CC BY
126
УДК 347.734
ПРИМЕНЕНИЕ БИОМЕТРИЧЕСКОЙ ИДЕНТИФИКАЦИИ В БАНКАХ:
ПРОБЛЕМЫ И ПЕРСПЕКТИВЫ
В. В. Егин
Пензенский государственный университет, Пенза, Россия vladislav-egin@mail.ru
Аннотация. Рассматривается процесс осуществления биометрической идентификации в банках. Производится анализ возможных угроз применению биометрии, особый акцент - на угрозы утечек персональных данных. В заключении делается вывод об исключительном статусе биометрических персональных данных и о необходимости формирования специального правового режима их регулирования для обеспечения надежности биометрической идентификации.
Ключевые слова: биометрическая идентификация, биометрические персональные данные, биометрия в банках, утечки персональных данных
Для цитирования: Егин В. В. Применение биометрической идентификации в банках: проблемы и перспективы // Вестник Пензенского государственного университета. 2021. № 3. С. 69-73.
Финансовый сектор экономики по праву является одним из самых передовых по внедрению инновационных технологий, в том числе технологий по биометрической идентификации личности. Банки, обладая большим количеством финансовых ресурсов, могут применять современные биометрические технологии и средства защиты биометрических данных для более удобного, быстрого и надежного предоставления своих услуг. В связи с этим финансовые организации являются и драйвером изменений в законодательстве Российской Федерации в сфере биометрии. Так, важным событием в сфере применения биометрической идентификации в банковском секторе стало принятие в конце 2020 г. Федерального закона № 479-ФЗ от 29.12.2020 «О внесении изменений в отдельные законодательные акты Российской Федерации», расширяющего возможности банков по использованию биометрической идентификации1.
Биометрические технологии по идентификации физических лиц основаны на обработке уникальных биометрических характеристик (биометрических персональных данных). В соответствии с Федеральным законом № 152-ФЗ от 27.07.2006 «О персональных данных» под ними понимаются «сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных»2. Примером таких данных могут служить изображения геометрии лица, отпечатки пальцев, запись голоса, рисунок радужной оболочки глаза, рисунок вен и т.д.
На данный момент сбор биометрических данных клиентов осуществляется в ряде крупнейших банков Российской Федерации. Собранные данные банки предоставляют в Единую биометрическую систему (ЕБС), являющуюся единой информационной системой в России по хранению биометрических данных, оператором которой в соответствии
© Егин В. В., 2021
1 О внесении изменений в отдельные законодательные акты Российской Федерации : федер. закон № 479-ФЗ от 29.12.2020 // СПС «Консультант Плюс».
2 О персональных данных : федер. закон № 152-ФЗ от 27.07.2006 // СПС «Консультант Плюс».
с Распоряжением Правительства РФ № 293-р от 22.02.2018 на данный момент выступает ПАО «Ростелеком»1. Важным нововведением ФЗ № 479-ФЗ от 29.12.2020 стало закрепление впервые официального статуса ЕБС как государственной информационной системы, предусматривающей возможность ее использования для оказания государственных и муниципальных услуг.
Субъектами, осуществляющими регулирование применения биометрической идентификации в банковском секторе, выступают Правительство РФ и Министерство цифрового развития, связи и массовых коммуникаций РФ, в частности. Так, Минцифры осуществляет нормативное регулирование порядка сбора и обработки биометрических персональных данных, разрабатывает и устанавливает требования к техническим устройствам и процедурам идентификации. Также деятельность по использованию биометрической идентификации в банках осуществляется с согласия и при участии Банка России.
Долгое время в отечественном законодательстве не содержалось легального определения такого понятия, как идентификация. Впервые оно было дано в конце 2020 г. Федеральным законом № 479-ФЗ от 29.12.2020 «О внесении изменений в отдельные законодательные акты Российской Федерации». В третьей статье данного законодательного акта содержатся изменения, вносимые в Федеральный закон № 149-ФЗ от 27.07.2006 «Об информации, информационных технологиях и о защите информации», в соответствии с которыми под идентификацией признается «совокупность мероприятий по установлению сведений о лице и их проверке, осуществляемых в соответствии с федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами, и сопоставлению данных сведений с уникальным обозначением (уникальными обозначениями) сведений о лице, необходимым для определения такого лица»2.
Осуществление биометрической идентификации происходит в несколько этапов, каждый из которых регламентирован нормативными актами органов исполнительной власти. Так, условно процесс биометрической идентификации можно поделить на два этапа: первый связан с получением и хранением биометрических персональных данных, а второй - непосредственно с осуществлением идентификации.
