В каких случаях банк может обрабатывать биометрические персональные данные

Обновлено: 06.02.2023

1. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации, законодательством Российской Федерации о нотариате.

Судебная практика и законодательство — 152-ФЗ О персональных данных. Статья 11. Биометрические персональные данные

3) если выполнены особенности обработки специальных категорий персональных данных и биометрических персональных данных, установленные соответственно в статьях 10 и 11 Федерального закона "О персональных данных".

46. Согласие в письменной форме изготовляется на бумажном носителе информации (стандартных листах бумаги формата A4 - 210 x 297 мм) субъектом персональных данных собственноручно или с помощью средств вычислительной техники либо уполномоченным должностным лицом с помощью средств вычислительной техники.

В соответствии с Федеральным законом от 27 июля 2006 года "О персональных данных" [1] к биометрическим персональным данным относятся сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность.

По существу обработки фото- или видеоизображения субъекта персональных данных и распространения на указанную деятельность положений ст. 11 Федерального закона "О персональных данных" необходимо отметить следующее.

В соответствии со ст. 152.1 Гражданского кодекса Российской Федерации обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина. После смерти гражданина его изображение может использоваться только с согласия его законных представителей (супруги, дети, родители). Такое согласие не требуется в случаях, когда:

Федеральный закон от 27.07.2006 N 151-ФЗ "О персональных данных" (с изменениями на 25.07.2011) // Собрание законодательства Российской Федерации. 2006. N 31 (ч. 1). Ст. 3451 (Ст. ст. 10, 11).

Фото: George Prentzas / Unsplash

Биометрические данные — это уникальные физические характеристики человека, которые используются для установления (идентификации) или проверки (аутентификации) личности. К ним относятся лицо, движение губ, сетчатка глаза, отпечаток пальца, рисунок вен и голос.

Зачем банки собирают биометрию

Российские банки собирают биометрические данные клиентов в двух направлениях: для собственных целей, чтобы повысить безопасность, удобство и скорость обслуживания клиентов, а также для Единой биометрической системы (ЕБС), которая была запущена Банком России и «Ростелекомом» летом 2018 года. Эта система позволяет гражданам становиться клиентами банков без посещения офиса за счет удаленной идентификации. В двух этих случаях сдача биометрии для клиентов является добровольной.

Фото:Екатерина Кузьмина / РБК (Рустам Тарико)

Собирать данные в ЕБС (изображение лица и цифровой слепок голоса) по закону должны все банки, однако услуги через ЕБС (открытие счета, выдача кредита и проведение платежей) пока оказывают только несколько кредитных организаций:

  • ВТБ,
  • Почта Банк,
  • Тинькофф Банк,
  • «Хоум кредит»,
  • Совкомбанк,
  • Промсвязьбанк,
  • Ак Барс Банк,
  • Россельхозбанк,
  • СКБ-Банк.

Скоро к этому списку должны добавится Росбанк, «Русский Стандарт» и РНКБ. Собственные биометрические проекты реализуют не все участники рынка: из крупнейших игроков это делают Сбербанк, ВТБ, Альфа-банк, Почта Банк и «Хоум Кредит».

