Закон о биометрии: кто будет «владеть» вашим голосом и лицом [обновлено]

Редакция «Текстерры»

«Сбер» начал передавать данные своих клиентов в Единую биометрическую систему, уведомляя о том клиентов за 30 дней. И это не инициатива банка – передать данные должны все банки до 30 сентября 2023 года. То есть, теперь все биометрические данные будут храниться в одном месте, на чем настоял президент России Владимир Путин.

Но вы можете отказаться от передачи своих биометрических данных в ЕБС, уведомив об этом банк. Или, наоборот, передать свои биометрические данные любому из банков или через мобильное приложение «Госуслуги биометрия», чтобы они попали в ЕБС. Но, скорее всего, все ваши данные давно есть у какого-либо банка. Всего коммерческие системы накопили 75 млн фотографий лиц своих клиентов. Из них 40% (30 млн) – у Сбербанка.

Давайте разберемся, что такое биометрические данные, для чего они нужны, какие есть риски.

21 декабря 2022 года Госдума в заключительном третьем чтении приняла законопроект о регулировании в России сбора биометрических данных граждан. Его назначение — прекратить «биометрическую анархию», существующую сейчас, и установить государственный контроль над обработкой и хранением чувствительной информации о россиянах.

Наиболее важные положения закона таковы:

• сбор генетических данных запрещается;
• собирать можно только изображение лица (фото и видео) и образцы голоса;
• сдача биометрии строго добровольна, свое согласие на нее можно отозвать в любой момент;
• если вас уже кто-то фотографировал и записывал ваш голос (например, банк), то данные автоматически попадут в государственную Единую биометрическую систему (ЕБС) — вас об этом уведомят, но можно будет отказаться их передавать;
• больше ни банк, ни любая другая организация не смогут принуждать россиян к сдаче биометрии, угрожая не предоставить услугу или товар…

А теперь подробнее. Законопроект объемен и, в случае одобрения Советом Федерации и президентом, его внедрение потребует принятия множества подзаконных актов. Процедуры, методы надзора и технические средства реализации закона определит правительство РФ. Некоторые положения требуют значительного времени на претворение в жизнь — до 1 января 2027 года.

Главное в законе (граждане могут выдохнуть) — вот это:

«Предоставление физическими лицами своих биометрических персональных данных в целях, предусмотренных настоящим Федеральным законом, не может быть обязательным».

Вот что закон называет легальными «биометрическими персональными данными»:

1. Изображение лица человека, полученное с помощью фотовидеоустройств.
2. Запись голоса человека, полученная с помощью звукозаписывающих устройств.
3. Векторы Единой биометрической системы — числовые шаблоны, в которые при помощи сложных алгоритмов преобразуют изображения и аудио.

Сбор и хранение в ЕБС информации о геноме человека теперь недвусмысленно запрещен.

Если вашу биометрию кто-то уже собирал, она попадет в систему автоматом

В последние годы многие коммерческие и государственные организации собирали образцы изображений лиц и голосов граждан. Вас ведь фотографировали в банках? Вы слышали по телефону предупреждения «В целях безопасности… бла-бла-бла… разговор записывается»?

В таком случае знайте: все эти файлы будут переданы в государственную Единую биометрическую систему автоматически (статья 4, пункт 14).

Но следующая статья 15 говорит, что вас обязаны уведомить о передаче и размещении в ЕБС ваших данных не позднее, чем за 30 дней до ее осуществления. Форма уведомления, к сожалению, подробно не прописана. Сказано лишь: «в любой, позволяющей подтвердить факт получения уведомления, форме о таком размещении».

Хорошая новость — если вы не прохлопаете уведомление «в любой форме», то сможете опротестовать передачу своей биометрии. Не очень хорошая новость — закон упоминает некое «возражение», но не уточняет, как именно гражданин должен возражать тому, кто прислал уведомление.

Однако, если вы прошляпили момент, когда размещение ваших данных в ЕБС можно было опротестовать или не поняли, как это нужно было делать, вы сможете исправить ситуацию.

Закон позволяет гражданину обратиться в любой МФЦ (центр «Мои документы») или напрямую к Оператору Единой биометрической системы с заявлением об удалении и уничтожении своих биометрических данных.

Внимание: ждать уведомления стоит уже в следующем году. Организации всех форм собственности, ранее собиравшие биометрические данные россиян, будут обязаны передать их в Единую биометрическую систему в срок до 30 сентября 2023 года.

После передачи данных частники и госорганы будут обязаны уничтожить их копии, хранимые в собственных системах, и в течение 30 дней отчитаться об этом.

«Давайте запишем голос, а то кредит не дадим»

Поистине золотое правило вводит новый закон: никакая организация, никакой бизнес не сможет принуждать граждан сдавать биометрию. Текст прямо запрещает не предоставлять гражданам услугу или товар, если они не согласны сниматься на фото и видео и говорить в микрофон.

