В настоящее время вопросы биометрии становятся все более актуальными. За несколько лет значительно расширилась сфера применения биометрии, возможности биометрических систем. Кроме того, изменились требования законодательства и подходы к обработке биометрических ПДн.
Как следствие, возникает множество вопросов со стороны обработчиков. Им необходимо перестроить деятельность с учетом нововведений. Также вопросы возникают у граждан, которые хотят контролировать процесс и быть уверенными в безопасности обработки своих биометрических данных.
Биометрические персональные данные – это сведения, которые характеризуют физиологические и биологические особенности человека (ст. 11 152-ФЗ). На основании этих сведений можно установить личность. При этом оператор использует их для установления личности субъекта персональных данных. Среди наиболее распространенных видов биометрических данных можно выделить отпечаток пальца, изображение лица, структуру сетчатки глаза, рисунок вен и запись голоса.
Выделяют два основных вида биометрических данных:
- Статические — постоянные особенности организма, не меняющиеся на протяжении жизни. (отпечатки пальцев; узор радужки глаза; рисунок сетчатки; черты, термограмма, трехмерная модель лица; расположение венозных сосудов; ДНК и тд.).
- Динамические – особенности организма, которые могут менять в течение жизни из-за возраста, болезней или по иным причинам (голос, характерные жесты и иные поведенческие данные).
В зависимости от сферы применения и цели системы идентификации также выделяют:
- криминалистическую биометрию (при расследовании преступлений);
- биостатистическую (контроль и анализа состояния организма);
- биометрию гаджетов (сканирование данных владельца для доступа к мобильным устройствам);
- навигационную (голосовое управление при поиске информации);
- финансовую (обработка платёжных и финансовых документов).
Для верификации личности с использованием биометрических данных применяются методы, основанные на нейронных сетях. Нейросети сравнивают текущие фотографии, видео или аудиозаписи с шаблонами в специальных базах данных. При этом они обращают внимание на ключевые характеристики: расположение уголков глаз, геометрию лица и тон голоса при аудиоидентификации.
Однако, вместо сравнения самих записей, используются векторы (наборы чисел), которые кодируют уникальные характеристики. В таком же формате данные хранятся в базе. Затем нейросеть обрабатывает фотографию, видеозапись или аудиозапись и проверяет соответствие этим данным. Это повышает безопасность процесса, исключая возможность доступа к оригинальным данным. Нейросети обучают различать живых людей от редактированных или фальсифицированных изображений и аудиозаписей, включая дипфейки.
Кроме того, нейросети могут использовать информацию из государственных баз данных. Например, паспортные данные — чтобы дополнительно подтвердить личность. В России стандартно допускается неверное распознавание только в одном случае из 10 миллионов, что говорит о высокой точности и эффективности таких систем.
С 1 июня 2023 вступили в силу положения 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации», определившие, кому можно собирать биометрические данные, как они должны храниться и кому можно их передавать.
Кратко об основных положениях 572-ФЗ и организации работы операторов с учетом новых требований мы ранее говорили в статье Биометрия в СКУД: актуальные вопросы.
Сегодня остановимся подробнее на тех нововведениях, которые касаются прав граждан при обработке биометрии в ЕБС.
В соответствии с 572-ФЗ хранение и обработка биометрии граждан осуществляется только в Единой биометрической системе (ЕБС).
ЕБС была создана по инициативе Центрального банка и Минцифры РФ в рамках национального проекта «Цифровая экономика». Оператором системы назначен Центр биометрических технологий, созданный специально в 2022 году. Этот центр занимается сбором, хранением, обработкой и проверкой биометрических персональных данных.
Платформа ЕБС обеспечивает возможность идентификации человека либо лично, либо дистанционно с использованием его лица и голоса.
Основная цель внедрения ЕБС заключается в обеспечении более удобного доступа к услугам, которые требуют надежной проверки личности, например, банковским сервисам.
Организации могут получить информацию о биометрических данных от клиента только при его письменном согласии и исключительно для четко определенных целей. Для формирования основных видов согласий удобно воспользоваться шаблонами в сервисе 152DOC.
Принудительный сбор биометрических данных запрещен. Прохождение процедуры авторизации с применением биометрических данных является правом, а не обязанностью.
Отметим, что в сфере финансов биометрические технологии (как правило, с использованием отпечатков пальца, голоса, сканирования лица) получают широкое применение. С их использованием осуществляются, в частности:
- идентификация и аутентификация пользователя;
- проведение и подтверждение транзакций;
- переводы на счета и карты физических лиц (например, через голосового помощника);
- снятие ограничений с операций по карте или счёту с использованием голосовой биометрии;
- оформление банковских продуктов.
В ЕБС используются три типа биометрии:
| Тип биометрии | Способ регистрации | Возможные услуги |
| Подтвержденная | В центрах обслуживания | Услуги, требующие удостоверения личности по паспорту (оформление кредита, открытие банковского счета и тд.) + услуги стандартной и упрощенной биометрии |
| Стандартная | В приложении «Госуслуги Биометрия» при наличии подтвержденной учетной записи, загранпаспорта нового образца и телефона с NFC | Например, оформить карту болельщика без посещения МФЦ, дистанционно заключить договор мобильной связи, оплатить товары и услуги стоимостью до 5000 р. + услуги упрощенной биометрии |
| Упрощенная | В приложении «Госуслуги Биометрия» без загранпаспорта | Например, оплатить товары и услуги до 2500р., проезд в общественном транспорте |
Стандартную и упрощённую биометрию обязаны передать в ЕБС организации, в которых гражданин раньше сдавал биометрические данные. Доступ к ЕБС получают только уполномоченные и аккредитованные компании, соответствующие требованиям 572-ФЗ.
Одно из главнейших нововведений закона о биометрии – наделение граждан правом управления своими биометрическими данными на протяжении всего процесса из обработки от сбора до удаления. Выделим ключевые точки такого управления:
- Регистрация. Решение о сдаче биометрии принимается гражданами добровольно. Зарегистрировать биометрию (а также обновить ее или отказаться от ее использования) можно с использованием приложения «Госуслуги Биометрия», в МФЦ, центрах обслуживания, прошедших аккредитацию.
- Согласие. Для обработки биометрии необходимо согласие (за исключением установленных случаев) и уведомление субъекта о передаче данных в ЕБС. С 1 января 2024 года физическое лицо может управлять таким согласием на ПГУ (Портал Госуслуг). Компания не вправе отказать в предоставлении услуг при отказе дать согласие на обработку биометрических ПДн.
- Проверка. Проверить статус биометрии, срок действия и место регистрации можно через ПГУ (раздел Профиль-> Биометрия), в личном кабинете ЕБС, в приложении «Госуслуги Биометрия».
- Удаление. Удалить биометрию можно через ПГУ, нажав соответствующую кнопку в разделе «Биометрия». Также можно обратиться в банк, в котором вы ее оформляли (в основном такой функционал реализован и в мобильных приложениях банков). Подать заявление на отказ от использования биометрии можно в МФЦ.
Вопрос о том, нужно ли отказываться от биометрии каждый решает сам, исходя из собственного видения ситуации, представлений о надежности использования биометрических технологий и их безопасности, а также желания облегчить процесс получения государственных и других услуг.