Единая биометрическая система что это такое
Единая биометрическая система — что это и зачем она нужна?
Чем дальше развиваются технологии, тем меньше приватности остается у персональных данных человека. За удобство и скорость современных технологий человек теперь должен платить не только деньгами, но и личными данными.
Ни для кого не новость, что во многих современных гаджетах присутствуют биометрические технологии. Так, разблокировать телефон может только его владелец, приложив палец к сканеру для отпечатков или же наведя камеру на свой глаз. Устройство распознает хозяина и разблокируется. Если это попытается сделать другой человек, то у него ничего не получится. Подделать отпечаток или сетчатку глаза практически не возможно.
Если с мобильными гаджетами у людей не возникает вопросов, то всех возмутил факт того, что было решено создать единую систему биометрических данных человека. В базе будут сохранены данные, что позволит любому госоргану или иному субъекту за отдельную плату получить эти сведения.
В связи с этим в России с 1 июля 2018г. запущена в действие единая биометрическая система (ЕБС). Сдав свои данные туда, человек может получить доступ ко многим финансовым или госуслугам без предоставления паспорта. Вместе со сведениями (данные паспорта, СНИЛС, телефонный номер, ИНН), которые хранятся на платформе Госуслуг, человек сможет открывать дистанционно счета в кредитных учреждениях, оформлять кредиты без паспорта, совершать иные денежно-финансовые транзакции.
Пока повально люди не спешат загружать свои данные в ЕБС. Для многих возникла проблема: получить удобный и комфортный доступ ко многим услугам или же сохранить свои данные приватными. Сейчас система находится в стадии тестирования. К ней постепенно подключаются банки и госорганы.
Что такое ЕБС?
Это цифровая платформа, которая была разработана корпорацией Ростелеком, Минсвязи РФ и ЦБ. Она позволяет проводить идентификацию человека по его голосу и лицу. Люди, которые сдали свои биометрические образцы, могут теоретически дистанционно получать различные финансовые услуги.
Пока же с этим есть проблемы, поскольку Ростелеком не может договориться с Google и Apple на размещение своего приложения в маркеты. Приложение защищено криптографией, а маркеты не желают размещать «черный ящик».
Не все банки пока готовы подключиться к ЕБС из-за расходов. Цена подключения банка к ЕБС начинается с 3 млн.р. за обеспечение киберзащиты и покупку оборудования. Последующее подключение каждого отделение обойдется еще в 130 т.р. Годовое обслуживание обойдется банку в 1,2 млн.р. Из четырех сотен российских банков пока согласие дали 50.
Как попасть в ЕБС?
Идентификация будет происходить по голосу и лицу. Регистрацией будут заниматься банки и госорганы. Для внесения данных в ЕБС нужно:
При обращении в дальнейшем за услугами, человеку достаточно включить камеру, озвучить сгенерированную фразу. Точность идентификации контролируется специальными алгоритмами ПО.
Хранение данных в ЕБС.
Данные будут подлежать хранению 3 года. Далее придется их обновлять. Разработчики установили нормы качества биометрического материала. Вместе с образцами в ЕБС будут передаваться данные о дате и времени создания материала. За совершенные ошибки при проверке контроля качества сведений ответственность возложат на сотрудника и организацию.
Пока же возникают вопросы по идентификации, если человек заболел, пропал голос, надорвал связки, сделал пластику лица и пр. В этом случае система его не распознает и удаленный доступ ко всем счетам и услугам будет закрыт. На эти вопросы пока нет ясных ответов. Разработчики заявляют, что они работают над этим и готовы принять все предложения и советы по улучшению системы ЕБС.
Требования к биометрическим сведениям.
Для биометрического материала есть свои требования. При их невыполнении пройти системы контроля будет невозможно.
Что касается лица, то требования таковы:
Требования по голосу:
Собирать данные планируется из разных источников, однако, пока решили остановиться на банках, поскольку здесь идет более жесткая идентификация. Далее пройти идентификацию можно будет в МФЦ, на почте и пр. Однако, здесь нужно обеспечить надежный контроль за сбором данных.
Можно ли передавать данные в ЕБС?
