Год назад в России заработала Единая биометрическая система. В нее кредитные организации должны выгружать собираемые у граждан биометрические данные (изображение лица и запись голоса), используемые для их идентификации при оказании финансовых услуг. В октябре 2018 г. ЦБ РФ представил карту точек банковского обслуживания, где все желающие могут сдать биометрию. О том, как работает такая система, и о перспективах ее развития — наша статья.
Наличие у кредитных организаций биометрических данных клиентов позволит им вывести предоставление платежных и других услуг на качественно более высокий уровень за счет использования удаленных каналов информационного взаимодействия, повысить скорость и качество предоставления финансовых услуг, сделав их более доступными для клиентов, проживающих в сельской местности и в отдаленных регионах нашей страны.
Введение удаленной системы идентификации банковских клиентов отвечает целям развития различных платежных технологий, в том числе предполагающих применение бесконтактных платежных карт, мобильных устройств, а также технологических решений, расширяющих географию оказания платежных услуг и снижающих их стоимость для населения и хозяйствующих субъектов. На необходимость развития дистанционного доступа к платежным услугам прямо указано в разделе IV Стратегии развития национальной платежной системы, одобренной Протоколом № 4 Совета директоров ЦБ РФ 15.03.2013.
Состав биометрических данных
Согласно п. 8 ст. 14.1 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее — Закон № 149-ФЗ) состав сведений, размещаемых в единой биометрической системе (далее — ЕБС), включая вид биометрических персональных данных, определяется Правительством РФ. Во исполнение указанной нормы было издано постановление Правительства РФ от 30.06.2018 № 772. В соответствии с этим документом в ЕБС размещаются следующие сведения:
— биометрические персональные данные физического лица — гражданина РФ (изображение лица человека, полученное с помощью фото-видео устройств, голос человека, полученный с помощью звукозаписывающих устройств);
— основной государственный регистрационный номер записи о создании юридического лица (банка);
— СНИЛС сотрудника банка, который разместил данные;
— идентификатор учетной записи клиента в единой системе идентификации и аутентификации.
Сдача биометрии и регистрация в ЕБС
Благодаря рассматриваемому инструменту клиенты получат возможность в любое время из любого удобного места дистанционно открывать вклады и счета, а также получать кредиты и осуществлять денежные переводы. Для сдачи биометрии клиент должен посетить один из уполномоченных банков с паспортом и СНИЛС, чтобы пройти процедуру первичной идентификации. На основании обращения клиента и представленных им документов банк осуществляет его регистрацию в Единой системе идентификации и аутентификации (ЕСИА) и в ЕБС. При наличии у клиента подтвержденной учетной записи на портале государственных услуг банк использует имеющиеся там данные.
По завершении процедуры регистрации клиент получает на телефон sms-сообщение с соответствующим подтверждением и в дальнейшем сможет получать финансовые продукты без личного посещения банковских отделений. Пользоваться банковскими услугами клиент сможет дистанционно через сайт банка или мобильное приложение с прохождением каждый раз процедуры авторизации в ЕСИА при использовании логина и пароля. После корректного ввода указанных данных клиент должен произнести на камеру последовательность цифр и букв, и данная запись с его голосом будет автоматически передана в ЕСИА для сравнения с имеющейся информацией. При успешной идентификации клиента информация передается в банк, который приступает к оказанию услуг.
Первичная регистрация клиента в ЕСИА и ЕБС, а также удаленная идентификация будут для граждан бесплатными. Вот только государственный оператор ЕБС (ПАО «Ростелеком») будет взимать с банков плату за предоставление информации, которую они, как нетрудно догадаться, будут перекладывать на конечных потребителей финансовых услуг.
К сведению
Следует отметить, что некоторые банки собираемые с клиентов биометрические данные выгружают в собственные информационные системы. В связи с этим Центробанк выпустил информационное письмо от 01.03.2019 № ИН-04-13/22. В пункте 6 данного документа ЦБ РФ рекомендовал банкам с целью исключения случаев введения клиентов в заблуждение информировать их о том, в какую из систем выгружаются собираемые у них биометрические данные.
У банков — обязанность, у граждан — добрая воля
Обязанность банков проводить процедуру сбора и обновления биометрических данных клиентов установлена в п. 5.6 ст. 7 Федерального закона от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (далее — Закон № 115-ФЗ). Требование о выполнении данной процедуры адресовано всем банкам, которые участвуют в системе страхования вкладов, в отношении которых не применяются меры по предупреждению банкротства и не было принято решение ЦБ РФ об ограничении операций. Мегарегулятор будет ежемесячно на своем сайте публиковать перечень банков, соответствующих указанным критериям.
Биометрические данные характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность как субъекта персональных данных. Биометрические персональные данные могут обрабатываться только при наличии согласия субъекта персональных данных в письменной форме (форма такого согласия установлена распоряжением Правительства РФ от 30.06.2018 № 1322-р). Исключение составляют случаи, перечисленных в п. 2 ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». К их числу относятся, в частности, обработка биометрических данных в связи с проведением государственной дактилоскопической экспертизы, в рамках уголовного законодательства, при рассмотрении вопросов предоставления гражданства и др.
