Что нужно знать о биометрических персональных данных

Что относится к биометрическим персональным данным?

Использование биометрии на сегодняшний день очень актуально. В соответствии с законом, посвященном персональным данным, биометрические данные включают в себя физиологические и биологические особенности человека со следующими характеристиками:

1. дактилоскопические данные
2. радужную оболочку глаз
3. анализы ДНК
4. рост, вес
5. образ лица
6. особенности строения тела
7. фотография
8. видеозапись
9. аудиозапись голоса
10. другие данные

Как видно из приведенного списка, рассматриваемые персональные данные включают в себя информацию, которая для каждого человека является индивидуальной, и установить личность по соответствующим данным не составляет труда. Надо сказать, что в некоторых банках начали фиксировать биометрические данные клиентов, а именно, осуществляется фотографирование и запись голоса.

Что не является биометрическими ПДн?

Не относятся к биометрическим данным фото в личном деле сотрудника, подпись и почерк. Происходит это по тому, что их анализ направлен на подтверждение принадлежности человеку, который уже идентифицирован в информационной системе.

Также не причисляют к биометрическим ПДн флюорографические и рентгеновские снимки, которые находятся в историях болезней, потому что их используют для установления болезни, а не личности. Исключением являются случаи, когда снимки используются в рамках следствия.

Тот же принцип действует для видеоматериалов, снятых на охраняемой территории и в публичных местах. Пока они не служат для установления личности, биометрическими они не являются.

Защита идентификационных сведений

Согласно пункту № 8 Приказа № 321 для защиты БПД оператор обязан придерживаться таких правил, как:

1. Подготовка материалов осуществляется уполномоченным должностным лицом, которое обеспечено электронно-цифровой подписью.
2. Хранение ключей проводится так, чтобы исключить незаконное использования в целях предотвратить внесение неправомочных корректировок, добавления, обновления или ликвидации информации.
3. При передаче третьей стороне цифровой подписи, а также нарушение конфиденциальности, влечет к вменению ответственности по УК России.

Защита секретности полученных материалов осуществляется сотрудниками, которые ответственны за подготовку, хранение и выдачу электронно-цифровых ключей.

Законодательное регулирование

Основой законодательства в области идентификации пользователя можно назвать Федеральный закон от 27 июля 2006 г. № 149-ФЗ “Об информации, информационных технологиях и о защите информации”, который в 2017 г. законодатель дополнил ст. 14.1 “Применение информационных технологий в целях идентификации граждан Российской Федерации”. В статье устанавливается фундамент для Единой биометрической системы и ее связи с Единой системой идентификации и аутентификации (ЕСИА), знакомой вам по порталу госуслуг. В ч. 9 настоящей статьи есть отсылка к 152-ФЗ, что говорит о том, что собранные нами биометрические данные являются явно персональными, несмотря ни на какие заявления производителей оборудования и ПО, где они говорят, что их системы не подпадают под закон о защите персональных данных.

Поскольку биометрические данные в СКУД являются персональными, то мы должны исполнить требования Федерального закона “О персональных данных” от 27 июля 2006 г. N 152-ФЗ, который также относит биометрические данные к персональным, поскольку с их помощью можно однозначно идентифицировать личность. При этом законодатель не учитывает, что идентификация может быть выполнена только в строго ограниченных условиях при проведении контроля доступа на предприятии. Иными словами, фотография паспорта на столе у кадровика и математическая модель дактилоскопического узора в базе данных сервера СКУД – это одно и то же с точки зрения защиты персональных данных.

152-ФЗ устанавливает совершенно конкретные требования к обработке биометрических персональных данных, в том числе для целей контроля и учета доступа, а именно:

1. Если вы обрабатываете биометрические персональные данные, вы должны подать уведомление в Роскомнадзор о том, что являетесь оператором персональных данных. Уведомление нужно подать даже в том случае, если юридическое лицо, которому принадлежит СКУД, не является работодателем для сотрудников предприятия. К примеру, за контроль периметра и СКУД на предприятии отвечает другое юридическое лицо.
2. Вы должны получить у владельца персональных данных отдельное согласие в письменной форме на обработку его персональных данных в целях контроля и учета доступа. Такое же согласие вы должны получить у гостей предприятия, если вы вносите их имена в СКУД, привязывая к биометрии.
3. Ч. 4 ст. 21 закона говорит, что в случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее и уничтожить персональные данные в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором. Это означает, что вы должны удалить биометрические данные сотрудника из СКУД не позднее 30 дней со дня его увольнения.