Вместе с этим эксперты предупреждают, что кража базы биометрических данных намного опаснее, чем кража паролей. Завладев такой информацией, мошенники получат полный контроль не только над счетами, но и над всей жизнью человека.
Путин подписал закон об использовании биометрии. Как будут собирать данные россиян?
Читайте «Хайтек» в
Что такое биометрия и биометрические технологии?
Биометрические технологии основаны на биометрии, измерении уникальных характеристик отдельно взятого человека. Это могут быть как уникальные признаки, полученные им с рождения (ДНК, отпечатки пальцев, радужная оболочка глаза), так и характеристики, приобретенные со временем или же способные меняться с возрастом или внешним воздействием (почерк, голос или походка).
Обычно при классификации биометрических технологий выделяют две группы систем по типу используемых биометрических параметров:
Увеличившийся в последнее время интерес к данной тематике в мире принято связывать с угрозами активизировавшегося международного терроризма. Многие государства в ближайшей перспективе планируют ввести в обращение паспорта с биометрическими данными.
Кто отвечает за биометрию и сбор данных в России?
В России с 1 июля 2018 года запущена единая биометрическая система (ЕБС). Сдав свои данные туда, человек может получить доступ ко многим финансовым или госуслугам без предоставления паспорта.
Вместе со сведениями (данные паспорта, СНИЛС, телефонный номер, ИНН), которые хранятся на платформе Госуслуг, человек сможет открывать дистанционно счета в кредитных учреждениях, оформлять кредиты без паспорта, совершать иные денежно-финансовые транзакции.
ЕБС — цифровая платформа, которая была разработана корпорацией «Ростелеком», Минсвязи РФ и ЦБ. Она позволяет проводить идентификацию человека по его голосу и лицу. Люди, которые сдали свои биометрические образцы, могут теоретически дистанционно получать различные финансовые услуги.
Как сдать биометрию в России?
Идентификация будет происходить по голосу и лицу. Регистрацией будут заниматься банки и госорганы. Для внесения данных в ЕБС нужно:
При обращении в дальнейшем за услугами, человеку достаточно включить камеру, озвучить сгенерированную фразу. Точность идентификации контролируется специальными алгоритмами ПО.
Как россияне относятся к биометрии?
Эксперты аналитического центра НАФИ провели опрос и выяснили, что ровно половина (50%) россиян не поддерживает создание российской Единой биометрической системы (ЕБС). Результаты были опубликованы в конце декабря. Только 19% граждан уже разместили в ЕБС свои данные.
Четверть опрошенных собирается внести свои данные в ЕБС в будущем, среди них:
Каждый третий респондент, который не планировал делиться своими данным с ЕБС, не смог конкретно объяснить причины своего решения. Остальные либо не видели в этом необходимости, либо боялись за сохранность информации.
Как теперь изменится использование биометрии в России?
Ранее использование ЕБС было ограничено — с ее помощью можно было открывать счета и получать кредиты, а собирать биометрические данные в ней могли лишь банки с базовой лицензией.
Закон предоставлял таким банкам право, а не обязанность собирать биометрические данные в ЕБС, а ЦБ — имел право устанавливать условия сбора биометрии в ЕБС в зависимости от видов банковских подразделений (операционные кассы, отделения и т.д.). При этом ЕБС наделяется статусом госинформсистемы (ГИС).
Теперь банк России может устанавливать условия сбора биометрии в ЕБС в зависимости от видов банковских подразделений. А ЦБ может на срок до одного года вводить запрет на проведение идентификации кредитной организацией и некредитной финансовой организацией, осуществляющей операции с денежными средствами, в случае неоднократного в течение одного года нарушения такой организацией требований антиотмывочного законодательства.
Закон позволяет осуществлять идентификацию с использованием коммерческих биометрических систем в случаях, установленных правительством по согласованию с Банком России. Осуществление аутентификации или идентификации с использованием коммерческих биометрических систем будет возможно после их аккредитации.
Однако запрещено размещать и обрабатывать в ЕБС сведения, отнесенные к гостайне.
Как закон о биометрии повлияет на обычных людей?
