Защита персональных биометрических данных
Регулирование / Статьи
информбезопасность персональные данные
6.12.2023

Мои биодокументы

Как бизнес будет работать с биометрической информацией в новых условиях

Государство в последние годы уделяет большое внимание защите биометрических сведений граждан, отмечают эксперты. У отечественных компаний, работающих с подобной информацией, осталось меньше месяца, чтобы перейти на новые правила. Продлят ли переходный период регулирования этой сферы, чем грозит неправомерная обработка биометрических сведений и что готовит для коммерческих баз Единая биометрическая система (ЕБС) – в материале RSpectr.

ЗАПАД И ВОСТОК

Растущее применение биометрических данных в бизнес-сценариях – «оплата лицом», способы регистрации или идентификации для получения услуг, контроль доступа – усиливает риски утечки такой информации. На этом фоне четко виден глобальный тренд нарастающего государственного регулирования этой области, отметили участники конференции «Биометрия в системах контроля и управления».

В международной практике регулирования оборота биометрических данных выделяют «западный» и «восточный» подходы

На это обратил внимание участников конференции директор дивизиона «Биометрия» Сбербанка Олег Евсеев. По его словам, в Китае регулированием сферы биометрической информации озаботились в 2012 году. Через пять лет Всекитайским собранием народных представителей был принят соответствующий закон. Согласно ему, все биометрические данные граждан КНР должны храниться в единой государственной базе, а организации, занимающиеся оборотом биометрических персональных данных (ПД), – подключаться к этой системе.

Олег Евсеев, Сбербанк:

– ИТ-специалисты, занимающиеся разработкой нейронных сетей, знают, что КНР является лидером в создании алгоритмов. Также и в части регулирования сферы высоких технологий эта страна также является лидером, который учел в своих моделях требования регуляторов и бизнеса.

Регулирование оборота биометрической информации в США отличается большой мозаичностью из-за федеративного устройства государства. «Американский подход направлен на обеспечение privacy – безопасности личной жизни гражданина. По такому же пути пошли в странах ЕС», – обратил внимание эксперт.

Олег Евсеев, Сбербанк:

– Китай уже прошел путь становления системы регулирования сферы применения биометрии с успешно работающей централизованной государственной базой. Россия идет по схожему пути, и для Сбербанка как крупнейшей коммерческой биометрической системы, важно понимать, что этот путь имеет счастливый конец.

В настоящее время Сбер обслуживает около 5 млн уникальных клиентов в месяц. Клиенты обслуживаются в отделениях кредитной организации с помощью биометрии вместо паспорта с 2021 года. Сбербанк 28 ноября получил аккредитацию в сфере аутентификации на основе биометрических персональных данных. «В конце 2023-го – начале 2024 года мы предоставим своим клиентам – юридическим лицам систему использования биометрических данных “как в Сбере”», – поделился представитель кредитной организации.

ЛИЦО, ГОЛОС, ПАЛЬЦЫ – ВОТ МОИ ДОКУМЕНТЫ

В конце ноября Госдума одобрила во втором чтении законопроект, предусматривающий ужесточение ответственности за нарушения при обработке биометрии. За некорректную работу с биометрическими персональными данными (ПД) юридические лица – кредитные организации или МФЦ могут быть оштрафованы на суммы от 500 тыс. до 1 млн рублей.

Это довольно существенная сумма и явный «хлыст» для компаний, которые будут нарушать законодательство, отметил на конференции глава компании Privacy Advocates, соучредитель Российской ассоциации специалистов по защите данных (RPPA) Алексей Мунтян. Признаками биометрических данных согласно части 1 статьи 11 закона «О персональных данных» являются сведения о физиологических и биологических особенностях человека, которые позволяют установить личность человека и используются для этого. Он обратил внимание, что

с недавнего времени к биометрии относят сведения о геномных данных

Алексей Мунтян, Privacy Advocates:

– Фото человека используется в разных сценариях, для разных целей и может иметь совершенно разный юридический статус. Это может быть фото, которое упрощает коммуникацию в трудовом коллективе и не используется оператором ПД для идентификации личности, потому что она уже была установлена ранее.

Государство сейчас активно борется с утечками ПД, напомнил он, поэтому утечка биометрических сведений имеет более негативный эффект, чем аналогичные инциденты со специальными категориями персданных. По мнению эксперта,

принятый в конце 2022 года федеральный закон №572 соответствует общемировому пониманию обработки биометрических данных с использованием средств автоматизации

При этом 572-ФЗ выстроен вокруг Единой биометрической системы ЕБС и фактически устанавливает режим сбора и обработки персданных в этом контуре.