Также нельзя под предлогом отказа клиента от сдачи биометрических данных предоставлять услугу или товары не в полном объеме. Государственные организации тоже не смогут занижать объемы услуг для отказников.

Дарья Завьялова, выпускающий редактор TexTerra:

«У нас на сайте, например, не хранятся даже персональные данные. Если вы звоните, чтобы заказать продвижение бренда в интернете, и оставляете в форме свои имя-фамилию и телефон, они улетают сразу же в CRM, и дальше уже эта система обязана обеспечить их правильное хранение в соответствии с законом. Отличное решение, с которым, честно говоря, спокойнее». 

Как требовать блокировки и удаления своих данных

Если вы когда-либо давали согласие на сдачу и обработку своей биометрии или согласитесь на это в будущем, ситуацию можно будет отыграть назад.

Закон устанавливает, что граждане получают право:

• «…направить оператору единой биометрической системы требование о блокировании, об удалении, уничтожении биометрических персональных данных и (или) векторов единой биометрической системы»;
• «…ознакомиться со сведениями о представленном им отказе от сбора и размещения его биометрических персональных данных в целях проведения идентификации и (или) аутентификации, а также в случае отзыва такого отказа ознакомиться со сведениями об отзыве».

Насколько понятно из текста принятого законопроекта — очень длинного и головоломного по форме, люди смогут требовать удаления их биометрии напрямую от федерального оператора ЕБС, от государственных региональных операторов и в МФЦ — они же центры «Мои документы» (при условии личного присутствия). Гражданам в этом случае станут выдавать письменное подтверждение факта принятия у них отказного заявления.

Если гражданин написал заявление об отказе, система не сможет собирать его биометрию и что-то делать с данными, пока он снова письменно не согласится. За несовершеннолетних отказы должны будут писать родители или законные представители.

Загадочные «векторы»

С удалением фото, видео и аудио, содержащих биометрию граждан, все хорошо понятно. Если гражданин потребовал: «Удалить!», все обязаны будут это сделать. Но вот в случае с понятием «вектор» ситуация несколько неприятная.

Вот что о нем говорит закон:

«…Вектор единой биометрической системы – персональные данные, полученные в результате математического преобразования биометрических персональных данных физического лица, содержащихся в единой биометрической системе, которое произведено с использованием информационных технологий и технических средств, соответствующих требованиям, определенным в соответствии с подпунктом "е" пункта 1 части 2 статьи 6 настоящего Федерального закона…».

По ГОСТУ (статья 3.13) «вектор» — это «…нумерованный набор биометрических параметров или производных от них параметров, имеющих одну и ту же интерпретацию и формат представления».

Другим словами, мы имеем делом с числовым кодом. В него изображения и звук переводят специальные алгоритмы с участием искусственных нейросетей.

ЕБС, как ясно из текста закона, непременно будет преобразовывать исходные файлы биометрии граждан в векторы. И тут возникает некая коллизия. Сами исходные файлы без согласия граждан нигде не могут храниться, а вот векторы…

Закон говорит:

«…К векторам единой биометрической системы не применяются положения статьи 11 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных" и меры по обеспечению безопасности биометрических персональных данных при их обработке, установленные в соответствии со статьей 19 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных"».

Что за статья такая — одиннадцатая? Если посмотрим на нее внимательно, обнаружится сюрприз: оказывается, векторы оператор ЕБС сможет обрабатывать без письменного согласия гражданина.

Посмотрим уж и на статью 19. И изумимся — ведь она предписывает важные вещи. Например:

«Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных…».

И тут у нас возникают закономерные вопросы:

1. Наши векторы, которые уже есть у банков, интернет-сервисов и прочих организаций, автоматически попадут в ЕБС – это понятно, но на каком основании собираются обрабатывать их без нашего письменного согласия?
2. Оказывается, векторы, полученные из изображений нашего лица и записей голоса, не защищены от «случайного доступа», «копирования», «распространения» и т.п. Как прикажете это понимать?
3. Возможно ли из утекшего или украденного вектора восстановить исходные файлы — фото, видео с лицом гражданина, аудио с образцом голоса?

По поводу первого вопроса со временем СМИ и правозащитные организации должны будут теребить правительство РФ — пусть расписывает процедуры максимально подробно.

По поводу второго, по идее, обществу следует требовать поправок в законопроект, пока его еще не одобрили высшие инстанции.

Ведь, возможно, с «векторами» оставлена законодательная лазейка для манипулирования данными граждан без их ведома.

По поводу третьего вопроса в частных беседах специалисты, работающие с векторами, сообщают: «Мы всем говорим, что восстановление исходников из векторов невозможно. Но мы не можем поручиться, что это невозможно в принципе».