Вы также можете ознакомиться с документом РКН от 30 августа 2013 г. “Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки”.

Где могут быть использованы физические сведения о гражданине

Биофизические информационные материалы могут понадобиться в различных сферах жизни, где требуется распознавание человека. Успешное применение биофизических особенностей граждан уже нашло себя в таких направлениях, как:

• выдача биометрических загранпаспортов;
• оформление виз в упрощенном порядке с применением биометрического распознавания;
• дактилоскопическая регистрация иностранцев и граждан России;
• идентификация в пропускных системах офисов и компьютерных системах, смартфонах и т. д.

Идентификация по биометрическим данным гораздо надежнее, чем визуальная. Например, сотрудник банка не сумеет отличить друг от друга близнецов, а биометрический анализ их голоса и изображения с большой долей вероятности сможет.

Список БПД

Процедура внесения сведений о лице требует соблюдения следующих параметров:

• информация должна в полной мере отображать личность человека;
• использование БАД позволяет идентифицировать гражданина.

Биофизические свойства индивида:

• отпечатки пальцев, в т. ч. ладоней;
• радужная сетчатка глаза;
• генетические анализы (ДНК);
• овал лица;
• нюансы строения тела;
• рост и вес;
• психический уровень здоровья.

Чтобы распознать конкретное лицо оператору необходимо получить больше одной поведенческих особенностей или индивидуальных физиологических черт.

В ПП № 722 от 30 июня 2018 г. приведен список информации об индивидуальных сведениях, которые допускается размещать в электронной базе:

• фотографии или видео с лицом человека;
• звук голоса, полученные через специальное устройство.

Для чего банкам биометрия?

Как известно, биометрические данные самые надежные, и гарантируют 100% идентификацию граждан. Идея о внедрении подобной идентификации в банковской сфере появилась уже давно. Однако внесения соответствующих законов тормозилось несогласными депутатами, скандировавшими о правах населения. Так, среди широких масс, подобная инициатива вызывала бурю отрицательных эмоций, объясняя их тем, что народ попросту хотят держать под всеобщим контролем.

Однако есть и другая точка зрения. Ведь внедрение биометрической идентификации сделает банковские операции более надежными. Это реальный шанс сократить количество совершенных финансовых махинаций, в том числе незаконно полученных кредитов по чужим паспортам. Ведь идентификация предполагается с использованием фотографии и слепка голоса клиента, которые подделать не удастся.

А также банки заявили о намерении увеличить список предложенных к использованию операций удаленным способом при соответствующе биометрической идентификации. По их словам, это поможет уменьшить количество людей в отделениях банка и позволит получить более сжатые сроки по предоставлению необходимых банковских услуг.

Обратите внимание! При этом никто не упомянул о том, что вероятность увеличения преступных схем по принудительному открытию кредитов и осуществлению сделок с использованием крупных сумм удаленно, без присутствия в банке, может только возрасти. Ведь где гарантия, что к вам не придут злоумышленники и не заставят пройти биометрическую идентификацию в своих корыстных целях.

Как хакеры обманывают системы распознавания лиц

В 2020 году сеть московских кафе Prime запустила функцию оплаты счёта по лицу. Чтобы воспользоваться этой услугой, необходимо предварительно сдать биометрические данные в банке, который выпустил карту. Также оплату по лицу тестируют сети магазинов «Лента», «Перекрёсток» и «Пятёрочка».

Но иногда нейросети дают сбой. В 2020 году система распознавания лиц в столичном метро приняла москвича за преступника. В итоге его задержали — и не сняли с него все подозрения, пока не нашли реального подозреваемого.

В 2021 году двое похожих мужчин из Екатеринбурга случайно взломали Face ID на iPad. Даниил взял у своего друга Никиты планшет и хотел спросить пароль, но экран разблокировался сам. При этом они не приходятся друг другу родственниками, а лицо Даниила не было внесено в память устройства.

Это не единственный случай, когда Face ID не сумела защитить гаджет Apple от несанкционированной авторизации. В 2019 году на конференции Black Hat USA исследователи продемонстрировали способ обхода аутентификации, позволяющий получить доступ к iPhone жертвы за 120 секунд. Для этого потребовалось три вещи: очки, скотч и спящий владелец смартфона.

