CC BY
102ФИНАНСОВОЕ ПРАВО; НАЛОГОВОЕ ПРАВО; БЮДЖЕТНОЕ ПРАВО УДК347.734
Изотов Юрий Германович Холманов Константин Олегович Ярославский государственный университет им. П.Г. Демидова
Юридический факультет Россия, Ярославль ygizotov@ gmail .com kholmanovkonstantin@yandex.ru
Izototv Yuriy Kholmanov Konstantin P.G. Demidov Yaroslavl State University
The Law Faculty Russia, Yaroslavl
БИОМЕТРИЧЕСКАЯ ИДЕНТИФИКАЦИЯ В БАНКОВСКОЙ
ДЕЯТЕЛЬНОСТИ
Аннотация: в настоящей статье исследуется природа биометрической идентификации, способы её использования в банковской деятельности, определяется круг субъектов, наделённых правом осуществлять биометрическую идентификацию, приводится пример функционирования системы биометрической идентификации и рассматривается возможность применения дактилоскопической идентификации.
Ключевые слова: биометрическая идентификация, банкинг, дактилоскопическая идентификация, Единая биометрическая система, Система идентификации и аутентификации.
BIOMETRIC IDENTIFICATION IN BANKING
Annotation: this article explores the nature of biometric identification, methods of its use in banking, defines the circle of subjects authorized to carry out biometric identification, provides an example of the functioning of a biometric identification system, and considers the possibility of using fingerprint identification. Key words: biometric identification, banking, fingerprint identification, Unified biometric system, Identification and authentication system.
Биометрическая идентификация - одна из наиболее обсуждаемых тем в области активно формирующегося в настоящее время цифрового права. Своей актуальностью она обязана появлению Единой биометрической системы (далее- ЕСБ) и Единой системы идентификации и аутентификации (далее-ЕСИА).
Проблема идентификации личности существует на протяжении всего существования человечества. Изначально идентификация применялась государством для розыска преступников и поддержания правопорядка. Немного позже её стали применять в своей деятельности банки, заинтересованные в оперативном и наиболее достоверном способе установления личности своих клиентов. Сегодня, внедрение новых технологий является необходимым условием конкурентоспособности финансовой организации на рынке банковских услуг [1, с. 550]. Поскольку идентификация осуществляется на основе совокупности определённых признаков человека, возникла проблема сбора и хранения сведений о личности гражданина, затрагивающая его частную жизнь. Особую актуальность данная проблема приобрела при появлении технических средств, позволяющих проводить идентификацию удалённо - без посещения отделения банка и общения с его сотрудниками. В результате, появился ряд законодательных положений, обеспечивающих баланс интересов государства, банков и граждан в данной сфере.
Легальное определение биометрической идентификации в законодательстве отсутствует, однако его можно сформулировать на основе
доктринальных позиций относительно идентификации вообще, а также особенностей, характеризующих биометрическую идентификацию в частности.
Стоит отметить, что биометрическую идентификацию можно понимать в широком и узком значениях. В широком смысле биометрическая идентификация представляет собой систему биометрической идентификации человека, к которой относятся субъекты идентификации и их взаимоотношения, объект идентификации, а также действия связанные с обработкой персональных данных.
В узком смысле биометрическая идентификация - это процесс отождествления гражданина с самим собой в разные моменты времени и в различных состояниях при помощи сопоставления его биометрических признаков [2, с. 10]. Сведения о биометрических признаках являются биометрическими данными, к которым Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - ФЗ «О персональных данных») [3], относит физиологические данные (дактилоскопические данные, радужная оболочка глаза, ДНК, рост, вес и др.), а также биологические характеристики человека, в частности изображение человека (фотография и видеозапись).
Биометрические признаки в целях их практического применения можно разделить на два вида:
- статичные-связаны с биологическими или физиологическими особенностями человека: отпечатки пальцев, изображение лица, радужная оболочка глаза, геометрия руки, ДНК, рисунок вен, запах и т.д.;
- динамичные-связаны с поведением человека: почерк, голос, походка.
