Legal Talks
Логотип Сфера
Логотип Legal Academy
Статья

Как работает и регулируется сбор биометрических данных в России

С 1 марта в России расширился список организаций, которые могут законно работать с биометрическими персональными данными населения. В то же время правительство ввело ряд ограничений на использование биометрии в информационных системах и ужесточило механизм ее принудительного сбора. Подробнее о том, как регулируется сфера в РФ – в нашем материале.
Время прочтения: 5 минут

С весны этого года биометрические персональные данные, которые россияне разместили в единой биометрической системе, разрешили использовать:

  • при проведении операций с использованием платежных карт в организациях торговли и сферы услуг на сумму до 1 000 рублей;
  • для аутентификации клиента при дистанционном и личном банковском обслуживании, если ранее он проходил идентификацию в финансовой организации;
  • при оплате проезда с применением информационных систем (в Москве);
  • для оформления сим-карт посредством Интернета и прочих случаях дистанционного заключения договора на оказание услуг связи;
  • для аутентификации на портале Госуслуги;
  • при проведении аттестации по образовательным программам бакалавриата, магистратуры и специалитета (вступает в силу Постановление Правительства РФ от 15 июня 2022 г. № 1067).

Что такое биометрические данные?

Согласно 152-ФЗ, биометрическими персональными данными являются физиологические и биологические особенности человека, на основании которых можно установить его личность.

В соответствии с разъяснением Роскомнадзора, к биометрическим данным могут относиться:

  • дактилоскопические данные;
  • радужная оболочка глаз;
  • анализы ДНК;
  • другие физиологические или биологические характеристики человека, в том числе рост и вес.

Важно отметить, что обработка биометрических персональных данных осуществляется только с письменного (добровольного) согласия человека. К исключениям относятся случаи с реадмиссией (согласие государства на обратный прием своих граждан), осуществлением правосудия и исполнением судебных актов в связи с обороной, безопасностью, противодействием терроризму и пр..

Какие системы передачи и хранения биометрии используются в РФ?

Биометрия используется для идентификации, аутентификации и авторизации– трёх последовательных процессов, которые неразрывно между собой связаны.

При идентификации человек предъявляет системе уникальный идентификатор, после чего она сравнивает его с хранящимся в базе данных шаблоном и происходит аутентификация. Если предъявляемый образец совпадает с шаблоном, то пользователю предоставляется доступ к той или иной системе с определенным набором прав, то есть авторизация.

На сегодняшний день в России проведение идентификации и аутентификации по биометрии используется в нескольких вариантах информационных систем: Государственной информационной системе, Единой биометрической системе и коммерческих информационных системах.

Единая биометрическая система

Единая биометрическая система (ЕБС) была запущена 1 июля 2018 года как совместный проект Центробанка и Минцифры. Она предназначена для повышения доступности финансовых услуг через удаленную идентификацию клиента. Граждане, сдавшие слепки лица и голоса в ЕБС, могут открыть счет в любой кредитной организации без посещения офиса.

При этом доступа к системе сами кредитные организации не имеют. Они могут только узнавать о соответствии предоставленных данных шаблону, который хранится в ЕБС.

Для проведения идентификации ЕБС работает в связке с Единой системой идентификации и аутентификации (ЕСИА), но может использоваться и с другими системами, содержащими персональные данные.

Государственные информационные системы

Обработка биометрических данных для работы госорганов и организаций, осуществляющих отдельные публичные полномочия, также проводится с применением ЕБС. Однако если требуется обработка видов биометрии, которые не соответствуют существующим условиям, госорганы, аккредитованные на право владения и осуществления функций оператора, могут применять другие ГИС.

Коммерческие информационные системы

Как поясняет Минцифры, обязательная загрузка биометрии из коммерческих систем в ЕБС предусмотрена федеральным законом № 325-ФЗ. При этом импортироваться в систему могут лишь те биометрические данные, которые собраны в соответствии с федеральными законами, то есть с согласия гражданина.

Пользователь, данные которого передаются в ЕБС, должен быть уведомлен об этом собственником коммерческой системы с обязательным информированием о порядке хранения данных и их уничтожении.

Также он будет оповещен о передаче данных в Единую биометрическую систему в личном кабинете на Госуслугах. На портале же пользователь может подать заявление об удалении личной информации из ЕБС.

При этом, если биометрия человека содержится сразу в нескольких коммерческих системах, при импорте в ЕБС сохранятся только самые актуальные данные - вся остальная информация будет удалена.

