Как работает биометрия в России

Еще каких-то 20-25 лет назад распознавание человека по лицу, голосу или отпечатку пальца представлялось либо научной фантастикой, либо порождением разума сценаристов и кинорежиссеров. Но сейчас биометрические данные и использующие их системы — это даже не наше будущее, это наша реальность, к тому же закрепленная в том числе и на юридическом уровне.

Изначально «биометрия использовалась только для судебной идентификации, сегодня же она интегрирована во многие акты нашей повседневной жизни и используется для предварительной идентификации людей. Например, это контроль доступа работников к офисным, банковским помещениям; входы в компьютерные системы; доступ к онлайн-сервисам; распознавание личности при переходе государственной границы и др. В некоторых странах это также средство подтверждения подключения пользователя к телевизионным услугам; механизм замены электронных ключей в процессе осуществления онлайн-платежей или процедура защиты оборота медицинских данных».

Основная задача биометрической идентификации —это в первую очередь безопасность человека. Поэтому биометрия востребована на объектах, требующих повышенного уровня защищенности, — например, на предприятиях промышленного комплекса и ТЭК, в аэропортах, банках, на вокзалах и других объектах транспортной инфраструктуры. В последние годы интерес к внедрению биометрии проявляют бизнес-центры, где идентификация по лицу выполняет задачи безопасности, служит инструментом формирования комфортной, дружелюбной рабочей среды и анализа занятости офисного пространства.

В нашей статье мы попробуем разобраться в трех следующих аспектах:

1. Биометрические данные, их природа и признаки.

В самом общем виде методы биометрии можно определить как компьютерные методы, которые позволяют автоматически распознавать человека на основе его физических, биологических или поведенческих характеристик. Соответственно, биометрические данные — это такая разновидность персональных данных, которая является результатом специфической технической либо информационной обработки этих характеристик людей, и позволяет в итоге автоматически идентифицировать субъекта данных.

Собственно говоря, именно так они и определяются в законодательных актах разных стран. Но к этому мы еще вернемся позднее, а пока поговорим о сущностных признаках биометрических данных. К таковым можно отнести К ним можно отнести: универсальность, уникальность, неотчуждаемость, нефальсифицируемость, устойчивость и измеримость.

Универсальность биометрических данных означает, что каждый человек обладает физиологическими, физическими и поведенческими особенностями. Какие-то присущи ему от рождения, другие формируются по мере становления личности, третьи приобретаются по воле лица. Например, рисунок папиллярных узоров на поверхности рук формируется во внутриутробном периоде жизни человека, а походка, рост и голос — гораздо позже.

Следующим критерием, характеризующим биометрические персональные данные, может быть названа их уникальность. Отпечатки пальцев, геометрия руки, радужная оболочка, рисунок вен, голос, геометрия лица — это далеко не весь перечень индивидуальных особенностей человека, на основании которых возможна его идентификация, при которой вероятность ошибки минимальна. Даже у близнецов такие особенности уникальны и неповторимы.

Более того, в отличие от иных персональных данных, биометрические характеризуются неотчуждаемостью. Иными словами, сведения о биометрических особенностях человека не могут быть им изменены или удалены по собственному усмотрению. Даже если изменить, например, папиллярные узоры или лицо с помощью пластической хирургии, подделать рост, голос или цвет глаз практически невозможно.

Не менее важным их признаком является нефальсифицируемость. Проблема фальсификации персональных данных стоит довольно остро. Наиболее устойчивыми к ней являются как раз биометрические данные. Причиной тому служит уже рассмотренный выше признак неотчуждаемости таких данных, а также сложность осуществления подделки. Как правило, фальсификация биометрических данных требует наличия у субъекта специальных навыков и знаний, а также технического сопровождения.

Устойчивость как признак биометрических данных характеризуется периодом времени, в течение которого свойство объекта остается в неизменном состоянии. Относительно иных персональных данных биометрические обладают значительно более высокой степенью устойчивости. Однако отдельные особенности человека подвергаются возрастным изменениям, а также могут меняться в связи с перенесенной медицинской операцией или травмой.

