Скоро для банков и компаний, не только финансовых, которые используют в своей работе биометрические данные клиентов, все изменится. Регулирование работы с биометрией станет жестче. В частности, будет запрещена обработка, включая сбор и хранение биометрических персональных данных, используемых в целях идентификации, вне рамок государственной Единой биометрической системы (ЕБС). Это следствие того, что с 1 июня 2023 года вступает в силу основная часть положений закона 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных».
Улыбнись в камеру
Уже сейчас столкнуться с биометрией в повседневной жизни довольно легко. Если в банке установлена соответствующая система, при визите в отделение она узнает вас в лицо. При телефонном обращении в банк вас узнают по голосу. При оплате смартфоном в некоторых системах вместо ввода ПИН-кода можно подтверждать оплату отпечатком пальца или лицом.
Да и вообще все большую популярность набирают системы «оплаты лицом», когда не нужно доставать не то что карту, но даже смартфон, — достаточно взглянуть в камеру на кассе. Например, в московском метро действует система Face Pay от ВТБ, а в некоторых магазинах и кафе («Магнит», «Перекресток», «Вкусвилл», Prime и др.) — «оплата улыбкой» от Сбера.
Обработка персональных данных, включая биометрические, уже сейчас требует согласия клиента, в большинстве случаев письменного. Однако включить соответствующий пункт в согласие на обработку персональных данных, которое мы подписываем при открытии счета, труда не составляет. Часто мы даже не читаем эту форму, поэтому не знаем, что уже дали такое разрешение своему банку. Функция оплаты лицом обычно требует дополнительной активации, как правило несложной.
В будущем, как предполагает генеральный директор VisionLabs Дмитрий Марков, применение биометрических систем в финансовом секторе расширится — их будут использовать для подтверждения платежей свыше определенной суммы, при проверке возраста покупателя в случае покупки товаров определенного типа и в качестве альтернативы усиленной электронной подписи и SMS при подтверждении операций в электронной коммерции с использованием 3DS 2.0 (последняя версия протокола безопасности онлайн-платежей).
Напомним, VisionLabs — это один из вендоров-разработчиков, чьи алгоритмы используются в ЕБС. Однако у компании большой опыт самостоятельного создания биометрических систем. Выбор в пользу собственной системы или использования ЕБС VisionLabs оставляет на усмотрение клиента.
«Распознавание лиц достигло своей технологической зрелости. Теперь ведется работа над обеспечением высочайшего уровня безопасности данных, соответствия законодательству, минимизации ошибок и рисков, возникающих на разных этапах — в особенности на этапе сбора биометрических персональных данных», — рассказывает Дмитрий Марков. Что касается рисков, то они тоже растут: помимо атак «на предъявление», то есть попыток обмана (предъявления «липы») систем распознавания лиц с помощью фото- и видеоматериалов, силиконовых масок, с помощью различных инструментов, все чаще упоминаются новые виды и типы атак — например, состязательные (adversarial) атаки и дипфейки, рассказывает Марков.
Напомним, дипфейками называют обработку фото и видео с помощью искусственного интеллекта для реалистичной замены лиц или фигур людей. Состязательные атаки — это несанкционированное воздействие на систему обучения искусственного интеллекта (в данном случае отвечающего за распознавание и подтверждение личности в биометрической системе), чтобы ИИ срабатывал нужным мошенникам способом.
От ненужной до государственной
Государственная ЕБС была запущена еще в середине 2018 года, но большой популярностью не пользовалась. Список услуг, доступных с ее помощью, был довольно скромным: удаленно открыть счет или вклад, получить кредит, сделать перевод. Но большую часть услуг в банках и так можно получить удаленно, а один раз прийти в отделение при открытии счета в новом банке не проблема. К сожалению, статистика регистрации в ЕБС и открытия счетов с ее помощью закрыта, так что узнать даже общие показатели ее работы невозможно.
Развитие проекта шло довольно неторопливо, пока в декабре 2021 года ЕБС не получила статус государственной информационной системой (ГИС). Так она стала частью инфраструктуры из связанных между собой информационных систем государственных и муниципальных услуг в электронной форме. С декабря 2022 года оператором ЕБС вместо «Ростелекома» стал Центр биометрических технологий (ЦБТ). 49% акций ЦБТ находятся в собственности все того же «Ростелекома», 26% у Федерального агентства по управлению государственным имуществом и 25% — у Банка России.
Постепенно в ЕБС появлялся новый функционал. Как рассказали в ЦБТ, сейчас биометрию можно зарегистрировать, то есть «сдать» в ЕБС, даже самостоятельно с помощью мобильного приложения «Госуслуги Биометрия» — такая биометрия называется «стандартной». Для регистрации стандартной биометрии нужна подтвержденная учетная запись на «Госуслугах», действительный биометрический загранпаспорт и смартфон с NFC-модулем. Сейчас стандартная биометрия применяется для оформления карты болельщика. Недавно была запущена возможность входа по биометрии в личный кабинет на «Госуслугах».
Или можно, как раньше, обратиться лично в отделение банка, где есть такой сервис, за «подтвержденной» биометрией. Тут нужны паспорт и СНИЛС. Зато список доступных услуг по подтвержденной биометрии значительно шире — вместе с подтвержденной учетной записью на «Госуслугах» она заменяет паспорт. Помимо доступных с начала работы ЕБС финансовых услуг появилась возможность пройти в государственные и коммерческие учреждения, где на входе требуется паспорт, получить электронную подпись, сдать дистанционно экзамены в вузах.