Теперь биометрические данные можно собирать в ЕБС банкам с базовой лицензией (сейчас закон обязывает их это делать), новый закон также вводит такую обязанность для банков с универсальной лицензией.
Также банки с универсальной лицензией будут обязаны обеспечить возможность клиентам — физическим лицам открывать счета (вклады) в рублях, а также получать кредиты в рублях без личного присутствия после проведения идентификации клиента — физического лица в порядке, предусмотренном законом. Такая возможность обеспечивается банком через официальный сайт, а также мобильное приложение, которое соответствует критериям, установленным ЦБ.
Еще документ предусматривает сбор биометрических данных через многофункциональные центры государственных и муниципальных услуг (МФЦ), а также возможность оказания госорганами таких услуг только с использованием ЕБС. При этом ЕБС получит статус государственной информационной системы. Предполагается распространить проведение идентификации на всех граждан, а не только на граждан РФ.
Кроме этого, ЕБС теперь можно будет использовать в рамках гражданско-правовых отношений для аутентификации граждан.
Когда изменения вступят в силу?
Закон вступит в силу с 1 января 2021 года за исключением положений, для которых настоящей статьей установлены иные сроки вступления их в силу.
Что такое ЕБС и нужно ли начинать бояться биометрии в России
Насколько защищены биометрические данные и стоит ли переживать, что с помощью биометрии государство сможет контролировать каждого?
В 1983 году на экраны вышла очередная серия бондианы «Никогда не говори никогда». В этом фильме актёр Шон Коннери в роли агента 007 проникает в секретную комнату после прохождения биометрии: идентификации глаз, ладони и голоса.
Прошло 38 лет, и вход в офис по отпечатку пальца или перевод денег голосом уже не кажется такой фантастикой. Биоэквайринг работает в России с 2017 года, благодаря чему можно с помощью пальца оплатить покупки в магазине или рассчитаться ладошкой за школьный обед в столовой. Кроме того, к концу 2021 года в столичном метро должна появиться возможность оплаты проезда по лицу.
Обозреватель Skillbox Media. Пишет про бизнес, интернет-маркетинг и управление.
Что такое Единая биометрическая система?
Новый закон регламентирует объединение уже имеющихся и будущих биометрических данных в общую систему. С помощью ЕБС россияне могут взять кредит, открыть банковский счёт, снять наличные в банкомате или дистанционно подписать документы. За два года правительство рассчитывает увеличить число записей в ЕБС со 164 тысяч до 70 млн.
Чтобы сдать биометрические данные, нужно пойти в банк и завести учётную запись. Компьютер получит снимок лица человека и запомнит всё до мельчайших подробностей: форму носа, цвет глаз и другие параметры. При этом доступа к системе сами кредитные организации иметь не будут. Они смогут лишь узнавать о соответствии предоставленных данных шаблону, который хранится в ЕБС. Если процент соответствия окажется выше 99,99%, банк сможет предоставить услугу дистанционно.
Как рассказал Skillbox Media директор по цифровой идентичности ПАО «Ростелеком» Иван Беров, регуляторы предъявляют к ЕБС наиболее строгие правила. Биометрические данные передаются по защищённым каналам связи и хранятся в виде математически обработанных моделей.
«Восстановить фотографию или голос по модели просто невозможно. Кроме того, биометрические данные хранятся в обезличенной форме отдельно от персональных. Биометрия — в ЕБС, а персональные данные — на „Госуслугах“», — пояснил он.
Беров добавил, что, даже если злоумышленники выкрадут такие «слепки» у оператора, они не смогут увидеть фото или прослушать запись голоса.
По мнению директора технического департамента RTM Group Фёдора Музалевского, опасаться стоит не утечек биометрических данных, а обычных мошенников.
«Утечка образца голоса через ЕБС — не самое страшное. Обычные телефонные мошенники могут вывести вас на разговор и записать его, получив образец вашего голоса», — подчеркнул эксперт в разговоре со Skillbox Media.
Уже известны случаи, когда злоумышленники подделывали голоса, чтобы выманить деньги у своих жертв. Если в перспективе для подтверждения платёжной операции достаточно будет голосовой команды, то любые сведения о голосе гражданина могут стать материалом для фальсификации, считает Музалевский. Однако, как правило, банки используют двухфакторную аутентификацию — изображение лица и запись голоса.