Способы использования биометрии кредитными организациями

  • Для удаленной идентификации новых клиентов через ЕБС. Клиенту надо один раз посетить банковское отделение и сдать свои данные. После этого пользователи системы могут удаленно становиться клиентами других банков без посещения офиса и предоставления паспорта. По словам представителя РНКБ, для банков это становится возможностью привлечь новых клиентов в регионах отсутствия. Пользователь же может стать клиентом банка не выходя из дома, что особенно актуально для людей, живущих в отдаленных уголках страны, а также для людей с ограниченными возможностями, добавил председатель правления Банка «Русский стандарт» Александр Самохвалов.
  • Биометрия для идентификации клиентов. По словам представителя Сбербанка, биометрия упрощает клиентский путь, так как при обслуживании в физических каналах и контактном центре не потребуется паспорт или карта для проверки личности. Биометрию вместо документов решил использовать и Альфа-банк: эта технология распознает клиентов на входе в отделение, подтверждает проведение операций, а также помогает сформировать наилучшее клиентское предложение. Аналогичный проект планируют запустить ВТБ и Почта Банк. «Ак-Барс» использует биометрию для узнавания клиентов на входе в отделение банка и для идентификации пользователей программы лояльности в ряде ресторанов Татарстана. Этот способ использования биометрии ускоряет обслуживание и повышает продажи.
  • Использование биометрии для безопасности. Например, ВТБ таким образом повышает лимиты по операциям, рассказал старший вице-президент банка Никита Чугунов. Почта Банк использует биометрию для борьбы с мошенническими переводами: технология помогает распознать поддельный или утерянный паспорт, а в мобильном приложении с помощью селфи — подтверждать нетипичные для клиента операции (например, переводы на чужие карты, нехарактерные суммы переводов, оплата онлайн-покупок, закрытие вклада раньше срока). Как рассказал заместитель президента — председателя правления Почта Банка Святослав Емельянов, в 2019 году банк с помощью биометрии предотвратил более 1,2 тыс. попыток использования чужих учетных записей для входа в системы и свыше 2 тыс. случаев с подозрением оформления операций без ведома клиента на сумму более 500 млн руб. Также за прошлый год было выявлено порядка 100 обращений в банк, когда предъявленные паспорта оказались поддельными. Еще одно направление использования биометрии — защита от внутреннего мошенничества, продолжает Емельянов: «Получить доступ к счету клиента и провести все операции сотрудник банка в отделении может только при личном присутствии клиента и после его идентификации по фото, таким образом полностью исключается несанкционированный доступ к счетам». Банк «Хоум Кредит» использует биометрию для выявления мошенников при заключении кредитного договора, обмениваясь фотографиями клиентов с другими банками.
  • Биометрия вместо карты. Относительно новое направление развития технологии — это биоэквайринг. С его помощью можно оплачивать покупки путем сканирования лица, просто посмотрев в камеру (биометрия привязана к карте или счету). Такой сервис разработал Сбербанк, а также «Русский Стандарт» и ВТБ совместно с «Ростелекомом». Это позволяет клиентам быстрее оплачивать покупки, а магазинам — сокращать свои затраты, говорит Чугунов из ВТБ. «Вместо среднестатистических 15 секунд весь процесс оплаты с помощью биометрии займет не более пяти секунд. Если учитывать временные расходы на все действия клиента на кассе магазина — поиск карты в кошельке или активация смартфона с платежными сервисами, а также поиск карты лояльности, — то использование биометрии еще более существенно ускоряет процесс», — добавляет Самохвалов из «Русского стандарта». Также в 2021 году банки совместно с Московским метрополитеном планируют запустить оплату по лицу в метро, сообщил ранее в эфире радиостанции «Эхо Москвы» заммэра Москвы по вопросам транспорта Максим Ликсутов.

Как происходит сбор биометрии

Для регистрации в ЕБС необходимо один раз посетить отделение банка с паспортом и СНИЛС, а также иметь подтвержденный аккаунт на сайте госуслуг. Если человек еще не является клиентом банка, ему надо открыть счет. Для сдачи своих данных клиент подписывает согласие на их обработку, после чего сотрудники производят запись образца голоса и делают фотографию. Для записи необходимо прочитать три последовательности цифр. Процедура длится не больше десяти минут. В перспективе сдать данные для ЕБС можно будет в МФЦ или в специальном мобильном приложении, рассказал представитель «Ростелекома».

Фото:PhotoMIX Company / Pixabay

Процедура сдачи биометрии для собственных систем в каждой кредитной организации может отличаться. Например, ВТБ записывает образцы голоса при общении с оператором. Во время записи разговор может вестись на любую комфортную для пользователя тему, чтобы система могла зафиксировать и записать корректный слепок.

