Можно ли использовать свою биометрию внутри предприятия?

Биометрия Тенденции

А у вас же есть в организации видеонаблюдение или проход в офис по пропуску с фотографией, которую охранник сравнивает с эталоном в базе данных? Думаю такие системы сегодня существуют у многих. И раньше никогда никто не задавался вопросом о том, можно ли их использовать или нельзя. Можно и точка! Но все меняется. Меняется и ситуация с биометрией, используемой в корпоративных целях. Но обо всем порядку.

Несколько лет назад с помпой была запущена Единая биометрическая система (ЕБС), которую навязали всем без исключения банкам в надежде на то, что кредитные организации привлекут в стройные ряды сдавших биометрию государству миллионы своих клиентов. Не получилось. Банки хоть и заплатили миллионы за установку соответствующих комплексов в своих офисах, не очень спешили вовлечь в эту аферу заемщиков. Да граждане и сами не очень-то доверяют государству и поэтому не спешили сдавать свой «голос» и «лицо» в ЕБС.

Вы же не думаете, что ЕБС действительно была разработана для помощи гражданам дистанционно получать различные услуги?

Понимая, что кубышка биометрией не наполняется, в конце декабря прошлого года в 149-ФЗ был внесен большой блок изменений, который касался преимущественно только ЕБС. С одной стороны банкам с базовой лицензией разрешили не подключаться к ЕБС (это после того, как многие уже потратили деньги на это), превратив это из обязанности в право. С другой, оставшиеся банки обязали предоставлять две самых популярных услуги (выдачу кредитов и организацию вкладов) с использованием ЕБС. При этом зафиксировало право граждан биометрию свою не сдавать, а банкам запретили отказывать в оказании услуг в случае отказа гражданина от сдачи биометрии. По мне, так это странная конструкция, — банк обязан оказать услугу только с помощью биометрии, но не может отказаться от ее оказания если гражданин не сдает свою биометрию. То есть тут либо одно требование нарушаешь (вклад/кредит без биометрии), либо другое (отказ клиенту в выдаче кредита/открытии вклада).

Но меня в прошлогоднем законе зацепило другое — разрешение создавать собственные биометрические системы предприятиям. Зачем давать такое разрешение, если организации и так живут в парадигме «все, что не запрещено, разрешено»? В законе же дан ответ и на этот вопрос — такие биометрические системы можно использовать для идентификации и аутентификации, но при условии, что организация пройдет аккредитацию в Минцифре. При этом для того, чтобы получить право обрабатывать биометрические ПДн организации должны выполнить целый ряд заградительных условий:

  • для компаний, проводящих аутентификацию
    • минимальный размер собственных средств — не менее 50 миллионов рублей
    • финансовое обеспечение ответственности за убытки — не менее 50 миллионов рублей
    • наличие лицензии ФСБ на криптографию
    • наличие прав собственности на сертифицированные СКЗИ
    • не менее двух работников с высшим образованием в области ИТ или ИБ
  • для компаний, проводящих аутентификацию и идентификацию
    • все предыдущие требования, а также
    • минимальный размер собственных средств — не менее 500 миллионов рублей
    • финансовое обеспечение ответственности за убытки — не менее 100 миллионов рублей
    • подключение к ГосСОПКЕ.

Помимо требований по аккредитации, этой осенью также были приняты Постановления Правительства по госконтролю (надзору) в сфере идентификации и аутентификации (надзор осуществляет Минцифры) и в сфере защиты биометрических персональных данных (надзор осуществляет ФСТЭК и ФСБ).

Многие ли компании готовы выполнить такие условия?

А что же делать тогда тем компаниям, которые хотят обрабатывать биометрические ПДн с целью идентификации и аутентификации граждан, клиентов, работников? Государство мягко (ну если это можно назвать мягко) направляет всех в ЕБС. И просто не видит иных альтернатив. И тут тоже возникла коллизия. Осень 2021-го года стала достаточно активной в части выпуска целого сонма нормативных актов в области биометрии (помимо упомянутых Постановлений Правительства, были еще и нормативных актов Минцифры), которые с одной стороны ужесточили правила доступ к биометрии частных компаний, а с другой все-таки это разрешают.

Но тут вмешался Президент!