Отпечаток пальца вместо банковской карты
Сканирование отпечатков пальцев в настоящее время чаще всего используется для аутентификации на смартфонах. Впервые таким сенсором оснастили телефон Pantech GI100 в 2004 году. Однако широкое распространение дактилоскопические сканеры получили только в 2013 году, когда Apple выпустила на рынок iPhone 5S.
Отпечаток пальца можно использовать не только в качестве ключа к защите информации, но и вместо банковской карты. Так, ещё в 2014 году Сбербанк опробовал в образовательных учреждениях Чувашии технологию безналичной оплаты питания с использованием отпечатков пальцев. Сейчас система, получившая название «Ладошки», запущена во многих российских школах.
Покупатели «Азбуки Вкуса» тоже могут расплатиться за покупки отпечатком пальца. Для этого необходимо зарегистрироваться на кассе магазина и привязать банковскую карту к своим биометрическим данным. После этого будет достаточно просто приложить палец к специальному терминалу — нужная сумма автоматически спишется со счёта клиента.
По словам руководителя направления анализа защищённости исходных кодов ПАО «Ростелеком» Вячеслава Герасименко, цифровой отпечаток пальца сам по себе нигде не хранится. Тот же дактилоскопический сканер для разблокировки смартфона просто генерирует математическую модель пальца и не требует для работы его снимок. Воспроизвести эти данные невозможно, отметил Герасименко в разговоре со Skillbox Media.
Однако надёжность такого метода аутентификации не раз подвергалась сомнению. Так, в 2014 году хакер Ян Крисслер, известный под псевдонимом Starbug, сумел подделать отпечаток пальца тогдашнего министра обороны Германии, а ныне главы Еврокомиссии, Урсулы фон дер Ляйен. Для этого Крисслер использовал программу Verifinger и несколько фотографий чиновницы, снятых обычным фотоаппаратом под разными углами.
Также Starbug демонстрировал способ обхода Apple Touch ID на iPhone 5S. Хакер взял отпечаток с поверхности экрана смартфона и распечатал его на кусочке латекса. Затем он намазал узор столярным клеем и покрыл графитом. С помощью этого «слепка» Крисслер смог разблокировать чужое устройство.
Как хакеры обманывают системы распознавания лиц
В 2020 году сеть московских кафе Prime запустила функцию оплаты счёта по лицу. Чтобы воспользоваться этой услугой, необходимо предварительно сдать биометрические данные в банке, который выпустил карту. Также оплату по лицу тестируют сети магазинов «Лента», «Перекрёсток» и «Пятёрочка».
Но иногда нейросети дают сбой. В 2020 году система распознавания лиц в столичном метро приняла москвича за преступника. В итоге его задержали — и не сняли с него все подозрения, пока не нашли реального подозреваемого.
В 2021 году двое похожих мужчин из Екатеринбурга случайно взломали Face ID на iPad. Даниил взял у своего друга Никиты планшет и хотел спросить пароль, но экран разблокировался сам. При этом они не приходятся друг другу родственниками, а лицо Даниила не было внесено в память устройства.
Это не единственный случай, когда Face ID не сумела защитить гаджет Apple от несанкционированной авторизации. В 2019 году на конференции Black Hat USA исследователи продемонстрировали способ обхода аутентификации, позволяющий получить доступ к iPhone жертвы за 120 секунд. Для этого потребовалось три вещи: очки, скотч и спящий владелец смартфона.
Исследователи обнаружили, что система биометрической аутентификации не извлекает полные 3D-данные из области вокруг глаз, если распознаёт, что владелец носит очки. Вместо этого Face ID ищет чёрную область с белой точкой посередине, которая является радужной оболочкой глаза.
Исследователи решили воспользоваться этим. Они взяли обычные очки, наклеили на линзы чёрный скотч, проделали в нём дырочку и надели аксессуар на спящего владельца смартфона. Этого оказалось достаточно, чтобы обмануть FaceID и получить доступ к смартфону.