И, наконец, можно выделить признаки измеримости биометрических данных, то есть техническую возможность сбора и сопоставления собранных данных для проведения идентификации, а также аутентификации и верификации.

2. Правовое регулирование биометрических данных в России и за рубежом.

Как мы уже говорили выше, биометрические данные в самом общем виде можно определить как совокупность данных, полученных в результате технической обработки физических, биологических или поведенческих характеристик индивида, благодаря которой последнего можно четко идентифицировать.

Именно так они трактуются, например, в статье 2 закона Аргентины “О защите персональных данных” (2000). Согласно ей, к таким данным относятся персональные данные, полученные при помощи специальных технических устройств, относящиеся к физическим, физиологическим или поведенческим особенностям физического лица, позволяющие его идентифицировать.

Общеевропейский Регламент по защите персональных данных (GDPR), вступивший в 2018 году в силу на всей территории Евросоюза, также относит к биометрическим «персональные данные после специфической технической обработки, относящиеся к физическим, физиологическим или поведенческим признакам физического лица, которые позволяют провести или подтвердить уникальную идентификацию указанного физического лица, например, изображение человеческого лица или дактилоскопические данные» (ст. 4(14) GDPR).

Такой же подход зафиксирован и российским законодателем в статье 11 Федерального закона “О персональных данных” от 27 июля 2006 г. № 152-ФЗ, согласно которому к биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.

Но это определение все-таки является, на наш взгляд, чересчур широким. Чтобы его конкретизировать, обратимся к подзаконным НПА. В качестве примера можно привести Методические рекомендации Минцифры России, согласно которым «к биометрическим персональным данным относятся физиологические параметры (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и др.) и иные физиологические или биологические характеристики человека, в том числе его изображения (фотография и видеозапись), в частности фотографические изображения обучающихся, сотрудников и посетителей организации, поскольку они характеризуют физиологические и биологические особенности человека».

При этом не относятся к биометрическим персональным данным: 1) данные, полученные при сканировании паспорта оператором персональных данных для подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т. п.), т. е. без проведения процедур идентификации (установления личности); 2) данные, полученные при осуществлении ксерокопирования документа, удостоверяющего личность; 3) фотографическое изображение, содержащееся в личном деле работника; 4) подпись лица, наличие которой в различных договорных отношениях является обязательным требованием, и почерк, в том числе анализируемый уполномоченными органами в рамках почерковедческой экспертизы; 5) рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека и находящиеся в истории болезни (медицинской карте) пациента (не имеет значения, бумажной или электронной), поскольку они не используются оператором (медицинским учреждением) для установления личности пациента; 6) материалы видеосъемки в публичных местах и на охраняемой территории.

3. Российский рынок биометрии: отличительные черты и перспективы развития.

В последние годы в России тема биометрической идентификации граждан находится в фокусе общественного и политического внимания. В первую очередь, это связано с развитием Единой биометрической системы (ЕБС), для нормативно-правового обеспечения которой был принят Федеральный закон от 31 декабря 2017 г. № 482-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации».

Этот закон регламентирует объединение как уже имеющихся, так и будущих биометрических данных в общую систему. С помощью ЕБС россияне могут взять кредит, открыть банковский счёт, снять наличные в банкомате или дистанционно подписать документы. За два года правительство рассчитывает увеличить число записей в ЕБС со 164 тысяч до 70 млн.

Отметим, что операторы связи, которые также могут работать с ЕБС, ранее заявляли о своей незаинтересованности в ее использовании. Это связано с необходимостью платить ЕБС за каждое обращение, а также ограниченным количеством услуг, которые оператор может получить через биометрическую платформу (то есть фактически это только заключение договора на оказание услуг связи).

Чтобы сдать биометрические данные, человеку нужно пойти в банк и завести учетную запись. Компьютер получит снимок лица человека и запомнит все до мельчайших подробностей: форму носа, цвет глаз и другие параметры. При этом доступа к системе сами кредитные организации иметь не будут. Они смогут лишь узнавать о соответствии предоставленных данных шаблону, который хранится в ЕБС. Если процент соответствия окажется выше 99,99%, банк сможет предоставить услугу дистанционно.

