Законы на лицо
Каковы перспективы частной биометрии в России
В 2021 году государство основательно взялось за регулирование экспериментального, по сути, рынка биометрии. Весь год разрабатывалась правовая база для регулирования коммерческой биометрии, вводящая такой высокий барьер для использования ее бизнесом, что преодолеть его может только ряд крупных компаний. Однако в конце ноября Минцифры сделало резкий разворот, сообщив, что собирать и хранить биометрические образцы будет только Единая биометрическая система (ЕБС; создана в 2018 году ЦБ и «Ростелекомом»), которая станет государственной. По сути, речь идет о монополии на биометрию. Это сделает развитие технологии биометрической идентификации для бизнеса невостребованной, что способно затормозить цифровое развитие страны, считают эксперты.
Фото: Getty Images
Высокая цена
Перед самым новым, 2021 годом были приняты поправки, расширившие возможности использования банками биометрии до всех услуг, которые оказывают кредитные организации. Они также придали ЕБС статус государственной информационной системы, что, например, позволило собирать биометрию через центры госуслуг «Мои документы».
После этого весь год власти думали, как бизнес будет использовать биометрию. Постановление правительства от 20 октября ввело новые правила аккредитации компаний, работающих с биометрическими данными россиян, которые и вступают в силу с 1 января 2022 года. Причем эти правила разные для тех, кто будет собирать и хранить биометрические образцы (идентификация, сбор биометрического образца, сверка документов и личности) и использовать их для оказания услуг (аутентификация, сравнение с образцом).
Компании, которые могут только использовать биометрию, должны обладать капиталом не менее 50 млн руб., а доля иностранного участия в них — не превышать 50%. Вдобавок такой бизнес должен иметь лицензию на собственную криптографическую защиту биометрических данных. Для тех, кто будет собирать образцы, правила строже. Кроме перечисленных требований ими могут быть только организации с капиталом не менее 500 млн руб. Компании, не соответствующие новым правилам, не получат аккредитацию и не смогут собирать и обрабатывать биометрию.
В августе также были обнародованы требования к сбору слепков лиц и голосов россиян коммерческими организациями. По сути, это расширение требований к ЕБС «Ростелекома» на коммерческие биометрические системы. Им придется согласовывать с Минцифры софт, модель и тип оборудования для сбора и хранения данных. Последнее должно быть сертифицировано Федеральной службой по техническому и экспортному контролю, а профильный сотрудник обязан подтверждать свои полномочия усиленной квалифицированной электронной подписью.
Постановление регламентирует и процесс сбора данных от формата до постановки кадра: «Изображение должно содержать полное изображение головы человека в анфас, включая левое и правое ухо (при их наличии), выражение лица должно быть нейтральным», а при записи голоса «эмоционально-психологическое состояние субъекта должно быть нормальным, не возбужденным». Сами данные можно использовать не более пяти лет.
Кто на новенького
Под новое регулирование подпадают все компании, в том числе банки, которые уже подключились к ЕБС. Если кредитная организация захочет развивать собственный биометрический проект, то сможет это делать с учетом перечисленных выше требований. Послаблений ни для кого нет, говорит источник “Ъ”, близкий к одному из банков.
Рынок консолидируют несколько крупных банков, которые будут продавать свои услуги более мелким игрокам, считает преподаватель Moscow Digital School Олег Блинов. Сотни миллионов рублей компании надо будет потратить на получение аккредитации, при этом капитал компании должен быть как минимум 50 млн руб., нужно будет закупить специальные шифровальные средства, нанять специалистов, получить лицензию ФСБ, перечисляет он.
Новое регулирование приведет к общему удорожанию сбора и обработки биометрических данных, считает соучредитель Russian Privacy Protection Association Алексей Мунтян. «У бизнеса появятся новые расходы на обеспечение всех требований регуляторов, которые они перенесут на потребителей услуг»,— пояснил он. При этом он сомневается, что меры по защите данных россиян будут эффективны: даже в крупных банках и госструктурах бывают утечки — от них не защищен никто.
Замыкая круг
ЕБС как платформа для дистанционной биометрической идентификации граждан России была запущена в июле 2018 года по инициативе Минцифры и Центробанка. «Ростелеком» не комментирует вопросы о количестве записей в ЕБС. Последние известные данные датируются февралем: тогда в системе было зарегистрировано около 164 тыс. россиян. Сейчас ЕБС используют в основном банки и страховые компании. Операторы связи, которые также могут работать с ЕБС, ранее заявляли о своей незаинтересованности в ее использовании. Это связано с необходимостью платить ЕБС за каждое обращение, а также ограниченным количеством услуг, которые оператор может получить через биометрическую платформу — по сути, это только заключение договора на оказание услуг связи.
Самое существенное ограничение в использовании ЕБС: она не наполнена, считает генеральный директор IDX Светлана Белова: «Несмотря на то что ЕБС была создана более двух лет назад, количество записей в ней ничтожно и практически не позволяет ее использовать для оказания коммерческих услуг». Так как изначально ЕБС предполагала плату за ее использование, все крупные компании собирали свои базы биометрических слепков клиентов, и сейчас самая крупная база биометрических данных — у Сбербанка, добавляет госпожа Белова.
В конце ноября главы Минцифры Максут Шадаев на конференции TAdviser Summit заявил, что ведомство планирует обязать всех коммерческих операторов биометрических данных работать в рамках государственной ЕБС. При этом они не смогут собирать первичные данные самостоятельно, а будут получать только производные этих данных с согласия гражданина. В Минцифры “Ъ” не пояснили, как новое видение рынка соотносится с уже принятой нормативной базой и что будет с теми биометрическими данными, что хранятся у банков сейчас, отметив только, что «ЕБС должна стать единым хранилищем биометрических персональных данных физлиц».
Скорее всего, обозначенные Максутом Шадаевым нормы в случае их принятия не вступят в силу ранее 2023 года, считает главный аналитик Российской ассоциации электронных коммуникаций Карен Казарян. При этом изменения не соответствуют существующей архитектуре ЕБС, и ее необходимо будет перестраивать, добавил он. Кроме того, нужно менять схему тарифов на использование биометрии, иначе у бизнеса не будет мотивации использовать биометрическую идентификацию вообще — рынок может схлопнуться, заключает эксперт.
Изменения поставят крест на рынке коммерческой идентификации в России — даже если компания получит аккредитацию, ей придется работать через ЕБС, поясняет директор по стратегическим проектам Института исследований интернета Ирина Левова. «Фактически это монополия государства на биометрическую идентификацию и хранение данных. Это худший вариант развития рынка, так как он ставит под вопрос коммерческую эффективность использования бизнесом биометрии и затормозит цифровизацию страны»,— отметила она. По словам Ирины Левовой, крупные компании, скорее всего, подключатся к ЕБС, а для малого и среднего бизнеса это будет недоступно в силу дороговизны использования ЕБС.
Партнер, руководитель группы по работе с технологическими и медийными компаниями «Делойт» в СНГ Антон Шульга отметил: так как создается монополия на биометрию, то регулировать тарифы ЕБС, возможно, будет Федеральная антимонопольная служба. «Дальше — вопрос кросс-субсидирования, в технологических областях, как мы знаем, это случается»,— резюмирует он.