Китайские хакеры пошли ещё дальше. Чтобы обойти государственную систему распознавания лиц, они использовали технологию deepfake, позволяющую «примерить» на себя чужую внешность. Злоумышленники подавали налоговые декларации за якобы трудоустроенные «мёртвые души» и присваивали себе деньги из фонда заработной платы. За три года они «заработали» более 76 млн долларов.
Борьба с дипфейками
Нейросети могут подделывать не только лица, но и голос. В 2016 году компания Adobe представила систему VoCo. Она позволяет редактировать запись речи, изменяя слова и целые фразы — как в текстовом редакторе. Приложение также может синтезировать любой голос путём анализа исходного аудиофайла. В основе системы лежат технологии рекуррентных и свёрточных нейронных сетей.
В 2019 году компания Тимура Бекмамбетова Screenlife Technologies и команда «Робот Вера» заявили о работе над проектом на основе искусственного интеллекта Vera Voice. Искусственный голос сможет озвучивать сериалы, игры, рекламу или даже отправлять поздравления с днём рождения с голосами знаменитостей.
Пока что для создания качественного дипфейка требуются немалые ресурсы, вычислительные мощности и время на тренировку моделей. Но тем не менее высококлассные подделки становятся всё более доступными благодаря решениям с открытым кодом. Распространение технологии вынуждает исследователей и власти искать способы противодействия новой угрозе.
Над технологиями распознавания дипфейков работают крупнейшие лаборатории Стэнфордского, Бингемтонского и Калифорнийского университетов, а также многие IT-гиганты, включая Facebook, Microsoft, Intel и Twitter. В 2019 году в Калифорнии приняли первый в истории закон по работе с дипфейками, который запрещает любую попытку манипуляции человеческим вниманием с помощью искусственного интеллекта.
Кроме того, в мае 2021 года МВД России объявило о запуске разработки решения для распознавания дипфейков. Система, получившая название «Зеркало», должна быть готова к ноябрю 2022 года. Однако эксперты скептически оценивают шансы правоохранителей на успех.
«На отечественные исследования в этой области выделено около 4 млн рублей, что ставит под сомнение создание действительно эффективного решения», — рассказала Skillbox Media Мария Чмир, глава стартапа Deepcake, специализирующегося на применении технологий замены лиц в рекламных роликах.
Переживать пока рано?
Директор технического департамента RTM Group Фёдор Музалевский считает, что сегодня не следует переживать из-за активного сбора биометрических данных и внедрения систем распознавания лиц. По словам специалиста, такие данные пока не предназначены для взаимодействия с произвольными камерами.
«Камеры ЕБС изначально созданы для идентификации граждан, в том числе для подтверждения финансовых операций. А вот камеры безопасности не позволяют достоверно и автоматизированно идентифицировать человека, поэтому на данный момент они не связаны с ЕБС», — пояснил Музалевский.
При этом он не исключил, что в отдельных случаях, например при раскрытии преступлений, данные из ЕБС могут сравниваться с данными камер наблюдения. Однако это не планируется делать систематически, так как сейчас точность идентификации оставляет желать лучшего.
Вместе с тем эксперт отметил, что любому государству удобнее управлять гражданами, если они находятся «на карандаше».
«ЕБС — один из способов учёта финансово активных граждан, что становится особенно актуальным в условиях санкций. Создание удобного механизма перевода безналичных денежных средств, очевидно, позволит усилить контроль за денежными потоками и сократить теневой сектор экономики», — резюмировал Музалевский в разговоре со Skillbox Media.
Единая биометрическая система: мифы и реальность
Как и любая новая технология, идентификация по биометрии вызывает ряд опасений. После выхода закона №479-ФЗ от 29.12.2020 о расширении сфер применения биометрии, внимание к технологии возросло. Вместе с тем увеличилось количество мифов и страхов вокруг нее. Мы, как оператор Единой биометрической системы (ЕБС), хотим развеять возможные заблуждения, касающиеся системы, и рассказать, как все обстоит на самом деле.
Как устроен этот материал:
😱 — заблуждение или миф о системе
👌 — как ЕБС работает на самом деле
😱 Недавно «Ростелеком» анонсировал выход нового криптографического модуля «КриптоSDK», который позволит банкам упростить обеспечение безопасности при внедрении удаленной идентификации в бизнес-процессы. Это спровоцировало появление слухов, что ранее данные при использовании Единой биометрической системе не были защищены.
