Цена вопроса
Директор по стратегическим проектам Института исследований интернета Ирина Левова о том, почему малый и средний бизнес может отказаться от биометрии
Вступающие в силу с 1 января 2022 года поправки к 479-ФЗ, которым в настоящее время регулируются сбор и использование биометрии физических лиц в России, оставляют российским компаниям три варианта использования биометрической идентификации в своих продуктах и услугах.
Первый — присоединиться к государственной Единой биометрической системе (ЕБС), оператором которой выступает «Ростелеком», и оснастить офисы сертифицированным оборудованием. Второй — попытаться получить аккредитацию на собственную систему. Третий — полностью отказаться от биометрической идентификации, предложив своим клиентам являться в офисы с паспортом по любому вопросу (вариант не для банков, они обязаны подключаться к ЕБС).
Универсального ответа для бизнеса не существует — он слишком сильно зависит от профиля и размеров компании, не говоря уже о неизвестных затратах на не существующее пока облачное решение по безопасности каналов связи, по которым должна передаваться биометрия.
Затраты на оборудование пока кажутся самой скромной статьей: минимально оснастить один офис обслуживания стоит порядка 50 тыс. руб. Дооснащение информационной защиты, например, банка обязательными аппаратными модулями безопасности HSM обойдется еще в несколько миллионов рублей. Альтернативные затраты на облачное решение неизвестны, но в кулуарах назывались цифра 15 руб. за одну трансакцию. Все вместе это сразу убирает с рынка умные видеодомофоны с распознаванием, биометрическую идентификацию в фитнесе и прочих «не необходимых» целях.
Если идти по пути аккредитации собственной системы, затраты на сертифицированные ИБ-решения никуда не денутся, использование собственной системы позволяет избежать лишь уплаты тарифа за использование непосредственно Единой биометрической системы (не менее 200 руб. за трансакцию и ниже, в зависимости от объемов). Зато прибавятся затраты на саму аккредитацию. Это при условии, что вам разрешат пройти аккредитацию: законом она предусмотрена только для российских юридических лиц, доля иностранного участия в которых не превышает 49%. Но если у вас есть крупные иностранные акционеры, процедура аккредитации вам недоступна.
При этом представители государства уже оглашают планы по дальнейшему изменению регулирования: даже коммерческие системы обяжут работать через ЕБС, там же будут аккумулироваться все «сырые» данные (сами записи голоса, отпечатки пальцев и т. д.). Такое решение фактически ставит крест на рынке коммерческой идентификации в России: развитие собственных решений теряет смысл, когда вы не можете обрабатывать биометрические данные самостоятельно.
В результате третий вариант — отказ от биометрии — вполне может стать основным для малого и среднего бизнеса. Более того, для крупного бизнеса цена вопроса после детальных оценок, вероятнее всего, сократит количество кейсов с биометрией до минимально требуемых по закону. Конечный результат — технологии биометрической идентификации перестанут развиваться в России. Правда, если в Евросоюзе это становится результатом общественного консенсуса, то у нас — усилиями государства по «развитию» отрасли.
Между тем рядовой россиянин в конечном счете за защиту биометрических данных заплатит минимум дважды: налогами — за развитие ЕБС «Ростелекома» и повышенным тарифом — за обслуживание в банке или у мобильного оператора.