CC BY
50
DOI 10.24412/2227-7315-2021-2-203-210
УДК 34
И.Г. Гугнюк, К.М. Гугнюк, М.А. Фабрикина
О ФИНАНСОВО-ПРАВОВОМ РЕГУЛИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО ИСПОЛЬЗОВАНИЮ БИОМЕТРИЧЕСКИХ ТЕХНОЛОГИЙ В БАНКОВСКОЙ ДЕЯТЕЛЬНОСТИ: СОВРЕМЕННЫЕ ТЕНДЕНЦИИ
Введение: развитие системы идентификации и аутентификации личности при получении доступа к банковским услугам путем использования заранее переданных биометрических персональных данных — необходимость и потребность цифровых технологий Российской Федерации. Цель: исследовать вопросы реализации биометрических технологий в банковской системе РФ, проанализировать действующее финансово-правовое законодательство на предмет построения механизма функционирования данных инноваций. Методологическая основа: диалектический метод, метод анализа и синтеза, сравнительно-правовой методы. Результаты: аргументирована авторская позиция по вопросам реализации биометрических технологий в банковской системе РФ; проведен анализ действующего финансового-правового законодательства на предмет построения механизма функционирования данной инновации, исследован зарубежный опыт использования передовых биометрических технологий в банковском секторе, а также выявлены основные технические и финансово-правовые проблемы уязвимости системы. Выводы: технические и финансово-правое проблемы, рассмотренные в статье, необходимо разрешать путем открытого аргументированного диалога между представителями органов государственной власти, общественных институтов и граждан. При внедрении в практику биометрических технологий необходимо заимствовать успешный, позитивный зарубежный опыт и осуществлять непрерывный мониторинг законодательства РФ с целью обеспечения прав и свобод человека и гражданина.
Ключевые слова: финансовое право, банковское право, биометрические технологии, единая биометрическая система, персональные данные, банковские услуги, доступность банковских услуг.
© Гугнюк Иван Геннадьевич, 2021 К Кандидат юридических наук, доцент кафедры финансового, банковского и таможенного права имени
профессора Нины Ивановны Химичевой (Саратовская государственная юридическая академия); e-mail: а
i.gugnyuk@yandex.ru е
© Гугнюк Кристина Михайловна, 2021 1
Аспирант кафедры финансового, банковского и таможенного права имени профессора Нины Ивановны *
Химичевой (Саратовская государственная юридическая академия); e-mail: i.gugnyuk@yandex.ru Ю
© Фабрикина Мария Александровна, 2021 1
Аспирант кафедры финансового, банковского и таможенного права имени профессора Нины Ивановны )
Химичевой (Саратовская государственная юридическая академия); e-mail: mariarann@yandex.ru 2
0
© Gugnyuk Ivan Gennadievich, 2021
Candidate of law, Associate professor, Department of Financial, banking and customs law named after Professor Nina Ivanovna Khimicheva (Saratov State Law Academy) © Gugnyuk Kristina Mikhailovna, 2021
Postgraduate student, Department of Financial, banking and customs law named after Professor Nina Ivanovna Khimicheva (Saratov State Law Academy) © Fabrikina Maria Aleksandrovna, 2021
Postgraduate student, Department of Financial, banking and customs law named after Professor Nina Ivanovna Khimicheva (Saratov State Law Academy) 203
I.G. Gugnyuk, K.M. Gugnyuk, M.A. Fabrikina
ON FINANCIAL AND LEGAL REGULATION OF USING BIOMETRIC TECHNOLOGIES IN BANKING: CURRENT TRENDS
Background: the development of system of identification and authentication of an individual when accessing banking services through the use of pre-transmitted bio-metric personal data is the necessity and the need for the digital development of the Russian Federation. Objective: to study the issues of the implementation of biometric technologies in the banking system of the Russian Federation, to analyze the current financial and legal legislation in order to build the construction of a mechanism for functioning this system. Methodology: dialectical method, method of analysis and synthesis, comparative legal methods were used. Results: the author's position on the implementation of biometric technologies in the banking system of the Russian Federation is reasoned; the analysis of the current financial and legal legislation for the construction of the mechanism for the functioning of this system is carried out, the foreign experience of using advanced biometric technologies in the banking sector is studied, and the main technical and financial and legal problems of the vulnerability of the system are identified. Conclusions: the technical and financial-legal problems considered in the article should be resolved through an open, reasoned dialogue between representatives of state authorities, public institutions and citizens. When implementing biometric technologies, it is necessary to borrow successful, positive foreign experience and continuously monitor the legislation of the Russian Federation in order to ensure human and civil rights and freedoms.