Новое решение «Ростелекома» создано для того, чтобы улучшить пользовательский опыт при получении услуг по биометрии и упростить ее внедрение в бизнес-процессы банка. При использовании «КриптоSDK» банку не нужно будет перенаправлять граждан в приложение «Биометрия», идентификация будет происходить непосредственно в приложении банка. То есть защищенность работы с биометрией была и остается на высочайшем уровне, а удобство для конечного пользователя — повышается.
😱В феврале на портале regulation.gov.ru началось общественное обсуждение проекта приказа, подготовленного Министерством цифрового развития, связи и массовых коммуникаций РФ, согласно которому «Ростелеком», оператор Единой биометрической системы, будет вести реестр организаций, подключенных к системе.
Некоторые издания посчитали, что в реестр попадут государственные и коммерческие организации, которые будут иметь доступ к биометрии граждан.
👌На самом деле, организации подключаются к Единой биометрической системе, но не получают доступ к хранящимся в ней данным. На стороне системы производится хранение, идентификация и верификация биометрических образцов, а организации, которые используют услугу удаленной идентификации, получают только результат соответствия предоставленных биометрических данных образцу, хранящемуся в Единой биометрической системе. В случае превышения порогового значения, закрепленного нормативно-правовыми актами (для удаленной идентификации при открытии счета в банке это 99,99%), организация может оказать услуги в удаленном формате.
Также в марте на vc.ru вышла целая статья, «разоблачающая» различные аспекты работы с Единой биометрической системой. Благодарим коллег за то, что указали на беспокоящие граждан проблемы и «подсветили» возможные заблуждения. Ответим по пунктам на каждое из них.
😱 В разделе «Конфиденциальность приложения» указано «Нет сведений», а также, что Ростелеком не сообщил Apple об используемых им способах обработки данных.
👌 На момент последнего обновления приложения в App Store (30 октября 2020 года) заполнение данного раздела не требовалось. Указывать информацию о типах собираемых данных стало обязательным с 8 декабря 2020 года. При публикации следующего обновления такой раздел обязательно появится, а пока вы можете ознакомиться с условиями обработки персональных данных, которые хранятся в личном кабинете и используются в мобильном приложении «Биометрия» и на сайте bio.rt.ru.
😱 На сайте Единой биометрической системы отсутствует политика приватности.
👌 Условия обработки персональных данных были опубликованы с момента создания сайта Единой биометрической системы. Однако, действительно, при поиске этой информации у пользователей могли возникнуть сложности. Поэтому мы добавили соответствующий вопрос в FAQ, также пользователи как и раньше могут ознакомиться с условиями в этом документе.
😱 Идентификатор ведь и сам по себе позволяет определить субъекта данных, без наличия его ФИО или СНИЛСа. Так что на обезличивание это мало похоже, а выглядит, скорее, как введение пользователей в заблуждение
👌 В соответствии с федеральным законом № 152-ФЗ обезличивание персональных данных — это «действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных».
Принадлежность биометрических данных конкретному человеку невозможно установить без дополнительной информации, содержащейся в базе портала госуслуг. Так что с обезличиванием всё в порядке, никакого введения в заблуждение.
😱 При первом запуске приложение «Биометрия» предлагает пользователю пройти игру, в ходе которой формируется ключ шифрования. Этот ключ формируется с помощью датчика случайных чисел и обеспечивает безопасность работы приложения с биометрическими данными. Трансформирует ли этот ключ ваши биометрические данные или он только защищает от несанкционированного доступа к ним – выяснить не удалось.
😱 В Приказе Минкомсвязи России, который регулирует порядок обработки параметров биометрических персональных данных, приведены следующие правила хранения изображений и записей голоса субъектов:
1. Изображение лица должно быть сохранено в формате. jpeg или. png; код сжатия: JPEG (0 x 00), PNG (0 x 03).
2. Запись голоса должна быть сохранена в формате RIFF (WAV).