«ЕБС — один из способов учёта финансово активных граждан, что становится особенно актуальным в условиях санкций. Создание удобного механизма перевода безналичных денежных средств, очевидно, позволит усилить контроль за денежными потоками и сократить теневой сектор экономики», — отмечает технический директор RTM Group Федор Музалевский.

В конце ноября 2021 года глава Минцифры Максут Шадаев на конференции TAdviser Summit заявил, что ведомство планирует обязать всех коммерческих операторов биометрических данных работать в рамках государственной ЕБС. При этом они не смогут собирать первичные данные самостоятельно, а будут получать только производные этих данных с согласия гражданина. При этом министр никак не расшифровал, как именно новое видение рынка соотносится с уже принятой нормативной базой и что будет с теми биометрическими данными, что хранятся у банков сейчас, отметив только, что «ЕБС должна стать единым хранилищем биометрических персональных данных физлиц».

По мнению директора по стратегическим проектам Института исследований интернета Ирины Левовой, предлагаемые ведомством изменения, по сути, поставят крест на рынке коммерческой идентификации в России — даже если компания получит аккредитацию, ей придется работать через ЕБС. «Фактически это монополия государства на биометрическую идентификацию и хранение данных. Это худший вариант развития рынка, так как он ставит под вопрос коммерческую эффективность использования бизнесом биометрии и затормозит цифровизацию страны», — отметила она в беседе с «Коммерсантом».

Новое регулирование приведет к общему удорожанию сбора и обработки биометрических данных, считает соучредитель Russian Privacy Protection Association Алексей Мунтян. «У бизнеса появятся новые расходы на обеспечение всех требований регуляторов, которые они перенесут на потребителей услуг», — пояснил он. При этом он сомневается, что меры по защите данных россиян будут эффективны: даже в крупных банках и госструктурах бывают утечки — от них не защищен никто.

Но не все эксперты столь пессимистичны, ибо есть в отрасли биометрии в РФ и свои драйверы. Дело в том, что структура российского рынка биометрических технологий значительно отличается от общемирового: если в глобальном пространстве доминирующую долю продолжают занимать технологии Fingerprint (отпечаток пальца), в России наблюдается активное проникновение Facial Recognition (распознавание по лицу). За последние годы технологии распознавания лица в России увеличили свою долю в общем объеме российского биометрического рынка более чем в шесть раз – почти до 50%.

Активное развитие мирового биометрического рынка формировалось на базе технологий отпечатков пальцев, поэтому до сих пор именно Fingerprint занимает больше половины в общем объеме глобального рынка – 52,2% в 2018 г. В России же существенным фактором роста биометрии стало развитие машинного обучения. Появилось много компаний, разрабатывающих качественные алгоритмы идентификации по лицу, которые стали формировать спрос на эту технологию.

«Российскому рынку еще предстоит революция в области биометрических технологий. Период подготовки к прорыву был продолжительным. <…> В последние три года рынок биометрических технологий ежегодно рос на 17-20%, и тенденция сохранится. <…> лицевая биометрия будет все активнее проникать в новые сферы. Большие перспективы у нее есть в области медицины и маркетинга. Если говорить о технической составляющей, то можно ожидать укрепления тренда на идентификацию людей с помощью компьютерного зрения, на удешевление технологий, а соответственно — на повышение массовости их применения», — говорит Тамара Морозова, генеральный директор RecFaces.

Больше о биометрических данных, их правовой природе, способах фиксации и проблемах можно будет узнать простым путем. Для этого нужно всего лишь зарегистрироваться на очередной пятидневный интенсив нашей Школы киберправа. На нем с 20 по 24 июня включительно наши тренеры и эксперты в рамках модуля Privacy & Security расскажут вам множество полезной в юридической работе информации, в том числе — и касательно биометрии.

Публикация подготовлена при поддержке юристов DRC.

Telegram-канал.