Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как работает биометрия в России и следует ли ее опасаться?». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Биометрическая система аутентификации, как и многие другие системы защиты, в любой момент может быть подвергнута нападению злоумышленников. Соответственно, начиная с 2011 года, международная стандартизация в области информационных технологий предусматривает мероприятия по защите биометрических данных — стандарт IS0/IEC 24745:2011. В российском законодательстве защиту биометрических данных регламентирует Федеральный закон «О персональных данных», с последними изменениями в 2011 году.
Динамические методы биометрической аутентификации
Метод распознавания голоса. Биометрический метод аутентификации пользователя по голосу является наиболее доступным для реализации.
Данный метод позволяет произвести идентификацию и аутентификацию личности при помощи лишь одного микрофона, который подключен к записывающему устройству. Использование данного метода бывает полезным в судебных случаях, когда единственной уликой против подозреваемого служит запись телефонного разговора. Метод распознавания голоса является очень удобным — пользователю достаточно лишь произнести слово, без совершения каких-либо дополнительных действий. И, наконец, огромным преимуществом данного метода является право осуществления скрытой аутентификации. Пользователь не всегда может быть осведомлен о включении дополнительной проверки, а значит, злоумышленникам будет еще сложнее получить доступ.
Формирование персонального шаблона производится по многим характеристикам голоса. Это может быть тональность голоса, интонация, модуляция, отличительные особенности произношения некоторых звуков речи и другое. Если система аутентификации должным образом проанализировала все голосовые характеристики, то вероятность аутентификации постороннего лица никчемно мала. Однако, в 1-3 % случаев, система может дать отказ и настоящему обладателю ранее определенного голоса. Дело в том, что голос человека может меняться во время болезни (например, простуды), в зависимости от психического состояния, возраста и т.п. Поэтому, биометрический метод голосовой аутентификации нежелательно использовать на объектах повышенной безопасности. Он может быть использован для доступа в компьютерные классы, бизнес-центры, лаборатории и подобного уровня безопасности объекты. Также, технология распознавание голоса может применяться не только в качестве аутентификации и идентификации, но и как незаменимый помощник при голосовом вводе данных.
Метод распознавания клавиатурного почерка — является одним из перспективных методов биометрической аутентификации сегодняшнего дня. Клавиатурный почерк представляет собой биометрическую характеристику поведения каждого пользователя, а именно — скорость ввода, время удержания клавиш, интервалы между нажатиями на них, частота образования ошибок при вводе, число перекрытий между клавишами, использование функциональных клавиш и комбинаций, уровень аритмичности при наборе и др.
Законодательная база, регулирующая сбор и использование биометрических данных
Основным законом, регулирующим право отдельных государственных структур на сбор и использование биометрических персональных данных является №152 ФЗ «О персональных данных». В нем прописано терминология для обозначения биометрических данных, способы их законного использования и правила получения личных данных гражданина.
Так, согласно закону к биометрическим данным относят сведенья, способные охарактеризовать биологические или физиологические особенности гражданина, с помощью которых устанавливается его личность. Стоит отметить, что сбор таких данных является законным только в случае предоставления человеком письменного согласия на осуществление подобных процедур.
Исключение — мероприятия, проводимые для осуществления правосудия, идентификации личности преступника, противодействие терроризму и проведение действий для обеспечения безопасности граждан.
Согласно федеральному приказу от 2017 года №448 организована деятельность ТК 098 по «Биометрии и биомониторингу». Этот технический комитет установил национальные стандарты для биометрических технологий, соответствующих ГОСТу ИСО. На данный момент их количество составляет 42 стандарта для различных сфер применения.
Последним нововведением стало подписание 29.12.2017 президентом законопроекта № 157752-7, о свободно-принудительной регистрации граждан в ЕСИА (Единая Система Идентификации и Аутентификации)с обязательной передачей и подтверждением биометрических данных в ЕБС (Единой Биометрической Системе) для применения биометрической идентификации в банковской сфере.
Что такое биометрические данные
Не так давно такое понятие, как биометрические данные было известно только небольшой группе людей. Сегодня оно пребывает на общем слуху. Всем интересно, что это такое, и как персональные данные могут быть использованы. Биометрические данные – это перечень характеристик биологического и физиологического характера. Эти данные отличаются у каждого человека. Они индивидуальны и не повторяются даже у очень похожих внешне людей. Именно потому биометрический материал используется для установления личности человека.
