Коммерсантъ: Что означает передача личных биометрических данных государству
Владислав Архипов, директор Центра исследования проблем информационной безопасности и цифровой трансформации 188bet体育_188bet亚洲体育_点此进入, о том, надо ли что-то с этим делать.
Клиентам банков начали приходить уведомления о?том, что их?биометрические данные будут переданы в?Единую биометрическую систему (ЕБС). Банки (как и?многие другие) теперь обязаны использовать ЕБС, если они осуществляют обработку биометрических персональных данных для целей идентификации и?аутентификации в?автоматическом режиме. Биометрические персональные данные в?этом контексте?— это сведения о?лице и?о?голосе в?особом формате. В?то?же время обработка биометрических персональных данных банками по-прежнему возможна только на?основании согласия субъекта в?письменной форме, предоставление таких данных банкам не?является обязательной, и?они не?вправе отказать в?обслуживании, если субъект не?дает свое согласие или не?предоставляет такие данные.
Понятие биометрических персональных данных и?основные правила их?обработки были закреплены в?Федеральном законе от?27.07.2006 №?152 ?О?персональных данных? с?момента его принятия в?2006?году. Биометрические персональные данные?— это ?сведения, которые характеризуют физиологические и?биологические особенности человека, на?основании которых можно установить его личность и?которые используются оператором для установления личности субъекта персональных данных? (то?есть нас с?вами). Это понятие чуть уже, чем в?некоторых других странах, где к?биометрическим данным также относятся типовые особенности поведения, в?том числе в?цифровой среде. В?банковских системах в?отношениях с?клиентами используются данные о?лице и?голосе.
Биометрические персональные данные по?общему правилу могут обрабатываться только на?основании письменного согласия субъекта?— такое согласие содержит ряд обязательных реквизитов, включая паспортные данные. Без согласия обработка биометрических персональных данных может использоваться только в?очень специфических случаях (например, в?связи с?осуществлением правосудия и?исполнением судебных актов, в?соответствии с?законодательством о?противодействии терроризму или о?нотариате), банковские услуги к?таким не?относятся. Кроме того, как это следует из?общих правил, согласие всегда можно отозвать. Оператор, правда, вправе определять разумный способ отзыва согласия и?может предусмотреть способы установления личности того, кто согласие отзывает. Эти общие правила продолжают действовать. Также действовали и?действуют отдельные подзаконные акты и?методические документы в?области информационной безопасности, учитывающие особенности биометрических персональных данных.
Долгое время какого-либо специального регулирования порядка обработки биометрических персональных данных не?было. Коммерческие организации, в?том числе банки, могли собирать и?использовать биометрию на?указанных общих основаниях, получая письменное согласие субъекта. Иными словами, если вас уведомили, что ваши биометрические персональные данные будут передаваться в?ЕБС, это означает, что вы?их?когда-то сдавали и?подписали согласие на?обработку биометрических персональных данных. Хотя клиенты разных организаций не?всегда получают полную информацию о?том, что конкретно происходит с?юридической точки зрения, по?закону согласие на?обработку персональных данных должно даваться свободно, своей волей и?в?своем интересе и?быть конкретным, предметным, информированным, сознательным и?однозначным. Если вы?уверены, что совершенно точно не?предоставляли биометрию и?не?давали согласие (даже мимоходом, не?обратив на?это должное внимание),— это повод обратиться в?банк.
С?принятием и?вступлением в?силу 572-ФЗ* от?29.12.2022 автоматическая обработка биометрии возможна только с?использованием ЕБС. Установлен сложный и?многоступенчатый переходный период. Та?часть, которую мы?сейчас наблюдаем, связана с?положением, согласно которому соответствующие операторы, включая коммерческие банки, обязаны обеспечить размещение биометрических персональных данных в?ЕБС в?срок до?30?сентября 2023 года (ч.?2?ст.?26 572-ФЗ). Согласно пояснительной записке к?тогда еще законопроекту он?был подготовлен в?связи с?реализацией государственной политики в?части повышения безопасности обработки биометрических персональных данных. Предполагается, что в?отсутствие единых условий и?инфраструктуры обработки и?защиты биометрии государство не?может проконтролировать уровень этой защиты, а?потому ЕБС должна быть более надежной. Это соображение, разумеется, не?лишено оснований. Некоторые эксперты в?области информационной безопасности при этом отмечают, что в?условиях, когда ЕБС будет обогащена огромным количеством биометрии, она станет более привлекательной целью для злоумышленников в?информационной сфере, но?и?государство это тоже вполне осознает.
Как банкам, так и?клиентам биометрия может быть интересна тем, что она повышает доступность и?скорость оказания услуг, если все идет нормально. Банки несут меньше издержек и?им?проще оказывать услуги удаленно, а?клиентам получать такие услуги становится легче. Например, Сбербанк отмечает, что такой способ идентификации особенно актуален для труднодоступных регионов, и?с?этом сложно поспорить.
С?точки зрения как информационной безопасности, так и?правового регулирования особенность биометрических персональных данных заключается в?том, что если кто-либо получил возможность незаконно использовать достоверные и??оригинальные? биометрические данные, себя почти невозможно защитить именно с?помощью изменения таких данных (в?отличие, например, от?ситуации с?номером телефона, который можно поменять, хотя это может быть и?неудобно). Казалось?бы, это соображение однозначно подталкивает к?тому, чтобы отказаться от?использования биометрии, но?ситуация далеко не?так проста: это соображение из?области теории, а?его актуальность сильно зависит от?защищенности исходных биометрических данных. Если эти данные безопасны, на?что и?нацелена вся концепция ЕБС, то?использование биометрии, напротив, позволяет защититься от?других и?весьма многочисленных видов недобросовестных практик и?преступлений, причем способов совершения мошенничества и?прочих подобных деяний в?областях, где требуется устанавливать личность, и?без использования биометрии очень и?очень много. Поэтому выбор в?данной области лежит скорее в?плоскости того, кто как для себя воспринимает риски на?индивидуальном уровне с?учетом ситуации: в?области биометрии или в?области классического способа получения банковских услуг, причем с?учетом необходимости регулярно пользоваться дистанционными услугами, для которых биометрическая идентификация будет полезна.
Проверить данные согласия на?биометрию можно на??Госуслугах?, в?МФЦ можно оформить полный запрет на?сбор и?обработку биометрии. Банки, развивающие биометрические сервисы, также внедряют соответствующие функции в?свои личные кабинеты.
* Полное название закона?— Федеральный закон от?29.12.2022 №?572 ?Об?осуществлении идентификации?и (или) аутентификации физических лиц с?использованием биометрических персональных данных, о?внесении изменений в?отдельные законодательные акты Российской Федерации и?признании утратившими силу отдельных положений законодательных актов Российской Федерации?.