Например, биометрические персональные данные об особенностях строения папиллярных узоров пальцев и (или) ладоней рук человека, позволяющие установить его личность, собираются сотрудниками правоохранительных органов для расследования административных правонарушений и уголовных дел в рамках Федерального закона от 25.07.98 № 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации». Дактилоскопическую регистрацию могут пройти добровольно любые граждане, а в обязательном порядке она проводится в отношении призывников, военнослужащих, сотрудников полиции и иных лиц, указанных в ст. 9 названного закона.
Следует учитывать, что перечень случаев, когда в отношении граждан может проводиться дактилоскопическая экспертиза, является исчерпывающим, поэтому если своего согласия на добровольное участие в такой процедуре он не давал, действия сотрудников правоохранительных органов могут быть признаны незаконными. В этом случае незаконно полученные ими биометрические данные гражданина подлежат уничтожению (Апелляционное определение Верховного суда Республики Коми от 27.02.2014 по делу № 33-920/2014).
Получение биометрических данных в рамках удаленной идентификации клиентов также является добровольным, что дает возможность отказаться от участия в данной процедуре, по крайней мере, до тех пор, пока банки ее окончательно «не обкатают» и не станут понятными все возможные угрозы. Тот факт, что рано или поздно идентификация клиентов посредством использования биометрических данных прочно утвердится в гражданском обороте, не вызывает сомнений, поскольку во всем мире такой способ пользуется популярностью за счет своей эффективности.
Безопасность превыше всего
Для защиты биометрических данных, которые должны будут храниться в зашифрованном виде в обезличенной форме отдельно от других идентификационных данных, будут использоваться криптографические средства защиты информации. Надежность доступа будет обеспечиваться посредством ввода корректных логина и пароля, направления сообщения со случайно сгенерированной последовательностью цифр и букв, записанного на камеру голосом клиента.
В своей работе банки будут обязаны руководствоваться Порядком обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, утвержденным приказом Минкомсвязи России от 25.06.2018 № 321. В частности, банк должен назначить ответственных сотрудников, обеспечить использование электронных подписей, ключами которых является СНИЛС таких сотрудников, организовать защищенное хранение ключей электронных подписей.
Банки обязаны ежегодно проводить оценку соответствия требованиям защиты информации, а также информировать ЦБ РФ обо всех инцидентах, связанных с нарушениями. В данном нормативном документе приведены четкие требования к качеству образцов голоса и изображения, которые должны быть получены от клиента, включая наклон головы, выражение лица, уровень освещенности, формат записи голоса, глубину квантования, частоту дискредитации и другие параметры.
ЦБ РФ будет осуществлять надзор за соблюдением банками порядка размещения и обновления сведений в ЕСИА и в ЕБС (Указание ЦБ РФ от 17.10.2018 № 4933-У), запрашивая для этой цели документы и информацию, содержащую в том числе персональные данные граждан. Проверки будут проводиться мегарегулятором в соответствии с Инструкцией ЦБ РФ от 05.12.2013 № 147-И «О порядке проведения проверок кредитных организаций (их филиалов) уполномоченными представителями Центрального банка Российской Федерации (Банка России)».
Очевидно, что изъяны в системе безопасности биометрических данных еще предстоит проверить на практике, поскольку киберпреступники постоянно совершенствуют свои навыки и ищут разные возможности для доступа к конфиденциальной информации и хищения денежных средств банковских клиентов. Однако с определенной уверенностью можно сказать, что если это случится, то не так скоро, и масштабы хищений, возможно, будут заметно меньше, чем с традиционного пластика.
В этом плане хорошей дополнительной мерой безопасности будет введение ЦБ РФ ограничения общего количества открытых банковских счетов и вкладов, которое будут обязаны учитывать банки при осуществлении идентификации клиента по биометрическим данным. При достижении предельного значения банк уведомляет об этом клиента и отказывает в проведении идентификации посредством использования биометрических данных (п. 5.10 Закона № 115-ФЗ), что не лишает последнего возможности обратиться за получением услуг к банку лично.
Еще одной важной мерой в сфере обеспечения безопасности использования биометрических данных является отказ банка в проведении идентификации клиента, использующего для доступа мобильный телефон, планшетный компьютер или иной гаджет, если клиент при этом не желает использовать шифровальные (криптографические) средства защиты информации.
Клиент дополнительно информируется о рисках и если все-таки настаивает на проведении своей идентификации без использования средств защиты информации, банк вправе ее провести. Такие требования предусмотрены п. 20—21 ст. 14.1 Закона № 149-ФЗ.
Банки обязаны принимать организационно-технические меры защиты информации от различных угроз безопасности. При условии выполнения банками указанных мероприятий мегарегулятор воздержится от принятия надзорных мер, на что было прямо указано в его информационном письме от 28.06.2018 № ИН-03-13/40.
