Владислав Архипов, старший советник юридической фирмы Denuo, директор Центра исследования проблем информационной безопасности и цифровой трансформации СПбГУ, о том, надо ли что-то с этим делать

Клиентам банков начали приходить уведомления о том, что их биометрические данные будут переданы в Единую биометрическую систему (ЕБС). Коротко о главном: банки (как и многие другие) теперь обязаны использовать ЕБС, если они осуществляют обработку биометрических персональных данных для целей идентификации и аутентификации в автоматическом режиме. Биометрические персональные данные в этом контексте — это сведения о лице и о голосе в особом формате. В то же время обработка биометрических персональных данных банками по-прежнему возможна только на основании согласия субъекта в письменной форме, предоставление таких данных банкам не является обязательной, и они не вправе отказать в обслуживании, если субъект не дает свое согласие или не предоставляет такие данные. Теперь немного поподробнее.

Понятие биометрических персональных данных и основные правила их обработки были закреплены в Федеральном законе от 27.07.2006 № 152 «О персональных данных» с момента его принятия в 2006 году. Биометрические персональные данные — это «сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных» (то есть нас с вами). Это понятие чуть уже, чем в некоторых других странах, где к биометрическим данным также относятся типовые особенности поведения, в том числе в цифровой среде. В банковских системах в отношениях с клиентами используются данные о лице и голосе.

Биометрические персональные данные по общему правилу могут обрабатываться только на основании письменного согласия субъекта — такое согласие содержит ряд обязательных реквизитов, включая паспортные данные. Без согласия обработка биометрических персональных данных может использоваться только в очень специфических случаях (например, в связи с осуществлением правосудия и исполнением судебных актов, в соответствии с законодательством о противодействии терроризму или о нотариате), банковские услуги к таким не относятся. Кроме того, как это следует из общих правил, согласие всегда можно отозвать. Оператор, правда, вправе определять разумный способ отзыва согласия и может предусмотреть способы установления личности того, кто согласие отзывает. Эти общие правила продолжают действовать. Также действовали и действуют отдельные подзаконные акты и методические документы в области информационной безопасности, учитывающие особенности биометрических персональных данных.

Долгое время какого-либо специального регулирования порядка обработки биометрических персональных данных не было. Коммерческие организации, в том числе банки, могли собирать и использовать биометрию на указанных общих основаниях, получая письменное согласие субъекта. Иными словами, если вас уведомили, что ваши биометрические персональные данные будут передаваться в ЕБС, это означает, что вы их когда-то сдавали и подписали согласие на обработку биометрических персональных данных. Хотя клиенты разных организаций не всегда получают полную информацию о том, что конкретно происходит с юридической точки зрения, по закону согласие на обработку персональных данных должно даваться свободно, своей волей и в своем интересе и быть конкретным, предметным, информированным, сознательным и однозначным. Если вы уверены, что совершенно точно не предоставляли биометрию и не давали согласие (даже мимоходом, не обратив на это должное внимание),— это повод обратиться в банк.

С принятием и вступлением в силу 572-ФЗ* от 29.12.2022 автоматическая обработка биометрии возможна только с использованием ЕБС. Установлен сложный и многоступенчатый переходный период. Та часть, которую мы сейчас наблюдаем, связана с положением, согласно которому соответствующие операторы, включая коммерческие банки, обязаны обеспечить размещение биометрических персональных данных в ЕБС в срок до 30 сентября 2023 года (ч. 2 ст. 26 572-ФЗ). Согласно пояснительной записке к тогда еще законопроекту он был подготовлен в связи с реализацией государственной политики в части повышения безопасности обработки биометрических персональных данных. Предполагается, что в отсутствие единых условий и инфраструктуры обработки и защиты биометрии государство не может проконтролировать уровень этой защиты, а потому ЕБС должна быть более надежной. Это соображение, разумеется, не лишено оснований. Некоторые эксперты в области информационной безопасности при этом отмечают, что в условиях, когда ЕБС будет обогащена огромным количеством биометрии, она станет более привлекательной целью для злоумышленников в информационной сфере, но и государство это тоже вполне осознает.

Как банкам, так и клиентам биометрия может быть интересна тем, что она повышает доступность и скорость оказания услуг, если все идет нормально. Банки несут меньше издержек и им проще оказывать услуги удаленно, а клиентам получать такие услуги становится легче. Например, Сбербанк отмечает, что такой способ идентификации особенно актуален для труднодоступных регионов, и с этим сложно поспорить.

С точки зрения как информационной безопасности, так и правового регулирования особенность биометрических персональных данных заключается в том, что если кто-либо получил возможность незаконно использовать достоверные и «оригинальные» биометрические данные, себя почти невозможно защитить именно с помощью изменения таких данных (в отличие, например, от ситуации с номером телефона, который можно поменять, хотя это может быть и неудобно). Казалось бы, это соображение однозначно подталкивает к тому, чтобы отказаться от использования биометрии, но ситуация далеко не так проста: это соображение из области теории, а его актуальность сильно зависит от защищенности исходных биометрических данных. Если эти данные безопасны, на что и нацелена вся концепция ЕБС, то использование биометрии, напротив, позволяет защититься от других и весьма многочисленных видов недобросовестных практик и преступлений, причем способов совершения мошенничества и прочих подобных деяний в областях, где требуется устанавливать личность, и без использования биометрии очень и очень много. Поэтому выбор в данной области лежит скорее в плоскости того, кто как для себя воспринимает риски на индивидуальном уровне с учетом ситуации: в области биометрии или в области классического способа получения банковских услуг, причем с учетом необходимости регулярно пользоваться дистанционными услугами, для которых биометрическая идентификация будет полезна.

Проверить данные согласия на биометрию можно на «Госуслугах», в МФЦ можно оформить полный запрет на сбор и обработку биометрии. Банки, развивающие биометрические сервисы, также внедряют соответствующие функции в свои личные кабинеты.

* Полное название закона — Федеральный закон от 29.12.2022 № 572 «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации».