Можно ли использовать свою биометрию внутри предприятия?

А у вас же есть в организации видеонаблюдение или проход в офис по пропуску с фотографией, которую охранник сравнивает с эталоном в базе данных? Думаю такие системы сегодня существуют у многих. И раньше никогда никто не задавался вопросом о том, можно ли их использовать или нельзя. Можно и точка! Но все меняется. Меняется и ситуация с биометрией, используемой в корпоративных целях. Но обо всем порядку.

Несколько лет назад с помпой была запущена Единая биометрическая система (ЕБС), которую навязали всем без исключения банкам в надежде на то, что кредитные организации привлекут в стройные ряды сдавших биометрию государству миллионы своих клиентов. Не получилось. Банки хоть и заплатили миллионы за установку соответствующих комплексов в своих офисах, не очень спешили вовлечь в эту аферу заемщиков. Да граждане и сами не очень-то доверяют государству и поэтому не спешили сдавать свой «голос» и «лицо» в ЕБС.

Вы же не думаете, что ЕБС действительно была разработана для помощи гражданам дистанционно получать различные услуги?

Понимая, что кубышка биометрией не наполняется, в конце декабря прошлого года в 149-ФЗ был внесен большой блок изменений, который касался преимущественно только ЕБС. С одной стороны банкам с базовой лицензией разрешили не подключаться к ЕБС (это после того, как многие уже потратили деньги на это), превратив это из обязанности в право. С другой, оставшиеся банки обязали предоставлять две самых популярных услуги (выдачу кредитов и организацию вкладов) с использованием ЕБС. При этом зафиксировало право граждан биометрию свою не сдавать, а банкам запретили отказывать в оказании услуг в случае отказа гражданина от сдачи биометрии. По мне, так это странная конструкция, — банк обязан оказать услугу только с помощью биометрии, но не может отказаться от ее оказания если гражданин не сдает свою биометрию. То есть тут либо одно требование нарушаешь (вклад/кредит без биометрии), либо другое (отказ клиенту в выдаче кредита/открытии вклада).

Но меня в прошлогоднем законе зацепило другое — разрешение создавать собственные биометрические системы предприятиям. Зачем давать такое разрешение, если организации и так живут в парадигме «все, что не запрещено, разрешено»? В законе же дан ответ и на этот вопрос — такие биометрические системы можно использовать для идентификации и аутентификации, но при условии, что организация пройдет аккредитацию в Минцифре. При этом для того, чтобы получить право обрабатывать биометрические ПДн организации должны выполнить целый ряд заградительных условий:

• для компаний, проводящих аутентификацию
  • минимальный размер собственных средств — не менее 50 миллионов рублей
  • финансовое обеспечение ответственности за убытки — не менее 50 миллионов рублей
  • наличие лицензии ФСБ на криптографию
  • наличие прав собственности на сертифицированные СКЗИ
  • не менее двух работников с высшим образованием в области ИТ или ИБ
• для компаний, проводящих аутентификацию и идентификацию
  • все предыдущие требования, а также
  • минимальный размер собственных средств — не менее 500 миллионов рублей
  • финансовое обеспечение ответственности за убытки — не менее 100 миллионов рублей
  • подключение к ГосСОПКЕ.

Помимо требований по аккредитации, этой осенью также были приняты Постановления Правительства по госконтролю (надзору) в сфере идентификации и аутентификации (надзор осуществляет Минцифры) и в сфере защиты биометрических персональных данных (надзор осуществляет ФСТЭК и ФСБ).

Многие ли компании готовы выполнить такие условия?

А что же делать тогда тем компаниям, которые хотят обрабатывать биометрические ПДн с целью идентификации и аутентификации граждан, клиентов, работников? Государство мягко (ну если это можно назвать мягко) направляет всех в ЕБС. И просто не видит иных альтернатив. И тут тоже возникла коллизия. Осень 2021-го года стала достаточно активной в части выпуска целого сонма нормативных актов в области биометрии (помимо упомянутых Постановлений Правительства, были еще и нормативных актов Минцифры), которые с одной стороны ужесточили правила доступ к биометрии частных компаний, а с другой все-таки это разрешают.

Но тут вмешался Президент!

На конференции AI Journey он недвусмысленно высказался относительно того, что все биометрические данные граждан должны принадлежать государства и никому иному. И после этого риторика той же Минцифры, которая продвигала возможность для коммерческих компаний иметь свои биометрические системы (а это право зафиксировано и в ФЗ-149), мгновенно поменялась. На TAdvisor Summit министр цифрового развития Максут Шадаев сказал буквально следующее:

Безусловно, мы понимаем, что бизнес сейчас активно использует и будет дальше использовать биометрическую идентификацию при работе с колл-центрами, в банкоматах и даже при покупке кофе. Например, в нашем министерстве можно покупать кофе с использованием биометрической идентификации Сбербанка. И понятно, что эти процессы нарушить мы не можем. Но общая архитектура будет выглядеть так, что пользователь или гражданин сдает свою биометрию в единую государственную систему, после чего дает согласие коммерческой организации на использование вектора этой биометрии. И все коммерческие операторы будут работать не с первичными биометрическими данными, а с векторами. В этом смысле будет обеспечена дополнительная безопасность. При этом у пользователя всегда будет возможность отозвать свое согласие на доступ к своей биометрии коммерческим операторам.

Иными словами, все будет централизовано, без каких-либо исключений. Думаю, что число сервисов, которые будут обязаны применять биометрию, станет еще больше и у граждан просто не останется выбора 🙁 Им придется сдать свой голос и лицо в ЕБС, которая и станет централизованным хранилищем всей идентифицикационной информации о россиянах, которые, как показывает мини-опрос в моем блоге, не хотят сдавать биометрию пока их не заставят.

И бенефециаров у такого навязывания ЕБС я вижу несколько. Во-первых, это ФСБ, которая получает доступ к постоянно обновляемым и динамическим данным о гражданах (а не три раза в жизни — в 14, 25 и 45 лет при получении/замене паспорта, где данные только по лицу и только статические). Ведь потом эти данные можно прекрасно использовать при идентификации вышедших на митинги, не только преступников, но и экстремистов и террористов. А во-вторых, это сам Ростелеком, который получит просто колоссальный приток денег. Ведь согласно приказу Минцифры от 19 мая 2021 г. №474 за каждую успешную проверку биометрии в ЕБС компания, ее использующая, должна будет заплатить 5-8 рублей. Представляете о каких доходах в масштабах страны может идти речь?

А что граждане и бизнес? Им будет лучше с переходом на ЕБС? Наверное. Этого никто не знает. Лично я пока вижу только стремление всех загнать в ЕБС, даже не задумываясь о последствиях и о том, как разгребать конфликтные ситуации. Например, что делать, если злоумышленники зарегистрируют от моего имени биометрию в ЕБС (это элементарно сегодня)? Какова процедура обжалования всех действий, которые с фейковой регистрацией в ЕБС будут сделаны? А какова процедура разбора ситуации, когда на основе данных из ЕБС принимаются неверные решения и человек теряет свои деньги? И таких вопросов масса. И все без ответа, так как авторы ЕБС считают ее непогрешимой (точность на уровне 99,99%). Но они еще и подстраховались, заявляя, что ответственность за все проблемы с биометрией несет не оператор ЕБС, а те, кто к ней подключаются. Прекрасный подход. Бизнес-ориентированный 🙁

Не мытьем, так катаньем, но ЕБС нам все равно не миновать. Просто стоит оттягивать этот момент как можно дальше.