На сегодня биометрия включает пять типов данных, которые может дать гражданин:
- Собираются отпечатки пальцев человека;
- Изображение лица;
- Записывают персональный голос;
- Делают сканирование радужки глаз;
- Фиксируют рисунок кровеносных сосудов на ладони и на пальце.
Закон и право по биометрии в России и мире
Согласно текущему закону, по отношению к биометрическимданным, использовать сведения о физиологических особенностях человека разрешено, только если есть письменное разрешение человека, которому рассматриваемые биометрические данные принадлежат. В других случаях обработка невозможна.
Но есть ситуации, когда персональные биометрические данные могут обрабатываться и без согласия человека. Например, в случаях, когда действует договор о реадмиссии, когда исполняются судебные акты или правосудие осуществляет другие действия, где биометрия необходима.
Также биометрическиеперсональные сведения могут быть использованы в задачах, связанных с безопасностью, противодействием терроризму/коррупции. Иногда персональные материалы применяются в оперативно-розыскной работе и других задачах предусмотренных законодательством России.
Получить юридическую помощь по вопросам биометрических данных граждан можно на нашем сайте.
Почему немногие хотят сдавать биометрию в банке
Россияне пока с настороженностью относятся к ЕБС: по последним данным «Ростелекома», на август 2020 года в ЕБС было зарегистрировано около 150 тыс. пользователей. Внутрибанковским проектам клиенты передают свои данные охотнее. Так, Сбербанк собрал около 1 млн данных клиентов (точную цифру банк не раскрывает, но всего у него насчитывается 94 млн клиентов), ВТБ — более 130 тыс. У Почта Банка внутреннюю биометрическую идентификацию по изображению лица прошли все клиенты. Несмотря на то, что сдача биометрии является добровольной, отказавшемуся фотографироваться клиенту будет доступен ограниченный перечень услуг, поскольку банк иначе не сможет гарантировать безопасность всех операций, объяснил 100%-ную сдачу биометрии представитель Почта Банка.
Небольшое число клиентов, готовых воспользоваться услугами ЕБС, связано с недостаточной информированностью граждан о такой возможности, считает представитель «Хоум Кредит». По мнению Емельянова из Почта Банка, чтобы применение биометрических шаблонов стало массовым, нужно, чтобы технология вышла широко за пределы банковской индустрии. Как пояснил представитель «Ростелекома», после принятия законопроекта о сферах применения биометрии появятся новые массовые сервисы: оплата по биометрии, дистанционная сдача экзаменов в образовательных учреждениях, сервисы для нотариусов, судопроизводства, а также другие продукты, которые сейчас находятся на стадии проработки — технической и нормативной.
Еще одна причина — сильно преувеличенные страхи, связанные с возможными утечками биометрических данных, добавляет Емельянов. С точки зрения безопасности ЕБС хорошо продумана, говорит руководитель проектов департамента технологического развития СКБ-банка Альберт Усенко. Записанные фото и голос хранятся в виде математической модели, поэтому ее попадание в руки злоумышленников ничего им не даст, объясняет он: «Ценность представляет связка биометрического контрольного шаблона и набор персональных данных пользователей. Поэтому биометрический контрольный шаблон хранится в ЕБС, а набор персональных данных храниться в Единой системе идентификации и аутентификации (ЕСИА). Они обе расположены в разных местах и никак напрямую между собой не связаны».
Биометрические системы — это надежный и апробированный механизм повышения защищенности дистанционного взаимодействия клиентов с организациями, говорит начальник отдела по противодействию мошенничеству Центра прикладных систем безопасности компании «Инфосистемы Джет» Алексей Сизов. Однако, по его мнению, биометрия должна быть дополнительным, а не единственным фактором проверки или подтверждения личности клиента, поскольку фото, видео и голос человека не являются «секретами», как пароли и кодовые слова, а значит, в теории могут быть собраны и использованы без ведома клиентов.
Нюансы использования ЕБС
Многие помимо основных вопросов интересуют и некоторые технические. Например, можно ли будет менять данные в системе, подавая их снова, например, после пластики лица?
Специалисты говорят, что можно. Более того, есть рекомендации – обновлять данные раз в три года для их актуальности.
Можно ли убрать свои данные из ЕБС? Ответ – можно. Причём делается это дистанционно через личный кабинет на сайте госуслуг.
