Зачем банки собирают наши биометрические данные?

«Ростелеком»: cотрудника банка мошенник обмануть может, ЕБС – нет

Что такое Единая биометрическая система и зачем она нужна?

Это цифровая платформа, которая является одним из элементов механизма удаленной идентификации (распознавания) человека по его биометрическим характеристикам.

Единая биометрическая система обрабатывает два типа данных – изображение лица и голос. Это позволяет определить живого человека и распознать имитацию его биометрии.

Цель внедрения ЕБС – повышение доступности финансовых услуг, а затем и иных в первую очередь для людей из отдаленных регионов и маломобильных граждан. Для получения услуги не потребуется личное посещение, ее смогут предоставить удаленно, через Интернет.

Сбор и хранение биометрических данных – это безопасно?

При разработке ЕБС были заданы повышенные требования к безопасности и комфорту граждан при дистанционном получении услуг. Биометрия, в отличие от других методов удаленной идентификации, является уникальным «ключом», который нельзя потерять и крайне сложно подделать. Другие способы идентификации недостаточно надежны. Всегда есть вероятность потери и взлома пароля или токена¹.

Человека нетрудно обмануть: мошенник может прийти в банк и открыть счет по чужому паспорту. Обмануть биометрический алгоритм намного сложнее. Единая биометрическая система имеет точность распознавания 10^-7. Это значит, что система распознает человека с вероятностью 99,99%. Более того, используется дополнительная связка с логином и паролем от Портала госуслуг. Поэтому мошеннику гораздо проще явиться в банк и выдать себя за другого человека.

Для обеспечения информационной безопасности реализовано распределенное хранение данных: биометрический шаблон хранится в обезличенной форме отдельно от персональных данных человека (Ф.И.О., паспортных данных, СНИЛС и др.), включенных в базы Единой системы идентификации и аутентификации (Портал госуслуг).

Как пользоваться Единой биометрической системой?

Процесс состоит из двух этапов.

1) Регистрация в системе. Необходимо один раз прийти в банк для открытия счета. Сотрудник банка поможет зарегистрироваться на Портале госуслуг, если вы этого еще не сделали. После этого сотрудник «снимет» ваши биометрические данные – сделает фото и запись голоса – и загрузит их в Единую биометрическую систему.

Адреса отделений банков, в которых можно сдать биометрию, доступны на сайте bio.rt.ru. Количество банков, участвующих в проекте, постоянно растет. Среди них Почта Банк, Тинькофф Банк, Банк Хоум Кредит, Альфа-банк, Совкомбанк и др.

2) Удаленная идентификация. После регистрации в ЕБС вы сможете дистанционно получить услуги любого банка, работающего с системой. Для этого нужно ввести логин/пароль Портала госуслуг и произнести сгенерированную системой короткую контрольную фразу, глядя в камеру смартфона или компьютера.

Руководитель департамента развития онлайн-каналов Альфа-банка Дамир Баттулин: возможно оказание всех банковских услуг с применением ЕБС

Альфа-банк производит сбор биометрических данных для ЕБС более чем в 100 отделениях по всей стране.

Одной из основных изначальных задач внедрения Единой биометрической системы было уравнять в части привлечения клиентов возможности банков небольших и с развитой филиальной сетью. Благодаря ЕБС клиенту не нужно будет ехать в отделение интересующей его кредитной организации для получения услуги. Достаточно сдать биометрические данные в ближайшем банке и оформить банковский продукт через Интернет.

Можно говорить о том, что уже сегодня банки имеют возможность оформлять новых клиентов полностью удаленно, посредством ЕБС. И потенциально все банковские услуги могут быть оказаны с применением биометрической идентификации. Но разработка новых продуктов и процессов требует времени. Сейчас этот рынок находится в стадии становления. Пока банки предлагают клиентам самые простые продукты с удаленной идентификацией посредством ЕБС – дебетовые карты и депозиты.

Нужно отметить, что использование ЕБС безопасно, поскольку риски доступа посторонних лиц к биометрическим данным клиентов учитываются всеми участниками системы. Кроме того, ЦБ контролирует соблюдение стандартов информационной безопасности и постоянно их дорабатывает.

Алексей Мунтян, эксперт по защите персональных данных и информационной безопасности: биометрические технологии используют уже и в Африке

Повсеместное внедрение биометрических технологий, которые с каждым годом становятся все совершеннее и доступнее, уже давно перестало быть привилегией экономически развитых стран. Например, в Индии и Киргизии реализуются государственные программы обязательной биометрической регистрации населения, а в банках Нигерии применяют национальную систему биометрической идентификации.

В то же время во многих странах использование технологий биометрической идентификации жестко регламентируется, а иногда и ограничивается. Например, согласно ст. 9 (1) Общего регламента ЕС о защите данных обработка биометрических данных для однозначной идентификации физического лица должна быть запрещена, кроме некоторых случаев, установленных в ст. 9 (2) этого регламента. Схожая норма зафиксирована в ст. 11 российского Закона о персональных данных: за исключением отдельных случаев, биометрические данные человека могут обрабатываться только при наличии его письменного согласия.

Замечу, что в действующем законодательстве закреплены права и свободы субъектов персональных данных. И для их соблюдения использование технологий биометрической идентификации, включая создаваемые и поддерживаемые государством системы, должно строиться на принципах добровольности участия и возможности его прекращения по желанию человека.

Лев Глухов, адвокат, партнер KDS legal: любой способ идентификации личности таит в себе риски

Использование биометрических данных для идентификации человека – неизбежность уже даже не завтрашнего, а сегодняшнего дня. Развитие информационных технологий позволяет внедрять новые способы взаимодействия людей друг с другом, с организациями и государством. И общество должно активно двигаться в этом направлении.

Однако использование биометрических технологий рождает массу вопросов: как и кому собирать данные? Кто будет обеспечивать их защиту? За чей счет?

Сейчас данные собирает МВД России, которое занимается паспортизацией. Роскомнадзор обеспечивает функционирование усиленных квалифицированных электронных подписей, при этом их выдачу осуществляют частные компании. ЦБ РФ начинает курировать работу по созданию единого банка биометрических данных для кредитных организаций. Но цель у них едина – идентификация человека и его волеизъявления. Тяжело судить, создаст ли это разнонаправленное движение проблемы в будущем. Возможно, нужно объединить все способы идентификации под контролем одной государственной структуры.

Что касается рисков использования ЕБС, подобная идентификация, как и любая иная, не требующая личного присутствия человека, таит в себе опасности. Для примера возьмем усиленную квалифицированную электронную подпись. Недавно в прессе появилась информация о случае мошенничества: квартира была продана с использованием скомпрометированной электронной подписи.

Риски имеются в любом способе идентификации личности. Полагаю, в биометрической системе их не больше, чем в существующих.