Key-words: financial law, banking law, biometric technologies, unified biometric system, personal data, banking services, availability of banking services.
Развитие системы идентификации и аутентификации личности при получении доступа к банковским услугам путем использования заранее переданных биометрических персональных данных — это не отдельные выдержки из футуристической научно-практической литературы, а реальность, необходимость и потребность в развитии цифровых технологий в нашем государстве.
Поддержка рассматриваемых технологий позволяет в значительной мере повысить уровень дистанционного обслуживания в абсолютно разных сферах финансовой системы Российской Федерации, в т.ч. и в банковской. В дополнение необходимо указать на значимость данного вопроса именно в условиях пандемии коронавирусной инфекции COVID-191, т.к. развитие дистанционного обслуживания способствует уменьшению прямых контактов между людьми.
По данным Центрального банка Российской Федерации, с 2015 по 2020 г. финансирование рынка биометрических систем выросло с 12,19 млрд долл. США до 28,55 млрд долл. США. В 2022 году финансирование данных программ ожидается на уровне 40,2 млрд долл. США2, что свидетельствуют о большой заинтересованности со стороны государственных и коммерческих структур к биометрическим технологиям.
1 См.: Официальный сайт Всемирной организации здравоохранения URL: https://www. who.int/ru/emergencies/diseases/novel-coronavirus-2019 (дата обращения: 15.05.2020).
2 См.: Официальный сайт Центрального банка Российской Федерации URL: https://cbr. 204 ru/Content/Document/File/36012/rev_bio.pdf (дата обращения: 15.05.2020).
Основой дистанционного обслуживания в рамках банковской деятельности является передача кредитной организации персональных данных субъекта банковских правоотношений. На основании Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»3 под биометрическими персональными данными понимают «...сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные).». На основании ч. 2 ст. 11 указанного закона без согласия гражданина биометрические персональные данные могут передаваться в следующих случаях:
1) реализация международного договора Российской Федерации о реад-миссии;
2) при осуществлении правосудия и исполнения судебных актов;
3) проведение обязательной государственной дактилоскопической регистрации;
в случаях, предусмотренных законодательством Российской Федерации об обороне, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации4.
Стоит отметить, что в Федеральном законе от 27 июля 2006 года № 152-ФЗ «О персональных данных»5 происходит смысловое пересечение ст. 10 и ст. 11.
Так, в ст. 10 Закона представлены специальные категории персональных данных, к которым относятся персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья и интимной жизни. В свою очередь, в ст. 11 отражается другой вид персональных данных — биометрические данные. Очевидно, что биометрические данные, которые представляют собой физиологические и биологические характеристики индивида так же могут относиться к специальной категории персональных данных, поэтому стоит конкретизировать и разделять соответствующие виды персональных данных.
При исследовании работы с биометрическими персональными данными в банковской системе Российской Федерации стоит обратить внимание на такие понятия, как авторизация, идентификация и аутентификация.
Так, под авторизацией понимается «.элемент информационной безопасности, предусматривающий запрос и подтверждение законности операции; например, при использовании пластиковой карты для выдачи наличных денег производится банковская авторизация.» [1, с. 11].
Идентификация (от лат. identificare — отождествлять) — это присвоение субъектам доступа, объектам доступа идентификаторов (уникальных имен)
3 См.: Собр. законодательства Рос. Федерации. 2006. № 31, ч. 1, ст. 3451; 2018. № 1, ч. I, ст. 82
4 См.: Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» // Собр. законодательства Рос. Федерации. 2006. №31, ч. 1, ст. 3451; 2018. № 1, ч. I, ст. 82.
5 См.: Там же. 205
и (или) сравнение предъявленного идентификатора с перечнем присвоенных идентификаторов6.
Легальное понятие аутентификации дается в Стандарте Банка России СТО БР ИББС-1.0-2014, под ней понимается проверка принадлежности субъекту доступа предъявленного им идентификатора (подтверждение подлинности)7.