Как быть с дополнительными документами по типу справки о доходах по форме банка, которую используют, например, при запросе на выдачу кредита. На данный момент этот вопрос находится в подвешенном состоянии. Дело в том, что пока что ЕБС на выдачу кредита не действует. Но инструментов много. Способ решить эту задачу найдётся быстро. Так, например, можно использовать электронный документооборот для пересылки справки. Хотя вероятно для этого понадобится оформлять электронную цифровую подпись.
Пока что система сбора биометрических данных находится на начальном этапе. Она не всегда быстро и качественно работает, в ней ещё крайне мало информации, не все банки подключены к ней, население либо о ней ещё не слышало, либо мало доверяет.
Но точно понятно, что проект будет развиваться. И развиваться быстро. Особенно сейчас, когда он уже запущен. Торопиться сдавать свои данные в резерв государственной компании не стоит, лучше подождать, когда систему подкрутят, но готовиться к тому, что сделать это придётся. Не исключается такой вариант, что в будущем это станет обязательной процедурой. Либо перестанут существовать условия, которые позволят без этого обойтись. Будем надеяться, что всё делается только ради удобства. А пока что – следим за развитием событий.
Что такое биометрические данные?
Биометрические данные – это уникальные физиологические характеристики, которыми обладает каждый человек. С их помощью можно за короткое время установить личность. К самым распространенным характеристикам можно отнести: отпечаток пальца, голос, радужную оболочку, ДНК. Поскольку данные параметры являются уникальными, они используются для идентификации.
Данные биометрики отличаются особенностями эксплуатации и уровнем надежности, что накладывает ряд ограничений на их использование в различных целях:
- чтобы идентифицировать личность, проще всего использовать отпечатки пальцев. Однако на практике оказывается, что их проще всего подделать, поэтому они не отличаются высоким уровнем надежности. Временным решением проблемы является ограниченное использование таких данных, когда требуется подтверждение личности здесь и сейчас;
- изображение и голос подделать намного труднее, поэтому такие данные используются зачастую для удаленной идентификации. Однако с возрастом такая информация может измениться либо в результате внешних обстоятельств. Поэтому данные используются для доступа к финансовым или государственным услугам;
- вены на руке и глазная радужка являются самыми надежными биометрическими данными. Но их применение затруднено, поэтому на практике используются нечасто.
Биометрическая обработка данных успешно используется для идентификации в различных сферах, включая финансовую. Так, например, крупные международные банки Barclays (Великобритания), DBS (Сингапур), Citigroup (азиатское тихоокеанское подразделение) на протяжении нескольких лет используют голосовую идентификацию. На территории Индии была разработана система распознавания личности по отпечаткам пальцев и радужной оболочке Aadhaar. В базе собрана информация 99% населения страны. Интересен тот факт, что с 2018 годы платежные система Visa и Mastercard стали активно тестировать идентификацию посредством отпечатков пальцев. В связи с подобными тенденциями, использование биометрики стало активно обсуждаться на территории РФ.
Как требовать блокировки и удаления своих данных
Если вы когда-либо давали согласие на сдачу и обработку своей биометрии или согласитесь на это в будущем, ситуацию можно будет отыграть назад.
Закон устанавливает, что граждане получают право:
- «…направить оператору единой биометрической системы требование о блокировании, об удалении, уничтожении биометрических персональных данных и (или) векторов единой биометрической системы»;
- «…ознакомиться со сведениями о представленном им отказе от сбора и размещения его биометрических персональных данных в целях проведения идентификации и (или) аутентификации, а также в случае отзыва такого отказа ознакомиться со сведениями об отзыве».
С одной стороны, новый закон ликвидирует биометрическую вольницу, которая сейчас распространилась в России, и это позитив. Также позитивна норма, позволяющая гражданам отказаться от сбора биометрии легко и без последствий.
С другой стороны, недоумение и подозрение вызывает незащищенность векторов — производных от записей голоса, фото и видео с изображением лица.
Некоторые аналитики предсказывают, что сдача биометрических данных в обмен на некое «удобство» использования государственных и коммерческих сервисов популярной в России не станет.
Мол, закон призван не насадить биометрическое сканирование среди широких масс, а всего лишь устранить существующий бардак.