Какими законами регулируется сбор биометрии

В настоящее время работа Единой биометрической системы регулируется двумя законами: «Об информации, информационных технологиях и о защите информации», а также «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». Согласно им, использование ЕБС в новых сферах может определяться только отдельными законодательными актами.

На рассмотрении в Госдуме сейчас находится законопроект о расширении сферы деятельности ЕБС, его принятие позволит использовать систему без необходимости внесения изменений в отраслевое законодательство, а также приведет к появлению внебанковских сервисов, предоставляющих услуги через ЕБС.

Почему немногие хотят сдавать биометрию в банке

Небольшое число клиентов, готовых воспользоваться услугами ЕБС, связано с недостаточной информированностью граждан о такой возможности, считает представитель «Хоум Кредит». По мнению Емельянова из Почта Банка, чтобы применение биометрических шаблонов стало массовым, нужно, чтобы технология вышла широко за пределы банковской индустрии. Как пояснил представитель «Ростелекома», после принятия законопроекта о сферах применения биометрии появятся новые массовые сервисы: оплата по биометрии, дистанционная сдача экзаменов в образовательных учреждениях, сервисы для нотариусов, судопроизводства, а также другие продукты, которые сейчас находятся на стадии проработки — технической и нормативной.

Еще одна причина — сильно преувеличенные страхи, связанные с возможными утечками биометрических данных, добавляет Емельянов. С точки зрения безопасности ЕБС хорошо продумана, говорит руководитель проектов департамента технологического развития СКБ-банка Альберт Усенко. Записанные фото и голос хранятся в виде математической модели, поэтому ее попадание в руки злоумышленников ничего им не даст, объясняет он: «Ценность представляет связка биометрического контрольного шаблона и набор персональных данных пользователей. Поэтому биометрический контрольный шаблон хранится в ЕБС, а набор персональных данных храниться в Единой системе идентификации и аутентификации (ЕСИА). Они обе расположены в разных местах и никак напрямую между собой не связаны».

Биометрические системы — это надежный и апробированный механизм повышения защищенности дистанционного взаимодействия клиентов с организациями, говорит начальник отдела по противодействию мошенничеству Центра прикладных систем безопасности компании «Инфосистемы Джет» Алексей Сизов. Однако, по его мнению, биометрия должна быть дополнительным, а не единственным фактором проверки или подтверждения личности клиента, поскольку фото, видео и голос человека не являются «секретами», как пароли и кодовые слова, а значит, в теории могут быть собраны и использованы без ведома клиентов.


Партнер технологической практики KPMG в России и СНГ Оксана Борисова также видит эффективность применения биометрии в защите от мошенников и считает, что несмотря на риски, ее лучше сдавать для обеспечения безопасности операций и настраивать многофакторное подтверждение проведения операции.

«Наиболее частым сценарием хищения денежных средств является получение данных клиента, необходимых для идентификации и проведения операций в удаленных каналах обслуживания. На сегодняшний день клиент может выбрать различные способы идентификации: обычный PIN-код или пароль, отпечаток пальца, распознавание голоса, проверка с помощью видео и т.д. Ни один из способов не обеспечивает 100%-ную защиту от действий злоумышленников, биометрия — не исключение. Однако использование биометрии в качестве второго или третьего фактора аутентификации может значительно повысить безопасность данных и улучшить клиентский опыт, потому что клиенту не требуется запоминать сложные пароли», — считает Борисова.

Что касается ЕБС, то, по мнению руководителя группы по оказанию услуг компаниям финансового сектора Deloitte Максима Налютина, сдача биометрии важна только в том случае, если клиент собирается активно открывать счета и новые продукты в банках, где он ранее не обслуживался, особенно в условиях эпидемиологических ограничений.

Влияние пандемии на будущее биометрии

Под влиянием пандемии COVID-19 технология начала развиваться быстрее. «За последние полгода по биометрии было предоставлено столько же услуг, сколько за предыдущие полтора года», — пояснил представитель «Ростелекома». Он объяснил это тем, что пандемия сформировала тренд на бесконтактные и дистанционные технологии.

