Продолжая о биометрии
Осень выдалась богатой на новости и события, связанные с биометрией, поэтому решили проанализировать вопрос, стоит ли использовать сервисы с биометрией? И стоит ли ее сдавать в ЕБС (единую биометрическую систему)?
Данная публикация не претендует на всестороннее и, следовательно, объемное раскрытие темы. Тем более, планируем к ней возвращаться еще не раз. Сейчас лишь некоторые тезисы по вопросу:
- Приход биометрии необратим, достаточно стремителен, хотя и латентен для большинства граждан. Уж больно это удобный и точный инструмент для прицельного наблюдения за поведением людей. Многие претендуют на его использование. Начал как всегда бизнес, но государство быстро включилось.
- Быстрое развитие разнообразной инфраструктуры создает все условия для неявного (скрытного) сбора образцов биометрии. Для сбора изображений лиц - различные видеосистемы, включая городские системы видеонаблюдении, видеокамеры в телефонах и ноутбуках, и конечно, социальные сети. Для образцов голоса - голосовые помощники, «умные» колонки, голосовые чат-боты, голосовые сообщения в мессенджерах. Для явной фиксации биометрических данных создается специализированная инфраструктура – программно-аппаратные комплексы, включая криптобиокабины, в МФЦ, паспортных службах, банках, кредитных и других организациях.
- Государство оценило преимущества биометрических сервисов, но вместе риски бесконтрольного распространения биометрических данных граждан, поэтому активно устанавливает свои правила игры на этом поле. В подтверждение этому – подборка постановлений Правительства РФ и приказов Министерства цифрового развития, связи и массовых коммуникаций РФ (Минцифры), вышедших только за последние пару месяцев (см. в конце поста). Мы внимательно почитаем эти документы, но о них следующих постах.
- Около государственные и частные игроки тоже не сидят сложа руки. Один из примеров: Сбербанк в 2017 году купил 25% акций и включил в свою экосистему компанию VisionLabs – разработчика решений в области распознавания лиц и объектов https://www.sberbank.com/ru/eco/visionlabs. В 2019 году приобрел 51% акций и включил в свою экосистему группу компаний ЦРТ, разработчика интеллектуальных решений по голосовой биометрии и распознавания лиц https://www.sberbank.com/ru/eco/crt. Также Сбербанк активно развивает биометрический сервис «Оплата одним взглядом». Примеры можно продолжать – Ростелеком, ВТБ, X5 Retail Group и другие.
- И последнее в этом посте, публичные уверения, что в биометрических сервисах будут использоваться лишь коды, полученные из биометрических данных, по которым восстановить лицо или голос невозможно, не вполне достоверны. В частности, биометрические образцы, включая изображения лиц и записи голоса, будут храниться в местах сбора и передаваться по каналам электронного взаимодействия в ЕБС (стр.9 п.14 Приказа Минцифры № 930 от 10.09.2021, ссылка ниже). А пункт 16 на стр.9 того же приказа гласит, что в ЕБС, биометрические персональные данные будут храниться не менее 50 лет с момента размещения.
Что ж, на вопрос стоит ли использовать сервисы с биометрией, пока никто не ответил.
В следующих постах постараемся подробнее осветить, какие риски стоит учитавать в использовании биометрии.
Бегите себя, соблюдайте правила цифровой гигиены!
Приложение:
- 13 октября опубликовано Постановление Правительства РФ от 11.10.2021 № 1729 «Об утверждении Положения о федеральном государственном контроле (надзоре) в сфере идентификации и (или) аутентификации». Приложение к Положению содержит критерии отнесения объектов федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации к категориям риска причинения вреда (ущерба) охраняемым законом ценностям. Положение вступает в силу с 1 января 2022 г. http://publication.pravo.gov.ru/Document/View/0001202110130008
- 18 октября опубликовано Постановление Правительства Российской Федерации от 15.10.2021 № 1753 "Об утверждении требований к организационным и техническим условиям осуществления многофункциональными центрами предоставления государственных и муниципальных услуг размещения или обновления в единой системе идентификации и аутентификации сведений, необходимых для регистрации физических лиц в данной системе, размещения биометрических персональных данных в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, с использованием программно-технических комплексов". Вступило в силу со дня его официального опубликования. http://ips.pravo.gov.ru:8080/default.aspx?pn=0001202110180003
- 21 октября было опубликовано Постановление Правительства Российской Федерации от 20.10.2021 № 1799 "Об аккредитации организаций, владеющих информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающих услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц" .Постановление вступает в силу с 1 января 2022 г. и действует до 1 января 2028 г. http://publication.pravo.gov.ru/Document/View/0001202110210028
- 16 сентября опубликован Приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 25.05.2021 № 494 "Об утверждении перечня угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, а также актуальных при взаимодействии государственных органов, органов местного самоуправления, индивидуальных предпринимателей, нотариусов и организаций, за исключением организаций финансового рынка, с указанной системой, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных". http://publication.pravo.gov.ru/Document/View/0001202109160019?index=0&rangeSize=1
- 17 сентября опубликован приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 27.08.2021 № 896 "Об утверждении требований к деловой репутации единоличного исполнительного органа или членов коллегиального исполнительного органа организации, владеющей информационной системой, обеспечивающей идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающей услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц". Приказ вступает в силу с 1 марта 2022 года и действует до 1 марта 2028 года. http://publication.pravo.gov.ru/Document/View/0001202109170030?index=3&rangeSize=1
- 28 октября опубликован приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 10.09.2021 № 930 "Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных, порядка размещения и обновления биометрических персональных данных в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации". Приказ вступает в силу с 1 марта 2022 года и действует до 1 марта 2028 года. Действующий в настоящее время приказ Минкомсвязи от 25.06.2018 № 321 с 1 марта 2022 года будет признан утратившим силу. http://publication.pravo.gov.ru/Document/View/0001202110280037?index=2&rangeSize=1
- 03 ноября опубликован приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 01.09.2021 № 902 "Об утверждении перечня угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица в информационных системах организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, за исключением единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, а также актуальных при взаимодействии государственных органов, органов местного самоуправления, индивидуальных предпринимателей, нотариусов и организаций, за исключением организаций финансового рынка, с указанными информационными системами, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных, и учетом вида аккредитации организации из числа организаций, указанных в частях 18.28 и 18.31 статьи 14.1 Федерального закона от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации". http://publication.pravo.gov.ru/Document/View/0001202111030007