Субъектами биометрической идентификации (в широком смысле)
являются: гражданин, банк, оператор ЕБС, Банк России, органы государственной власти Российской Федерации.
Оператор ЕБС - это уполномоченное Правительством РФ юридическое лицо, осуществляющее биометрическую идентификацию и обеспечивающее функционирование Единой биометрической системы. Оператором ЕБС, в
соответствие с Распоряжением Правительства РФ от 22.02.2018 № 293-р, назначено ПАО «Ростелеком» [4].
Важную роль в системе биометрической идентификации играют банки. Они осуществляют сбор и передачу биометрических данных в ЕБС, а также применяют биометрическую идентификацию при оказании финансовых услуг.
Гражданин является субъектом идентификации, предоставляющим свои биометрические данные. Однако в узком смысле, гражданин является объектом идентификации, поскольку его личность устанавливается.
Отдельную группу субъектов составляют государственные органы и Банк России.
Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации - уполномоченный орган, осуществляющий нормативное регулирование в сфере биометрической идентификации. Ведомство определяет порядок обработки биометрических данных, устанавливает обязательные требования к техническим средствам сбора и обработки данных, разрабатывает и утверждает методики проведения идентификации.
Если биометрическая идентификация применяется банками, то разработка и принятие нормативных актов, регламентирующих эту деятельность, должны осуществляться с согласия и при участии Банка России.
Функции по контролю и надзору за выполнением организационных и технических мер по обеспечению безопасности персональных данных, согласование перечня угроз безопасности осуществляют Федеральная служба безопасности и Федеральная служба по техническому и экспортному контролю.
Процесс биометрической идентификации клиента банка удобнее разделить на этапы, в каждом из которых следует выделить участников, их действия, юридическое оформление, а также возможные риски. Поскольку идентификация с помощью ЕБС, на данный момент, может осуществляться только по изображению лица и образцам голоса, перспективы применения дактилоскопии мы рассмотрим отдельно.
Для обеспечения процесса биометрической идентификации банку необходимо приобрести технические средства, а именно камеры и микрофоны, позволяющие произвести сбор и фиксацию изображения лица и образцов голоса. Поскольку банк использует технические средства в процессе оказания финансовых услуг, то они должны отвечать требованиям предъявляемым Законом РФ от 07.02.1992 № 2300-1 «О защите прав потребителей», техническими стандартами и другим нормативным правовым актам, регулирующих обеспечение безопасности жизни, здоровья и сохранности имущества клиента-гражданина [5]. Данные требования наиболее актуальны для обеспечения конфиденциальности биометрических и других данных гражданина, а также предотвращения возможных хищений его денежных средств при удалённой идентификации, например, через банкомат.
На данном этапе банк должен заключить договоры поставки, либо аренды. Основной риск - контрагентский, поставщик, либо арендодатель могут не исполнить свою обязанность в срок, либо передать некачественное оборудование. На данном этапе банк также должен заключить договор возмездного оказания услуг по передаче биометрических данных с оператором ЕБС и быть участником Единой системы межведомственного электронного взаимодействия.
Второй этап непосредственно связан с получением и хранением биометрических данных. В соответствие с п. 6 Приложения №1 к Приказу Министерства цифрового развития, связи и массовых коммуникаций РФ от 25.06.2018 № 321 (далее - Приказ), сбор данных осуществляется только уполномоченным на это сотрудником банка [6]. Поскольку биометрические данные являются персональными данными, требуется обязательное согласие гражданина на их получение, обработку и другие действия. После получения согласия, сотрудник банка производит сбор данных в соответствии с обязательными требованиями, предусмотренными п. 12, 13 Приложения №1, к которым относятся правила фотосъёмки: положение и наклон головы, освещение, формат файла и правила записи голоса: пределы допустимости
шумов, непрерывность записи, русский язык и т.д. Также гражданин должен быть зарегистрирован с его согласия в ЕСИА - системе, используемой в основном при оказании государственных и муниципальных услуг и обрабатывающей персональные данные человека (п. 10 Приложения №2 к Приказу). После выполнения данных действий уполномоченный сотрудник подтверждает полученные данные своей электронной подписью. Далее проводится автоматизированная проверка данных внутри банка. Проверяются полученные образцы на соответствие обязательным требованиям (п. 14 Приложения №1 к Приказу). После завершения проверки данные передаются при помощи единой системы межведомственного электронного взаимодействия в ЕБС (п. 15 Приложения №1 к Приказу).
