SEO-продвижение сайта от 150 000 рублей

Заказать звонок
Телефон отдела продаж:
8 (800) 775-16-41
Наш e-mail:
mail@texterra.ru
Заказать услугу
Закон о биометрии: кто будет «владеть» вашим голосом и лицом [обновлено] Редакция «Текстерры»
Редакция «Текстерры»

«Сбер» начал передавать данные своих клиентов в Единую биометрическую систему, уведомляя о том клиентов за 30 дней. И это не инициатива банка – передать данные должны все банки до 30 сентября 2023 года. То есть, теперь все биометрические данные будут храниться в одном месте, на чем настоял президент России Владимир Путин.

Но вы можете отказаться от передачи своих биометрических данных в ЕБС, уведомив об этом банк. Или, наоборот, передать свои биометрические данные любому из банков или через мобильное приложение «Госуслуги биометрия», чтобы они попали в ЕБС. Но, скорее всего, все ваши данные давно есть у какого-либо банка. Всего коммерческие системы накопили 75 млн фотографий лиц своих клиентов. Из них 40% (30 млн) – у Сбербанка.

Давайте разберемся, что такое биометрические данные, для чего они нужны, какие есть риски.

21 декабря 2022 года Госдума в заключительном третьем чтении приняла законопроект о регулировании в России сбора биометрических данных граждан. Его назначение — прекратить «биометрическую анархию», существующую сейчас, и установить государственный контроль над обработкой и хранением чувствительной информации о россиянах.

Наиболее важные положения закона таковы:

  • сбор генетических данных запрещается;
  • собирать можно только изображение лица (фото и видео) и образцы голоса;
  • сдача биометрии строго добровольна, свое согласие на нее можно отозвать в любой момент;
  • если вас уже кто-то фотографировал и записывал ваш голос (например, банк), то данные автоматически попадут в государственную Единую биометрическую систему (ЕБС) — вас об этом уведомят, но можно будет отказаться их передавать;
  • больше ни банк, ни любая другая организация не смогут принуждать россиян к сдаче биометрии, угрожая не предоставить услугу или товар…

А теперь подробнее. Законопроект объемен и, в случае одобрения Советом Федерации и президентом, его внедрение потребует принятия множества подзаконных актов. Процедуры, методы надзора и технические средства реализации закона определит правительство РФ. Некоторые положения требуют значительного времени на претворение в жизнь — до 1 января 2027 года.

Главное в законе (граждане могут выдохнуть) — вот это:

«Предоставление физическими лицами своих биометрических персональных данных в целях, предусмотренных настоящим Федеральным законом, не может быть обязательным».

Вот что закон называет легальными «биометрическими персональными данными»:

  1. Изображение лица человека, полученное с помощью фотовидеоустройств.
  2. Запись голоса человека, полученная с помощью звукозаписывающих устройств.
  3. Векторы Единой биометрической системы — числовые шаблоны, в которые при помощи сложных алгоритмов преобразуют изображения и аудио.
Сбор и хранение в ЕБС информации о геноме человека теперь недвусмысленно запрещен.

Если вашу биометрию кто-то уже собирал, она попадет в систему автоматом

В последние годы многие коммерческие и государственные организации собирали образцы изображений лиц и голосов граждан. Вас ведь фотографировали в банках? Вы слышали по телефону предупреждения «В целях безопасности… бла-бла-бла… разговор записывается»?

В таком случае знайте: все эти файлы будут переданы в государственную Единую биометрическую систему автоматически (статья 4, пункт 14).

Но следующая статья 15 говорит, что вас обязаны уведомить о передаче и размещении в ЕБС ваших данных не позднее, чем за 30 дней до ее осуществления. Форма уведомления, к сожалению, подробно не прописана. Сказано лишь: «в любой, позволяющей подтвердить факт получения уведомления, форме о таком размещении».