Ну что ж, предварительно попробуем этому поверить. Но не забудем все-таки присматриваться к тому, как именно новации примутся внедрять на практике. На это потребуется время. Закон вступит в силу после его одобрения Советом Федерации и подписи президента, но не весь целиком. Некоторые его положения реализуют постепенно — до 1 января 2027 года.
Почему гибкие экраны обречены
Неужели это и есть та самая революция и следующий шаг в развитии наших карманных компаньонов?
В законе четко прописывается два типа биометрии — изображение лица и образец голоса, сбор другой информации в рамках системы не предусмотрен. Принудительно заставить человека сдавать биометрию нельзя, предоставление услуг без биометрических данных не просто возможно, а обязательно. Так что никакой принудиловки быть не может, вы сами вправе выбирать, что именно вам интересно. В этом аспекте хорошим примером является Москва, где биометрические данные давно и успешно собирают в столичных сервисах, использование такого типа авторизации позволяет ускорить обслуживание человека. Завлекают именно удобством, а не чем-то иным. Биометрия — дело добровольное во всех смыслах.
ГИС, собирающий биометрию, един для всей страны, но в системе могут быть региональные сегменты. Сделано это из-за того, что сегодня в России есть отдельные регионы, где биометрия широко используется, и отказываться от сервисов здесь и сейчас нецелесообразно, дается переходный период до 1 января 2027 года, до этого срока региональные сегменты могут хранить всю биометрию (включая исходные фотографии и записи голоса). Но с 2027 года региональные сегменты могут использовать только векторы — математические модели биометрических данных, а вот сами исходные файлы будут только в общей системе. Это еще один дополнительный уровень защиты, вектор — это некий алгоритм, который впоследствии может меняться.
Например, в ГИС добавят новые параметры для распознавания лиц, будут рассчитывать их по иной формуле. Для этого нужно будет обработать снимки, которые есть в базе, и получить на их основе те самые векторы. Чтобы не допустить утечки, региональные сегменты не будут получать алгоритм расчета векторов, а будут пользоваться только готовыми слепками. И этот подход показывает, что биометрия может усложняться с течением времени, она не остается единой и неизменной. Наличия фотографии недостаточно для того, чтобы рассчитать вектор, нужно знать как сам алгоритм, так и его изменение. То, что данные будут защищаться на уровне одной большой системы, несомненный плюс. Напомню, что никаких массовых утечек данных из систем федерального уровня в России еще не случалось.
Отдельно в законе указывается, что запрещен сбор информации о геноме человека, для несовершеннолетних требуется разрешение родителей, передавать эти данные за рубеж нельзя.
Важно! В любой момент гражданин России может отозвать разрешение на использование своих биометрических данных и также запросить их уничтожение в единой системе. Предполагается, что каждый из нас сможет посмотреть на свои данные в разделе на «Госуслугах».
Сдать данные можно будет в МФЦ — ровно такие же будки, как при сдаче биометрии на заграничный паспорт. Плюс такая возможность остается в банках, которые первыми начали активно собирать подобную информацию у своих пользователей.
До момента принятия закона в России биометрические данные мог собирать кто угодно, формально никаких ограничений не было. Теперь государство наделяет такой возможностью сегменты единой биометрической системы, также это могут быть те же банки, но с оговоркой — хранить сырую информацию они не смогут. Более того, банки будут вынуждены пользоваться единой системой для авторизации своих клиентов. То есть фактически проверка человека будет идти на основании данных из единой системы, а не собственных наработок. Каждое обращение к системе будет стоить для банка каких-то денег, вопрос в сумме — думаю, что логично сделать его на уровне стоимости одного SMS-сообщения, затраты сравнимы.
Безусловно, отсутствие конкуренции поставит развитие биометрии в коммерческих организациях под вопрос, пожалуй, это основное нарекание в адрес закона. С другой стороны, биометрия развивается с 2017 года в российских банках, и нигде она не вышла на значимый уровень, без участия государства и единой системы говорить о больших успехах в этой области не приходится. Поэтому стенания на тему того, что биометрию так убивают, не выдерживают критики — если были бы сильные игроки, такой закон учитывал бы их положение на рынке, но их сегодня де-факто нет.
Для контроля над использованием ЕБС будет создан Координационный совет по развитию цифровых технологий идентификации и аутентификации на основе биометрии. В него пригласят независимых людей — экспертов, представителей общественности и так далее. Звучит неплохо, так как дает некий внешний контроль и столь необходимую прозрачность в использовании такой системы.
