В настоящее время вопросы биометрии становятся все более актуальными. За несколько лет значительно расширилась сфера применения биометрии, возможности биометрических систем, а также претерпели изменения требования законодательства и подходы к обработке биометрических ПДн.
Как следствие – множество вопросов как со стороны обработчиков, которым необходимо качественно перестроить свою деятельность с учетом нововведений, так и со стороны граждан, желающих контролировать этот процесс и быть уверенными в безопасности обработки своих биометрических данных.
Биометрические персональные данные – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных (ст. 11 152-ФЗ). Среди наиболее распространенных видов биометрических данных можно выделить отпечаток пальца, изображение лица, структуру сетчатки глаза, рисунок вен и запись голоса.
Выделяют два основных вида биометрических данных:
- Статические – постоянные особенности организма, не меняющиеся на протяжении жизни. (отпечатки пальцев; узор радужки глаза; рисунок сетчатки; черты, термограмма, трехмерная модель лица; расположение венозных сосудов; ДНК и тд.).
- Динамические – особенности организма, которые могут менять в течение жизни из-за возраста, болезней или по иным причинам (голос, характерные жесты и иные поведенческие данные).
В зависимости от сферы применения и цели системы идентификации также выделяют:
- криминалистическую биометрию (при расследовании преступлений);
- биостатистическую (контроль и анализа состояния организма);
- биометрию гаджетов (сканирование данных владельца для доступа к мобильным устройствам);
- навигационную (голосовое управление при поиске информации);
- финансовую (обработка платёжных и финансовых документов).
Для верификации личности с использованием биометрических данных широко применяются методы, основанные на нейронных сетях. Нейросети сравнивают текущие фотографии, видео или аудиозаписи с шаблонами в специальных базах данных, при этом обращают внимание на ключевые характеристики, такие как расположение уголков глаз, геометрия лица и тон голоса при аудио идентификации.
Однако, вместо сравнения самих записей, используются векторы (наборы чисел), которые кодируют уникальные характеристики. В таком же формате данные хранятся в базе и нейросеть обрабатывает фотографию, видеозапись или аудиозапись для проверки их соответствия этим данным. Это повышает безопасность процесса, исключая возможность доступа к оригинальным данным. Нейросети обучают различать живых людей от редактированных или фальсифицированных изображений и аудиозаписей, включая дипфейки.
Кроме того, нейросети могут использовать информацию из государственных баз данных, например паспортные данные, чтобы дополнительно подтвердить личность. В России стандартно допускается неверное распознавание только в одном случае из 10 миллионов, что говорит о высокой точности и эффективности таких систем.
С 1 июня 2023 вступили в силу положения 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации», определившие, кому можно собирать биометрические данные, как они должны храниться и кому можно их передавать.
Кратко об основных положениях 572-ФЗ и организации работы операторов с учетом новых требований мы ранее говорили в статье Биометрия в СКУД: актуальные вопросы.
Сегодня остановимся подробнее на тех нововведениях, которые касаются прав граждан при обработке биометрии в ЕБС.
В соответствии с 572-ФЗ хранение и обработка биометрии граждан осуществляется только в Единой биометрической системе (ЕБС).
ЕБС была создана по инициативе Центрального банка и Минцифры РФ в рамках национального проекта “Цифровая экономика”. Оператором системы назначен Центр биометрических технологий, созданный специально в 2022 году. Этот центр занимается сбором, хранением, обработкой и проверкой биометрических персональных данных.
Платформа ЕБС обеспечивает возможность идентификации человека либо лично, либо дистанционно с использованием его лица и голоса.
Основная цель внедрения ЕБС заключается в обеспечении более удобного доступа к услугам, которые требуют надежной проверки личности, например, банковским сервисам.
Организации могут получить информацию о биометрических данных от клиента только при его письменном согласии и исключительно для четко определенных целей. Для формирования основных видов согласий удобно воспользоваться шаблонами в сервисе 152DOC.
Принудительный сбор биометрических данных запрещен. Прохождение процедуры авторизации с применением биометрических данных является правом, а не обязанностью.
Отметим, что в сфере финансов биометрические технологии (как правило, с использованием отпечатков пальца, голоса, сканирования лица) получают широкое применение. С их использованием осуществляются, в частности:
- идентификация и аутентификация пользователя;
- проведение и подтверждение транзакций;
- переводы на счета и карты физических лиц (например, через голосового помощника);
- снятие ограничений с операций по карте или счёту с использованием голосовой биометрии;
- оформление банковских продуктов.
В ЕБС используются три типа биометрии:
Тип биометрии | Способ регистрации | Возможные услуги |
Подтвержденная | В центрах обслуживания | Услуги, требующие удостоверения личности по паспорту (оформление кредита, открытие банковского счета и тд.) + услуги стандартной и упрощенной биометрии |
Стандартная | В приложении «Госуслуги Биометрия» при наличии подтвержденной учетной записи, загранпаспорта нового образца и телефона с NFC | Например, оформить карту болельщика без посещения МФЦ, дистанционно заключить договор мобильной связи, оплатить товары и услуги стоимостью до 5000 р. + услуги упрощенной биометрии |
Упрощенная | В приложении «Госуслуги Биометрия» без загранпаспорта | Например, оплатить товары и услуги до 2500р., проезд в общественном транспорте |
Стандартную и упрощённую биометрию обязаны передать в ЕБС организации, в которых гражданин раньше сдавал биометрические данные. Доступ к ЕБС получают только уполномоченные и аккредитованные компании, соответствующие требованиям 572-ФЗ.
Одно из главнейших нововведений закона о биометрии – наделение граждан правом управления своими биометрическими данными на протяжении всего процесса из обработки от сбора до удаления. Выделим ключевые точки такого управления:
- Регистрация. Решение о сдаче биометрии принимается гражданами добровольно. Зарегистрировать биометрию (а также обновить ее или отказаться от ее использования) можно с использованием приложения «Госуслуги Биометрия», в МФЦ, центрах обслуживания, прошедших аккредитацию.
- Согласие. Для обработки биометрии необходимо согласие (за исключением установленных случаев) и уведомление субъекта о передаче данных в ЕБС. С 1 января 2024 года физическое лицо может управлять таким согласием на ПГУ (Портал Госуслуг). Компания не вправе отказать в предоставлении услуг при отказе дать согласие на обработку биометрических ПДн.
- Проверка. Проверить статус биометрии, срок действия и место регистрации можно через ПГУ (раздел Профиль-> Биометрия), в личном кабинете ЕБС, в приложении «Госуслуги Биометрия».
- Удаление. Удалить биометрию можно через ПГУ, нажав соответствующую кнопку в разделе «Биометрия». Также можно обратиться в банк, в котором вы ее оформляли (в основном такой функционал реализован и в мобильных приложениях банков). Подать заявление на отказ от использования биометрии можно в МФЦ.
Вопрос о том, нужно ли отказываться от биометрии каждый решает сам, исходя из собственного видения ситуации, представлений о надежности использования биометрических технологий и их безопасности, а также желания облегчить процесс получения государственных и других услуг.