Плюсы и минусы входа в системы по биометрии

Несомненным преимуществам использования биометрии для входа в ИС прежде всего является удобство. Пользователю не нужно помнить пароли и для получения доступа достаточно продемонстрировать палец, сетчатку глаза или лицо.

К тому же биометрические данные не так просто украсть. В этом случае биометрическая аутентификация решает проблему паролей, которые по статистике в 80% случаев являются причиной взлома учетных записей.

Также при использовании биометрической аутентификации в корпоративных целях снижаются расходы на обслуживание системы аутентификации и усложняется возможность удаленного взлома.

Однако несмотря на преимущества, биометрические методы аутентификации сопряжены с определенными рисками:

  • Системы безопасности можно обмануть, используя поддельную или скопированную информацию, в данном случае биометрическую.
  • Системы распознавания лиц, используемые, к примеру, для защиты смартфонов, бывают довольно уязвимы. Известны случаи, когда защищенное с их помощью устройство удавалось разблокировать по фотографии владельца.
  • Отказ в доступе легитимному пользователю или ошибочное предоставление доступа постороннему человеку. Так, метод распознавания лиц не рекомендуется использовать братьям или сестрам-близнецам.
  • Голосовой идентификатор также не даст гарантии стопроцентной защиты. Дипфейки сгенерированные нейросетями могут достаточно убедительно имитировать голос.
  • Биометрические, как и любые другие данные, хранятся на серверах компаний. Нет гарантии, что базы с этими данными надежно защищены и не передаются третьим лицам. Примеров со сливом в Сеть баз сервисов доставки еды, такси и других - масса.

Рекомендуем

Статья

Улыбаемся и платим: чем грозят ошибки в системе оплаты с помощью биометрии

В августе 2023 года сеть X5 Group и Сбербанк расширили сервис оплаты покупок с помощью взгляда в камеру на кассе. Теперь функция действует на 15 тыс. касс самообслуживания в 4 тыс. магазинов «Пятерочка» и «Перекресток». Будущее, которое когда-то демонстрировали в фильмах, наступило, но проблемы с ним всё те же — из прошлого. В СМИ появились истории людей, которых не может различить сервис оплаты лицом. Подробности — в материале «Сферы».

Статья

Ваш багаж и IP: правительство хочет собирать больше данных с авиапассажиров

Российские власти намерены расширить перечень данных о бронировании авиабилетов, которые передаются в автоматизированные государственные системы. Предлагается собирать и обрабатывать информацию о способе оплаты билета, багаже и даже IP-адресе, с которого был сделан заказ. Эксперты пока не спешат давать правовую оценку проекту, но не исключают, что инициатива будет реализована.

Авторский взгляд

Поправками по закону: краткая история персональных данных в России

С марта 2023 года в России изменились требования к обработке персональных данных (ПД). Поправки в закон коснулись их трансграничной передачи, утечки и уничтожения. Это не первые и, вероятно, не последние изменения ключевого нормативного акта, принятого еще в 2006 году. О том, как менялось законодательство в этой сфере, читайте в авторской колонке адвоката Татьяны Кархалевой.

Нужно хоть что-то написать

Закрыть модальное окно

ООО «Лигал Академия» предоставляет авторам техническую возможность размещения информации на Информационном юридическом портале и не участвует в формировании ее содержания, в связи с этим не несет ответственность за законность их действий и информацию, размещаемую авторами на данном Информационном портале, не гарантирует качество, полноту и достоверность такой информации.

Авторы самостоятельно несут ответственность за содержание размещаемой ими информации и законность собственных действий в связи с размещением информации на Информационном портале, вне зависимости от того, какое количество пользователей Информационного портала либо третьих лиц получило или могло получить доступ к такой информации.

ООО «Лигал Академия», до тех пор, пока не будет установлено иное, предполагает, что все права (имущественного и неимущественного характера) на информацию принадлежат разместившему ее на Информационном портале автору или автором получены все необходимые права и/или разрешения на такое размещение; размещение такой информации на Информационном портале не нарушает законные права и интересы третьих лиц. Если размещение какой-либо информации нарушает законные права и интересы третьих лиц, такая информация будет удалена с Информационного портала по первому требованию правообладателя и/или лица, чьи законные права и интересы были нарушены.

Претензии, касающиеся информации, размещенной на Информационном портале, могут быть отправлены: