или иная организация будет неуязвима для кибератак на 100%».
Ведущий эксперт по развитию инновационных решений STEP LOGIC Олег Овсянкин считает, что использование многофакторных аутентификаций компаниями важнее, чем вероятные утечки биометрии. «В цифровую эпоху получить биометрические данные человека не составляет труда — достаточно скачать его фото из социальных сетей или записать голос. Поэтому я рекомендовал бы оценивать прежде всего не вероятность утечки биометрии, а ее последствия. Если организации будут использовать многофакторную аутентификацию, то негативного влияния от хищения биометрии можно легко избежать. К тому же в ЕБС будут храниться не фотографии или запись голоса, а их цифровые слепки, из которых практически невозможно восстановить исходные данные», — рассказал Олег Овсянкин.