Хорошая новость — если вы не прохлопаете уведомление «в любой форме», то сможете опротестовать передачу своей биометрии. Не очень хорошая новость — закон упоминает некое «возражение», но не уточняет, как именно гражданин должен возражать тому, кто прислал уведомление.

Однако, если вы прошляпили момент, когда размещение ваших данных в ЕБС можно было опротестовать или не поняли, как это нужно было делать, вы сможете исправить ситуацию.

Закон позволяет гражданину обратиться в любой МФЦ (центр «Мои документы») или напрямую к Оператору Единой биометрической системы с заявлением об удалении и уничтожении своих биометрических данных.

Внимание: ждать уведомления стоит уже в следующем году. Организации всех форм собственности, ранее собиравшие биометрические данные россиян, будут обязаны передать их в Единую биометрическую систему в срок до 30 сентября 2023 года.

После передачи данных частники и госорганы будут обязаны уничтожить их копии, хранимые в собственных системах, и в течение 30 дней отчитаться об этом.

Биометрия
Продвинем ваш бизнес
Подробнее

«Давайте запишем голос, а то кредит не дадим»

Поистине золотое правило вводит новый закон: никакая организация, никакой бизнес не сможет принуждать граждан сдавать биометрию. Текст прямо запрещает не предоставлять гражданам услугу или товар, если они не согласны сниматься на фото и видео и говорить в микрофон.

Также нельзя под предлогом отказа клиента от сдачи биометрических данных предоставлять услугу или товары не в полном объеме. Государственные организации тоже не смогут занижать объемы услуг для отказников.

Дарья Завьялова, выпускающий редактор TexTerra:

«У нас на сайте, например, не хранятся даже персональные данные. Если вы звоните, чтобы заказать продвижение бренда в интернете, и оставляете в форме свои имя-фамилию и телефон, они улетают сразу же в CRM, и дальше уже эта система обязана обеспечить их правильное хранение в соответствии с законом. Отличное решение, с которым, честно говоря, спокойнее». 

Как требовать блокировки и удаления своих данных

Если вы когда-либо давали согласие на сдачу и обработку своей биометрии или согласитесь на это в будущем, ситуацию можно будет отыграть назад.

Закон устанавливает, что граждане получают право:

  • «…направить оператору единой биометрической системы требование о блокировании, об удалении, уничтожении биометрических персональных данных и (или) векторов единой биометрической системы»;
  • «…ознакомиться со сведениями о представленном им отказе от сбора и размещения его биометрических персональных данных в целях проведения идентификации и (или) аутентификации, а также в случае отзыва такого отказа ознакомиться со сведениями об отзыве».

Насколько понятно из текста принятого законопроекта — очень длинного и головоломного по форме, люди смогут требовать удаления их биометрии напрямую от федерального оператора ЕБС, от государственных региональных операторов и в МФЦ — они же центры «Мои документы» (при условии личного присутствия). Гражданам в этом случае станут выдавать письменное подтверждение факта принятия у них отказного заявления.

Если гражданин написал заявление об отказе, система не сможет собирать его биометрию и что-то делать с данными, пока он снова письменно не согласится. За несовершеннолетних отказы должны будут писать родители или законные представители.

Биометрия

Загадочные «векторы»

С удалением фото, видео и аудио, содержащих биометрию граждан, все хорошо понятно. Если гражданин потребовал: «Удалить!», все обязаны будут это сделать. Но вот в случае с понятием «вектор» ситуация несколько неприятная.

Вот что о нем говорит закон:

«…Вектор единой биометрической системы – персональные данные, полученные в результате математического преобразования биометрических персональных данных физического лица, содержащихся в единой биометрической системе, которое произведено с использованием информационных технологий и технических средств, соответствующих требованиям, определенным в соответствии с подпунктом "е" пункта 1 части 2 статьи 6 настоящего Федерального закона…».

По ГОСТУ (статья 3.13) «вектор» — это «…нумерованный набор биометрических параметров или производных от них параметров, имеющих одну и ту же интерпретацию и формат представления».