Указанные процессы объединены в Единую систему идентификации и аутентификации, которая в соответствии со ст. 2 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»8 представляет собой федеральную государственную информационную систему, порядок использования которой устанавливается Правительством Российской Федерации и которая обеспечивает в случаях, предусмотренных законодательством Российской Федерации, санкционированный доступ к информации, содержащейся в информационных системах.
В свою очередь, с 2017 года помимо единой системы идентификации и аутентификации на основании Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»9 выделяется также единая биометрическая система, которая содержит все предоставленные биометрические персональные данные.
На основании ст. 14.1 указанного закона раскрываются порядок и условия применения информационных технологий в целях идентификации граждан Российской Федерации, в п. 8, ч. 2 данной статьи указывается на то, что состав сведений, размещаемых в единой биометрической системе (включая вид биометрических данных персональных данных), определяется Правительством Российской Федерации. К таким сведениям относят следующие:
данные изображения лица человека, полученные с помощью фото-, видеоустройств;
данные голоса человека, полученные с помощью звукозаписывающих
« 10 устройств10.
Учитывая тот факт, что Российская Федерация в современный период своего развития уделяет свое внимание передовым технологиям, в т.ч. в области биометрики, стоит расширить перечень биометрических персональных данных физического лица — гражданина Российской Федерации, учитывая международный опыт в области применения указанных технологий.
0 6 См.: «Методический документ. Меры защиты информации в государственных информа->| ционных системах» (утвержден ФСТЭК России 11 февраля 2014 г.). Доступ из справ.-правовой 5 системы «КонсультантПлюс».
¡5 7 См.: «Стандарт Банка России „Обеспечение информационной безопасности организаций
Ц банковской системы Российской Федерации. Общие положения" СТО БР ИББС-1.0-2014» // " Вестник Банка России. 2014. № 48-49.
! 8 См.: Собр. законодательства Рос. Федерации. 2006. № 31, ч. 1, ст. 3448; 2020. № 14,
1 ч. I, ст. 20.
В 9 См.: Там же.
10 См.: Постановление Правительства РФ от 30 июня 2018 г. № 772 «Об определении состава сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, включая вид биометрических персональных данных, а также о внесении изменений в некоторые акты Правительства Российской Федерации» // Собр. законодательства Рос. Федерации. 2018. № 206 28, ст. 4234; 2019. □ 38, ст. 5310.
По мнению Ю.И. Лебеденко, различные системы контролируемого доступа необходимо разделять на три класса в соответствии с тем, что индивид может предложить данной биометрической системе [2, с. 253]:
1) то, что знает только он (она);
2) то, чем владеет только он (она);
3) то, что является неотделимой частью его самого.
В первом случае используются разного рода шифры, набираемые человеком (например, PIN-коды, криптографические коды и т.п.).
Во втором случае будут использоваться шифры, передаваемые при помощи физических носителей информации (пластиковые карты с магнитной полосой, электронные таблетки «touch memory», электронные token-устройства и т.д.).
В первом и втором варианте указанные методы называются атрибутными.
Третий случай — это биометрический уровень защиты, которая отражается в идентификационной активности через личность человека — его индивидуальные характеристики (рисунок папиллярного узора, радужной оболочки глаза и т.д.). Данный метод защиты называется персональным.
Также выделяют статичные и динамичные данные.
К статичным стоит относить: лицо (двумерное фото- и термоизображение, трехмерное изображение); рука (геометрические параметры ладони); глаза; ушная раковина (форма); губы и зубы (рисунок отпечатков); антропометрические данные; химическая структура ДНК.
К динамичным относят следующие: голос, подпись и почерк, походка, особенности работы клавиатуре, с манипулятором, кардиограмма, энцефалограмма и т.п. [3, с. 16]
При проведении анализа рынка развития биометрических технологий очевидно, что предпочтение в большей мере отдается традиционным источникам биометрических персональных данных, таких как11:
1) отпечатки пальцев (50% всего рынка);
2) изображение лица (21,6% рынка);
3) изображение радужной оболочки глаза (10,2% рынка);
4) голос (4% рынка);
5) рисунок век (3% рынка);
6) геометрия ладони, ДНК и иное (около 7% рынка).