Эх, а мы-то надеялись на хэширование и уничтожение оригиналов…
👌 В приказе Минцифры России определены требования по сбору данных в банке или другой уполномоченной организации. Фото и запись голоса, которую делает операционист должны соответствовать указанным в приказе требованиям. Эти данные передаются в Единую биометрическую систему и уже там превращаются в математическую модель (или, как ее еще называют, «биометрический контрольный шаблон» или «биометрический слепок»). Итого: для идентификации граждан и дальнейшего оказания услуг действительно используется математическая модель.
😱 В демоверсии приложения «Биометрия» можно сдать свою биометрию лица и голоса для тестирования функционала. Основанием обработки биометрических данных должно быть письменное согласие по утвержденной форме, однако в приложении не берется письменное согласие на сбор биометрических данных.
👌 В демоверсии приложения не происходит сбор и передача биометрических данных, поэтому согласие на их обработку и не запрашивается. Деморежим существует для того, чтобы пользователи могли посмотреть, как выглядит процесс идентификации по биометрии. По факту ваш смартфон просто включает фронтальную камеру, и вы можете полюбоваться собой на экране. При этом запись видео и передача данных не осуществляется.
Кстати, мы предупреждаем об этом при входе в деморежим:
Согласие на обработку биометрических данных пользователь дает при регистрации в Единой биометрической системе в банке. Он подписывает его от руки — согласно законодательству.
😱 Согласно Условиям, Ростелеком обрабатывает только фамилию, имя, отчество, номер мобильного телефона и адрес электронной почты. Однако, как следует из формы письменного согласия на обработку биометрических персональных данных, Ростелеком также обрабатывает изображение лица и голос (биометрические персональные данные).
👌 Чтобы зарегистрироваться в Единой биометрической системе, пользователь в письменном виде дает согласие на обработку биометрических персональных данных. Это согласие пользователь дает «Ростелекому», Минцифре России и банку. А при входе в мобильное приложение гражданин дает другое согласие — на обработку персональных данных (ФИО, номера мобильного телефона и адреса электронной почты). Это согласие подписывается простой электронной подписью и дается только «Ростелекому». Указанные данные хранятся не в Единой биометрической системе, а в личном кабинете пользователя. Согласие на обработку персональных данных мы запрашиваем для того, чтобы зарегистрировать для вас личный кабинет и отправлять уведомления об операциях с биометрией. А согласие на обработку биометрических данных — чтобы граждане могли получать услуги по биометрии.
😱 Срок действия письменного согласия был установлен в прежней редакции формы согласия — 50 лет. В нынешней редакции срок изменен — до отзыва согласия. А в Условиях срок обработки данных установлен до достижения цели обработки и в течение 3 лет после достижения цели, если иное не установлено законодательством РФ.
👌 Как и в предыдущем пункте, речь здесь идет не об одном согласии, а о двух разных, каждое из которых имеет свой срок действия.
Согласие на обработку биометрических данных действует до его отзыва, а на обработку персональных данных ‒ в течение трех лет. Это два разных документа, которые регламентируют работу с данными для различных целей.
😱 В тексте формы согласия указано, что субъект проинформирован о возможности отзыва согласия, а также отзыва согласия у каждого из операторов. Но, к сожалению, Условия информируют о возможности отзыва согласия только у Ростелекома. Хотелось бы иметь настолько же оперативный и достоверный способ отзыва, как и сбор самих биометрических данных.
👌 Согласие на обработку биометрических данных дается трем операторам: Минцифре России, «Ростелекому» и банку, в котором вы сдавали биометрию. Чтобы отозвать согласие на обработку биометрических данных у всех участников, согласно закону, можно лично обратиться в указанные организации, направив по почте письменное или электронное заявление, подписанное простой или квалифицированной электронной подписью каждому из операторов.
К счастью, чтобы деактивировать биометрию, проходить такой сложный путь не обязательно. Достаточно просто зайти на портал Госуслуг и нажать соответствующую кнопку в личном кабинете. После этого ваши данные в Единой биометрической системе будут деактивированы, и биометрию невозможно будет использовать. В случае, если вы снова захотите получать услуги по биометрии, вам придется сходить в банк и заново сдать данные.