Другим словами, мы имеем делом с числовым кодом. В него изображения и звук переводят специальные алгоритмы с участием искусственных нейросетей.

ЕБС, как ясно из текста закона, непременно будет преобразовывать исходные файлы биометрии граждан в векторы. И тут возникает некая коллизия. Сами исходные файлы без согласия граждан нигде не могут храниться, а вот векторы…

Закон говорит:

«…К векторам единой биометрической системы не применяются положения статьи 11 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных" и меры по обеспечению безопасности биометрических персональных данных при их обработке, установленные в соответствии со статьей 19 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных"».

Что за статья такая — одиннадцатая? Если посмотрим на нее внимательно, обнаружится сюрприз: оказывается, векторы оператор ЕБС сможет обрабатывать без письменного согласия гражданина.

Посмотрим уж и на статью 19. И изумимся — ведь она предписывает важные вещи. Например:

«Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных…».

И тут у нас возникают закономерные вопросы:

  1. Наши векторы, которые уже есть у банков, интернет-сервисов и прочих организаций, автоматически попадут в ЕБС – это понятно, но на каком основании собираются обрабатывать их без нашего письменного согласия?
  2. Оказывается, векторы, полученные из изображений нашего лица и записей голоса, не защищены от «случайного доступа», «копирования», «распространения» и т.п. Как прикажете это понимать?
  3. Возможно ли из утекшего или украденного вектора восстановить исходные файлы — фото, видео с лицом гражданина, аудио с образцом голоса?

По поводу первого вопроса со временем СМИ и правозащитные организации должны будут теребить правительство РФ — пусть расписывает процедуры максимально подробно.

По поводу второго, по идее, обществу следует требовать поправок в законопроект, пока его еще не одобрили высшие инстанции.

Ведь, возможно, с «векторами» оставлена законодательная лазейка для манипулирования данными граждан без их ведома.

По поводу третьего вопроса в частных беседах специалисты, работающие с векторами, сообщают: «Мы всем говорим, что восстановление исходников из векторов невозможно. Но мы не можем поручиться, что это невозможно в принципе».

Строго говоря, восстановление фото, видео или аудио из векторов — очень нетривиальная и сложная задача. Подавляющее большинство хакеров решить ее не способно. Но это не значит, что прямо сейчас такая технология кем-то не разрабатывается, и что в ближайшие годы она не появится…

Словом, если вы мыслите достаточно параноидально (а может быть, просто здраво), чтобы эти нюансы замечать, то подозрительные странности с понятием «вектор» в законе должны вас насторожить.

К счастью, в соответствии с текстом документа, гражданин имеет право требовать удаления из ЕБС не только фото, видео и аудио, но и векторов, которые были из них получены.
Биометрия

К частным компаниям, ИП и нотариусам предъявят жесткие требования

К работе с Единой биометрической системой потенциально могут получить доступ коммерческие компании любой формы собственности, ИП и нотариусы. Это по первоначалу пугает.

Однако каждому субъекту бизнеса потребуется специальная аккредитация. А получить ее будет не так просто. Новый закон предъявляет внушительный список требований к желающим.

Скажем, учредители бизнеса должны будут доказывать оператору, что у них нет неснятых и непогашенных судимостей, что они не являются фигурантами перечней экстремистов, террористов и т.п.

Бизнес будет обязан пройти проверки со стороны «федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации». А банки и другие финансовые организации подвергнутся проверкам Центрального банка РФ.

Есть требования к размеру капитала компаний, претендующих на аккредитацию, и они весьма серьезны. Минимальный размер собственных средств организации должен составлять не менее 500 миллионов рублей. А на компенсации из-за потенциальных утечек данных и сопутствующих убытков должно быть выделено не менее 100 миллионов.