На первом этапе происходит получение биометрических персональных данных клиента специальным уполномоченным сотрудником банка, что является обязательным условием в соответствии с п. 6 Приложения № 1 к Приказу Министерства цифрового развития, связи и массовых коммуникаций РФ № 321 от 25.06.20183 После получения обязательного письменного согласия клиента сотрудник производит процедуру сбора биометрических данных, регламентированную п. 12, 13 указанного выше Приложения. Полученные данные сотрудник банка подтверждает простой электронной подписью. После получения и проверки на соответствие обязательным требованиям биометрические данные клиента направляются в ЕБС при помощи единой системы межведомственного электронного взаимодействия, в соответствии с п. 15 Приложения.
1 О возложении на публичное акционерное общество междугородной и международной электрической связи «Ростелеком» функций оператора единой информационной системы персональных данных : Распоряжение Правительства РФ № 293-р от 22.02.2018 // СПС «Консультант Плюс».
2 Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации : Приказ Министерства цифрового развития, связи и массовых коммуникаций РФ № 321 от 25.06.2018 // СПС «Гарант».
3 О внесении изменений в отдельные законодательные акты Российской Федерации : федер. закон № 479-ФЗ от 29.12.2020 // СПС «Консультант Плюс».
На втором этапе происходит непосредственно идентификация клиента в результате предъявления им уникальных биометрических характеристик и считывания их специальными устройствами. После осуществления клиентом предусмотренных действий считывающее устройство передает данные в ЕБС, где происходит их сравнение с ранее полученными образцами изображения лица и голоса. Если данные совпадают, то ЕБС передает сведения о личности банку, после чего клиент получает возможность совершения финансовых операций.
На данный момент биометрическая идентификация в банках осуществляется только по голосу и изображению лица клиента, однако существуют точки зрения, указывающие на возможность расширения данного перечня биометрических параметров. Так, существуют предложения по применению дактилоскопической идентификации в банках. На сегодняшний момент ЕБС не содержит такой базы данных, поэтому в таком случае банки должны будут сами создать такую информационную систему. Однако, как справедливо отмечает Ю. Г. Изотов, создание такой информационной базы данных будет «экономически невыгодно, поскольку расходы на ее функционирование значительно превышают выгоды от ее использования». К тому же остается достаточно высокий риск неправомерного доступа к этому виду персональных данных, что нанесет вред как непосредственно клиенту, так и репутации банка. Поэтому, учитывая очевидные плюсы использования такой идентификации, банкам все же стоит дождаться включения дактилоскопических данных в Единую биометрическую систему.
Осуществление биометрической идентификации в банковском секторе натыкается на одну существенную проблему - обеспечение защиты биометрических персональных данных клиентов. Безусловно, специфические черты этого вида данных делают неправомерный доступ к ним особо чувствительным для их клиента, что не может не сказаться на репутации банка. Так, по данным экспертно-аналитического центра группы компаний InfoWatch (российской компании, специализирующейся на информационной безопасности в корпоративном секторе) число утечек в финансовом сегменте выросло на 36,5 % -с 52 до 71 и привело к утечкам 13,4 млн записей пользовательских данных [1]. Данное положение не может не вызывать опасений, поскольку уже сейчас принимаются законопроекты, расширяющие возможности банков по проведению биометрической идентификации. Так, в соответствии с вышеупомянутым Федеральным законом № 479-ФЗ от 29.12.2020 банки с универсальной лицензией получают возможность открывать счета без личного присутствия клиента после его идентификации, а банки с базовой лицензией -право сбора биометрических персональных данных клиентов в единую биометрическую систему после соответствующего запроса в Банк России.
В целом, как отмечают М. Д. Фуфаев и С. В. Криворучко, риски для биометрической идентификации можно поделить на пять основных видов: подмена данных, фальсификация, низкое качество данных, утечка и кража, многократный сбор [2]. Стоит отметить, что наибольший урон для биометрической идентификации представляют факты неправомерного доступа к биометрическим персональным данным клиентов, подавляющее большинство которых происходит из-за их утечек по вине сотрудников банковских организаций. Как сообщает экспертно-аналитический центр группы компаний InfoWatch, утечки персональных данных из банковских организаций в Российской Федерации по внутренним причинам происходят в 82 % случаев [3].
Современные тенденции в области применения биометрической идентификации дают возможность судить о том, что объемы ее использования в организациях финансового сектора будут только возрастать. Данное положение, как верно отмечает в своем пособии Ю. А. Брюхомицкий, делит людей на два противоположных лагеря: сторонники применения биометрии указывают на удобство биометрических технологий, как следствие, «способствующее борьбе с терроризмом, кибертерроризмом, уголовными и адми-
нистративными преступлениями, мошенничеством», противники же наоборот отмечают тот факт, что «биометрия нарушает конституционные права личности, связанные с анонимностью и конфиденциальностью частной жизни» [4, с. 249-250].