Дальнейшее развитие ЕБС тесно связано с тем самым законом 572-ФЗ. В нем прописано, что в ближайшем будущем широкое распространение получит так называемая векторная модель взаимодействия организаций и ЕБС. Как пояснили в ЦБТ, это значит, что для распознавания личности при использовании биометрии из ЕБС организации будут использовать не сами биометрические данные, а их шаблон — вектор. Вектор не является биометрией, представляет собой математически обработанные данные, и, что очень важно, из них невозможно воссоздать биометрию — фото или голос. Соответственно, даже при утечке векторов злоумышленники не получат доступ к оригинальным биометрическим данным.
Кроме того, в планах — проекты по биоэквайрингу (оплата по лицу) и проходу по биометрии на различные объекты. На всякий случай напомним еще раз: ЕБС предполагает исключительно добровольную регистрацию, без согласия человека использовать его биометрию запрещено.
В пресс-службе Банка России дополнили, что в 2023 году особое внимание будут уделять улучшению процесса сбора биометрических данных. Что касается новых услуг и сервисов, то, как объяснили в ЦБ, с помощью биоэквайринга можно будет оплачивать покупки до 5000 рублей.
Похоже, в ЦБ учли не очень удачный опыт развития ЕБС в первые годы. В скором будущем «подтвержденную» биометрию можно будет сдать не только в офисах аккредитованных банков, но и в МФЦ. В 2023 году будет начат пилотный проект в 10 субъектах РФ. МФЦ многие граждане России посещают значительно чаще, чем банки, и уже привыкли подавать там различные документы. Возможно, и сдача биометрии там пойдет активнее.
Но есть у ЦБ и еще один козырь: ЕБС станет единственной системой, которой разрешено хранить биометрические данные.
Только через ЕБС
Больше всего на ситуацию в сфере биометрии в России повлияет статья 15 572-ФЗ «Обработка биометрических персональных данных вне Единой биометрической системы». В ней напрямую запрещается обработка, включая сбор и хранение, биометрических персональных данных, используемых в целях идентификации (распознания/опознания), за исключением их обработки для размещения в ЕБС.
Напрямую запрещена и обработка, включая сбор, биометрических персональных данных, используемых для аутентификации (проверки подлинности), опять-таки за исключением их обработки для подтверждения соответствия векторам ЕБС и размещения в самой ЕБС. Хранить биометрические персональные данные, используемые для аутентификации, можно только десять суток, и то лишь в случае обращения клиента по поводу неправомочной обработки этих данных.
Собственно говоря, эта статья ставит крест на любых биометрических системах, которые не используют ЕБС в своей работе. С одной стороны, это упрощает государственным органам контроль за утечками биометрических персональных данных, с другой — решает проблему непопулярности регистрации в ЕБС у населения. И заодно делает невозможной сбор банками биометрии в свои собственные биометрические системы.
Что интересно, биометрию в свои собственные системы банки собирали довольно активно, хотя в государственную ЕБС не торопились. Их можно понять: собственные системы позволяют ускорить обслуживание клиентов и предоставить им новые сервисы, а государственная, помимо этого, упрощает клиентам переход в другой банк. К тому же, повторим, на момент запуска ЕБС другого функционала, кроме дистанционного открытия счетов, в ней и не было (подробнее см. «В банк по отпечатку», «Эксперт» № 15 за 2018 год и «Не сдают лицо», № 50 за 2018 год).
В пресс-службе Банка России подтвердили, что для защиты интересов граждан обработка, включая сбор и хранение, их биометрических персональных данных возможна только в ЕБС. А коммерческие организации при условии наличия аккредитации могут использовать векторы ЕБС — те самые математически преобразованные данные, из которых невозможно восстановить исходные фото или запись голоса гражданина.
Было интересно узнать мнение банков, которые развивали свои собственные биометрические системы (например, весьма активен был Сбер), но большая их часть была не готова обсуждать нововведения в биометрии — ждут вступления 1 июня 2023 года основных статей этого закона, включая 15-ю, в силу. Только в пресс-службе ВТБ рассказали, что идет разработка сервиса подтверждения операций в цифровых каналах при помощи лицевой биометрии. Эта система, по мнению ВТБ, поможет защитить клиентов банка от мошенников. В госбанке пояснили, что ЕБС используется для идентификации, а собственная биометрическая система банка — для аутентификации клиентов. При этом биометрические эталоны будут храниться в ЕБС. В ВТБ готовы выполнить регуляторные требования в полном объеме, с учетом интересов клиентов.
При запуске ЕБС в ЦБ рассчитывали на улучшение конкурентной среды в финансовой сфере. Но не все прогнозы и ожидания от ЕБС могут сбыться в ближайшее время. «Организации, которые используют возможности собственных биометрических систем, получают уже сейчас социальный, бизнес- и PR-эффект от внедрения и лояльную клиентскую базу, — рассуждает Дмитрий Марков. — Несмотря на появление новых сервисов в ЕБС, функциональные возможности платформы по-прежнему остаются ограниченными и не закрывают многих сценариев, например мультикамерный трекинг (вычисление маршрута человека за счет данных с разных камер. — “Эксперт”) и видеоаналитику, распознавание атрибутов лиц и тел (пол, возраст, эмоции, очки, борода, медицинская маска и т. д. — такой функционал нужен для расширения спектра услуг сверх “простого” подтверждения личности. — “Эксперт”). Поэтому принятие решения по поводу собственной биометрической системы зависит не только от стоимости того и иного варианта и возникших законодательных разграничений, но и от задач организации, которая собирается внедрять биометрию в собственные процессы».
Правда, неясно, какие варианты еще могут быть: свои базы биометрических данных банки и компании должны до 30 сентября этого года переместить в ЕБС, а копии уничтожить.
