В российских банках уже более полугода действует единая биометрическая система (ЕБС), созданная «Ростелекомом» по инициативе Министерства цифрового развития, связи и массовых коммуникаций и ЦБ РФ. О специфике развития этой инициативы в России, ее технических проблемах, перспективах и правовых особенностях в разборе РАПСИ. 


В январе этого года правительство РФ отказалось от идеи привлечения сторонних отечественных банков в программу по формированию государственной системы биометрии. Ранее партнерами ЕБС декларировались крупнейшие кредитные организации, среди них Тинькофф-банк, Альфа-банк и др. По данным СМИ, сейчас для функционирования Единой биометрической системы предполагается разработка структурного подразделения, куда будут входить «Ростелеком», государство и Банк России. Летом 2022 года система будет готова к реализации. 

Егор Кривошея, старший исследователь Центра финансовых инноваций и безналичной экономики, объяснил РБК, что привлечение масштабных госструктур и «Ростелекома» с целью развития ЕБС — «достаточно понятный шаг», и напротив, «появление в проекте банков могло послать неправильный сигнал о том, что ЕБС используется только для финансовых услуг, хотя эта система может применяться гораздо шире».  Кроме того, он рассказал, что банковские структуры обладают собственными способами биометрической идентификации, и участие в ЕБС означало бы, что им придется делиться информацией о своих технологиях, которую они бы предпочли не раскрывать.

Правовые особенности

Упрощение

Обработка миллионов данных технически всегда будет упрощенной. Эксперты считают, что внедрение упрощенной обработки личной информации (обоснованное целями сокращения финансовых затрат создателей технологии) обязано сопровождаться детальным описанием нормативов использования данных, чтобы не возникло прецедентов нарушения гражданских прав.  

Стоит и разработать прозрачную схему отмены согласия на передачу данных в ЕБС или отказа от предоставления данных в условиях экспериментального правового режима: россияне в любом случае должны иметь контроль над использованием собственных биометрических данных и иметь возможность ставить под сомнение юридическую чистоту этого использования. 

Проблематизация существующих норм

Внедрение ЕБС проблематизировало ряд параграфов существующего законодательства, в том числе в отношении персональных данных. 

В частности, в Федеральный закон №149 «Об информации, информационных технологиях и о защите информации» (от 29.12.2020 г.) была включена статья 14.1, описывающая структуру ЕБС. Располагать биометрическую информацию в электронной форме могут «государственные органы, банки и иные организации в случаях, определенных федеральными законами, после проведения идентификации при личном присутствии гражданина Российской Федерации с его согласия на безвозмездной основе…». 

Это значит, что компетенции новой идентификационной системы не ограничивается банковской сферой, кроме того, использовать биометрические данные могут любые организации, назначенные правительством РФ. Прежде всего речь идет об органах госбезопасности. Несмотря на то, что обработка биометрических данных осуществляется при согласии индивида, органы внутренних дел и безопасности получают доступ к обработке идентификационной информации без согласия (16 ст. 14.1 ФЗ №149). 

Отсюда вытекают затруднения, типичные для процесса перехода России на цифровую экономику. Для граждан это, прежде всего, отсутствие возможности оказывать воздействие на обработку собственной биометрии. Кроме того, не существует прозрачного механизма полного удаления биометрии из ЕБС по требованию физического лица.  

Эксперимент и противоречия

Юридическое обоснование ЕБС является примером экспериментального правового режима в области цифровых инноваций (Федеральный закон "Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации" от 31.07.2020 г.). Реализация экспериментального режима может включать в себя невыполнение определенных норм федерального законодательства. Соответственно, обладает рядом специфических противоречивых особенностей. Например, в нашем случае противоречит статьям 152-ФЗ "О персональных данных" (ч. 1 и 3 ст. 6). Людмила Бокова, замминистра цифрового развития, связи и массовых коммуникаций, считает, что данная форма практически способствует лимитированию конституционного права на неприкосновенность частной жизни и запрет сбора, хранения, использования и распространения информации о частной жизни лица без его согласия, кроме того, не соответствует международным обязательствам РФ в отношении ратифицирования Протокола поправок к европейской Конвенции №108 о защите физических лиц при автоматизированной обработке персональных данных.