Хранение полученных данных в ЕБС осуществляется в течение 50 лет, однако использовать их для идентификации можно только в течение 3 лет с момента сбора или до отзыва клиентом своего согласия. На наш взгляд, такой достаточно большой разрыв в сроках хранения и использования данных объясняется задачами ЕБС. Поскольку идентификация должна быть наиболее точной, а биологические и физиологические показатели человека пусть медленно, но меняются, требуется периодическое обновление информации, в первую очередь, для защиты прав клиента-гражданина. 50-летний срок хранения, на наш взгляд, обеспечивает интерес государства в использовании полученных данных для публичных целей. В соответствие с п. 2 ч. 16 ст. 14.1 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее - ФЗ «Об информации»), по требованию МВД РФ и ФСБ, оператор ЕБС обязан передать им биометрические данные гражданина [7]. Данные образцы будут использоваться, скорее всего, в качестве доказательств или материалов для фоноскопической экспертизы, а также для идентификации гражданина по признакам внешности для расследования преступлений. Особенно эти данные будут востребованы, если преступление совершено достаточно давно, а лицо причастное к его совершению не установлено.
На данном этапе присутствует риск неправомерного доступа к биометрическим данным, начиная со стадии сбора и заканчивая их хранением в ЕБС. Банку необходимо осуществлять контроль за действиями уполномоченных сотрудников, принимать меры для защиты информации, проходящей автоматизированную проверку. В соответствии с п. 9 Приложения №1, в случае инцидента, связанного с нарушением мер защиты данных, банк обязан уведомить об этом Центральный банк. Также банк обязан ежегодно проводить независимую оценку соответствия требованиям о защите информации.
Третий этап связан собственно с идентификацией. Гражданин для совершения финансовой операции должен пройти процессы идентификации и аутентификации. Если клиент приходит в отделение банка, то там идентификацию осуществляет сотрудник банка по документу, удостоверяющему личность, но если гражданин использует банкомат или мобильный телефон, то идентификация осуществляется данным устройством. Биометрическая идентификация может осуществляться в обоих случаях, но наиболее ярко она проявляется в последнем способе - удалённой идентификации.
Клиент подходит к банкомату. Далее необходимо установить личность человека, для этого банкомат предлагает гражданину посмотреть в камеру и прочитать текст, который отображается на экране. После этого банкомат отправляет данные в ЕБС, где они сопоставляются с уже ранее полученными изображением лица и образцами голоса, то есть происходит идентификация. В случае совпадения, ЕБС передаёт банкомату информацию о личности, на основе которой проводится аутентификация гражданина и ему предоставляется возможность совершить финансовые операции. При применении телефона процесс аналогичен, однако клиент в данном случае обязан использовать криптографические средства защиты, в противном случае банк должен отказать в идентификации (ч. 20 ст. 14.1 ФЗ «Об информации»). На данном этапе в основном присутствует риск совершения операций неуполномоченным лицом,
однако вероятность неправомерного доступа злоумышленника к аккаунту клиента значительно ниже, чем при использовании банковских карт.
Вопрос о дактилоскопии клиентов в целях их биометрической идентификации является достаточно актуальным, поскольку многие банки рассматривают возможность её введения уже в ближайшем будущем.