Алексей Мунтян, Privacy Advocates:

– Государство старается защитить биометрические персональные данные от любых инцидентов, в том числе от их неправомерного использования, и аккумулирует такую информацию в рамках ЕБС. Все действия с биометрией должны сосредоточиться в ней.

Он рассказал о так называемой «сырой биометрии» – исходных биометрических данных. Это может быть цифровое изображение человека или запись его голоса. Эти сведения не являются биометрическими персональными данными, хотя при определенных сценариях могут стать таковыми.

НЕСИТЕ ВАШИ ДАННЫЕ

Осенью 2023 года все ранее собранные биометрические данные должны были быть переданы в государственную Единую биометрическую систему, оператором которой является «Центр Биометрических Технологий» (ЦБТ).

Как сообщил директор департамента маркетинга и стратегии ЦБТ Павел Чеботарев,

в настоящее время ЦБТ собирает два вида биометрических данных – лицо (фотоизображение) и голос (запись голоса физлица)

Эта информация собирается только с согласия гражданина, а идентификация и хранение данных производится только в ЕБС, подчеркнул он. Зарегистрировать такую информацию сейчас можно в 95% городов России.

По словам Павла Чеботарева, действующие в настоящее время законы об обработке личных сведений регулируют эту сферу в разных плоскостях:

  • 152-ФЗ касается обработки биометрических данных вручную должностным лицом (например, охранник через систему контроля управления доступом идентифицирует изображение сотрудника через систему контроля и управления доступом).
  • 572-ФЗ затрагивает автоматическую обработку. Например, цифровая система сама идентифицирует человека и самостоятельно принимает решение о допуске.

При этом, обратил внимание эксперт, требования закона «О персональных данных» не распространяются на автоматическую обработку БПД в целях:

  • оперативно-разыскной, разведывательной или контрразведывательной деятельности;
  • обороны страны, обеспечения безопасности и охраны правопорядка, реализации внешней политики;
  • реализации госсистемы миграционного и регистрационного учета, изготовления, оформления и контроля обращения документов, удостоверяющих личность;
  • обеспечения санитарно-эпидемиологического благополучия.

Он предположил, что

с 1 сентября 2024 года возможно появление новых требований ЕБС

До 30 сентября 2023 года все организации, собирающие биометрические данные, должны были разместить их в цифровой платформе.

Павел Чеботарев, «Центр Биометрических Технологий»:

– Прошел уже почти год с момента принятия 572-ФЗ для того, чтобы привести в соответствие с его требованиями внутренние процедуры и процессы компаний. Продление переходного периода для адаптации к новым правилам не планируется, иначе закон никогда не будет выполняться.

Он заверил, что никаких проблем с безопасностью хранения данных у клиентов ЦБТ не возникнет.

Судебная практика в сфере защиты биометрических ПД будет создаваться с нуля, обратила внимание руководитель Московской коллегии адвокатов «Юлова и партнеры» Елена Юлова. Она подчеркнула, что

чем активнее компании будут обжаловать постановления о привлечении к административной ответственности, тем быстрее будет создаваться соответствующая судебная практика

При этом самим регуляторам будет проще ориентироваться, как применять 572-ФЗ, уверена юрист.

Тимур Халудоров

Изображение: RSpectr, Freepik

Еще по теме

Каких поставщиков услуг хостинга выбрало государство для своих информсистем

Регуляторы и производители поспорили о стоимости отечественного ПО

Готовы ли бизнес и госсектор к выполнению требований президента об импортозамещении ПО

Эксперты обсудили идею введения штрафов за сбор избыточных персональных сведений

Эксперты отрасли оценили предложенный Минтрудом профстандарт ИБ-специалиста по защите КИИ

Как добиться максимальной компенсации в суде при защите персданных

Как институт уполномоченных операторов персданных поможет бизнесу

Как новый закон об обезличивании персданных повлияет на бизнес

Почему расследованием инцидентов с персональными данными должны заняться цифровые криминалисты

При каких условиях в организации может начаться проверка защиты персданных

Помогут ли механизмы самоконтроля операторов в защите личной информации граждан

Нужен ли ИТ-рынку национальный стандарт доверенной среды исполнения

Почему ограничения в размещении базовых станций угрожают развитию сетей связи

Поможет ли риск-ориентированная модель безопасному обороту персональных данных

Нужна ли правосубъектность искусственному интеллекту