Исследователи обнаружили, что система биометрической аутентификации не извлекает полные 3D-данные из области вокруг глаз, если распознаёт, что владелец носит очки. Вместо этого Face ID ищет чёрную область с белой точкой посередине, которая является радужной оболочкой глаза.

Исследователи решили воспользоваться этим. Они взяли обычные очки, наклеили на линзы чёрный скотч, проделали в нём дырочку и надели аксессуар на спящего владельца смартфона. Этого оказалось достаточно, чтобы обмануть FaceID и получить доступ к смартфону.

Как биометрию используют в сфере финансов?

Банки, платежные системы, торговые сети, кафе и другие сервисы активно внедряют биометрические технологии. С одной стороны, это помогает защитить клиентов от мошенников –преодолеть шифры двойной, а то и тройной биометрической идентификации гораздо сложнее, чем подобрать ПИН-код. С другой — это упрощает финансовые операции: покупки, денежные переводы и оплата услуг становятся легкими и быстрыми.

Кроме того, биометрия — это защита на случай экстренных ситуаций. В Японии после разрушительного землетрясения и цунами в марте 2011 года множество людей лишись не только своих банковских карт, но и документов. Они вынуждены были проходить через долгие и утомительные процедуры идентификации личности, чтобы снять деньги со своих счетов. После этого в стране создали единую биометрическую систему, которая исключает такую проблему в будущем.

Биометрические платежи

Прорывом стал запуск платежных сервисов Apple Pay, Samsung Pay и Android Рау, которые идентифицируют пользователей по отпечаткам пальцев с помощью смартфонов. В 2016 году в мобильном приложении китайской платежной системы Alipay заработала функция идентификации по изображению лица.

В Японии в преддверии Олимпийских игр 2020 года уже начали тестировать новую систему оплаты товаров и услуг для иностранцев. Она позволит им расплачиваться в гостиницах, магазинах и ресторанах, просто прикладывая палец к считывающему устройству. Снять отпечатки пальцев и привязать их к счету банковской карты гости смогут сразу по прибытии — в портах и аэропортах.

Финансисты вместе с технологическими компаниями разрабатывают и самые необычные биометрические решения. Например, один из зарубежных банков представил прототип браслета с функцией бесконтактных платежей, который идентифицирует пользователя по сердечному ритму.

Биометрию используют и в России. В некоторых кафе уже можно расплатиться, просто посмотрев в камеру на кассе. Чтобы система распознала человека, нужно заранее скачать специальное приложение, привязать к нему банковскую карту и загрузить свой портрет. Специальное программное обеспечение, установленное на камерах возле касс, распознает человека — и автоматически списывает деньги с его счета.

Денежные переводы

Некоторые зарубежные и российские банки используют технологию распознавания лиц для денежных переводов. Вы скачиваете на смартфон специальное приложение и выбираете «перевод по фото». Затем находите фото получателя в галерее. Изображение отправляется в банковскую систему распознавания лиц. Маскированный номер карты получателя выводится на экран. Вам остается только подтвердить отправку денег.

Кредиты и вклады онлайн

В России биометрическая идентификация в банках применяется уже очень широко. Крупные банки применяют голосовые технологии в колл-центрах, технологии распознавания лица при повторном обращении клиента в отделение банка для получения кредита, сканирование отпечатков пальцев для входа в мобильное приложение и для доступа к банковским ячейкам.

Механизм удаленной идентификации  в России позволяет открывать вклады, счета и получать многие другие услуги онлайн. Для этого клиенту нужно лишь один раз прийти в банк с документами и пройти первичную идентификацию — записать голос и видео. Банк отправляет эти данные в Единую биометрическую систему. Затем человек может дистанционно получать услуги любого банка, пройдя двойное подтверждение личности: через Единую государственную систему идентификации и аутентификации (Портал госуслуг) и через Единую биометрическую систему. Вся процедура займет несколько минут.

Биометрические данные и их безопасность

Является ли использования биометрических данных безопасным методом в мире финансов? Каким образом они защищены от мошеннических действий? Непростые вопросы, ответить на которые необходимо.

Использование биометрических данных для проведения различных финансовых операций и транзакций гораздо безопасней, чем введения пин-кодов, паролей или применения банковской системы смс-уведомлений. Ведь взломать или украсть ваши биометрические данные, а именно отпечатки пальцев или же голос злоумышленникам не удастся.