Закон четко регламентирует наполнение ЕБС. Сдав биометрию, пользователь автоматически попадет в общую базу, государство сможет использовать данные человека для его идентификации. Потенциально мы сможем получить очень защищенные системы, в которых использование биометрии позволит избежать мошенничеств, уберет эту проблему с повестки. Например, операторские системы антифрода смогут анализировать голоса звонящих, определять тех, кого другие пользователи отметили как мошенников, а заодно автоматически блокировать роботов (синтезированный голос) плюс тех, кто меняет свой голос в софте. Могут появиться системы, которые проводят дополнительную проверку человека, сверяют его с паспортом и дают однозначный ответ, кто перед вами — владелец паспорта или кто-то притворяющийся им. Прозрачность рынка станет заметной, а проблем поубавится.
Пока все возражения против единой системы биометрических данных лежат в плоскости того, что это непривычно и потенциально опасно. Чем опасно, говорящие предпочитают не уточнять, упирая на то, что у вас украдут цифровую личность и это навсегда. К счастью, это бесполезные данные сами по себе, а украсть ваше изображение не составит труда, оно уже есть у сотен людей, даже если вы не выкладываете свои фотографии в социальных сетях. Одним словом, опасения есть, но объяснить их природу почти никто не может. Страшно, и все тут.
В автократиях такие данные могут служить для тотальной слежки за населением, но там сбор биометрии носит обязательный, принудительный характер, чего нет в России. Так что и это возражение рассыпается как карточный домик. Главное тут то, что биометрия удобна и в России она будет использоваться очень широко за счет государства, именно государство берет на себя роль локомотива, который развивает это направление. И то, что вместо десятков местечковых систем у нас будет единая система, неплохо. Государство обеспечит ее защиту и безопасность, одинаковые правила игры для всех коммерческих структур. И это большой задел на будущее, который я оцениваю положительно, инициатива нужная и своевременная.
Как технология распространяется?
Большую роль сыграли достижения в трех областях: большие данные (big data), глубокие сверточные нейронные сети и мощные графические процессоры.
Благодаря Instagram, Facebook, Flickr, Google и другим системам в интернете находятся миллиарды фотографий лиц людей, которые были объединены в огромные наборы данных. Они используются для обучения глубоких нейронных сетей – главной опоры современного искусственного интеллекта – для обнаружения и распознавания лиц. Рутинная вычислительная работа обычно выполняется на графических процессорах, сверхбыстрых чипах, которые предназначены для обработки графики. Но за последнее десятилетие системы распознавания лиц распространились повсюду, и данные, собранные по ним, помогли компаниям отточить свои технологии.
Кто владеет технологией?
Технологические фирмы по всему миру развивают программы распознавания лиц, но США, Россия, Китай, Япония, Израиль и Европа лидируют. В некоторых странах технология применяется с большей готовностью, чем в других.
В Китае миллионы камер подключены к программному обеспечению распознавания лиц, а Россия заявила о планах использовать для наблюдения собственные сети. В Европе, как и везде, программа распознавания лиц используется в магазинах для задержания воров и в бизнесе для мониторинга персонала и посетителей, но распознавание лиц в режиме реального времени в общественных местах пока на стадии судебных разбирательств.
В США полиция обычно использует систему распознавания лиц для идентификации подозреваемых по видеозаписям с камер наблюдения, а не для сканирования толп людей в режиме реального времени. Но все равно система используется все больше. Согласно отчету 2016 года Центра права Университета Джорджтаун, половина всех американцев находится в полицейских базах данных по распознаванию лиц, а значит, алгоритмы выбирают подозреваемых из 117 миллионов виртуальных профилей законопослушных граждан.
Биометрия станет обязательной?
В законе прямо сказано, что организации не в праве отказывать в предоставлении услуг, если клиент отказался проходить идентификацию по биометрии. Но правило распространяется на государственные и муниципальные услуги. Частные организации могут отказать. В том числе к ним относятся банки и МФО.
Однако если клиент согласился на идентификацию по лицу и голосу, но его личность не подтвердилась, то нотариус откажет в оказании услуг. Это ограничение закреплено законом № 480-ФЗ.
Размещение в системе может проводиться только по письменному заявлению клиента, форма которого утверждена правительством. Банк не может сфотографировать клиента во время оформления кредита и размесить данные в ЕСБ, сославшись, что есть подпись на кредитном договоре.