Как работает и регулируется сбор биометрических данных в России

С 1 марта в России расширился список организаций, которые могут законно работать с биометрическими персональными данными населения. В то же время правительство ввело ряд ограничений на использование биометрии в информационных системах и ужесточило механизм ее принудительного сбора. Подробнее о том, как регулируется сфера в РФ – в нашем материале.
Время прочтения: 5 минут

С весны этого года биометрические персональные данные, которые россияне разместили в единой биометрической системе, разрешили использовать:

  • при проведении операций с использованием платежных карт в организациях торговли и сферы услуг на сумму до 1 000 рублей;
  • для аутентификации клиента при дистанционном и личном банковском обслуживании, если ранее он проходил идентификацию в финансовой организации;
  • при оплате проезда с применением информационных систем (в Москве);
  • для оформления сим-карт посредством Интернета и прочих случаях дистанционного заключения договора на оказание услуг связи;
  • для аутентификации на портале Госуслуги;
  • при проведении аттестации по образовательным программам бакалавриата, магистратуры и специалитета (вступает в силу Постановление Правительства РФ от 15 июня 2022 г. № 1067).

Что такое биометрические данные?

Согласно 152-ФЗ, биометрическими персональными данными являются физиологические и биологические особенности человека, на основании которых можно установить его личность.

В соответствии с разъяснением Роскомнадзора, к биометрическим данным могут относиться:

  • дактилоскопические данные;
  • радужная оболочка глаз;
  • анализы ДНК;
  • другие физиологические или биологические характеристики человека, в том числе рост и вес.

Важно отметить, что обработка биометрических персональных данных осуществляется только с письменного (добровольного) согласия человека. К исключениям относятся случаи с реадмиссией (согласие государства на обратный прием своих граждан), осуществлением правосудия и исполнением судебных актов в связи с обороной, безопасностью, противодействием терроризму и пр..

Какие системы передачи и хранения биометрии используются в РФ?

Биометрия используется для идентификации, аутентификации и авторизации– трёх последовательных процессов, которые неразрывно между собой связаны.

При идентификации человек предъявляет системе уникальный идентификатор, после чего она сравнивает его с хранящимся в базе данных шаблоном и происходит аутентификация. Если предъявляемый образец совпадает с шаблоном, то пользователю предоставляется доступ к той или иной системе с определенным набором прав, то есть авторизация.

На сегодняшний день в России проведение идентификации и аутентификации по биометрии используется в нескольких вариантах информационных систем: Государственной информационной системе, Единой биометрической системе и коммерческих информационных системах.

Единая биометрическая система

Единая биометрическая система (ЕБС) была запущена 1 июля 2018 года как совместный проект Центробанка и Минцифры. Она предназначена для повышения доступности финансовых услуг через удаленную идентификацию клиента. Граждане, сдавшие слепки лица и голоса в ЕБС, могут открыть счет в любой кредитной организации без посещения офиса.

При этом доступа к системе сами кредитные организации не имеют. Они могут только узнавать о соответствии предоставленных данных шаблону, который хранится в ЕБС.

Для проведения идентификации ЕБС работает в связке с Единой системой идентификации и аутентификации (ЕСИА), но может использоваться и с другими системами, содержащими персональные данные.

Государственные информационные системы

Обработка биометрических данных для работы госорганов и организаций, осуществляющих отдельные публичные полномочия, также проводится с применением ЕБС. Однако если требуется обработка видов биометрии, которые не соответствуют существующим условиям, госорганы, аккредитованные на право владения и осуществления функций оператора, могут применять другие ГИС.

Коммерческие информационные системы

Как поясняет Минцифры, обязательная загрузка биометрии из коммерческих систем в ЕБС предусмотрена федеральным законом № 325-ФЗ. При этом импортироваться в систему могут лишь те биометрические данные, которые собраны в соответствии с федеральными законами, то есть с согласия гражданина.

Пользователь, данные которого передаются в ЕБС, должен быть уведомлен об этом собственником коммерческой системы с обязательным информированием о порядке хранения данных и их уничтожении.

Также он будет оповещен о передаче данных в Единую биометрическую систему в личном кабинете на Госуслугах. На портале же пользователь может подать заявление об удалении личной информации из ЕБС.

При этом, если биометрия человека содержится сразу в нескольких коммерческих системах, при импорте в ЕБС сохранятся только самые актуальные данные - вся остальная информация будет удалена.

Плюсы и минусы входа в системы по биометрии

Несомненным преимуществам использования биометрии для входа в ИС прежде всего является удобство. Пользователю не нужно помнить пароли и для получения доступа достаточно продемонстрировать палец, сетчатку глаза или лицо.

К тому же биометрические данные не так просто украсть. В этом случае биометрическая аутентификация решает проблему паролей, которые по статистике в 80% случаев являются причиной взлома учетных записей.

Также при использовании биометрической аутентификации в корпоративных целях снижаются расходы на обслуживание системы аутентификации и усложняется возможность удаленного взлома.

Однако несмотря на преимущества, биометрические методы аутентификации сопряжены с определенными рисками:

  • Системы безопасности можно обмануть, используя поддельную или скопированную информацию, в данном случае биометрическую.
  • Системы распознавания лиц, используемые, к примеру, для защиты смартфонов, бывают довольно уязвимы. Известны случаи, когда защищенное с их помощью устройство удавалось разблокировать по фотографии владельца.
  • Отказ в доступе легитимному пользователю или ошибочное предоставление доступа постороннему человеку. Так, метод распознавания лиц не рекомендуется использовать братьям или сестрам-близнецам.
  • Голосовой идентификатор также не даст гарантии стопроцентной защиты. Дипфейки сгенерированные нейросетями могут достаточно убедительно имитировать голос.
  • Биометрические, как и любые другие данные, хранятся на серверах компаний. Нет гарантии, что базы с этими данными надежно защищены и не передаются третьим лицам. Примеров со сливом в Сеть баз сервисов доставки еды, такси и других - масса.

Рекомендуем

Статья

Пальчики не дам: как отказаться от биометрии

Распознавание лиц на смартфонах, доступ в госучреждения, расчёт на кассе «Пятёрочки» – всё это производится с помощью биометрии. Как и к любой относительно новой системе, к биометрии – а точнее, к процедуре сбора и хранения данных – много вопросов, касающихся безопасности. Что такое биометрия, как отказаться от сбора данных о себе – в материале «Сферы».

Статья

Улыбаемся и платим: чем грозят ошибки в системе оплаты с помощью биометрии

В августе 2023 года сеть X5 Group и Сбербанк расширили сервис оплаты покупок с помощью взгляда в камеру на кассе. Теперь функция действует на 15 тыс. касс самообслуживания в 4 тыс. магазинов «Пятерочка» и «Перекресток». Будущее, которое когда-то демонстрировали в фильмах, наступило, но проблемы с ним всё те же — из прошлого. В СМИ появились истории людей, которых не может различить сервис оплаты лицом. Подробности — в материале «Сферы».

Статья

Спорная инициатива: Роскомнадзор хочет ограничить сбор персональных данных 

Роскомнадзор хочет ввести обязательные стандарты работы с персональными данными. Инициатива направлена на дополнительную защиту личных данных граждан от утечек. Если изменения закрепят на законодательном уровне, компаниям разрешат собирать только необходимые сведения о россиянах. Насколько это удачная идея и поможет ли она уберечь клиентов от «утечек», рассказали эксперты.

Нужно хоть что-то написать