Международный опыт развития биометрических технологий в банковском секторе весьма обширен. Так, например, крупнейшей в мире системой биометрической идентификации является компания Aadhaar в Индии. В данной системе зарегистрировано свыше 99% граждан12. Данная система представляет собой систему идентификации, в которой присутствует 12-значный уникальный идентификационный код, который выдается всем жителям Индии на основе совокупности их биометрических персональных данных, а именно фотоизображение лица, узоров пальцев, глаз совместно с данными о дате рождения, Ф.И.О., пола, номера мобильного телефона и электронного адреса почты. При суммарной идентификации и подтверждении сопоставляемых
11 См.: Официальный сайт аналитической компании «J'son & Partners Consultih» URL: https://json.tv/ict_telecom_analytics_view/mirovoy-rynok-biometricheskih-sistem-2015-2022-gg 20170119025618 (дата обращения: 15.05.2020).
12 См.: Официальный сайт компании «Aadhaar» URL: https://www.aadharcard.net/unique-identification-authority-of-india/ (дата обращения: 15.05.2020). 207
биометрических персональных данных индивид может воспользоваться безопасными банковскими услугами.
В зарубежных банковских системах наиболее часто используется многофакторная аутентификация с применением биометрических технологий. Например, находящийся в Швейцарии банк «Pictet & Cie» при оказании банковских услуг по работе с особыми категориями ячеек использует многоступенчатую (многофакторную) идентификацию: флеш-накопитель (ключ) с пин-кодом, идентификацию по радужной оболочке глаза и трехмерному изображению лица13.
Развитие биометрических технологий позволяет повысить уровень доступности банковских услуг через повышение безопасности предоставляемых услуг. Однако в п. 11 ч. 2, ст. 14.1 Федерального закона от 27 июля 2006 г. □ 149-ФЗ «Об информации, информационных технологиях и о защите информации»14 указывается, что «.контроль и надзор за выполнением банками организационных и технических мер по обеспечению безопасности персональных данных при использовании единой биометрической системы осуществляется только Центральным банком Российской Федерации.» Думается, что в целях повышения безопасности предоставления банковских услуг для населения компетенцию Центрального банка Российской Федерации необходимо разделить с органами исполнительной власти, осуществляющими безопасность населения.
Справедливо выделять и обратную сторону развития дистанционного об-луживания через биометрические технологии, в рамках которого возникают определенное количество правовых и социально-нравственных вопросов, требующих отдельного внимания:
1) при существенной концентрации биометрических персональных данных во всевозможных организациях банковской системы существует большой риск их нецелевого использования либо утечки. Так, например, на крупнейшей конференции по безопасности BlackHat 2019, проходившей в Лас-Вегасе15, группа программистов из компании Tencent Security Xuanwu предложила презентацию с полноценным сценарием обхода биометрических технологий, используемых в банковском секторе. Программисты указали на то, что классический процесс биометрической аутентификации состоит из сбора данных, их предварительной обработки, обнаружения динамики и сопоставления признаков. Используя уязвимость искусственного интеллекта, разработчики спроецировали процесс обнаружения динамики, через иное портативное устройство в обход биометрической системы. Программисты констатируют, что благодаря данным технологиям возможно осуществить следующее:
запустить процедуру восстановления логина и пароля удалено, получив доступ к информации на облачных ресурсах;
разблокировать мобильное устройство и перевести имеющиеся денежные средства на подконтрольные счета;
13 См.: Официальный сайт банка «Pictet & Cie» URL: https://www.group.pictet/ (дата обращения: 15.05.2020).
14 См.: Собр. законодательства Рос. Федерации. 2006. № 31, ч. 1, ст. 3448; 2020. № 14, ч. I, ст. 20.
15 См.: Официальный сайт конференции BlackHat URL: https://www.blackhat.com/us-19/ briefings/schedule/#biometric-authentication-under-threat-liveness-detection-hacking-16130 (дата
208 обращения: 15.05.2020).
