Данные смогут собирать даже ИП и нотариусы. Сбер уже начал передачу вашей биометрии в Единую биометрическую систему, но от этого можно отказаться без последствий.
«Сбер» начал передавать данные своих клиентов в Единую биометрическую систему, уведомляя о том клиентов за 30 дней. И это не инициатива банка – передать данные должны все банки до 30 сентября 2023 года. То есть, теперь все биометрические данные будут храниться в одном месте, на чем настоял президент России Владимир Путин.
Но вы можете отказаться от передачи своих биометрических данных в ЕБС, уведомив об этом банк. Или, наоборот, передать свои биометрические данные любому из банков или через мобильное приложение «Госуслуги биометрия», чтобы они попали в ЕБС. Но, скорее всего, все ваши данные давно есть у какого-либо банка. Всего коммерческие системы накопили 75 млн фотографий лиц своих клиентов. Из них 40% (30 млн) – у Сбербанка.
Давайте разберемся, что такое биометрические данные, для чего они нужны, какие есть риски.
21 декабря 2022 года Госдума в заключительном третьем чтении приняла законопроект о регулировании в России сбора биометрических данных граждан. Его назначение — прекратить «биометрическую анархию», существующую сейчас, и установить государственный контроль над обработкой и хранением чувствительной информации о россиянах.
Наиболее важные положения закона таковы:
- сбор генетических данных запрещается;
- собирать можно только изображение лица (фото и видео) и образцы голоса;
- сдача биометрии строго добровольна, свое согласие на нее можно отозвать в любой момент;
- если вас уже кто-то фотографировал и записывал ваш голос (например, банк), то данные автоматически попадут в государственную Единую биометрическую систему (ЕБС) — вас об этом уведомят, но можно будет отказаться их передавать;
- больше ни банк, ни любая другая организация не смогут принуждать россиян к сдаче биометрии, угрожая не предоставить услугу или товар…
А теперь подробнее. Законопроект объемен и, в случае одобрения Советом Федерации и президентом, его внедрение потребует принятия множества подзаконных актов. Процедуры, методы надзора и технические средства реализации закона определит правительство РФ. Некоторые положения требуют значительного времени на претворение в жизнь — до 1 января 2027 года.
Главное в законе (граждане могут выдохнуть) — вот это:
«Предоставление физическими лицами своих биометрических персональных данных в целях, предусмотренных настоящим Федеральным законом, не может быть обязательным».
Вот что закон называет легальными «биометрическими персональными данными»:
- Изображение лица человека, полученное с помощью фотовидеоустройств.
- Запись голоса человека, полученная с помощью звукозаписывающих устройств.
- Векторы Единой биометрической системы — числовые шаблоны, в которые при помощи сложных алгоритмов преобразуют изображения и аудио.
Сбор и хранение в ЕБС информации о геноме человека теперь недвусмысленно запрещен.
Если вашу биометрию кто-то уже собирал, она попадет в систему автоматом
В последние годы многие коммерческие и государственные организации собирали образцы изображений лиц и голосов граждан. Вас ведь фотографировали в банках? Вы слышали по телефону предупреждения «В целях безопасности… бла-бла-бла… разговор записывается»?
В таком случае знайте: все эти файлы будут переданы в государственную Единую биометрическую систему автоматически (статья 4, пункт 14).
Но следующая статья 15 говорит, что вас обязаны уведомить о передаче и размещении в ЕБС ваших данных не позднее, чем за 30 дней до ее осуществления. Форма уведомления, к сожалению, подробно не прописана. Сказано лишь: «в любой, позволяющей подтвердить факт получения уведомления, форме о таком размещении».
Хорошая новость — если вы не прохлопаете уведомление «в любой форме», то сможете опротестовать передачу своей биометрии. Не очень хорошая новость — закон упоминает некое «возражение», но не уточняет, как именно гражданин должен возражать тому, кто прислал уведомление.
Однако, если вы прошляпили момент, когда размещение ваших данных в ЕБС можно было опротестовать или не поняли, как это нужно было делать, вы сможете исправить ситуацию.
Закон позволяет гражданину обратиться в любой МФЦ (центр «Мои документы») или напрямую к Оператору Единой биометрической системы с заявлением об удалении и уничтожении своих биометрических данных.
Внимание: ждать уведомления стоит уже в следующем году. Организации всех форм собственности, ранее собиравшие биометрические данные россиян, будут обязаны передать их в Единую биометрическую систему в срок до 30 сентября 2023 года.
После передачи данных частники и госорганы будут обязаны уничтожить их копии, хранимые в собственных системах, и в течение 30 дней отчитаться об этом.
«Давайте запишем голос, а то кредит не дадим»
Поистине золотое правило вводит новый закон: никакая организация, никакой бизнес не сможет принуждать граждан сдавать биометрию. Текст прямо запрещает не предоставлять гражданам услугу или товар, если они не согласны сниматься на фото и видео и говорить в микрофон.
