Российским компаниям запретили принудительно собирать биометрию у граждан, и сами россияне смогут без последствий для себя отказаться от выдачи персональных данных. Какой бывает биометрия, что можно собирать и куда жаловаться, если нарушают ваши права, разбирались «Известия».
Что определяет новый закон
Президент России Владимир Путин 29 декабря подписал ФЗ № 572 «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных», который запрещает принудительный сбор биометрии, а также дискриминацию к тем, кто отказался сдавать свои данные. Кроме того, законопроектом вводится запрет на хранение геномной информации, а у несовершеннолетних биометрию можно будет брать только с согласия родителей или опекунов.
Иностранцам собирать биометрию россиян запрещается, а вся информация может храниться только на территории РФ, передавать ее за границу нельзя. Следующим шагом станет введение в стране административной и уголовной ответственности за принудительный сбор и утечку биометрических данных граждан — до 1 млн рублей или до шести лет лишения свободы. Также предлагается ввести возможность упрощенного удаления данных из системы и контролировать их использование через «Госуслуги» и др. В базе данных будут храниться фото лица и запись голоса. Сегодня удалить биометрию на «Госуслугах» можно в два клика, а вот клиентам «Сбера» придется лично обратиться в офис с заявлением.
Что такое биометрия
Оплатить покупки с помощью селфи, разблокировать телефон по отпечатку пальца или голосом перевести деньги — всё это не фантастический фильм, а повседневная жизнь. Под биометрическими данными подразумевают уникальные физические характеристики. Черты лица и контуры тела, отпечаток пальца, рисунок глазной сетчатки и рисунок вен, тембр голоса и группа крови не повторяются, и их сложно подделать — но можно украсть.
С начала прошлого века доступную на тот момент биометрию использовали полицейские и секретные службы. Со временем технологию подхватили и развили IT-гиганты и банковский сектор, и сегодня получить услугу с помощью биометрии может каждый. Особенно активно развивают направление лайт-биометрии, с помощью которой можно оплатить проход в метро или купить что-то в пределах тысячи рублей. С февраля 2023 года россияне смогут входить на портал «Госуслуги» с помощью биометрии, а с марта — по Face ID станут доступны аттестация по программам высшего образования и выдача «карт болельщика» (Fan ID).
Главным врагом на пути прогресса стали многочисленные утечки и кража персональных данных как у корпораций, так и у самих пользователей. Самой страшной в Минфине назвали утечку биометрии из банков. Уязвимость систем напрямую влияет на их популярность: к декабрю 2022 года биометрию сдали лишь 180 тыс. россиян — меньше 0,3% от населения страны.
Как собирают биометрию
В России по инициативе Банка России и Минцифры создана единая государственная биометрическая система (ЕБС). Она действует с 2018 года, а в 2020-м получила статус государственной информационной системы. По биометрии вместе с логином и паролем от «Госуслуг» можно без посещения банка получить кредит или открыть счет, подписать документы или получить справку о здоровье. А с декабря прошлого года — даже получить электронный паспорт. Сфера применения цифровой идентичности постоянно растет, а технологии сбора и хранения информации — усовершенствуются.
Согласно поправкам в новый закон, все собранные биометрические данные россиян должны храниться в ЕБС. «Хранение данных в ЕБС позволит определить круг обладателей биометрии, контролировать защищенность данных и более оперативно выяснять, по чьей вине произошла утрата данных», пояснила «Известиям» руководитель департамента цифровых решений агентства «Полилог», разработчик BPM-платформы POLYCODE Людмила Богатырева.
Однако у банкиров к этой части законопроекта были комментарии. «Важно, чтобы клиент, подписывая согласие на хранение своей биометрии, сам выбирал, разрешает ли он использовать свои данные одному банку или всему рынку через ЕБС», — пояснил «Известиям» директор департамента цифрового бизнеса и программ лояльности Новикомбанка Евгений Гладилин.