2) правовое поле, регулирующее вопросы сбора, хранения и использования биометрических персональных данных, должно быть проработано всесторонне, исключая возможность получения указанных данных путем использования служебного положения. В 2019 году Государственная Дума Федерального Собрания Российской Федерации рассматривала законопроект об обязательном предоставлении своих биометрических данных при получении банковских услуг, однако дата второго чтения указанного нормативного акта была отложена на неопределенное время, в связи с неразрешенными вопросами безопасности16;
3) решение вопроса о повышении уровня доступности банковских услуг может быть замедлено проблемами технической укомплектованности кредитных организаций, обеспечивающих безбарьерное получение указанного вида услуг;
4) неоднозначен вопрос о передаче биометрических персональных данных с точки зрения прав и свобод человека. Так, процесс обязательного сбора биометрических данных взамен на банковскую услугу возможно трактовать как ограничение прав и нарушение норм Конституции Российской Федерации. По мнению С.А. Авакьяна, «...в условиях процессов глобализации особо остро встает проблема реализации конституционных ценностей и их национального регулирования» [4, с. 44]. Сходную мысль высказал Н.С. Бондарь: «.дух Конституции РФ нуждается в творческом осмыслении» [5, с. 5]. «.Это в полной мере относится и к определению политико-правовой сути биометрических персональных данных человека.» [6, с. 19]. Двойственность вопроса обусловливается первоначальной целью реализации биометрических технологий: она заключается в повышении уровня безопасности получения банковской услуги, а, при этом — пропорционально повышается уровень ограничения свобод.
Однозначно стоит отметить, что в отношении повсеместного распространения биометрических технологий на территории Российской Федерации нет большого противостояния и непонимания. Представляется, напротив, что личный идентификационный биометрический код откроет новые возможности для получения полного спектра финансовых услуг, в т.ч. и банковских. Проблемы, указанные ранее, необходимо разрешать путем открытого, аргументированного диалога между представителями органов государственной власти, общественных институтов и граждан.
Каждое новое достижение не только приносит благо, но и обуславливает вторжение в личную жизнь. Указанная двойственность вызывает дискомфорт, т.к. увеличивая зону комфорта индивиду добровольно передается полная идентификация, с учетом этого факта при дальнейшем внедрении в практику биометрических технологий необходимо заимствовать успешный, позитивный зарубежный опыт и осуществлять непрерывный мониторинг законодательства Российской Федерации с целью обеспечения прав и свобод человека и гражданина в данной сфере.
Библиографический список
1. Райзберг, Б.А., Лозовский Е.Б. Современный экономический словарь. 6-е изд., перераб. и доп. М.: ИНФРА-М, 2017. 592 с.
16 См.: Официальный сайт новостного портала C-news URL: https://cnews.ru/news/top/2020-01-14_gosduma_otlozhila_prinyatie (дата обращения: 15.05.2020). 209
2. Лебеденко Ю.И. Биометрические системы безопасности. Тула; М.: Дирет-Мед-ма, 2012. 326 с.
3. Степенко В.Е., Богдановская А.Д. Биометрические персональные данные // Евразийский союз ученых. 2020. № 4-10 (73) С. 16.
4. Авакьян С.А. Глобализация. Общие конституционные ценности и национальное регулирование // Социальные интересы. 2001. № 4. С. 44.
5. Бондарь Н.С. Буква и дух российской Конституции: 20-летний опыт гармонизации в свете конституционного правосудия // Журнал российского права. 2013. № 11. С. 5.
6. Бондарь Н.С. Конституционная категория достоинства личности в ценностном измерении: теория и судебная практика // Конституционное и муниципальное право. 2017. № 4. С. 19.
References
1. Raizberg B.A., Lozovsky E.B. Modern Economic Dictionary. 6th ed., Revised. and add. Moscow: INFRA-M, 2017. 592 p.
2. Lebedenko Yu.I. Biometric Security Systems. Tula; M.: Diret-Medma, 2012. 326 p.
3. Stepenko V.E., Bogdanovskaya A.D. Biometric Personal Data // Eurasian Union of Scientists. 2020. No. 4-10 (73) P. 16.
4. Avakian S.A. Globalization. General Constitutional Values and National Regulation // Social Interests. 2001. No. 4. P. 44.
5. Bondar N.S. Letter and Spirit of the Russian Constitution: 20-year Experience of Harmonization in the Light of Constitutional Justice // Journal of Russian law. 2013. No. 11. P. 5.
6. Bondar N.S. The Constitutional Category of Personal Dignity in the Value Dimension: Theory and Judicial Practice // Constitutional and Municipal Law. 2017. No. 4. P. 19.