Также нельзя под предлогом отказа клиента от сдачи биометрических данных предоставлять услугу или товары не в полном объеме. Государственные организации тоже не смогут занижать объемы услуг для отказников.
Дарья Завьялова, выпускающий редактор TexTerra:
«У нас на сайте, например, не хранятся даже персональные данные. Если вы звоните, чтобы заказать продвижение бренда в интернете, и оставляете в форме свои имя-фамилию и телефон, они улетают сразу же в CRM, и дальше уже эта система обязана обеспечить их правильное хранение в соответствии с законом. Отличное решение, с которым, честно говоря, спокойнее».
Как требовать блокировки и удаления своих данных
Если вы когда-либо давали согласие на сдачу и обработку своей биометрии или согласитесь на это в будущем, ситуацию можно будет отыграть назад.
Закон устанавливает, что граждане получают право:
- «…направить оператору единой биометрической системы требование о блокировании, об удалении, уничтожении биометрических персональных данных и (или) векторов единой биометрической системы»;
- «…ознакомиться со сведениями о представленном им отказе от сбора и размещения его биометрических персональных данных в целях проведения идентификации и (или) аутентификации, а также в случае отзыва такого отказа ознакомиться со сведениями об отзыве».
Насколько понятно из текста принятого законопроекта — очень длинного и головоломного по форме, люди смогут требовать удаления их биометрии напрямую от федерального оператора ЕБС, от государственных региональных операторов и в МФЦ — они же центры «Мои документы» (при условии личного присутствия). Гражданам в этом случае станут выдавать письменное подтверждение факта принятия у них отказного заявления.
Если гражданин написал заявление об отказе, система не сможет собирать его биометрию и что-то делать с данными, пока он снова письменно не согласится. За несовершеннолетних отказы должны будут писать родители или законные представители.
Загадочные «векторы»
С удалением фото, видео и аудио, содержащих биометрию граждан, все хорошо понятно. Если гражданин потребовал: «Удалить!», все обязаны будут это сделать. Но вот в случае с понятием «вектор» ситуация несколько неприятная.
Вот что о нем говорит закон:
«…Вектор единой биометрической системы – персональные данные, полученные в результате математического преобразования биометрических персональных данных физического лица, содержащихся в единой биометрической системе, которое произведено с использованием информационных технологий и технических средств, соответствующих требованиям, определенным в соответствии с подпунктом "е" пункта 1 части 2 статьи 6 настоящего Федерального закона…».
По ГОСТУ (статья 3.13) «вектор» — это «…нумерованный набор биометрических параметров или производных от них параметров, имеющих одну и ту же интерпретацию и формат представления».
Другим словами, мы имеем делом с числовым кодом. В него изображения и звук переводят специальные алгоритмы с участием искусственных нейросетей.
ЕБС, как ясно из текста закона, непременно будет преобразовывать исходные файлы биометрии граждан в векторы. И тут возникает некая коллизия. Сами исходные файлы без согласия граждан нигде не могут храниться, а вот векторы…
Закон говорит:
«…К векторам единой биометрической системы не применяются положения статьи 11 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных" и меры по обеспечению безопасности биометрических персональных данных при их обработке, установленные в соответствии со статьей 19 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных"».
Что за статья такая — одиннадцатая? Если посмотрим на нее внимательно, обнаружится сюрприз: оказывается, векторы оператор ЕБС сможет обрабатывать без письменного согласия гражданина.
Посмотрим уж и на статью 19. И изумимся — ведь она предписывает важные вещи. Например:
«Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных…».
И тут у нас возникают закономерные вопросы:
- Наши векторы, которые уже есть у банков, интернет-сервисов и прочих организаций, автоматически попадут в ЕБС – это понятно, но на каком основании собираются обрабатывать их без нашего письменного согласия?
- Оказывается, векторы, полученные из изображений нашего лица и записей голоса, не защищены от «случайного доступа», «копирования», «распространения» и т.п. Как прикажете это понимать?
- Возможно ли из утекшего или украденного вектора восстановить исходные файлы — фото, видео с лицом гражданина, аудио с образцом голоса?
По поводу первого вопроса со временем СМИ и правозащитные организации должны будут теребить правительство РФ — пусть расписывает процедуры максимально подробно.
По поводу второго, по идее, обществу следует требовать поправок в законопроект, пока его еще не одобрили высшие инстанции.
Ведь, возможно, с «векторами» оставлена законодательная лазейка для манипулирования данными граждан без их ведома.
По поводу третьего вопроса в частных беседах специалисты, работающие с векторами, сообщают: «Мы всем говорим, что восстановление исходников из векторов невозможно. Но мы не можем поручиться, что это невозможно в принципе».
