Можно ли использовать свою биометрию внутри предприятия?

А у вас же есть в организации видеонаблюдение или проход в офис по пропуску с фотографией, которую охранник сравнивает с эталоном в базе данных? Думаю такие системы сегодня существуют у многих. И раньше никогда никто не задавался вопросом о том, можно ли их использовать или нельзя. Можно и точка! Но все меняется. Меняется и ситуация с биометрией, используемой в корпоративных целях. Но обо всем порядку.

Несколько лет назад с помпой была запущена Единая биометрическая система (ЕБС), которую навязали всем без исключения банкам в надежде на то, что кредитные организации привлекут в стройные ряды сдавших биометрию государству миллионы своих клиентов. Не получилось. Банки хоть и заплатили миллионы за установку соответствующих комплексов в своих офисах, не очень спешили вовлечь в эту аферу заемщиков. Да граждане и сами не очень-то доверяют государству и поэтому не спешили сдавать свой «голос» и «лицо» в ЕБС.

Вы же не думаете, что ЕБС действительно была разработана для помощи гражданам дистанционно получать различные услуги?

Понимая, что кубышка биометрией не наполняется, в конце декабря прошлого года в 149-ФЗ был внесен большой блок изменений, который касался преимущественно только ЕБС. С одной стороны банкам с базовой лицензией разрешили не подключаться к ЕБС (это после того, как многие уже потратили деньги на это), превратив это из обязанности в право. С другой, оставшиеся банки обязали предоставлять две самых популярных услуги (выдачу кредитов и организацию вкладов) с использованием ЕБС. При этом зафиксировало право граждан биометрию свою не сдавать, а банкам запретили отказывать в оказании услуг в случае отказа гражданина от сдачи биометрии. По мне, так это странная конструкция, — банк обязан оказать услугу только с помощью биометрии, но не может отказаться от ее оказания если гражданин не сдает свою биометрию. То есть тут либо одно требование нарушаешь (вклад/кредит без биометрии), либо другое (отказ клиенту в выдаче кредита/открытии вклада).

Но меня в прошлогоднем законе зацепило другое — разрешение создавать собственные биометрические системы предприятиям. Зачем давать такое разрешение, если организации и так живут в парадигме «все, что не запрещено, разрешено»? В законе же дан ответ и на этот вопрос — такие биометрические системы можно использовать для идентификации и аутентификации, но при условии, что организация пройдет аккредитацию в Минцифре. При этом для того, чтобы получить право обрабатывать биометрические ПДн организации должны выполнить целый ряд заградительных условий:

• для компаний, проводящих аутентификацию
  • минимальный размер собственных средств — не менее 50 миллионов рублей
  • финансовое обеспечение ответственности за убытки — не менее 50 миллионов рублей
  • наличие лицензии ФСБ на криптографию
  • наличие прав собственности на сертифицированные СКЗИ
  • не менее двух работников с высшим образованием в области ИТ или ИБ
• для компаний, проводящих аутентификацию и идентификацию
  • все предыдущие требования, а также
  • минимальный размер собственных средств — не менее 500 миллионов рублей
  • финансовое обеспечение ответственности за убытки — не менее 100 миллионов рублей
  • подключение к ГосСОПКЕ.

Помимо требований по аккредитации, этой осенью также были приняты Постановления Правительства по госконтролю (надзору) в сфере идентификации и аутентификации (надзор осуществляет Минцифры) и в сфере защиты биометрических персональных данных (надзор осуществляет ФСТЭК и ФСБ).

Многие ли компании готовы выполнить такие условия?

А что же делать тогда тем компаниям, которые хотят обрабатывать биометрические ПДн с целью идентификации и аутентификации граждан, клиентов, работников? Государство мягко (ну если это можно назвать мягко) направляет всех в ЕБС. И просто не видит иных альтернатив. И тут тоже возникла коллизия. Осень 2021-го года стала достаточно активной в части выпуска целого сонма нормативных актов в области биометрии (помимо упомянутых Постановлений Правительства, были еще и нормативных актов Минцифры), которые с одной стороны ужесточили правила доступ к биометрии частных компаний, а с другой все-таки это разрешают.

Но тут вмешался Президент!

На конференции AI Journey он недвусмысленно высказался относительно того, что все биометрические данные граждан должны принадлежать государства и никому иному. И после этого риторика той же Минцифры, которая продвигала возможность для коммерческих компаний иметь свои биометрические системы (а это право зафиксировано и в ФЗ-149), мгновенно поменялась. На TAdvisor Summit министр цифрового развития Максут Шадаев сказал буквально следующее:

Безусловно, мы понимаем, что бизнес сейчас активно использует и будет дальше использовать биометрическую идентификацию при работе с колл-центрами, в банкоматах и даже при покупке кофе. Например, в нашем министерстве можно покупать кофе с использованием биометрической идентификации Сбербанка. И понятно, что эти процессы нарушить мы не можем. Но общая архитектура будет выглядеть так, что пользователь или гражданин сдает свою биометрию в единую государственную систему, после чего дает согласие коммерческой организации на использование вектора этой биометрии. И все коммерческие операторы будут работать не с первичными биометрическими данными, а с векторами. В этом смысле будет обеспечена дополнительная безопасность. При этом у пользователя всегда будет возможность отозвать свое согласие на доступ к своей биометрии коммерческим операторам.

Иными словами, все будет централизовано, без каких-либо исключений. Думаю, что число сервисов, которые будут обязаны применять биометрию, станет еще больше и у граждан просто не останется выбора ? Им придется сдать свой голос и лицо в ЕБС, которая и станет централизованным хранилищем всей идентифицикационной информации о россиянах, которые, как показывает мини-опрос в моем блоге, не хотят сдавать биометрию пока их не заставят.

И бенефециаров у такого навязывания ЕБС я вижу несколько. Во-первых, это ФСБ, которая получает доступ к постоянно обновляемым и динамическим данным о гражданах (а не три раза в жизни — в 14, 25 и 45 лет при получении/замене паспорта, где данные только по лицу и только статические). Ведь потом эти данные можно прекрасно использовать при идентификации вышедших на митинги, не только преступников, но и экстремистов и террористов. А во-вторых, это сам Ростелеком, который получит просто колоссальный приток денег. Ведь согласно приказу Минцифры от 19 мая 2021 г. №474 за каждую успешную проверку биометрии в ЕБС компания, ее использующая, должна будет заплатить 5-8 рублей. Представляете о каких доходах в масштабах страны может идти речь?

А что граждане и бизнес? Им будет лучше с переходом на ЕБС? Наверное. Этого никто не знает. Лично я пока вижу только стремление всех загнать в ЕБС, даже не задумываясь о последствиях и о том, как разгребать конфликтные ситуации. Например, что делать, если злоумышленники зарегистрируют от моего имени биометрию в ЕБС (это элементарно сегодня)? Какова процедура обжалования всех действий, которые с фейковой регистрацией в ЕБС будут сделаны? А какова процедура разбора ситуации, когда на основе данных из ЕБС принимаются неверные решения и человек теряет свои деньги? И таких вопросов масса. И все без ответа, так как авторы ЕБС считают ее непогрешимой (точность на уровне 99,99%). Но они еще и подстраховались, заявляя, что ответственность за все проблемы с биометрией несет не оператор ЕБС, а те, кто к ней подключаются. Прекрасный подход. Бизнес-ориентированный ?

Не мытьем, так катаньем, но ЕБС нам все равно не миновать. Просто стоит оттягивать этот момент как можно дальше.

Заметка Можно ли использовать свою биометрию внутри предприятия? была впервые опубликована на Бизнес без опасности.