«В сложном 2020 году, когда возникла необходимость перевода всех видов банковских и прочих услуг в дистанционный формат, биометрия стала особенно востребованной. Например, мы наблюдали спрос на использование удаленной идентификации, чтобы стать клиентами банка через мобильное приложение, воспользоваться рядом финансовых услуг, зарегистрироваться и подтвердить учетную запись на портале госуслуг с помощью биометрии», — рассказал директор по инновациям банка «Ак Барс» Дамир Галиев.

ВТБ с помощью голосовой биометрии в контакт-центре уже планирует предоставлять сервисы и услуги, которые ранее были доступны только в офисе, например, разблокировка карт, говорит старший вице-президент банка Чугунов.

Согласно Глобальному исследованию KPMG по банковскому мошенничеству за 2019 год, 67% банковских лидеров инвестируют в инструменты с использованием физической биометрии — голос, отпечатки пальцев, распознавание лиц. Наиболее передовые организации уже вкладываются в развитие более сложной поведенческой биометрии, которая представляет собой сбор уникальных для каждого пользователя набора характеристик, позволяющих составить профиль пользователя и отсеивать мошенников.

Фото:Naomi Baker / Getty Images

Если смотреть на мировой опыт применения биометрии, прежде всего она используется для услуг регистрации новых клиентов в банках и верификации существующих, рассказал руководитель аналитического отдела «Ассоциации ФинТех» Никита Ломов: «Несмотря на то, что пользователи с осторожностью соглашаются на предоставление биометрических данных, мировой опыт показывает, что их использование значительно упрощает процесс взаимодействия клиентов с банками».

Самые известные мировые примеры, по его словам, это:

  • индийская биометрическая система Aadhaar, где содержится более 1,2 млрд шаблонов биометрических данных жителей страны (отпечатки пальцев, радужка глаза) и которая используется для получения как государственных, так и банковских услуг;
  • южноафриканская система ABIS с образцами отпечатков пальцев, радужки глаза и фотографий пользователей, которая применяется для социальных и финансовых услуг;
  • таиландская система Digital ID, которая позволяет клиентам открывать счета в банках удаленно с помощью технологии распознавания лиц, гарантируя безопасность процесса.

По аналогии со странами Азии, в России могут начать развиваться сервисы мгновенной оплаты покупок или услуг по индивидуальным чертам лица, считает Ломов:

«Также в ряде европейских стран активно выпускаются биометрические банковские карты, позволяющие пользователям совершать безлимитные операции, для подтверждения которых нужно приложить палец к специальному чипу на карте. Правда, адаптацию данного решения российскими банками предсказать сложно в силу высокого проникновения в России более удобного способа бесконтактной оплаты смартфоном Apple Pay, Android Pay, Samsung Pay и прочих».

Фото: Евгений Разумный / Ведомости / ТАСС

Российские банки иногда отказывают гражданам в сдаче биометрических данных (голос и изображение лица) в Единую биометрическую систему (ЕБС), но ЦБ считает, что препятствий для сдачи биометрии быть не должно. Об этом говорится в письме первого зампреда ЦБ Сергея Швецова, которое адресовано банкам (.pdf).

В Банк России поступают обращения об отказах со стороны банков собирать биометрические персональные данные, говорится в документе. Речь идет об отказе обслуживать граждан, которые не являются клиентами банков, следует из письма Швецова. Однако «отсутствие предшествующих договорных отношений с банком, в том числе отсутствие заключенного договора банковского счета, не может являться основанием для отказа в размещении и обновлении в электронной форме в Единой системе идентификации и аутентификации и Единой биометрической системе сведений о клиенте — физическом лице», отмечает Швецов.

В ЦБ также напомнили, что если клиент отказывается от получения банковских услуг, это не повод отказывать ему в сдаче данных для ЕБС.

