В России могут обязать банки передавать биометрию клиентов государству. Соответствующий механизм будет разработан в следующем году, сообщил «Ведомостям» председатель комитета Госдумы по информационной политике Александр Хинштейн. По его словам, данные будут передавать в уже существующую Единую биометрическую систему (ЕБС), а самим банкам хранить переданные данные не разрешат. Спросят ли согласия у клиентов?
С 30 декабря единой биометрической системе ЕБС присваивается статус государственной информационной системы. Именно в эту базу будут стекаться биометрические данные россиян. В 2018 году ее создали по инициативе тогда еще Минкомсвязи и Банка России. За три года в ЕБС зарегистрировались около 216 тысяч пользователей, отмечают «Ведомости».
В ноябре президент Владимир Путин заявил, что биометрические данные россиян должны храниться в единой и защищенной государственной информационной системе. И вот теперь банки хотят заставить передать собранную ими ранее биометрию, а затем ограничить доступ этим же банкам к этим же данным.
По словам Александра Хинштейна, из системы, которую будет администрировать Минцифры, банки и другие коммерческие организации смогут получать только «легкую» биометрию для подтверждения личности человека. А правила этой передачи разработают до следующей осени. Банкам обидно, но возникает и другой вопрос.
Если с теми, кто только собирается сдавать биометрию, все более или менее понятно — человек будет в курсе, что он в итоге дает доступ к этим данным государству, то что делать с теми, кто уже доверил свои биометрические данные кредитным организациям, — эти люди соглашались доверить их банку, причем с соблюдением базового принципа о том, что без дополнительного разрешения банк не имеет право передавать данные третьим лицам? Принцип базовый, соглашается Александр Хинштейн, но добавляет:
Александр Хинштейн депутат Госдумы, председатель комитета по информационной политике «Да, безусловно, это так, и это принципиальная позиция, на которой мы стоим и, уверен, будем стоять и дальше. Но надо учесть, что в данном случае эти биометрические данные были собраны с согласия граждан и создание единой биометрической системы под государственным контролем увеличивает степень защищенности этих переданных данных. Тем не менее при определении окончательного алгоритма как будет происходить передача, каким образом будет государство контролировать невозможность сохранения этих данных коммерческими пользователями в ходе выработки этого алгоритма, обязательно проработаем необходимость или отсутствие таковой получения повторного согласия от граждан. Здесь есть ряд вопросов, которые требуют своего разрешения. Главный из них в том, как обеспечить гарантию того, что банки себе ничего не оставят».
Пока что, когда мы сдаем биометрию банку, мы предполагаем, что если данные украдут у банка, то именно он и будет нести за них ответственность. Но что, если они утекут уже из ЕБС и кто-то лишится своих денег? Потому что злоумышленник, получив снимок лица и образец голоса, получит от чьего-то имени кредит или переведет на свой счет средства. Об этом в интервью Business FM говорила президент группы InfoWatch Наталья Касперская:
Наталья Касперская президент группы компаний InfoWatch «Не очень понятна модель использования, куда эта биометрия и каким образом она будет передаваться. Путь в один конец: ты сдал биометрию и все. Допустим, я больше не хочу, чтобы моей биометрией кто-то пользовался, как мне оттуда убрать [данные]? Предположим, у нас есть биометрические данные всех граждан страны, и мы можем выбирать тех граждан, которые нас особенно интересуют, и, получая видеопоток от этих граждан каким-то другим способом, например на улице, потому что это же общедоступные данные, мы же лицо свое носим, и дальше подменять видеопоток. И предъявить его, например, в банке. Предъявлять будут там, где речь идет о больших деньгах».
О последствиях возможных утечек биометрических данных ранее в эфире Business FM рассуждал и бывший заместитель министра связи России, президент Фонда информационной демократии Илья Массух:
Илья Массух бывший замминистра связи, президент Фонда информационной демократии «Если обычные данные человек может изменить, например пароль, логин, учетные записи, то при потере биометрических данных человек теряет свою идентичность, и тот, кто их взял, по сути, является таким полноценным двойником. В этой связи, учитывая, что персональные данные «утекают» регулярно и у нас, и у них, на Востоке и на Западе, объявлять о сборе биометрических данных, которые ничем не отличаются с точки зрения компьютерной защиты от обычных данных, которые «утекают», мне кажется, достаточно преждевременно. Потому что для биометрических данных должна быть удесятеренная система защиты в связи с тем, что человек не может изменить их. Если у вас слепок лица или отпечатки пальцев, чтобы прекратить компрометировать, что надо делать: пластические операции?»
С одной стороны, если эти данные действительно будет хранить только государство — звучит это, наверное, более надежно. Но, с другой стороны, два года назад в Сеть утекли личные данные почти 30 тысяч пользователей портала госуслуг в Ханты-Мансийском автономном округе. В свободном доступе оказались паспортные данные, ИНН, СНИЛС. А уже в конце этого года СМИ сообщили о том, что в Сеть был слит исходный код регионального портала госуслуг Пензенской области. В Минцифры эту информацию опровергли. Но осадочек, что называется, остался — да и вопросы.