Вопросы обработки биометрических данных

Экспертный материал  

Алексей Залецкий | Эксперт в области информационной безопасности

Обработка биометрических данных — процесс достаточно прозрачный. Однако у многих он вызывает сложности, поскольку, во-первых, нужно быть в курсе законодательных ограничений, а во-вторых, не все даже представляют, чем, собственно, является биометрия. С этого и начнем.

Что такое биометрия и для чего она нужна.

Под биометрическими данными понимают уникальные биологические и поведенческие особенности человека, позволяющие однозначно идентифицировать его, выделяя среди остальных людей. К биометрии относятся биологические данные разного типа. Это, например, отпечатки пальцев, радужная оболочка глаза, геометрические характеристики лица, геометрия руки, рисунок вен, голос, ДНК и ряд других уникальных особенностей человека.

Биометрические персональные данные можно встретить в системах контроля и управления доступом (СКУД), когда фотографии и видео, записи голоса сопоставляются с ФИО конкретного человека. Также биометрия используется, например, для выдачи средств индивидуальной защиты. Информация по размерам обуви, головного убора, одежды, противогаза и респиратора — это тоже биометрические данные.

О законности предоставления тех или иных видов биометрических данных мы поговорим ниже, а пока отметим, что биометрия чаще всего используется для идентификации и аутентификации людей путем сравнения предоставляемых данных с хранящимися в базе образцами. Если образцы совпадают, человек идентифицируется как определенное физическое лицо и успешно проходит аутентификацию в системе, поддерживающей биометрию.

Единая биометрическая система.

В существующей государственной системе ЕБС («Единая биометрическая система») используются такие биометрические данные, как изображение лица и голос. ЕБС служит для удаленной идентификации человека, которая необходима для предоставления услуг без посещения какого-либо учреждения (например, банка или МФЦ).

Уже сейчас биометрия, хранящаяся в базах данных ЕБС, используется банками для оформления кредитов, совершения операций по счетам и ряда других услуг. Биометрические данные банки получают из видео, которые записывают клиенты, желающие подключить такую идентификацию. А после внесения этих данных в базу ЕБС клиент может пользоваться услугами любых других организаций, являющихся участниками программы.

Новые требования к обработке биометрических данных.

Свежие редакции закона «О персональных данных» № 152-ФЗ от 01.09.2022 г. и закона № 572-ФЗ от 29.12.2022 г. устанавливают ряд новых требований к биометрическим данным:

• Во-первых, никто не может обязать гражданина предоставить свои биометрические данные. В случае отказа в их предоставлении человеку нельзя отказать в запрашиваемой услуге. То есть если человек обратился в нотариальную контору для заверения какого-то документа и отказался предоставить биометрику, отказать в заверении документа на этом основании нельзя. А согласно ч. 3 ст. 11 закона «О персональных данных» № 152-ФЗ в редакции от 01.09.2022 г. гражданам разрешено даже не подписывать согласие на обработку персональных данных;

• Во-вторых, в биометрику в настоящее время входят только изображение лица, сделанное при помощи фото- или видеосъемки с разрешения самого гражданина, и запись голоса, на которую тоже требуется согласие «владельца» голоса (ст. 3 закона от 29.12.2022 г. № 572-ФЗ). Никакие отпечатки пальцев, анализы крови, данные о ДНК и другие биометрические показатели не нужны. Поэтому, если кто-то у вас их просит, имейте в виду, что он действует незаконно;

• В-третьих, данные, которые хранятся в ЕБС, вправе использовать органы государственной власти, банки, финансовые организации, ВУЗы, нотариусы и другие юридические лица для идентификации и аутентификации граждан. Это нужно, чтобы человек мог дистанционно получить нужную ему услугу, для которой требуется личное присутствие. А с 1 февраля 2023 года открыт доступ по биометрическим данным к личному кабинету на Госуслугах;

• В-четвертых, несмотря на все плюсы использования биометрических параметров, никто не вправе обязывать граждан предоставить свою биометрику без их желания и согласия. И отсутствие данных в системе — это не причина и не повод отказывать в предоставлении услуги или приобретении товара. Это установлено законодательно ст. 3 закона № 572-ФЗ от 29.12.2022 г.

Для использования любых ГИС (государственных информационных систем), подразумевающих работу с биометрическими данными, с 1 марта 2023 года юрлицам требуется выполнить ряд условий. Прежде всего компании или государственные органы должны обеспечить безопасность хранения и передачи биометрии, то есть биометрические данные должны быть надлежащим образом защищены. Кроме того, необходимо обеспечить выполнение требований, которые предъявляются к информационным технологиям, связанным с обработкой биометрических данных.

Также добавим, что новые требования предписывают государственным органам, банкам и другим финансовым организациям использовать для работы с биометрией только ГИС и, в частности, ЕБС. Применение для этих целей частных информационных систем запрещено. При этом на данный момент разрешенными видами биометрических данных являются только изображения лица и голос человека. Однако со временем планируется дополнять разрешенную биометрию другими видами, поэтому рекомендуем внимательно следить за изменениями в законодательстве.

Что является биометрией, а что нет.

В заключение развеем распространенные заблуждения о том, что является биометрическими данными, а что нет. Представим типичную ситуацию: камера наблюдения фиксирует происходящее на улице или в холле здания. Вопрос: является ли видеонаблюдение сбором биометрических данных? Ответ: нет, не является, потому что обычное видеонаблюдение не предполагает идентификацию по персональным биометрическим данным. Правда, отдельные государственные органы (в частности, силовые структуры) имеют право проводить такую идентификацию в случае необходимости, но это отдельный случай. Если же речь о частной компании, установившей такую камеру в общественном пространстве для слежения за порядком, то руководство этой организации может быть спокойно: сбор биометрических данных в этом случае не осуществляется.

Выводы.

С учетом действующих правил относительно природы и обработки биометрических данных и последних изменений в законодательстве можно сделать следующий вывод. Биометрию обрабатывать можно, но нужно учитывать возросший набор требований. В частности, вы не имеете право требовать получение биометрических данных от граждан и делать биометрическую идентификацию обязательной. В остальном, если получено добровольное согласие человека, идентификация и последующая аутентификация в системе на основе биометрических данных возможна. Однако учтите, что на данный момент законодательно разрешено собирать только информацию о биометрике лица в виде изображений (фото и видео) и о голосе

Над материалом работал: Роман Андреев