Как узнают по лицу, по голосу и по отпечаткам пальцев
Технология Face ID кодирует изображение лица в математическом шаблоне и сохраняет в базу данных. В дальнейшем терминал идентифицирует человека, сличая черты его лица с шаблонами в базе данных. При фоноскопической идентификации голос человека сравнивают с образцами голоса и речи предполагаемого участника разговора. Сначала устройство записывает голосовой запрос, а нейросеть анализирует поток речи. Волна звука делится на фрагменты — фонемы. Затем нейросеть обращается к своим шаблонам и сопоставляет фонемы с буквой, слогом или словом.
Дактилоскопия — определение человека по отпечатку пальцев — была известна и в аналоговые времена. Цифровые сканеры только усовершенствовали методы (сейчас используют емкостный, ультразвуковой или оптический способы дактилоскопии) и сократили время идентификации до нескольких секунд. Инновационные компании уже разрабатывают способ бесконтактно распознавать отпечатки.
Как крадут персональные данные и биометрию
Утечки персональных данных в России в последнее время стали регулярными. Только с начала февраля этого года в открытый доступ попали данные более чем 8 млн пользователей сервисов доставки еды. Инцидентов утечек биометрических данных в РФ пока не было, хотя в кабмине их считают одними из самых опасных. Как пояснил замглавы Минфина Алексей Моисеев, если PIN-код, пароль или паспорт можно поменять в течение жизни, то биометрию «наверное, можно, но большинство людей, наверное, посчитает слишком большой издержкой изменить лицо или еще что-то». Поэтому в случае утечки таких данных у человека в цифровом будущем сломана жизнь.
В мире крупнейший скандал произошел в 2019 году в Великобритании. Исследователи из компании VPNMentor, занимающейся вопросами кибербезопасности, обнаружили крупную утечку личной информации и биометрических данных более чем миллиона человек из сотни стран через систему доступа Biostar 2. Она позволяет компаниям самостоятельно организовывать контроль доступа к своим офисам или складам через сканирование лица или отпечатков пальцев.
Способов на 100% защитить от кражи данных не существует, но можно попытаться сделать эти данные бесполезными для мошенников. Например, с помощью технологии «отменяемой биометрии», пояснил «Известиям»ведущий эксперт направления «Информационная безопасность» IT-компании КРОК Александр Черныхов. Эта технология основывается на «преднамеренном искажении» биометрических данных с помощью выбранного алгоритма. Биометрический сигнал одинаково искажается как при регистрации, так и при каждой идентификации, и не имея дешифровщика, воры не смогут распознать данные.
Дмитрий Галов, эксперт по кибербезопасности в «Лаборатории Касперского», считает, что создатели систем, в которых используются биометрические данные, должны позаботиться о мерах безопасности по сбору и обработке изображений и персональной информации. В этом случае риски их применения будут небольшими. «Сама база должна храниться в зашифрованном виде, а при сравнении изображений необходимо использовать хеши — числовые коды, которые получаются в результате анализа изображений по определенным алгоритмам. Таким образом, даже в случае утечки исходные данные будет невозможно восстановить», — подчеркнул он.
В будущем, к 2050 году, биометрия будет использоваться повсеместно, заявил «Известиям» руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров. По его мнению, на сегодняшний день невозможно в полной мере оценить рынок и перспективы биометрии, поскольку технологии развиваются и меняются стремительно.
«Дело в том, что если брать все очевидные известные программы развития цифровых сервисов электроники, то биометрия войдет в них полностью только к 2050 году. С одной стороны, это надежный способ защиты персональных данных, а с другой — еще один способ для их хищения и, как следствие, торга. Мы постепенно будем отходить от классических средств аутентификации вроде SMS и паролей. Этому способствует также широкое развитие голосовых помощников вроде той же Алисы. Биометрия будет использоваться повсеместно», — подчеркнул Бедеров.