Поскольку ЕБС не содержит и не обрабатывает отпечатки папиллярных узоров, то банк самостоятельно должен создать такую базу данных. Для этого он должен не только приобрести оборудование для сбора и хранения данных, но и разработать локальные нормативные акты, регламентирующие процесс дактилоскопической идентификации. На наш взгляд, создание такой базы данных для банка экономически не выгодно, поскольку расходы на её функционирование значительно превышают выгоды от её использования. Стоит отметить, что существует значительный риск, связанный с защитой данных, и в случае утечки информации репутация банка серьёзно пострадает, он самостоятельно будет нести ответственность за этот инцидент и не сможет «переложить» её на оператора базы данных.
Но поскольку дактилоскопическая идентификация достаточно интересна и позволяет установить личность клиента оперативно и с минимальным риском, можно предложить банкам подождать пока ЕБС не начнёт хранить данные об отпечатках пальцев. В случае если, по каким-либо причинам, оператор ЕБС не примет решение о включении дактилоскопических данных, банки могут совместно создать такую базу данных. Единая база дактилоскопических данных позволит банкам существенно снизить свои инвестиционные и эксплуатационные расходы на введение и применение такой идентификации. Защиту данных будет осуществлять оператор, у которого, в силу специализации деятельности, будет гораздо больше для этого возможностей, чем у отдельных банков. В случае неправомерного доступа к данным, репутация банка не пострадает.
Помимо юридических и экономических аспектов проблемы, существенное влияние имеют социальные установки. Так, например, в
Австралии, стране, относящейся к идивидуалистическому и свободолюбивому обществу, биометрические системы достаточно медленно внедряются в экономические процессы, наоборот на Филиппинах, стране со значительным влиянием государства и азиатским коллективистским менталитетом, биометрические системы демонстрируют наибольшее распространение [8. с. 240 - 241].
В завершении хотелось бы отметить, что биометрическая идентификация в банковской сфере продолжит развиваться. Единая биометрическая система будет подстраиваться под потребности банков и начнёт включать в себя не только данные об изображении лица и образцы голоса гражданина, но и другие биометрические данные. Поскольку тенденция удалённого взаимоотношения между банком и клиентом будет всё больше проявляться, а визиты граждан в отделения банков станут всё реже, потребуется введения новых способов установления личности клиента, среди которых наибольшее значение будет принадлежать биометрической идентификации.
Список литературы:
1. Ягуткин Д.А. Биометрическая идентификация в банках. Российские регионы в фокусе перемен Сборник докладов со специальных мероприятий XII Международной конференции. 2018. 550-552 с.
2. Соколов А.Ф. Криминалистика: учебное пособие. Ярославль. ЯрГУ, 2017. 88 с.
3. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»// СПС «Консультант плюс» // URL: http ://www.consultant.ru/ document/cons_doc_LAW_61801/.
4. Распоряжение Правительства Российской Федерации от 22.02.2018 № 293-р «О возложении на ПАО междугородной и международной электрической связи «Ростелеком» функций оператора единой информационной системы персональных данных» // СПС «Гарант» // URL: https://www.garant.ru/products/ipo/prime/doc/71790680/.
5. Закон Российской Федерации от 07.02.1992 N 2300 -1 «О защите прав потребителей»// Ведомости СНД и ВС РФ. 1992. № 15. ст. 766 (с изм. и доп.).
6. Приказ Министерства цифрового развития, связи и массовых коммуникаций РФ от 25 июня 2018 г. № 321«Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации» // СПС «Гарант» //Ы^ ://base. garant.ru/71985302/.
7. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» // СПС «Консультант плюс» // URL:http://www.consultant.ru/document/cons_doc_LAW_61798/.
8. Курьянова С.Л., Цвигунова О.С. Биометрическая идентификация клиентов в банковской сфере: отечественный и зарубежный опыт. Азимут научных исследований: экономика и управление. 2019. Т. 8. № 4 (29). 238-241 с.
