В июле президент России Владимир Путин подписал федеральный закон о внесении персональных биометрических данных в единую биометрическую систему. Согласно этому закону, любые госорганы, банки и другие организации, работающие с биометрией, обязаны передать все эти данные в единую биометрическую систему. При этом согласия от самих людей, сдававших биометрию, получать не будут. Чем это грозит? Есть ли риск того, что личные данные, например, клиентов банков станут известны всем? Для чего вообще нужна единая биометрическая система? Разобрались, в чем плюсы, минусы и подводные камни этого закона.
Биометрия — система распознавания людей по одной или более физическим или поведенческим чертам (трехмерная фотография лица и/или тела, образец голоса, отпечатки пальцев, рисунок вен руки, группа крови, специальное фото роговицы глаза и т.д.). В области информационных технологий биометрические данные используются для контроля доступа. Также биометрический анализ используется для выявления людей, которые находятся под наблюдением (в России — отпечатки пальцев).
Что за единая биометрическая система?
Работа над созданием единой биометрической системы (ЕБС) началась в 2017 году, это был совместный проект Банка России и компании «Ростелеком». Тогда специалисты ЦБ разработали законопроект, обязывающий кредитные организации собирать биометрические данные россиян, а в декабре 2017 года Госдума приняла закон об удаленной идентификации клиентов банков с помощью биометрии.
Новую систему продемонстрировали 7 июня 2018 года на Международном финансовом конгрессе, а уже 30 июня система была запущена. В список организаций, которые уполномочены собирать биометрическую информацию, вошли 438 банков. Российская банковская система в первую очередь развивала идентификацию по геометрии лица (Face ID) и по голосовым слепкам.
Но уже в 2019 году планы по ускоренному введению ЕБС пришлось скорректировать, поскольку у банков (особенно у малых) возникли объективные трудности при внедрении этой системы. 1 января 2021 года к ЕБС начали подключаться страховые компании, а 30 декабря этого же года система стала государственной. Это дало возможность собирать биометрические данные с помощью центров госуслуг «Мои документы».
Банковские проблемы
После подписания нового федерального закона сложности в первую очередь возникли у банков, которые являются главными сборщиками биометрических данных России. По данным «Коммерсанта», в банках есть десятки миллионов образцов биометрии, но стандартам качества ЕБС соответствуют около 10% данных — 4–5 миллионов. При этом даже импорт такого небольшого объема данных в ЕБС может начаться не раньше чем через полгода, а все не соответствующие нормам образцы придется удалять.
— Поскольку использование контрольных шаблонов, не соответствующих требованиям приказа Минцифры, и их хранение в иных информационных системах не допускается, можно сделать вывод, что такие биометрические данные должны быть удалены, — заявил руководитель практики «Криптоактивы» консалтинговой группы GRM Ярослав Вирчик, добавив, что в противном случае банки берут на себя риск утечки данных и «получения соответствующих предписаний от регулятора».
Кроме того, пока так и не решен вопрос с биометрией людей, у которых нет подтвержденного аккаунта на портале «Госуслуги» — это одно из важных условий для передачи данных в ЕБС. Источники «Коммерсанта» считают, что доля людей, сдавших биометрию без аккаунта на портале «Госуслуги», может составлять до 30%. Поэтому пока до конца не ясно, вырастет ли база ЕБС за счет данных от банка.
Чем грозит этот перенос данных?
Перенос биометрических данных из банков и госорганов в ЕБС без согласия людей звучит очень настораживающе. Но, по словам аналитика TeleTrade Алексея Федорова, сам закон лишь закрепляет режим оборота этих персональных данных и не несет никакого дополнительного риска.
— Напротив, общая защищенность системы оборота персональных данных в России должна вырасти. Всё потому, что теперь биометрические данные будут сразу передаваться и храниться в государственной ЕБС, которая будет администрироваться Минцифры. А сторонним организациям вроде коммерческих банков будет запрещено хранение копий этих данных, — объяснил Алексей Федоров.
Также эксперт заявил, что банки смогут использовать биометрию из ЕБС для подтверждения личности своих клиентов.
— Это очень актуально для кредитных операций, где биометрические данные могут решить проблему оформления займов по поддельным документам. Кроме того, это может создать условия для замены ушедших из России платежных систем Apple Pay и Google Pay, — считает Алексей Федоров, имея в виду потенциальную возможность оплачивать товары и услуги с помощью биометрических данных.
Экономист Георгий Остапкович же считает, что передача персональных данных без ведома человека — не самая лучшая идея:
— Не вижу фундаментальной нужды во введении этого закона по передаче данных в единую биометрическую систему. Нет гарантий, что через три дня все эти базы данных не всплывут где-нибудь на Савеловском рынке. Конечно, раз это законодательно принято, то ничего против уже сказать нельзя, нужно исполнять. Но при утечке данных с этим можно даже смело разбираться в судебном порядке.
Впрочем, по мнению Алексея Федорова, уровень безопасности не изменился бы, поскольку случаи масштабных утечек периодически происходят в любом случае:
— Если бы коммерческим организациям разрешили сохранять копии биометрических данных, то мошенникам пришлось бы научиться их использовать — общий уровень безопасности кредитных и платежных операций не изменился. В итоге история с биометрией превратилась бы в простое повышение удобства для клиентов, и не более того. А с ЕБС и новым принятым законом есть шансы и на импортозамещение в сфере платежных услуг вместе с ростом защищенности граждан.
Что еще почитать по теме?
Выясняли, когда в России запустят систему электронных паспортов (и как она будет выглядеть);
разбирались, зачем россиянам нужны электронные медкарты;
рассказали о трех новых схемах мошенников, которые выводят деньги с карты.