«В целях формирования единообразной практики правоприменения Банк России рекомендует банкам принять во внимание вышеизложенные разъяснения по вопросу сбора и размещения биометрических данных клиента — физического лица в Единой биометрической системе», — резюмировал Швецов.

ЕБС была запущена ЦБ и «Ростелекомом» в конце июня 2018 года для удаленного предоставления финансовых услуг. До конца 2019 года закон обязывает все банки с универсальной лицензией обеспечить прием биометрии во всех своих отделениях. Позже «Ростелеком» планирует расширить применение системы на здравоохранение, образование, ретейл, e-commerce, получение государственных и муниципальных услуг.

Банки не раз говорили о проблеме с наполняемостью ЕБС. За все время работы биометрические данные сдали около 100 тыс. клиентов, в настоящее время биометрию принимают в 11 тыс. отделений банков, сообщил РБК представитель «Ростелекома».

Биометрию также собирают банки для своих внутренних сервисов. Активно это делает Сбербанк: на конец 2018 года он собрал около одного миллиона биометрических образцов лица и голоса.

Законопроект, разрешающий россиянам для получения банковских услуг сдавать биометрию через личные смартфоны и компьютеры, не предусматривает защиту от злоумышленников, предупредили банки. Этим могут воспользоваться мошенники

Фото: Сергей Фадеичев / ТАСС

Национальный совет финансового рынка (НСФР), куда входят многие крупные российские банки, предупредил об уязвимостях законопроекта, который позволяет физическим лицам регистрироваться в Единой биометрической системе (ЕБС) самостоятельно с использованием личных смартфонов, планшетов, компьютеров и т.п. Этот законопроект в нынешнем виде допускает сдачу в ЕБС недостоверных данных и те могут быть использованы в мошеннических целях при получении банковских услуг через систему, говорится в заключении НСФР (есть у РБК), направленном в Госдуму, Совет Федерации, Минкомсвязь, Минфин, ФСБ и Управление делами президента.

Соответствующий законопроект был внесен на рассмотрение в Госдуму в конце апреля группой депутатов во главе с председателем комитета по финансовому рынку Анатолием Аксаковым. Согласно документу физлица смогут самостоятельно сдавать свои биометрические данные (изображение лица и образец голоса) в ЕБС в случаях, определенных правительством по согласованию с ЦБ. Порядок сдачи биометрии в законопроекте не прописан: предполагается, что власти утвердят его впоследствии. Комитет по финрынку еще не ознакомился с заключением НСФР, заявил РБК Аксаков. Представитель Минфина сообщил, что письмо находится на рассмотрении.

Фото: Сергей Бобылев / ТАСС

Что не так с дистанционной сдачей биометрии

  • Законопроект наделяет одинаковым правовым статусом биометрические данные, собранные как кредитными организациями, так и самостоятельно физическими лицами. Как отмечают в НСФР, в документе недостаточно проработаны механизмы противодействия мошенничеству при самостоятельной регистрации в ЕБС: принадлежность биометрических персональных данных вносящему их лицу никак не удостоверяется, из-за чего банк впоследствии можно будет ввести в заблуждение. «Когда сдают биометрию в банке, то сотрудник банка проверяет, что именно эти биометрические данные принадлежат именно этому клиенту. При сдаче биометрии физлицом напрямую в ЕБС такая проверка не предусмотрена», — поясняет замруководителя Национального совета финансового рынка Александр Наумов.
  • Этой уязвимостью могут воспользоваться злоумышленники. Например, при получении доступа к смартфону жертвы (с помощью хакерского взлома или физическим путем) мошенник может разместить в ЕБС свои голос и лицо, а остальные персональные данные ввести от имени потерпевшего. В результате преступники смогут оформлять в банках кредиты на чужое имя.
  • Законопроект не устанавливает ответственности за внесение недостоверных данных в ЕБС. Проверка клиента по недостоверным данным служит прямым нарушением антиотмывочного закона и меры будут применяться в отношении самих банков, опасаются в НСФР.