Строго говоря, восстановление фото, видео или аудио из векторов — очень нетривиальная и сложная задача. Подавляющее большинство хакеров решить ее не способно. Но это не значит, что прямо сейчас такая технология кем-то не разрабатывается, и что в ближайшие годы она не появится…

Словом, если вы мыслите достаточно параноидально (а может быть, просто здраво), чтобы эти нюансы замечать, то подозрительные странности с понятием «вектор» в законе должны вас насторожить.

К счастью, в соответствии с текстом документа, гражданин имеет право требовать удаления из ЕБС не только фото, видео и аудио, но и векторов, которые были из них получены.

К частным компаниям, ИП и нотариусам предъявят жесткие требования

К работе с Единой биометрической системой потенциально могут получить доступ коммерческие компании любой формы собственности, ИП и нотариусы. Это по первоначалу пугает.

Однако каждому субъекту бизнеса потребуется специальная аккредитация. А получить ее будет не так просто. Новый закон предъявляет внушительный список требований к желающим.

Скажем, учредители бизнеса должны будут доказывать оператору, что у них нет неснятых и непогашенных судимостей, что они не являются фигурантами перечней экстремистов, террористов и т.п.

Бизнес будет обязан пройти проверки со стороны «федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации». А банки и другие финансовые организации подвергнутся проверкам Центрального банка РФ.

Есть требования к размеру капитала компаний, претендующих на аккредитацию, и они весьма серьезны. Минимальный размер собственных средств организации должен составлять не менее 500 миллионов рублей. А на компенсации из-за потенциальных утечек данных и сопутствующих убытков должно быть выделено не менее 100 миллионов.

Есть и еще несколько условий, например:

• наличие лицензий на разработку, производство и распространение криптографических средств;
• наличие в собственности аппаратных шифровальных средств;
• наличие в штате организации не менее двух работников, осуществляющих деятельность по аутентификации на основе биометрических персональных данных, имеющих высшее образование в области IT или информационной безопасности…

Странно, что закон не конкретизирует требования к индивидуальным предпринимателям и нотариусам. Нам остается думать, что к ним применяются те же положения, что и к компаниям.

А это значит, что аккредитацию теоретически смогут получить лишь единичные российские ИП и нотариусы. Ведь у большинства нет ни требуемых объемов собственных средств, ни лицензий, ни аппаратных средств криптографии.

Прочее важное

• Согласие на сбор и обработку биометрии ЕБС и аккредитованный бизнес смогут получать не только с физической подписью, но и несколькими видами электронной — в том числе простой электронной подписью. Ее ключи станут выдавать гражданам сам оператор Единой биометрической системы, его региональные отделения, госорганы, банки и коммерческие организации. Требования к проверке электронной подписи обязано установить правительство.
• Государственный оператор Единой биометрической системы сможет взимать плату с бизнеса за ее использование.
• Правительство назначит некий федеральный исполнительный орган, который, в свою очередь, определит требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных и векторов.
• Коммерческим организация законом разрешено лишь собирать и передавать биометрию в Единую систему. Хранить у себя и как-либо обрабатывать биометрические данные нельзя (статья 15, п. 1). Исключение (п. 3 той же статьи) возможно лишь на 10 суток, когда (и если) гражданин обратился с заявлением о неправомерном использовании его персональных биометрических данных. После 10 суток хранения организации обязаны данные уничтожить.
• Надзирать за всей этой махиной поручат неким «уполномоченным федеральным органам исполнительной власти». Заниматься безопасностью процедур, технических и программных средств биометрии также будет Центральный банк РФ. Его же обяжут вести надзор и контроль над работой с Единой биометрической системой российских финансовых организаций.

Краткое резюме

С одной стороны, новый закон ликвидирует биометрическую вольницу, которая сейчас распространилась в России, и это позитив. Также позитивна норма, позволяющая гражданам отказаться от сбора биометрии легко и без последствий.

С другой стороны, недоумение и подозрение вызывает незащищенность векторов — производных от записей голоса, фото и видео с изображением лица.

Некоторые аналитики предсказывают, что сдача биометрических данных в обмен на некое «удобство» использования государственных и коммерческих сервисов популярной в России не станет.

Мол, закон призван не насадить биометрическое сканирование среди широких масс, а всего лишь устранить существующий бардак.

Ну что ж, предварительно попробуем этому поверить. Но не забудем все-таки присматриваться к тому, как именно новации примутся внедрять на практике. На это потребуется время. Закон вступит в силу после его одобрения Советом Федерации и подписи президента, но не весь целиком. Некоторые его положения реализуют постепенно — до 1 января 2027 года.

Читайте также:

Иностранные слова в рекламе — всё, но штрафов нет (пока)

Как жить с новостями, которые пугают даже журналиста

Вот что добивает маркетологов (и вас) больше всего