Есть и еще несколько условий, например:

  • наличие лицензий на разработку, производство и распространение криптографических средств;
  • наличие в собственности аппаратных шифровальных средств;
  • наличие в штате организации не менее двух работников, осуществляющих деятельность по аутентификации на основе биометрических персональных данных, имеющих высшее образование в области IT или информационной безопасности…

Странно, что закон не конкретизирует требования к индивидуальным предпринимателям и нотариусам. Нам остается думать, что к ним применяются те же положения, что и к компаниям.

А это значит, что аккредитацию теоретически смогут получить лишь единичные российские ИП и нотариусы. Ведь у большинства нет ни требуемых объемов собственных средств, ни лицензий, ни аппаратных средств криптографии.

Прочее важное

  • Согласие на сбор и обработку биометрии ЕБС и аккредитованный бизнес смогут получать не только с физической подписью, но и несколькими видами электронной — в том числе простой электронной подписью. Ее ключи станут выдавать гражданам сам оператор Единой биометрической системы, его региональные отделения, госорганы, банки и коммерческие организации. Требования к проверке электронной подписи обязано установить правительство.
  • Государственный оператор Единой биометрической системы сможет взимать плату с бизнеса за ее использование.
  • Правительство назначит некий федеральный исполнительный орган, который, в свою очередь, определит требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных и векторов.
  • Коммерческим организация законом разрешено лишь собирать и передавать биометрию в Единую систему. Хранить у себя и как-либо обрабатывать биометрические данные нельзя (статья 15, п. 1). Исключение (п. 3 той же статьи) возможно лишь на 10 суток, когда (и если) гражданин обратился с заявлением о неправомерном использовании его персональных биометрических данных. После 10 суток хранения организации обязаны данные уничтожить.
  • Надзирать за всей этой махиной поручат неким «уполномоченным федеральным органам исполнительной власти». Заниматься безопасностью процедур, технических и программных средств биометрии также будет Центральный банк РФ. Его же обяжут вести надзор и контроль над работой с Единой биометрической системой российских финансовых организаций.
Биометрия

Краткое резюме

С одной стороны, новый закон ликвидирует биометрическую вольницу, которая сейчас распространилась в России, и это позитив. Также позитивна норма, позволяющая гражданам отказаться от сбора биометрии легко и без последствий.

С другой стороны, недоумение и подозрение вызывает незащищенность векторов — производных от записей голоса, фото и видео с изображением лица.

Некоторые аналитики предсказывают, что сдача биометрических данных в обмен на некое «удобство» использования государственных и коммерческих сервисов популярной в России не станет.

Мол, закон призван не насадить биометрическое сканирование среди широких масс, а всего лишь устранить существующий бардак.

Ну что ж, предварительно попробуем этому поверить. Но не забудем все-таки присматриваться к тому, как именно новации примутся внедрять на практике. На это потребуется время. Закон вступит в силу после его одобрения Советом Федерации и подписи президента, но не весь целиком. Некоторые его положения реализуют постепенно — до 1 января 2027 года.

Читайте также:

Иностранные слова в рекламе — всё, но штрафов нет (пока)

Как жить с новостями, которые пугают даже журналиста

Вот что добивает маркетологов (и вас) больше всего

Поделиться статьей:

Новое на сайте

21 ноя 2024
2 284
Как понять, что ваш SEO-специалист никуда не годится - чек-лист

10 пунктов, которые скажут, что пора искать замену.

20 ноя 2024
305
Трендвотчинг: как пресловутая «насмотренность» может спасти или уничтожить ваш бизнес

Как знание тенденций поможет вытянуть бизнес из любой, даже самой глубокой ямы.

20 ноя 2024
278
Как заставить подчиненного выполнять поручения ответственно и в срок

Или как заставить подчиненных выполнять ваши распоряжения с улыбкой и песней.

Смотреть все статьи

У вас есть деловой запрос? Давайте обсудим!

Оставьте свои контакты, мы свяжемся с вами в ближайшее время.

Нажимая на кнопку «Оставить заявку», вы подтверждаете свое согласие на обработку пользовательских данных

Спасибо!

Ваша заявка принята. Мы свяжемся с вами в ближайшее время.