😱 Пользователь обязуется возместить Ростелекому убытки, причиненные в случае нарушения положений п. 4 Условий, в котором сказано, что персональные данные обрабатываются в целях предоставления соответствующих сервисов. Это очень странно. Видимо хотели сослаться на п.3 Условий о достоверности предоставляемых данных.
👌 Да, действительно, ссылка должна была стоять на п. 3, спасибо, что заметили — мы всё исправили!
Что касается самого вопроса: пользователь действительно несет ответственность перед «Ростелекомом», если в случае внесения им недостоверных персональных данных компания понесет убытки. Это стандартная юридическая практика. Однако не стоит забывать, что с согласия пользователя мы получаем персональные данные из базы портала Госуслуг, где они проверяются государственными учреждениям. Так что ситуация, в которой гражданин сделает опечатку и из-за этого будет вынужден платить штраф, невозможна.
😱 ЕБС собирает из системы Госуслуги ваши ФИО, список ваших организаций, ваши адреса и контакты.
👌 «Ростелеком» действительно получает данные из базы Госуслуг, но и только с согласия пользователя! Эти сведения нужны только для того, чтобы создать личный кабинет в приложении «Биометрия» – они хранятся именно в нем. Эти данные используются для обеспечения безопасности пользователя: каждый раз после использования биометрии по указанным контактам приходит оповещение о проведенной операции. Так пользователь может быть уверен, что никто не воспользуется биометрией без его ведома.
Отметим также, что список организаций, с которыми связана учетная запись пользователя на Госуслугах, не является персональными данными. Эта информация нужна только для представителей компаний, которые работают с Единой биометрической системой через личный кабинет организации, чтобы подписывать оферты от лица компании. У большинства граждан такой связки нет.
😱 Согласно форме согласия на обработку биометрических персональных данных, операторов — трое, и объем обрабатываемых ими в разных системах данных отличается Хотелось бы в таком случае увидеть единую политику ЕБС, составленную на всех со-операторов.
👌 Согласие, которое вы подписываете при сдаче биометрических данных в Единую биометрическую системы — и есть единая политика. С ней вы можете ознакомиться в документе.
Мы знаем, что биометрия — это едва ли не самый чувствительный тип данных, ведь украденный пароль можно изменить, а лицо и голос с нами навсегда. Поэтому одной из ключевых задач при создании Единой биометрической системы было обеспечение безопасности данных пользователей.
Расскажем подробнее о том, как в Единой биометрической системе защищаются данные пользователей.
Единая биометрическая система обрабатывает два типа биометрии: голос и лицо, причем не по отдельности, а вместе. По этим модальностям в совокупности можно точно и безопасно идентифицировать человека. Мы выбрали именно эти модальности, потому что для идентификации по ним не требуется специальное оборудование — достаточно камеры и микрофона, которыми оснащены большинство ноутбуков и смартфонов.
Система распознает человека с вероятностью выше 99,99%, такая точность определена приказом Минцифры России от 21 июня 2018 г. №307.
«Ростелеком» — лидер в сфере кибербезопасности РФ, наши специалисты обеспечивают защиту наиболее чувствительных инфраструктурных объектов в стране. И, конечно, лучшие технологии организации защиты применены в отношении Единой биометрической системы. Специалисты нашего SOC (Security Operation Center) контролируют защищенность системы в круглосуточном режиме и моментально реагируют на любые попытки злоумышленников вмешаться в ее работу.
После того, как вы сдаете биометрию в банке, фотография и запись голоса отправляются в Единую биометрическую систему и превращаются в математическую модель. Она хранится в обезличенной форме отдельно от персональных данных. В то время как ваши ФИО, СНИЛС, паспортные и другие данные хранятся в базе портала Госуслуг — Единой системе идентификации и аутентификации. Так что если условный злоумышленник сфотографирует вас на улице и тайком запишет ваш голос, доступ к персональным данным он получить не сможет.
Мы используем не один, а несколько типов Liveness detection — как пассивный (по одному изображению лица), так и активный мультимодальный (по действиям пользователя в динамике), чтобы обеспечить безопасность при работе с биометрией.