Самостоятельная сдача биометрии содержит риски подмены данных, говорит заместитель председателя правления Совкомбанка Алексей Панферов, который участвовал в разработке заключения НСФР. При удаленной идентификации клиентов неизбежно снизится качество собираемых биометрических данных (хотя бы из-за разных параметров клиентских устройств), а достоверность предоставляемой информации не верифицируется, добавляет руководитель управления информационной безопасности Райффайзенбанка Денис Камзеев.

Кастовость, стартапы, осторожность — что нужно знать о бизнесе в Индии

МТС неожиданно решила выплатить дивиденды. Что это значит

Когда щедрость работодателя к выплатам премий заинтересует ФНС — кейсы

Неторопливый миллиард: как россиянину успешно выйти на рынок Индии

Фото: Pexels

Потолок выше 700 тыс. руб. в месяц: cколько получают No-code разработчики

Фото: Andyfang / Twitter

Сооснователь DoorDash: отличной идеи недостаточно для создания бизнеса

Как участнику госзакупок отстоять свои права в период перемен: 5 советов

Фото: Hulki Okan Tabak / Unsplash

Как изменились условия покупки ВНЖ за границей из-за санкций: обзор

Что предлагают участники рынка

  • Сообщать кредитной организации, каким образом были предоставлены биометрические данные — самостоятельно, в отделении банка, МФЦ и т.п.
  • Если биометрия сдана самостоятельно, то банки должны получить право проводить дополнительную проверку клиента с помощью видеосвязи и отказывать в обслуживании, если считают, что это не тот, кто сдавал биометрию. Хотя, по мнению Камзеева, даже повторная проверка по видеосвязи не может подтвердить достоверность сведений из-за невозможности гарантировать единые стандарты и параметры качества биометрических данных.
  • Установить ответственность физических лиц за достоверность биометрических персональных данных, размещаемых ими в ЕБС. Она может быть как административная, так и уголовная в зависимости от тяжести последствий, говорит адвокат, партнер адвокатского бюро «Бишенов и партнеры» Даханаго Нагоева.
  • Разработать механизм корректировки биометрических персональных данных в случае выявления их недостоверного или ошибочного внесения в ЕБС физическим лицом.

Альтернатива биометрии

«Главная проблема данного законопроекта в том, что он вносится как необходимая мера, которая должна обеспечить доступность финансовых услуг во время пандемии коронавируса. Однако сдача данных самостоятельно резко не повысит популярность ЕБС у россиян», — отмечает Наумов. Поэтому совместно с предложениями по улучшению законопроекта о биометрии НСФР направил в Госдуму и другие органы власти свой законопроект об организации проверки личности с использованием системы видеосвязи, который предлагает рассмотреть параллельно.

Фото:Евгений Разумный / Ведомости / ТАСС

Видеоидентификация для удаленного открытия счета может стать более эффективным способом, считает партнер группы консультирования в области ИТ КПМГ в России и СНГ Оксана Борисова. Ранее ЦБ разрешил банкам открывать счета для социально значимых платежей (ипотечные платежи, пенсии, социальные выплаты и т.п.) удаленно с помощью современных средств связи, однако за месяц действия послабления им не воспользовался ни один крупный банк, выяснил ранее РБК.

Президент Владимир Путин 11 мая поручил правительству и ЦБ к 1 июня подготовить план перевода в дистанционный формат части банковских услуг, в том числе идентификацию клиента. Свои предложения (есть у РБК) в правительство уже направила Ассоциация участников рынка электронных денег и денежных переводов (АЭД): в них также предлагается проводить идентификацию клиента с помощью видеосвязи.

«Ее внедрение не требует существенных затрат в отличие от биометрических систем, она может быть в короткие сроки масштабирована. Такая модель также не предусматривает централизованного хранения данных, что снижает риски масштабной компрометации и утечек», — отмечают в АЭД. По словам Борисовой, комплект для сбора ЕБС для одного банковского отделения стоит примерно 2–3 млн руб.