Строго говоря, восстановление фото, видео или аудио из векторов — очень нетривиальная и сложная задача. Подавляющее большинство хакеров решить ее не способно. Но это не значит, что прямо сейчас такая технология кем-то не разрабатывается, и что в ближайшие годы она не появится…
Словом, если вы мыслите достаточно параноидально (а может быть, просто здраво), чтобы эти нюансы замечать, то подозрительные странности с понятием «вектор» в законе должны вас насторожить.
К счастью, в соответствии с текстом документа, гражданин имеет право требовать удаления из ЕБС не только фото, видео и аудио, но и векторов, которые были из них получены.
К частным компаниям, ИП и нотариусам предъявят жесткие требования
К работе с Единой биометрической системой потенциально могут получить доступ коммерческие компании любой формы собственности, ИП и нотариусы. Это по первоначалу пугает.
Однако каждому субъекту бизнеса потребуется специальная аккредитация. А получить ее будет не так просто. Новый закон предъявляет внушительный список требований к желающим.
Скажем, учредители бизнеса должны будут доказывать оператору, что у них нет неснятых и непогашенных судимостей, что они не являются фигурантами перечней экстремистов, террористов и т.п.
Бизнес будет обязан пройти проверки со стороны «федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации». А банки и другие финансовые организации подвергнутся проверкам Центрального банка РФ.
Есть требования к размеру капитала компаний, претендующих на аккредитацию, и они весьма серьезны. Минимальный размер собственных средств организации должен составлять не менее 500 миллионов рублей. А на компенсации из-за потенциальных утечек данных и сопутствующих убытков должно быть выделено не менее 100 миллионов.
Есть и еще несколько условий, например:
- наличие лицензий на разработку, производство и распространение криптографических средств;
- наличие в собственности аппаратных шифровальных средств;
- наличие в штате организации не менее двух работников, осуществляющих деятельность по аутентификации на основе биометрических персональных данных, имеющих высшее образование в области IT или информационной безопасности…
Странно, что закон не конкретизирует требования к индивидуальным предпринимателям и нотариусам. Нам остается думать, что к ним применяются те же положения, что и к компаниям.
А это значит, что аккредитацию теоретически смогут получить лишь единичные российские ИП и нотариусы. Ведь у большинства нет ни требуемых объемов собственных средств, ни лицензий, ни аппаратных средств криптографии.
Прочее важное
- Согласие на сбор и обработку биометрии ЕБС и аккредитованный бизнес смогут получать не только с физической подписью, но и несколькими видами электронной — в том числе простой электронной подписью. Ее ключи станут выдавать гражданам сам оператор Единой биометрической системы, его региональные отделения, госорганы, банки и коммерческие организации. Требования к проверке электронной подписи обязано установить правительство.
- Государственный оператор Единой биометрической системы сможет взимать плату с бизнеса за ее использование.
- Правительство назначит некий федеральный исполнительный орган, который, в свою очередь, определит требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных и векторов.
- Коммерческим организация законом разрешено лишь собирать и передавать биометрию в Единую систему. Хранить у себя и как-либо обрабатывать биометрические данные нельзя (статья 15, п. 1). Исключение (п. 3 той же статьи) возможно лишь на 10 суток, когда (и если) гражданин обратился с заявлением о неправомерном использовании его персональных биометрических данных. После 10 суток хранения организации обязаны данные уничтожить.
- Надзирать за всей этой махиной поручат неким «уполномоченным федеральным органам исполнительной власти». Заниматься безопасностью процедур, технических и программных средств биометрии также будет Центральный банк РФ. Его же обяжут вести надзор и контроль над работой с Единой биометрической системой российских финансовых организаций.
Краткое резюме
С одной стороны, новый закон ликвидирует биометрическую вольницу, которая сейчас распространилась в России, и это позитив. Также позитивна норма, позволяющая гражданам отказаться от сбора биометрии легко и без последствий.
С другой стороны, недоумение и подозрение вызывает незащищенность векторов — производных от записей голоса, фото и видео с изображением лица.
Некоторые аналитики предсказывают, что сдача биометрических данных в обмен на некое «удобство» использования государственных и коммерческих сервисов популярной в России не станет.
Мол, закон призван не насадить биометрическое сканирование среди широких масс, а всего лишь устранить существующий бардак.
Ну что ж, предварительно попробуем этому поверить. Но не забудем все-таки присматриваться к тому, как именно новации примутся внедрять на практике. На это потребуется время. Закон вступит в силу после его одобрения Советом Федерации и подписи президента, но не весь целиком. Некоторые его положения реализуют постепенно — до 1 января 2027 года.
Читайте также:
Иностранные слова в рекламе — всё, но штрафов нет (пока)