На конференции AI Journey он недвусмысленно высказался относительно того, что все биометрические данные граждан должны принадлежать государства и никому иному. И после этого риторика той же Минцифры, которая продвигала возможность для коммерческих компаний иметь свои биометрические системы (а это право зафиксировано и в ФЗ-149), мгновенно поменялась. На TAdvisor Summit министр цифрового развития Максут Шадаев сказал буквально следующее:

Безусловно, мы понимаем, что бизнес сейчас активно использует и будет дальше использовать биометрическую идентификацию при работе с колл-центрами, в банкоматах и даже при покупке кофе. Например, в нашем министерстве можно покупать кофе с использованием биометрической идентификации Сбербанка. И понятно, что эти процессы нарушить мы не можем. Но общая архитектура будет выглядеть так, что пользователь или гражданин сдает свою биометрию в единую государственную систему, после чего дает согласие коммерческой организации на использование вектора этой биометрии. И все коммерческие операторы будут работать не с первичными биометрическими данными, а с векторами. В этом смысле будет обеспечена дополнительная безопасность. При этом у пользователя всегда будет возможность отозвать свое согласие на доступ к своей биометрии коммерческим операторам.

Иными словами, все будет централизовано, без каких-либо исключений. Думаю, что число сервисов, которые будут обязаны применять биометрию, станет еще больше и у граждан просто не останется выбора 🙁 Им придется сдать свой голос и лицо в ЕБС, которая и станет централизованным хранилищем всей идентифицикационной информации о россиянах, которые, как показывает мини-опрос в моем блоге, не хотят сдавать биометрию пока их не заставят.

И бенефециаров у такого навязывания ЕБС я вижу несколько. Во-первых, это ФСБ, которая получает доступ к постоянно обновляемым и динамическим данным о гражданах (а не три раза в жизни — в 14, 25 и 45 лет при получении/замене паспорта, где данные только по лицу и только статические). Ведь потом эти данные можно прекрасно использовать при идентификации вышедших на митинги, не только преступников, но и экстремистов и террористов. А во-вторых, это сам Ростелеком, который получит просто колоссальный приток денег. Ведь согласно приказу Минцифры от 19 мая 2021 г. №474 за каждую успешную проверку биометрии в ЕБС компания, ее использующая, должна будет заплатить 5-8 рублей. Представляете о каких доходах в масштабах страны может идти речь?

А что граждане и бизнес? Им будет лучше с переходом на ЕБС? Наверное. Этого никто не знает. Лично я пока вижу только стремление всех загнать в ЕБС, даже не задумываясь о последствиях и о том, как разгребать конфликтные ситуации. Например, что делать, если злоумышленники зарегистрируют от моего имени биометрию в ЕБС (это элементарно сегодня)? Какова процедура обжалования всех действий, которые с фейковой регистрацией в ЕБС будут сделаны? А какова процедура разбора ситуации, когда на основе данных из ЕБС принимаются неверные решения и человек теряет свои деньги? И таких вопросов масса. И все без ответа, так как авторы ЕБС считают ее непогрешимой (точность на уровне 99,99%). Но они еще и подстраховались, заявляя, что ответственность за все проблемы с биометрией несет не оператор ЕБС, а те, кто к ней подключаются. Прекрасный подход. Бизнес-ориентированный 🙁

Не мытьем, так катаньем, но ЕБС нам все равно не миновать. Просто стоит оттягивать этот момент как можно дальше.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Сергей

    Это все будет до первого высокопоставленного пострадавшего или его родственника.

    Ответить
    1. Алексей Лукацкий автор

      А с ними все будет решаться в частном порядке. Как и всегда

      Ответить
  2. Владимир

    Получается, все СКУДы с фотографиями должны быть подключены к ЕБС?

    Ответить
    1. Алексей Лукацкий автор

      Много неясного, но похоже на то

      Ответить
    2. Денис

      часть 18.18 статья 14.1 149-ФЗ — Сбор и обработка «используемых» для «аутентификации » биометрических персональных данных в информационных системах организаций

      Ответить
    3. Денис

      часть 18.20 статья 14.1 149-ФЗ — Сбор и обработка «используемых» для «идентификации либо идентификации и аутентификации » биометрических персональных данных в информационных системах организаций

      Ответить