Кроме этого участники АЭД предлагают проходить упрощенную идентификацию с помощью водительского удостоверения, с использованием данных операторов сотовой связи, а также упростить идентификацию для предпринимателей и юридических лиц при получении услуг пониженного риска, которые не требуют открытия счета (например, при заключении договоров эквайринга).

Для прохождения идентификации банк должен связаться с потенциальным клиентом по видеосвязи и попросить в режиме реального времени показать свой паспорт, объясняет Наумов. Сотрудник банка сверяет фотографию в документе с личностью клиента, а затем направляет ему СМС с кодом, который тот должен назвать во время сеанса связи. Поскольку такой способ установления отношений более рискованный, чем личная явка в банк, ЦБ может установить ограничения на использование счета, открытого по видеосвязи, отметил Наумов; если есть возможность проверить биометрические данные клиента, то ограничения на счет можно будет снять.

Автоматизация занимает отдельное место в сфере идентификации и аутентификации пользователей – использование функции распознавания человека применяется как организациями, так и государственными органами. К первому случаю можно отнести оказание финансовых услуг банковскими организациями: так, некоторые банки используют системы идентификации с помощью биометрии, например, с помощью голоса можно подтверждать совершение операций. Примером второго выступает использование камер видеонаблюдения, установленных на улице и в общественном транспорте.

Государство амбициозно внедряет новые автоматизированные решения: к данному процессу подключаются различные предприятия. На тематическом мероприятии директор по информационным технологиям АО "Гознак" Олег Барсуков сообщил о том, что компания занимается разработкой и автоматизации прохода пассажиров на транспорт на основе биометрической идентификации и электронного документа. Он пообещал представить на обозрение в ближайшее время технологию верификации по радужной оболочке глаза. Эксперт также отметил, что предприятие развивает технологии, использующие в основе биометрию: помимо радужной оболочки глаза также планируют сканировать вены ладоней.

При правовой оценке планируемых нововведений возникает вопрос о том, каким образом они будут соотноситься с законодательством, а именно каким образом будет соблюдаться Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ).

В первую очередь следует определить, относятся ли данные, получаемые при идентификации с помощью радужной оболочки глаза или вен ладоней, к биометрическим персональным данным. Текущее законодательство, разъяснения государственных органов и судебная практика в значительной степени разнятся.

К биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека (п. 1 ст. 11 Закона № 152-ФЗ). Важно отметить, что на основании таких сведений можно установить личность субъекта персональных данных: для этой цели они обрабатываются оператором.

Постановление Правительства РФ от 30 июня 2018 г. № 772 к биометрическим персональным данным относит изображение лица человека, полученные с помощью фото-, видеоустройств и данные голоса человека, полученные с помощью звукозаписывающих устройств (подп. а) Постановления).

Роскомнадзор также выражал свою позицию по вопросу того, какие персональные данные относятся к биометрическим. Так, по мнению ведомства, к биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта (Разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30 августа 2013 г. "Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки"). К ним же относятся фото и иные сведения, используемые для обеспечения прохода на охраняемую территорию и установления личности гражданина.

При этом судебная практика демонстрирует противоположные подходы относительно того, какие сведения относятся к биометрическим персональным данным, а какие нет.

В одном деле гражданка П. обратилась в ГУ МВД России с административным иском на Департамент информационных технологий (ДИТ) г. Москвы. По мнению истца, ДИТ с помощью камер видеонаблюдения обрабатывает ее биометрические персональные данные. Судебная коллегия не усмотрела факта идентификации, в связи с чем решила, что само по себе получение изображения истца в период ее нахождения на территории, попадающей под сектор наблюдения конкретной камеры, установленной в целях контроля за окружающей обстановкой, не является способом сбора биометрических персональных данных, поскольку не использовалось непосредственно для определения личности, а при отсутствии процедуры идентификации личности, видеоизображения граждан не могут считаться биометрическими персональными данными. Суд посчитал, что в рассматриваемом случае отсутствует необходимость получать письменное согласие гражданина на обработку биометрических персональных данных. Подробнее об этом деле, а также об утечках при использовании систем распознавания лиц читайте в нашем материале: Использование системы видеонаблюдения – нарушение законодательства о персональных данных?