Технические проблемы

Программисты Лаборатории Касперского обнаружили проблемы реализации ЕБС:

- точность идентификации в настоящий момент недостаточна для некоторых сценариев использования (например, в случае с экстремально крупными счетами); биометрическая технология имеет (незначительную) вероятность ложного срабатывания;

- Возможна фальсификация данных в криминальных целях. Изначальная оцифровка информации только облегчает работу мошеннику;

- Компрометация биометрии необратима. Гражданин не изменит похищенные отпечатки пальцев, в отличии от пароля. Выявленная проблема довольно серьезна, потому что параллельно развитию высоких технологий модернизируются и мошеннические схемы. Известны эпизоды применения техники нейролингвистического программирования, когда пострадавшие самостоятельно передают злоумышленникам пароли и прочую конфиденциальную информацию, в том числе и биометрические данные; 

- Как заявила «Коммерсанту» Наталья Касперская, не существует защиты от так называемой Deepfake-имитации личности (технология глубокой подделки фотографий, видео и голоса человека, результат неотличим от оригинала), следовательно «следует воздержаться от сдачи биометрии». 

Аналитика и предложения

Урегулированию вышеназванных проблем поспособствует диалог инстанций различных уровней и апробация мировых практик. 

- Например, на Западе с целью гарантии надежной защиты распространена практика получения предварительного согласия национальной службы по охране личной информации (Петрова Д.А, Мартьянов Н.Р.). 

- Следует прислушаться и к идеям Европейского парламента, который требует ограничения использования биометрических данных. Депутаты Европарламента представили законодательное предложение по Регламенту об искусственном интеллекте, где обеспокоены тем, что использование систем искусственного интеллекта в полиции потенциально может привести к массовой слежке, нарушая ключевые принципы ЕС о пропорциональности и необходимости. Также они требуют полного запрета на любое использование ИИ для автоматического распознавания человеческих черт в общедоступных местах – по ряду признаков сюда можно включить и уличные банкоматы – (распознавание лиц, походки, отпечатков пальцев, ДНК, голоса, нажатий клавиш и других биометрических или поведенческих сигналов) в любом контексте, поскольку это создает чрезвычайно высокие риски для основных прав и свобод. 

- В США, Канаде, Франции существуют независимые наблюдательные советы, комиссии национальной безопасности и консультативные советы 

В качестве примера рассмотрим проект SAFARI. В 70-х годах прошлого века во Франции проводился эксперимент по унификации социальных масс. Предполагалось присвоить идентификационные номера всем гражданам и применять эти коды в качестве связующего звена при работе с базами и банками данных. Социум осознал, что реализация проекта создает условия для формирования "Большого брата" – тотального электронного наблюдения за частной жизнью. Газета "Монд" в 1974 году выпустила возмущенную статью о грядущей опасности – "Сафари или охота на француза". Общество настолько воспротивилось инновациям, что премьер-министр дал запрет на циркуляцию личных данных без его разрешения и призвал министра юстиции основать комиссию для выработки всесторонних правил по использованию персональных данных. Так появилась знаменитая Французская национальная комиссия по информатике и гражданским свободам (CNIL). 

Однако сейчас – в свете коронавирусных ограничений, стремительного развития электронных технологий и, подстегнутой ими же цифровизации экономики – создание биометрических единых баз неизбежно и безопасно. Внедрение технологий пройдет как можно мягче и легче при помощи многоуровневой проверки внедрения и отлаженности структуры независимыми комиссиями, доработки и унификации законов о персональных данных, расширении систем защиты от deepfake и применении прозрачного механизма взаимодействия пользователя с системой. В таком случае дистанционная биометрическая идентификация с помощью Единой биометрической системы предоставит шанс всем гражданам страны получить простой доступ к любым цифровым сервисам, требующим юридически обязывающих действий. Использование отлаженной Системы принципиально улучшит взаимодействие между человеком, бизнесом и государством.