Биометрия на заказ
Регулирование / Статьи
технологии
10.6.2022

Биометрия на заказ

В каких сферах применяются обезличенные данные видеоаналитики

Власти Московской области и двух других регионов РФ внедряют платформу видеоаналитики. Исполнитель заказа – компания NtechLab – обещает предоставить функцию распознавания силуэтов на улицах. Система должна послужить не только госструктурам, но и коммерческим организациям. Правда, регуляторика пока отстает от практического применения таких технологий. Вместе с аналитиками и юристами RSpectr разбирался в правовых коллизиях обезличивания силуэтов.

ФИГУРЫ НА ВСЕ СЛУЧАИ

Как рассказали «Коммерсанту» в компании NtechLab, подобная система «позволит получить обезличенные данные о посещении общественных мест и мероприятий». IT-решение уже работает на 200 объектах (парках, автобусных остановках, медучреждениях), выполняя задачи по отслеживанию загруженности и обеспечению безопасности. Силуэт человека распознается видеокамерами в людском потоке, а данные сохраняются в форме аналитических отчетов и таблиц и удаляются спустя установленное время.

Замминистра госуправления, информационных технологий и связи Московской области Вячеслав Метелев пояснил «Ъ», что доступ к данным системы получат сотрудники оперативно-розыскных служб, адвокаты по запросу граждан, управляющие и страховые компании. Городские и муниципальные власти используют подобные решения в первую очередь для регулирования трафика и обеспечения безопасности, контроля за обстановкой во время массовых мероприятий, рассказал RSpectr технический директор DIS Group Олег Гиацинтов.

Если доступ к данным с камер получат управляющие и страховые компании, то они смогут использовать их в коммерческих целях

Например, страховщики увидят момент ДТП и виновника происшествия. Управляющие компании получат анализ потока граждан в торговые центры или иные учреждения. Эта информация позволяет выстраивать маркетинговую политику для роста продаж и посещаемости ТРЦ.

В сфере транспорта тоже можно решать некоторые коммерческие задачи, сообщил RSpectr основатель сервиса Intelligent transport solutions компании ICL Services Владимир Каюров.

Владимир Каюров, ICL Services:

– Например, выбор дороги для размещения нового торгового центра, обеспечение наилучшего и удобного доступа к ТЦ или определение времени для посетителей, в которое рекомендовано ехать, избегая пробок.

Подсчет и анализ людского потока уже активно применяется IT-компаниями как внутри торговых центров, так и на улицах. «Мы считаем внешний трафик вдоль магазинов. Эти данные используются для получения конверсии уличного потока в заходы в магазин», – рассказал RSpectr основатель IT-компании по видеоаналитике СЭЛТОРС Григорий Громов. Также фирма ведет подсчет на перекрестках рядом с торговыми точками. При этом компания готова оказывать услуги и для госструктур.

Григорий Громов, СЭЛТОРС:

– Мы считаем, что муниципалитетам и МВД тоже было бы полезно получать информацию о потоках в городской среде. Например, для отслеживания количества людей в разные временные периоды в различных локациях для планирования маршрутов патрулей или максимального охвата для проведения акций.

При этом компания при обработке силуэтов людей не использует персональные данные (ПД), поэтому ее система не нарушает правовых норм по защите ПД, поясняет Г.Громов. «Для бизнеса это сухие или просто абсолютные цифры статистики, что для первоначального анализа эффективности коммерческой деятельности более чем достаточно», – говорит он.

СПОРНАЯ ПЕРСОНАЛИЗАЦИЯ

Планирует ли NtechLab предоставлять коммерческим структурам данные обезличенных силуэтов, RSpectr не смог выяснить, поскольку компания на момент публикации не предоставила комментарии. Известно только, что силуэты людей подпадают под нормы обработки ПД. Постановление правительства РФ от 23.10.2021 № 1815 устанавливает перечень случаев «осуществления сбора и обработки используемых для идентификации либо идентификации и аутентификации биометрических персональных данных». Поскольку силуэт нужен как раз для идентификации, то есть возможности различать граждан между собой, то данное постановление в полной мере распространяется на использование видеоаналитики, пояснил RSpectr управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников. Но ни в ч. 2 ст. 11 закона о ПД, ни в указанном постановлении никакого упоминания об использовании биометрии для аналитики нет, уточняет эксперт.

Не все так просто и с аппаратными решениями, которые применяют компании для сбора видеоданных. А.Емельянников напомнил, что IT-решения и технические средства, предназначенные для обработки биометрических ПД, в том числе видеокамеры, должны соответствовать требованиям, установленным Минцифры как уполномоченным органом в области биометрической идентификации. Но вот для средств, используемых для распознавания по силуэту, таких требований нет, отметил он.

Гендиректор Института исследований интернета Карен Казарян считает, что с точки зрения закона, даже если система собирает биометрию, но последняя не используется для идентификации, нарушений нет. Также он сообщил RSpectr, что сомневается, можно ли силуэт в принципе классифицировать как биометрию по российскому законодательству.