Несомненно, расширение применения биометрии увеличивает количество персональных данных, попадающих в информационное пространство, что, по справедливому мнению С. О. Саушкина и Г. В. Синцова, приводит также «к размытию границ частной жизни граждан» [5]. При этом растущее число правонарушений в сфере персональных данных создает реальную угрозу нарушения конституционных прав граждан. Также необходимо учитывать и положительный эффект внедрения биометрии в банковском секторе, например, уже сейчас с ее помощью значительно облегчается большинство простейших банковских операций. Свою эффективность биометрия проявляет и в период пандемии, когда требуется осуществление таких операций в дистанционном формате. Указанные позиции вступают в конфронтацию, вследствие чего возникает ситуация, когда необходимо привести в баланс интересы банковских организаций по расширению использования биометрических персональных данных и интересы граждан по конфиденциальности своей жизни, истекающие из их конституционных прав.
Решение данной проблемы может быть достигнуто разными путями. С одной стороны, требуется значительное повышение как правовой и информационной грамотности сотрудников банковских организаций, так и их корпоративной ответственности и культуры, минимизирующих факты утечек биометрических персональных данных внутренними путями. С другой стороны, требуется и быстрое реагирование на современные вызовы и тенденции в правовой сфере. Уже сейчас предлагаются различные проекты по совершенствованию правового регулирования в данной сфере. Так, в МГЮА уже сейчас предлагается концепция федерального закона «О защите биометрической информации физических лиц», направленного на закрепление особого регулирования цифровой биометрии из-за ее повышенной уязвимости [6].
Необходимо учитывать и меры юридической ответственности за нарушения в сфере биометрии. Уже сейчас принят ряд законодательных актов1, сильно повышающих административную ответственность за нарушения в области персональных данных. Однако принимая во внимание тенденции к особому регулированию цифровой биометрии, а в перспективе и принятие отдельного федерального закона, посвященного данному вопросу, необходима и особая защита этого вида информации. Учесть данный факт, как представляется, возможно путем принятия отдельной статьи в КоАП РФ, посвященной этому виду персональных данных, с более строгой ответственностью за нарушения в области охраны биометрических персональных данных. Преимуществом такой ответственности выступает возможность привлечения к ней юридических лиц, т.е. в нашем случае банковских организаций, что позволит избежать перекладывания вины на отдельных сотрудников банка в случае нарушений в сфере защиты биометрических персональных данных.
Таким образом, расширение применения биометрической идентификации в банковском секторе является противоречивым явлением, обладающим как очевидными плюсами, так и носящим в себе определенные риски для неприкосновенности частной жизни граждан. Попадание биометрических персональных данных в руки недобросовестно настроенных лиц может нанести существенный вред их носителю из-за их отличительных признаков. В связи с этим необходимым решением сейчас видится формирование особого правового режима регулирования цифровой биометрии, позволяющего учесть уникальные характеристики этого вида персональных данных.
1 О внесении изменений в Кодекс Российской Федерации об административных правонарушениях : федер. закон № 19-ФЗ от 24.02.2021 / / СПС «Консультант Плюс».
Список литературы
1. Изотов Ю. Г., Холманов К. О. Биометрическая идентификация в банковской деятельности // Вопросы российской юстиции. 2020. № 6. С. 260-269.
2. Фуфаев М. Д., Криворучко С. В. Биометрическая идентификация: сущность и риски применения технологии в платежной индустрии // Международный журнал гуманитарных и естественных наук. 2021. № 2-3. С. 39-42.
3. Число утечек из финансового сектора в России выросло на треть. URL: https:// www.tadviser.ru (дата обращения: 05.03.2021).
4. Брюхомицкий Ю. А. Биометрические технологии идентификации личности : учеб. пособие. Ростов н/Д.; Таганрог : Изд-во Южного федер. ун-та, 2017. 263 с.
5. Саушкин С. О., Синцов Г. В. К вопросу о соотношении институтов защиты персональных данных и защиты неприкосновенности частной жизни // Гуманитарный научный вестник. 2020. № 2. С. 172-177.
6. Рассолов И. М., Чубукова С. Г., Микурова И. В. Биометрия в контексте персональных данных и генетической информации: правовые проблемы // Lex Russica. 2019. № 1. С. 108-118.
Информация об авторе Егин Владислав Витальевич, студент, Пензенский государственный университет.
Автор заявляет об отсутствии конфликта интересов.