При проведении этой работы банки должны учитывать требования, содержащиеся в Указании ЦБ РФ и ПАО «Ростелеком» от 09.07.2018 № 4859-У/01/01/782-18 «О перечне угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в государственных органах, банках и иных организациях, указанных в абзаце первом части 1 статьи 14.1 Федерального закона от 27 июля 2006 года № 149-ФЗ „Об информации, информационных технологиях и о защите информации“, в единой биометрической системе», а также в Методических рекомендациях ЦБ РФ от 14.02.2019 № 4-МР по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим данным гражданина Российской Федерации.
Реалии и перспективы
В Европе биометрические данные в настоящее время уже активно используются банками, иными организациями и государственными структурами в сфере миграционного учета, в криминалистике, при предоставлении различных услуг, проведении голосования на выборах в органы власти и в других областях. Основные тенденции развития рынка биометрических данных представлены в Обзоре международного рынка биометрических технологий и их применение в финансовом секторе, подготовленном ЦБ РФ в январе 2018 г.
Технологии обработки и защиты информации основаны на работе со статическими биометрическими данными — уникальными признаками, полученными человеком от рождения (ДНК, отпечаток пальца, геометрия руки, радужная оболочка глаза и др.), и динамическими биометрическими данными. Во втором случае речь идет о характеристиках, приобретаемых со временем или способных меняться с возрастом или под внешним воздействием (динамика воспроизведения подписи, голос, походка).
Технология работы с биометрическими данными имеет значительный потенциал для использования в различных сферах, при этом в настоящее время большее внимание ей уделяют именно банки, которые по всему миру тестируют различные пилотные проекты по внедрению данного вида идентификации клиентов. Технология используется в процессе проведения мобильных платежей, при идентификации клиентов в call-центрах, для организации доступа к банкоматам, мобильному приложению и иным инструментам онлайн-банкинга.
Голос и изображение человека являются наиболее популярными, но при этом далеко не единственными используемыми на практике биометрическими данными. Например, компания «MasterCard» исследует перспективность использования так называемых «внутренних технологий биометрической идентификации» — биение сердца, венозный рисунок, считая их наиболее прогрессивными и достаточно надежными.
В качестве примера успешного применения технологии удаленной идентификации по рисунку на ладони можно привести проект «Ладошки», в основе которого лежит биометрическая технология оплаты питания в школах по ладони ребенка. Выбрав в столовой понравившиеся блюда и напитки, ребенок подносит ладонь к сенсорному экрану платежного терминала, который считывает индивидуальный рисунок капилляров ладони, а специальная оптическая система идентифицирует школьника, после этого сумма автоматически списывается с его счета в оплату стоимости сделанной покупки. Родители ребенка получают возможность через личный кабинет в системе контролировать траты ребенка и не опасаться, что он потеряет наличные деньги или пластиковые карты, поскольку будет платить всегда ладошкой.
В Тюменской области, правда, такой способ расчетов за питание в школьных столовых вызвал недовольство прокуратуры, по мнению которой администратор сервиса не организовал получение согласие самих учащихся на получение и обработку их биометрических данных. Признавая незаконным постановление прокуратуры, суд указал на то, что действующее законодательство РФ не содержит запрета на использование биометрических систем идентификации в образовательных учреждениях. При этом получение администратором сервиса согласия от законных представителей школьников является достаточной и, по сути, единственной возможностью обеспечить выполнение требований закона о необходимости получения согласия (постановление Восьмого арбитражного апелляционного суда от 14.09.2017 по делу № А70-2034/2017).
Голос каждого клиента обладает набором более чем из 100 уникальных характеристик, параметры которых зависят от физических особенностей речевого аппарата. По этой причине голос может служить достаточным идентификатором для доступа к банковским услугам, даже если пользователь забыл пароль. Вместе с тем обеспечение доступности финансовых услуг и доступа к различным пользовательским сервисам должно происходить при соблюдении максимальных мер предосторожности, поэтому наиболее удачным решением является сочетание различных форм удаленной идентификации.
Основным трендом на рынке биометрических данных является активное развитие многофакторной аутентификации, включающей несколько уровней идентификации (например, пин-код или одноразовый пароль и биометрические данные), что позволяет существенно повысить безопасность и обеспечить защиту конфиденциальной информации от несанкционированного доступа со стороны третьих лиц. Такая многофакторная аутентификация применяется преимущественно в критически важных областях, таких как банковский и финансовый сектор, правительственные службы, оборона и здравоохранение.
Использование биометрических данных как инструмента идентификации клиентов в дальнейшем может получить широкое распространение далеко за пределами сферы банковского обслуживания, поскольку очевидны его преимущества, связанные с ускорением гражданского оборота и оптимизацией временных и финансовых издержек предпринимателей при предоставлении услуг своим клиентам.