Но, несмотря на высокую безопасность такого метода для биометрических систем были разработаны специальные защитные механизмы. Благодаря им биометрия защищается от взломов и подделок данных.

Законодательная база

Обрабатывать биометрические ПДн можно только с письменного согласия субъекта. Исключения прописаны в части 2 статьи 11 закона 152. К ним относятся:

• реализация международных договоров России о реадмиссии;
• деятельность судов;
• проведение обязательной государственной дактилоскопической регистрации;
• вопросы обороны, безопасности, противодействия терроризму, безопасности транспорта, противодействия коррупции, оперативно-розыскной деятельности, госслужбы;
• исполнение уголовно-исполнительного законодательства РФ;
• нормы законодательства РФ о порядке выезда и въезда в страну;
• нормы законодательства о российском гражданстве.

Порядок работы с фото- и видеоизображением человека указан в статье 152.1 Гражданского кодекса РФ. Публикация и использования таких материалов разрешены только с согласия того, кто присутствует на фото или видео. После смерти человека, разрешение на использование его изображения могут дать представители: дети, супруг, родители. Согласно статье, согласие не требуется в случаях, когда:

• изображение используется в общественных, государственных и иных интересах;
• изображение получено на публичных мероприятиях или в местах свободного посещения (исключением является случай, когда используется изображение конкретного человека);
• осуществлялась платная фото- или видеосъемка.

В конце 2017 года был введен механизм удаленной идентификации клиента кредитной организации, порядок которого прописан в 484-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации».  Изменения были внесены в законы «О банках и банковской деятельности», «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», «Об информации, информационных технологиях и о защите информации

Суть поправок в том, что после личной идентификации информация о человеке с его согласия вносится в единую биометрическую систему и единую систему идентификации и аутентификации (ЕСИА). Осуществлять эту процедуру могут только организации, соответствующие критериям Банка России. Практика позволяет человеку, который был идентифицирован, получать некоторые виды услуг банка без личного присутствия.

Особые требования при использовании и хранении БПД вне информационных систем персональных данных

Пункт 7 ст. 86 ТК РФ обязывает работодателя при обработке персональных данных защищать их от неправомерного использования или утраты за счет собственных средств.

Часть 10 ст. 19 Закона о персональных данных предусматривает, что использование и хранение БПД вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

Отметим, что информационная система персональных данных – это совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств (ст. 3 Закона о персональных данных). Примером такой системы можно назвать совокупность компьютеров учреждения, объединенных в локальную сеть.

Соответственно, хранение БПД вне информационных систем персональных данных учреждения может осуществляться на внешних накопителях данных, например на внешнем жестком диске, флешках USB, внешних SSD-накопителях, картах памяти, оптических носителях.

Во исполнение требования п. 3 ч. 3 Закона о персональных данных Постановлением Правительства РФ от 06.07.2008 N 512 утверждены Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных (далее – Требования).

Названный документ содержит перечень требований к материальным носителям БПД и к действиям работодателя с ними:

1. учреждение должно утвердить порядок передачи материальных носителей уполномоченным лицам (п. 5 Требований);
2. материальный носитель должен использоваться в течение срока, установленного учреждением (п. 6 Требований);
3. учреждение обязано осуществлять учет количества экземпляров материальных носителей, присваивать им уникальные идентификационные номера (п. 8 Требований);
4. учреждение должно соблюдать технологию хранения БПД вне информационных систем персональных данных, в частности организовать доступ к информации на материальном носителе только для уполномоченных лиц, применять средства электронной подписи или иных информационных технологий, позволяющих сохранить целостность и неизменность БПД, записанных на материальный носитель, проверять наличие письменного согласия субъекта на обработку его БПД или наличие иных оснований обработки персональных данных, установленных законодательством (п. 9 Требований).

При хранении БПД вне информационных систем персональных данных должна обеспечиваться регистрация фактов несанкционированной повторной и дополнительной записи информации после ее извлечения из такой системы (п. 11 Требований).

Статья 87 ТК РФ определяет, что порядок хранения и использования персональных данных работников работодатель устанавливает с соблюдением норм законодательства. Таким образом, учреждение должно утвердить порядок хранения и использования указанных данных, в том числе БПД.