«По мнению Роскомнадзора (РКН), “данные остаются персональными даже в результате обезличивания, а это значит, что требования закона о персональных данных и все права граждан должны соблюдаться при обработке таких данных”», – напомнил позицию службы М.Емельянников. Как конкретно защищены ПД, может ответить только оператор, который эти данные собирает и обрабатывает, уточнил эксперт.

Михаил Емельянников, «Емельянников, Попова и партнеры»:

– Такая позиция находит поддержку у законодателей, например, в законах об экспериментальных правовых режимах. А это значит, что оператор, обрабатывающий биометрические ПД, полученные в результате обезличивания, должен применять весь комплекс организационных и технических мер, предусмотренных ст. 19 закона «О персональных данных», постановлением правительства РФ № 19 и приказами ФСБ и ФСТЭК РФ.

То есть необходимо обеспечить второй уровень защищенности (защита биометрических данных (БД), включая фотографии, отпечатки пальцев), учитывая количество людей в уличном потоке, добавил эксперт. Именно такой подход реализован в Единой биометрической системе (ЕБС), где БД обезличены, но требования к их защите весьма высоки. Они включают использование сертифицированных ФСБ средств шифрования при передаче БД. Поэтому отдельный закон о порядке обезличивания данных (ОД) для реализации этих требований не нужен. Напомним, что законопроект по ОД все еще находится на рассмотрении в Госдуме с 2021 года.

ТУМАННАЯ ДАННОСТЬ

Если целью сбора и обработки ПД провозглашается контроль за трафиком, то их нельзя использовать в коммерческих целях, раскрывать третьим лицам без согласия субъекта ПД, пояснил О.Гиацинтов.

Эксперты отмечают, что важно защищать не само видео, а полученную видеоаналитику

Интерес представляет не сигнал, а результаты его распознавания – это оцифрованный набор конкретных параметров, описывающих человека, отметил О.Гиацинтов.

Говоря о методике обезличивания БД, эксперт пояснил, что она аналогична требованиям к паспортным данным:

  • хеширование – фактически преобразование значения в 16-ричный код согласно определенному алгоритму;
  • размывание – изменение показателя на случайное, но близкое к реальному, нечеткая дата рождения;
  • перемешивание – перестановка отдельных или групп данных между собой.

Эти методы активно применяются в коммерческой среде и уже доказали свою эффективность. Их часто используют при создании банковских приложений, когда нужно предоставить разработчикам и тестировщикам доступ к чувствительной информации.

Олег Гиацинтов, DIS Group:

– Специалисты получают копии подлинной базы данных, но номера счетов в ней заменены на комбинации случайных цифр, даты рождения клиентов размыты, а фамилии перемешаны в рандомном порядке. Это не нарушает структуру и целостность данных и позволяет использовать их для тестирования, но вот для мошенников никакой ценности они не представляют.

Еще в 2013 году РКН своим приказом № 996 утвердил требования и методы по обезличиванию ПД, которые являются обязательными для государственных и муниципальных органов, в том числе правительства Московской области и иных регионов. Казалось бы, ничто не мешает применять их и для коммерческих целей, если обработка БД ведется на законных основаниях. Но М.Емельянников напоминает, что ст. 11 закона о ПД очень жестко ограничивает возможность использования БД.

Михаил Емельянников, «Емельянников, Попова и партнеры»:

– Для видеоаналитики надо либо получить на это согласие каждого человека в потоке, чьи данные обрабатываются, либо внести изменения в законодательство, указав цели и условия обработки.

Эксперты предполагают, что компания NtechLab будет использовать разные методы сбора данных. Например, у нее есть продукт по подсчету и анализу трафика в помещениях. Возможно, в этих рамках она будет не столько различать силуэты, сколько подсчитывать общее число прохожих. А данные с биометрией предоставлять только по запросу силовых структур. В этом случае решение не является новаторским, поскольку используется около пяти лет. Например, помимо бизнеса, систему подсчета трафика при помощи видеокамер и специального ПО внедряли директора городских парков в регионах.

Изображение: RSpectr, Adobe Stock, Freepik

Еще по теме

Помогут ли поправки в ГК РФ легализовать работу исследователей уязвимостей

Помогут ли страховые выплаты, предложенные ВСС, компенсировать ущерб от утечки персданных

Евросоюз потребовал у западных социальных сетей раскрыть механизмы работы рекомендательных алгоритмов

Каких поставщиков услуг хостинга выбрало государство для своих информсистем

Регуляторы и производители поспорили о стоимости отечественного ПО

Готовы ли бизнес и госсектор к выполнению требований президента об импортозамещении ПО

Эксперты обсудили идею введения штрафов за сбор избыточных персональных сведений

Эксперты отрасли оценили предложенный Минтрудом профстандарт ИБ-специалиста по защите КИИ

Как добиться максимальной компенсации в суде при защите персданных

Как институт уполномоченных операторов персданных поможет бизнесу

Как новый закон об обезличивании персданных повлияет на бизнес

Почему расследованием инцидентов с персональными данными должны заняться цифровые криминалисты

При каких условиях в организации может начаться проверка защиты персданных

Помогут ли механизмы самоконтроля операторов в защите личной информации граждан

Нужен ли ИТ-рынку национальный стандарт доверенной среды исполнения