В другом деле гражданка С. пожаловалась на гражданку М., которая без согласия осуществляла видеосъемку на камеру мобильного телефона с участием первой. Территориальное управление Роскомнадзора отказало в возбуждении дела, установив, что видеозапись не содержит сведений, позволяющих идентифицировать гражданку С. как конкретного субъекта персональных данных, что свидетельствует об отсутствии нарушений положений закона о персональных данных, в связи с чем доводы жалобы были опровергнуты районным и областным судом (Постановление Четвертого кассационного суда общей юрисдикции от 16 октября 2020 г. по делу № 16-894/2020).

Основную сложность использование обработки биометрических персональных данных обязательное наличие согласия в письменной форме (ч. 1 ст. 11 Закона № 152-ФЗ). Более того, при применении информационных технологий в целях идентификации применяется форма, утвержденная Правительством РФ (в соответствии с ч. 5 ст. 14.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации"). Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено законом (п. 1 ст. 9 Закона № 152-ФЗ).

Обработка биометрических персональных данных возможна без согласия субъекта в некоторых случаях, определенных законом. Представляется, что для целей обработки персональных данных при идентификации может быть справедливо следующие случаи (ч. 2 ст. 11 Закона № 152-ФЗ):

  • в связи с осуществлением правосудия и исполнением судебных актов;
  • в связи с проведением обязательной государственной дактилоскопической регистрации;
  • в случаях, предусмотренных законодательством об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности.

Помимо требования об обязательном письменном согласии на обработку персональных данных оператору требуется соблюдать положение о неразглашении персональных данных без согласия субъекта. В одном деле апелляционный суд согласился с доводами суда первой инстанции, отметив, что у потребителя не было возможности отказаться от передачи его персональных данных третьим лицам, и, следовательно, потребитель, являющийся стороной договора, был лишен возможности влиять на его содержание (Постановление Одиннадцатого арбитражного апелляционного суда от 28 октября 2020 г. № 11АП-13301/20 по делу N А55-14835/2020). Такую деятельность суд трактовал как нарушение законодательства, в части персональных данных деятельность ответчика противоречит ст. 7 Закона № 152-ФЗ – операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных.

В условиях цифровизации основная опасность – кража идентификации, уверен заместитель Министра финансов Российской Федерации, председатель совета директоров АО "Гознак" Алексей Моисеев. В случае скомпроментирования пароля банк сразу заметит, оповестит клиента, который, в свою очередь, может поменять пароль. В случае же кражи идентификации сценарий действия не так очевиден.

В последнее время СМИ сообщают об участившихся случаях финансового мошенничества с использованием биометрии. Так, жителю Москвы позвонил неизвестный, представившийся банковским сотрудником, сообщил о сомнительной операции, якобы совершенной с использованием счета гражданина 1 . Примечательно, что злоумышленник не запрашивал дополнительные данные, а попросил ответить утвердительно или отрицательно на вопрос: "Согласны ли Вы заблокировать счета карт, с которых были попытки списаний неизвестными?". После утвердительного ответа гражданин обнаружил поступление кредитных средств на свой счет и последующее их списание вместе с личными сбережениями. Данный пример демонстрирует, как использование верификации по голосу способствовала мошенническим действиям. Однако, представляется, что такие случаи не должны являться препятствием к внедрению и развитию систем идентификации на основании биометрических данных. Лучшим способом противодействия мошенническим схемам является осведомленность граждан о случаях мошенничества – подробнее об этом читайте в нашем материале: Телефонное мошенничество: как противодействовать обману.

1 Подробнее об этом случае можно узнать на официальном сайте окружной электронной газеты Зеленоградского административного округа г. Москвы.

Автор статьи

Куприянов Денис Юрьевич

Куприянов Денис Юрьевич

Юрист частного права

Страница автора

Читайте также: