Закон о биометрии – полный разбор

В последние годы многие коммерческие и государственные организации собирают изображения людей и голоса граждан. ‘Вас фотографировали в банке? По телефону: ‘В целях безопасности…’. Как-то так, как-то так, как-то так…». Слышали ли вы предупреждения о том, что «разговоры записываются»?

Если да, то знайте: все эти записи автоматически передаются в единую государственную биометрическую систему (статья 4, пункт 14).

Однако следующая статья 15 гласит, что о передаче и переносе данных необходимо уведомлять за 30 дней до их исполнения. К сожалению, форма уведомления подробно не указана. Что он действительно говорит, так это «любая форма, в которой может быть подтверждено получение уведомления о его передаче».

Хорошая новость заключается в том, что передача биометрических факторов является сомнительной, если они не перестали быть ‘в любой форме’. Не очень хорошая новость заключается в том, что закон упоминает некое «возражение», но не уточняет, как именно гражданин может подать жалобу лицу, направившему уведомление.

Однако есть пункты, по которым можно обжаловать представления на EBS, и если вы не знаете, как это сделать, возможно, вы сможете исправить ситуацию.

По закону, вы можете обратиться в любой МФЦ (мой центр документов) или непосредственно к менеджеру единой биометрической системы для удаления и уничтожения биометрических данных.

Примечание: уведомление можно ждать уже в следующем году. Организации любой формы собственности, которые ранее собирали биометрические данные российских граждан, обязаны передать их в единую биометрическую систему до 30 сентября 2024 года.

После передачи данных частные и государственные организации должны уничтожить копии, хранящиеся в их собственных системах, и представить отчеты в течение 30 дней.

Google и Яндекс, социальные сети, рассылки, видеоплатформы, блоггерам

«Давайте запишем голос, а то кредит не дадим»

Поистине золотое правило нового закона: ни одна организация и ни один бизнес не может заставить граждан сдавать биометрические данные. Текст прямо запрещает любой организации предлагать гражданину услугу или продукт, если он не согласен фотографироваться, сниматься или разговаривать с ним через микрофон.

Он также запрещает предлагать услуги или продукты под предлогом того, что клиент отказался предоставить биометрические данные. Государственные органы также не могут занижать стоимость услуг отказавшегося.

Автор продукции Texterra Дарья Завьялова:.

‘Например, мы не храним никаких персональных данных на нашем сайте. Если вы заказываете онлайн-брендинг и оставляете в форме свое имя и номер телефона, пожалуйста, переходите непосредственно к CRM». Закон. Это отличное решение и, честно говоря, кажется более безопасным.

Как требовать блокировки и удаления своих данных

Если вы ранее давали согласие на сбор и обработку биометрических данных или будете давать согласие в будущем, ситуацию можно изменить.

Закон предусматривает, что граждане имеют право на.

• ‘… Запросы на обязательство, удаление, уничтожение персональных данных биометрии и (или) запросы учреждения единого органа эксплуатации биометрической системы», …
• … . для идентификации и (или) аутентификации, а также отказ от ознакомления с информацией, касающейся сведений об отзыве, отказ от сбора и размещения биометрических данных персонального характера».

Насколько можно понять из текста принятого законопроекта — очень длинного и загадочного по своей форме — граждане смогут напрямую требовать удаления своих биометрических данных из федерального объединения UBS национальными региональными органами. центром МФЦ — или «мои документы» (если они существуют лично). Гражданин в этом случае предоставляет письменное подтверждение события принятия заявления об отказе.

Если гражданин подает заявление об отказе, система не может его забрать или что-либо с ним сделать, пока не будет получено повторное письменное согласие. В случае с несовершеннолетними, родители или законные представители должны написать отказ.

Загадочные «векторы»

С удалением фотографий, видео и звуков, содержащих биометрические элементы гражданина, все понятно. Если гражданин просит «Удалить!» запрос, каждый обязан его выполнить. Однако в случае с понятием «носитель» ситуация несколько неудобная.

Вот что говорит по этому поводу закон

‘… Носителем единой биометрической системы являются персональные данные, полученные в результате математического преобразования биометрических персональных данных человека, содержащихся в единой биометрической системе. Требования, определенные пунктом 1 части 1 статьи 6 настоящего Федерального закона…» .

Согласно ГОСТу (ст. 3. 13), «вектор» — это «…. . числовой набор биометрических параметров или производных параметров, имеющих одинаковую интерпретацию и форму представления».

Другими словами, мы имеем дело с цифровым кодом. Изображения и звуки переводятся в них с помощью специальных алгоритмов с участием искусственных нейронных сетей.

Как свидетельствуют юридические тексты, ЭОП всячески переводит исходный биометрический архив гражданина в векторы. И здесь кроется особая коллизия. Сам исходный файл не может храниться где-либо без согласия гражданина, но вектор …

… положения статьи 11 Федерального закона от 27 июля 2006 года «О персональных данных» 152-ФЗ и меры по обеспечению безопасности биометрических данных индивидуальных персонажей при их обработке. Статья 19 Федерального закона от 27 июля 2006 года «О персональных данных» 152-ФЗ не распространяется на субъектов единой биометрической системы.

Что же это за статья — под номером 11? При внимательном рассмотрении обнаруживается сюрприз: владелец ЕБС может обрабатывать тело без письменного согласия гражданина.

Также посмотрите на статью 19, которая предусматривает, что владелец UBS может обрабатывать тело без письменного согласия гражданина. И мы удивлены, потому что она предусматривает важные вещи. Например, закон предусматривает, что комиссия имеет право голоса и не имеет права голоса.

‘При обработке персональных данных операторы обязаны обеспечить принятие или принятие необходимых правовых, организационных и технических мер для защиты персональных данных от несанкционированного или случайного доступа, уничтожения, изменения, обязывания, копирования, предоставления или распространения физическими лицами. данных, а также других незаконных действий, связанных с персональными данными…». .

И здесь возникает резонный вопрос:.

1. Наши учреждения уже автоматически вносят данные банков, онлайн-сервисов и других организаций в UBS — это понятно, но как их обрабатывать без письменного согласия?
2. Мы видим, что векторы, взятые из изображений лиц и записей голоса, не защищены от «случайного доступа», «копирования», «распространения» и т.д. Как бы вы хотели это понять?
3. Можно ли восстановить оригинальные файлы из отфильтрованных или украденных векторов? фотографии, звук видео или аудио образцов гражданского лица?

Что касается первого вопроса, то СМИ и правозащитные организации должны в конечном итоге обратиться к правительству РФ с просьбой объяснить процедуру как можно подробнее.

Что касается второго вопроса, то общественность должна требовать внесения изменений в законодательство до того, как оно будет утверждено вышестоящими инстанциями.

Ассоциации» могут выйти из законодательного окна, чтобы манипулировать данными граждан без их ведома.

Что касается третьего вопроса, эксперты, работающие с этим органом, в своих индивидуальных обсуждениях отмечают следующее.

Строго говоря, восстановление фотографий, видео или аудио из векторов — это сложная и не очень важная задача. Подавляющее большинство хакеров не могут ее решить. Однако это не означает, что подобные методики в настоящее время кем-то не разрабатываются или не появятся в ближайшие несколько лет…

Словом, если вы достаточно бредово (или просто рационально) наблюдаете эти оттенки, то сомнительный парадокс с точки зрения «карьеры» в юриспруденции должен вас насторожить.

К счастью, согласно тексту документа, граждане имеют право требовать удаления фотографий, видео и звуков, а также вектора UBS, с которого они пришли.

К частным компаниям, ИП и нотариусам предъявят жесткие требования

Коммерческие компании с любой формой собственности, индивидуальные предприятия и нотариусы имеют возможность получить доступ к единой биометрической системе. Поначалу это не рекомендуется.

Однако все коммерческие организации требуют специальной аккредитации. А это не так просто. Новый закон содержит внушительный список требований к тем, кто хочет получить аккредитацию.

Например, учредители бизнеса должны доказать органу, что у них нет белой судимости и что они не находятся в списке экстремистов, террористов и т.д.

Проверку бизнеса должен проводить «федеральный орган исполнительной власти, уполномоченный в области технических средств информатизации и защиты информации». Как банки, так и другие финансовые учреждения подлежат контролю со стороны Центрального банка России.

Существуют требования к капиталу компаний, подающих заявку на сертификацию, и они очень серьезные. Минимальный размер собственных капитальных средств не должен превышать 500 миллионов рублей. Кроме того, должна быть предусмотрена компенсация не менее 100 миллионов на случай возможной утечки данных и связанных с этим убытков.

Есть и ряд других условий, в том числе

• владение лицензиями на разработку, создание и распространение шифровальных средств; и
• характеристики шифровального материала; и
• наличие не менее двух сотрудников с высшим образованием в области информационных технологий или информационной безопасности, которые осуществляют деятельность по аутентификации на основе биометрических данных…

Странно, что в законе не указаны требования к индивидуальным предпринимателям или нотариусам. Можно предположить, что те же положения распространяются и на компании.

Это означает, что теоретически аккредитацию могут получить лишь немногие россияне и нотариусы. Кроме того, у большинства из них нет необходимого количества акций, лицензий или шифровальных материалов.

Прочее важное

• Согласие на сбор и обработку биометрических данных получают от ЭБУ и аккредитованных компаний с помощью различных видов электронных подписей, включая простые электронные подписи, а также физические подписи. Операторы единых биометрических систем, их региональные отделения, государственные органы, банки и коммерческие организации выдают гражданам ключи. Правительства обязаны определить требования к проверке электронных подписей.
• Государственная эксплуатация единой биометрической системы может взимать с компаний плату за ее использование.
• Правительство назначает конкретный федеральный орган исполнительной власти, который определяет требования к информационным технологиям и техническим средствам обработки биометрических персональных данных и ведомств.
• Коммерческие организации по закону могут только собирать и передавать биометрические элементы в единую систему. Они никогда не могут хранить или обрабатывать биометрические данные (статья 15, пункт 1). Исключение (статья 3 той же статьи) возможно только в течение 10 дней, если (и когда) гражданин подаст жалобу о злоупотреблении персональными биометрическими данными; по истечении 10 дней организация должна уничтожить данные.
• Некоторые «уполномоченные федеральные чиновники» отвечают за надзор за всей этой деятельностью. Центральный банк России также несет ответственность за безопасность процессов, технических средств и биометрического программного обеспечения. Центральный банк также обязан осуществлять надзор и контроль за работой единой биометрической системы российских финансовых организаций.

Краткое резюме

Между тем, новый закон положит конец опустошению биометрии, распространившемуся по всей России, и это положительный момент. Также положительными являются правила, позволяющие гражданам легко и без последствий исключить сбор биометрических данных.

С другой стороны, безопасность тела, обусловленная записью голоса, фотографий и лица, является загадочной и сомнительной.

Некоторые аналитики предсказывают, что предоставление биометрических данных в обмен на некоторые «удобства» при пользовании государственными и коммерческими услугами не будет пользоваться популярностью в России.

По их словам, закон призван не принести биометрическое сканирование в массы, а лишь устранить существующий хаос.

Поверьте в это заранее. Но не забудьте посмотреть, как именно инновация будет реализована на практике. На это требуется время. Закон вступает в силу после одобрения Федеральным советом и подписи президента, но не в полном объеме. Некоторые его положения будут постепенно внедряться до 1 января 2027 года.

Что такое биометрия?

Распространенными и хорошо известными примерами биометрических данных являются характерный рисунок радужной оболочки глаза или папиллярные линии на пальцах руки. Однако стоит отметить, что биометрические данные включают в себя не только физические, но и поведенческие показатели, такие как привычка ходить и печатать.

Однако, каким бы ни был тип, он является уникальным для данного человека и поэтому может гарантировать очень высокую идентификацию, если считывающее устройство трудно обмануть. В целом, биометрические материалы в настоящее время развиваются именно в этом направлении: все более устойчивыми становятся фотографии лица и трехмерные отпечатанные пальцы.

Основные требования к биометрической характеристике можно обозначить как «три U»: универсальность, уникальность и стабильность. Другими словами, чтобы быть критерием идентификации, параметр должен существовать для каждого человека, отличаться в каждом случае и оставаться относительно неизменным с течением времени. Существует также ряд сопутствующих требований.

Например, функция должна быть легко измеряемой, например, процесс должен быть общепринятым.

ГОСТ имеют следующие методы

• Изображения отпечатков пальцев,.
• Изображения лица,.
• изображения радужной оболочки глаза,.
• изображение сосудистого русла,.
• геометрия контура руки,.
• динамические подписи,.
• данные ДНК.

Помимо этих методов, известно или обсуждается множество других методов, в том числе довольно причудливых.

• Вокальный звук,.
• Изображения сетчатки глаза,.
• тепловые карты лица,.
• индивидуальные шаблоны набора текста на клавиатуре.

Какие существуют проблемы с биометрией?

В то же время у этого метода есть свои слабые стороны. Например, теоретической проблемой, на которую стоит обратить внимание, является требование уникальности. Согласно некоторым метрикам, оно не может быть полностью выполнено. Были введены два понятия: коэффициент принятия незнакомца (FAR) и коэффициент отклонения человека (FRR).

Первое — это вероятность того, что пользователь A может быть идентифицирован/аутентифицирован пользователем B, например, по его/ее учетным данным.

Второй, наоборот, — вероятность того, что система посчитает пользователя незнакомцем и не узнает его. По некоторым данным, средний FAR для отпечатков пальцев составляет 0,01%, а для лица и голоса (те же параметры, которые используются отечественными банками) он может достигать от 1 до 2%. Именно поэтому некоторые утверждают, что биометрия не подходит для крупносерийных приложений: если бы каждая 100 попытка аутентификации приводила к несанкционированному доступу, это привело бы к миллионам инцидентов в национальном масштабе.

Практика применения биометрии в России:

Исторически первую форму биометрии можно смело описать как сбор информации о преступниках в рамках работы правоохранительных органов. Например, отпечатки пальцев являются типичной уликой в уголовных расследованиях. Правоохранительные органы фиксируют рост и черты лица человека при работе с подозреваемым или осужденным.

Традиционные биометрические системы обезличивают данные, тогда как здесь, наоборот, измеряемые параметры точно ассоциируются с человеком. В предыдущем разделе мы рассмотрели закон о персональных данных и отметили, что согласие субъекта не требуется для сбора биометрических персональных данных в связи с оперативными или оперативно-розыскными мероприятиями судебных органов. Эти положения подчеркивают особый характер данных.

Упоминания о биометрических данных в сводке законодательства начались с загранпаспортов. Действительно, основной документ российских граждан за рубежом на сегодняшний день остается одной из главных сфер применения биометрических технологий. Микрочип в таких устройствах может хранить не только общую информацию о владельце (имя, фото и т.д.), но и изображение радужной оболочки глаза и отпечатки пальцев.

Строго говоря, биометрический паспорт не является обязательным, но рекомендуется запрашивать биометрический паспорт, например, с удвоенным сроком действия. Могут высказываться опасения по поводу безопасности и устойчивости к подделке биометрических паспортов и возможности удаленного считывания данных, но в целом доверие к биометрической идентификации растет, и некоторые страны разрешают въезд только по паспортам. Такие документы.

Что можно сделать с помощью биометрии в России?

• Удаленно подключиться к банку.
• Открыть счет, сделать депозит или взять кредит.
• Оплачивать покупки в определенных магазинах, кафе и на автозаправочных станциях
• Снимать деньги в банкоматах.

Для чего российские банки собирают биометрию?

Строительство системы хранения и использования данных началось в 2017 году, а Единая биометрическая система — база данных для хранения биометрических данных граждан — начала функционировать 1 июля 2018 года. В то же время несколько крупных банков, включая Сбербанк, Альфа-банк, ВТБ, Почта Банк и Райффайзен, начали принимать биометрические данные.

Разработчиком и оператором системы является «Ростелеком». Он обрабатывает данные и обеспечивает их безопасное хранение. Теперь в биометрическую систему можно отправлять записи голоса и изображения лица.

Эти данные могут быть использованы для идентификации личности в филиале или удаленно, например, через телефон или приложения для мобильных телефонов. В будущем система может хранить и другие параметры, такие как отпечатки пальцев и сканирование радужной оболочки глаза.

Биометрические системы облегчают банкам и их клиентам подачу заявок на финансовые продукты. Больше нет необходимости запрашивать паспорт для идентификации клиента. Достаточно сопоставить голос и лицо с файлом базы данных.

Клиенты банка могут подать заявку на любой из его продуктов, например, депозиты или кредиты, в любое время, по телефону или через банк онлайн. Банковские услуги становятся более доступными для жителей отдаленных районов, где выбор банковских услуг ограничен или отсутствует.

Как сдать биометрию?

Вы можете воспользоваться картой на сайте центрального банка, чтобы узнать, где в вашем городе можно проголосовать и ознакомиться с предложениями. Здесь вы найдете список отделений банка с адресами и часами работы. Этот список постоянно расширяется и включает новые отделения и банки.

Для подачи данных нужен только паспорт, счета Сунила и Госасурги. После подписания согласия на процесс сотрудники банка начинают сбор биометрических данных. Этот процесс заключается в записи голоса и изображения лица.

На первом этапе, например, три раза читаются цифры от 0 до 9 и от 9 до 0 в случайном порядке. На втором этапе сотрудники делают фотографию лица, как на паспорт.

Обратите внимание, что сбор биометрических факторов может отличаться в разных местах.

Безопасно ли сдавать биометрию?

Вскоре после появления первых новостей о том, что банки начали собирать биометрические факторы, люди начали сомневаться в надежности хранения этих данных. С одной стороны, они опасались, что пробелы в системе могут быть использованы мошенниками, в том числе банковскими витринами, для выдачи кредитов незнакомым людям. Другие опасались, что система не сможет правильно идентифицировать людей из-за изменений в голосе (например, от холода) или внешности (например, после пластической операции или травмы).

Разработчики ЕБС учитывают эти проблемы и стараются свести их к минимуму. Биометрические данные записываются в ЕБС без привязки к персональным данным — возраст, номер, серия паспорта, номер сунила и т.д. Для безопасного хранения информации используются современные средства шифрования, сертифицированные Федеральной службой безопасности и Федеральной службой технического и экспортного контроля.

Информация передается по защищенным каналам связи. Голос и изображение лица одновременно проверяются по различным параметрам: по оценкам экспертов «Ростелекома», вероятность ошибки составляет 1 к 10 000 000.

Конечно, уже сейчас можно имитировать внешность человека, чтобы подражать его голосу. Чтобы выявить и отбросить имитацию, EBS вводит дополнительные методы проверки личности. Она обращает внимание на выражение лица, расположение камеры, тон и другие параметры, которые могут указывать на то, что клиент сам говорит с системой, а не с имитатором.

Иногда ему приходится выполнять дополнительные действия, например, отвечать на контрольные вопросы или прикасаться к мочке уха. Таким образом, также наблюдается взаимодействие реального человека с системой.

Биометрические персональные данные, что это?

Для начала обратимся к определению, данному в статье 11 Федерального закона № 152 «О персональных данных». Биометрические персональные данные — это информация, описывающая физиологические и биологические характеристики человека, которая используется для идентификации субъекта данных.

Как поясняет Роскомнадзор, к таким данным обычно относятся отпечатки пальцев, радужная оболочка глаза, тесты ДНК, рост, вес и другие физиологические или биологические характеристики человека, включая изображения (фото и видео) человека, по которым можно его идентифицировать.

Например, цифровое фотографическое изображение цвета поверхности владельца паспорта является биометрической личностью владельца документа. Это правило предусмотрено в ПД РФ № 125 от 4 марта 2010 года, где описывается чип внутри первой страницы биометрического паспорта (спасибо t12589645 за исправление). В то же время необходимо учитывать цели, которые преследуют эксплуатационные службы при обработке персональных данных, о чем более подробно будет рассказано далее.

Личное дело сотрудника

Кроме того, фотографии сотрудников хранятся в личных делах персонала, а подписи сотрудников не являются биометрическими данными. Это связано с тем, что все действия, предпринимаемые работодателями при использовании данных из личных дел сотрудников, направлены на проверку их принадлежности конкретному лицу. В этом случае личность работника уже установлена, и работодатель уже располагает персональными данными.

В то же время, согласно статье 65 Трудового кодекса РФ, перечень персональных данных, которые работодатель обязан хранить, является правонарушением, так как в этой статье определен перечень данных работника. Работнику должны быть предоставлены. При заключении трудового договора.

К ним относится, в частности, паспорт как документ, удостоверяющий личность. Хранение копии паспорта можно назвать чрезмерным по отношению к заявленной цели его обработки. Здесь, в качестве примера, я привожу пример из практики Уголовного суда Северо-Кавказского региона.