Личные поданные: банки против передачи в госбазу всей биометрии клиентов

Банки раскритиковали новые требования к работе с Единой биометрической системой (ЕБС), которые недавно поддержала Госдума РФ. Национальный совет финрынка предложил депутатам отменить ряд нововведений: вернуть обязательное получение согласия граждан на передачу их данных из банковских систем в единую, не принимать в госбазу черно-белые фото низкого качества и не отправлять туда такую специфическую биометрию, как отпечатки вен ладоней. Эксперты полагают, что сейчас основная задача государства — наполнить ЕБС, в то время как кредитные организации стремятся сохранить за собой персональные данные клиентов. Какое отношение все эти нюансы имеют к каждому клиенту любого банка — разбирались Известия».

Согласие и качество

Кредитные организации подготовили замечания к законопроекту о новых требованиях к работе с Единой биометрической системой (ЕБС). Он был принят Госдумой в первом чтении в ноябре 2022 года. Письмо с позицией банков Национальный совет финансового рынка (НСФР) направил в Госдуму (документ есть у «Известий»).

В первую очередь, банки предлагают восстановить безусловный контроль граждан за своими биометрическими данными — сканами лица, отпечатками пальцев, голосом и т.д. Летом 2022 года Госдума приняла норму, согласно которой банки могут передавать всю эту информацию в ЕБС без предварительного согласия клиентов, лишь уведомив их. Норма вступает в силу с 1 марта 2023 года. В законопроекте, принятом в ноябре и регламентирующем деятельность ЕБС, эта норма тоже присутствует.

Однако, такие действия подрывают доверие россиян к биометрическим системам, считают в НСФР. И поэтому в документе, переданном в ГД, предложено при втором чтении закона запретить передачу слепков лица и голоса из кредитных организаций в ЕБС без предварительного согласия клиентов.

Во-вторых, авторы замечаний считают недопустимым снижение требований к качеству образцов, передаваемых в ЕБС. В частности, проектируемые в настоящее время требования Минцифры допускают использование разных по качеству данных, например монохромных фотографий в 8-битовом цветовом пространстве (проще говоря — черно-белых фото в плохом разрешении), что в 65 тыс. раз ухудшает цветопередачу образца изображения относительно действующих стандартных требований ЕБС. Это может привести к снижению качества распознавания при работе с системой.

В-третьих, кредитные организации выступают против расширения перечня биометрических данных, которые необходимо передавать в ЕБС. Законопроект формально предусматривает передачу в ЕБС вообще любых биометрических сведений. Например, записи телефонных разговоров клиентов с колл-центрами или отпечатков вен ладони, которые используются для доступа в индивидуальную банковскую ячейку, подчеркивается в письме НСФР в Госдуму.

— В соответствии с нормами нового законопроекта, после передачи слепков в ЕБС, банк должен их уничтожить и использовать только через единую систему в формате векторов. При этом в ЕБС не предусмотрено хранение, например, слепков вен ладони. Следовательно, кредитным организациям придется отказаться от давно и успешно используемых собственных мер защиты с помощью иной биометрии, чем собирается в ЕБС, — пояснил глава НСФР Андрей Емелин.

Он уточнил, что банки просят отменить требование об уничтожении биометрических слепков (такая норма предусмотрена поправками) после их передачи в ЕБС при условии их использования банками в соответствии с законом о персональных данных и с согласия клиента.

В Минцифры «Известиям» отметили, что никакие нормы закона не предусматривают, что личные данные гражданина будут передаваться против его воли. Законопроект предусматривает, что коммерческая организация при переносе данных в ЕБС должна обязательно уведомить об этом гражданина, и в течение 30 дней он может от этого отказаться, напомнили в Минцифры.

Там подчеркнули: после переноса сохраняется возможность в любой момент отозвать согласие и потребовать прекратить обработку данных. Для удобства граждан такая опция появится в личном кабинете на Госуслугах. Кроме того, для использования биометрических данных гражданина при предоставлении различных услуг нужно будет обязательно получить его согласие.

В отношении качества снимков в Минцифры сообщили: если коммерческая компания передаст в ЕБС образцы недостаточно высокого качества, использовать их можно будет только для услуг этой компании. Например, клиенты банка по-прежнему смогут пользоваться его сервисами, но использовать эту же биометрию в других ситуациях и другими банками не получится, подчеркнули в ведомстве.

«Известия» направили запросы в комитет Госдумы по информационной политике, где рассматриваются поправки и ЦБ.

Сохранить статус

В крупнейших банках «Известиям» расказали, что видят перспективы применения биометрии для удаленной идентификации. Однако там подтвердили опасения, озвученные НСФР.

Важно, чтобы клиент, подписывая согласие на хранение своей биометрии, сам выбирал, разрешает ли он использовать свои данные одному банку или всему рынку через ЕБС, подчеркнул директор департамента цифрового бизнеса и программ лояльности Новикомбанка Евгений Гладилин. По его словам, получение дополнительного подтверждения на передачу сведений в единую базу не будет лишним — это повысит доверие к системе и, как следствие, способствует ее наполняемости.

Вместе с тем, как подчеркнули в РСХБ, за 30 дней до передачи данных в ЕБС банк должен оповестить гражданина, и за это время согласие на обработку слепков может быть отозвано.

Наиболее значимое предложение НСФР связано с тем, что необходимо оставить текущие требования к качеству данных, подчеркнула управляющий директор департамента карточных продуктов и услуг Газпромбанка Дарья Скачкова. Она пояснила, что риск использования менее качественной биометрии потребует внедрения в банках дополнительных инструментов проверки граждан.

Если признать приемлемыми для ЕБС черно-белые фото не очень хорошего качества, то это может привести к катастрофическим последствиям, опасается директор технического департамента RTM Group Федор Музалевский. В том числе — появлению векторов атак на системы идентификации и отказам в идентификации. При неидеальном освещении система может не распознать человека или спутать его с другим, уточнил он.

По словам эксперта, законопроект, позволяющий передавать в ЕБС слепки более низкого качества, мог появиться из-за желания властей наполнить госбазу всеми данными, которые уже собраны из кредитных организаций, а не дожидаться «добровольной» сдачи биометрии гражданами. Например — за счет баз данных организаций с фото сотрудников, даже если они хранятся в плохом разрешении.

Впрочем, предъявляя замечания, банки могут преследовать и собственный интерес, отметил главный юрисконсульт практики интеллектуальной собственности юридической компании «ЭБР» Кирилл Ляхманов. По его словам, они заинтересованы в сохранении за собой уникального перечня биометрических данных для дальнейшего использования.

Наталья Ильина

Тематики: Регулирование, Безопасность

Ключевые слова: регулирование, биометрические системы