И другие официфральные лица
Стандарты сбора биометрии распространят на коммерческие системы
Правительство решило ввести стандарты сбора слепков лиц и голосов россиян в коммерческих биометрических системах (КБС). Сейчас требования обязаны применять только те, кто заносит сведения в единую биометрическую систему (ЕБС). По новым правилам собирающие биометрию компании, например фитнес-центры и сотовые операторы, должны обеспечить тот же уровень безопасности и формат данных. Источники “Ъ” отмечают, что в перспективе КБС могут обязать сдавать данные в плохо наполняющуюся ЕБС. А тем, кто не сможет выполнить требования и собирать информацию сам, придется ее в той же ЕБС покупать.
“Ъ” ознакомился с опубликованным 17 августа проектом постановления Минцифры, который регулирует сбор биометрии россиян. Текущая версия документа (от 25 июня 2018 года) устанавливает требования только при сборе данных в ЕБС. Новый вариант распространяет их на «иные информационные системы, обеспечивающие идентификацию с использованием биометрических персональных данных».
В Минцифры пояснили, что речь идет в том числе о КБС — «граждане должны быть максимально защищены, даже если эти данные собирают компании для использования на собственных территориях».
Им придется согласовывать с министерством софт, модель и тип оборудования для сбора и хранения данных. Последнее должно быть сертифицировано ФСТЭК, а профильный сотрудник обязан подтверждать свои полномочия усиленной квалифицированной электронной подписью.
Постановление также регламентирует процесс сбора данных, начиная от формата и заканчивая постановкой кадра: «Изображение должно содержать полное изображение головы человека в анфас, включая левое и правое ухо (при их наличии), <…> выражение лица должно быть нейтральным», а при записи голоса «эмоционально-психологическое состояние субъекта должно быть нормальным, не возбужденным». Данные можно использовать не более пяти лет.
ЕБС запущена в июле 2018 года по инициативе ЦБ и Минцифры, собирать данные должны банки. Но к началу 2020 года в ЕБС оказалось только 160 тыс. слепков. Уже в апреле стало известно, что Минцифры решило перезапустить проект. Источник в правительстве объясняет необходимость введения для КБС сопоставимых с банками требований тем, что по принятому в конце 2020 года регулированию власти могут обязать их сдавать собранные данные в ЕБС, чтобы наполнить ее базу, в случае согласия гражданина.
Источник “Ъ” в одном из крупных банков отмечает, что помимо кредитных организаций биометрические системы внедряются, например, в фитнесе и телекоме и распространить требования к ЕБС на КБС необходимо.
«Появилось большое число КБС, в которых аккумулированы заметные объемы данных граждан. Риски утечек, естественно, велики»,— говорит он. Есть КБС и у самих банкиров, об их развитии сообщали Сбербанк, ВТБ и Тинькофф-банк. Банкиры отказались от комментариев, операторы связи не ответили на запросы.
Под новое регулирование попадает любая компания, собирающая биометрические данные для идентификации, поясняет исполнительный директор Ассоциации больших данных (объединяет «Яндекс», Mail.ru Group, Сбербанк, Газпромбанк, Тинькофф-банк, «МегаФон», «Ростелеком» , oneFactor, QIWI и др.) Алексей Нейман. «Крупный бизнес уже тратит значительные ресурсы на обеспечение безопасности собственных систем, а также на их лицензирование, а вот малому и среднему такое регулирование принесет дополнительные расходы»,— говорит он.
Президент Национального фитнес-сообщества Елена Силина отмечает, что сейчас биометрию использует лишь небольшая доля участников рынка — это digital-клубы, ориентированные на молодежь. Развитие сегмента, по ее словам, сдерживает высокая стоимость оборудования. «Фитнес-отрасль до сих пор не восстановилась после пандемийных ограничений: в июле продажи клубных карт были на 16,7% ниже показателя за аналогичный период 2019 года, а выручка от дополнительных услуг — на 14,5%»,— говорит госпожа Силина. На этом фоне, отмечает она, любое дополнительное регулирование, потенциально провоцирующее увеличение затрат, негативно скажется на экономике клубов.
По мнению экспертов, в случае принятия постановления бизнес может просто отказаться от использования биометрии.
«Это может сказаться на доступности в РФ прогрессивных разработок, основанных на биометрической идентификации»,— говорит исполнительный директор Artezio Павел Адылин. Собеседник “Ъ” на IT-рынке считает, что требования Минцифры могут быть направлены на то, чтобы стимулировать коммерческие организации подключаться и использовать для идентификации клиентов биометрические слепки из ЕБС и тем самым повысить востребованность системы.