Кто может расплатиться вашим лицом?
Распоряжаться своими персональными биометрическими данными должен только сам человек, а за их подделку предложили жестоко наказывать
Собирать изображения лиц и голоса россиян, помимо государственных, смогут и частные организации. Приказ Минцифры об этом должен вступить в силу в марте 2022 года. Между тем биометрические данные уже работают — лицом можно расплатиться в магазине, войти по нему в метро и даже взять кредит. «РФ сегодня» разбирался, как изменится жизнь людей с введением тотальной биометрии, насколько удобно, а главное — безопасно использовать этот вид персональных данных.
Глаза, голос, пальцы
Биометрические персональные данные — физиологические и биологические особенности человека, по которым можно установить его личность. Такое определение дает Федеральный закон «О персональных данных». Хотя существует множество биометрических показателей, широкое распространение получили пять из них: отпечатки пальцев, изображение лица, голос, радужная оболочка глаза и рисунок вен ладони и пальца.
Для получения услуг необходима регистрация в Единой биометрической системе (ЕБС), которую совместно ведут Банк России и Ростелеком. Создать ЕБС предписывает национальная программа «Цифровая экономика», заявленная цель которой — повысить доступность цифровых сервисов для россиян в отдаленных регионах и маломобильного населения, обеспечив при этом высокий уровень защиты информации. Вместе с логином и паролем от портала госуслуг биометрия позволяет банкам без личного присутствия клиента открыть ему счет, вклад или предоставить кредит. Биометрию используют и в других сферах.
ЕБС пока обрабатывает только данные голоса и изображения лица, записать в нее другие биометрические параметры нельзя. Чтобы попасть в базу, нужно обратиться в один из банков, подключенных к системе, или сдать биометрию в МФЦ. Также в ЕБС содержатся идентификаторы организации, которая внесла данные, и человека, чья биометрия внесена, включая контакты — номер телефона и адрес электронной почты.
Закон об удаленной биометрической идентификации граждан приняли в 2017 году. Он содержит алгоритм сбора биометрии и ее дальнейшего применения для установления личности клиентов. Требования к сбору, хранению и обработке информации в ЕБС закреплены в Законе «Об информации, информационных технологиях и о защите информации». Там же предписано, что при удаленной идентификации банк или другая организация должны применять шифровальные средства.
Минцифры планирует перевести ЕБС в статус государственной информационной системы с 30 декабря 2021 года. Соответствующий проект постановления Правительства опубликовали на портале проектов нормативных правовых актов 2 ноября. Таким образом, Единая биометрическая система войдет в состав инфраструктуры, обеспечивающей взаимодействие информсистем, которые используют для предоставления государственных и муниципальных услуг в электронной форме.
По данным ЦБ на начало 2021 года, в ЕБС было зарегистрировано около 164 тысяч россиян. Расширение сфер использования биометрии позволяет Минцифры строить грандиозные планы: за несколько лет количество профилей планируют увеличить в 400 раз — до 70 миллионов.
Жизнь без кошелька в кармане
Проход на стадионы и в транспорт, оплата покупок в вендинговых автоматах, дистанционная сдача экзаменов в вузах, подписание договоров с мобильными операторами и другие сервисы — вот что сулит биометрия в будущем, а частично и в настоящем. Сроки внедрения технологии в разных отраслях различаются. Так, уже с 1 июня возможна удаленная идентификация с помощью ЕБС для дистанционного заключения договоров об оказании услуг связи. А с 15 октября систему Face Pay запустили в Московском метро.
Чтобы ею воспользоваться, нужно привязать свою фотографию, банковскую карту и карту «Тройка» к сервису через приложение «Метро Москвы». В столичном департаменте транспорта рассказали, что вся информация надёжно зашифрована — камера на турникете считывает биометрический ключ, а не изображение лица или другие персональные данные. То есть на серверах Мосметро хранится набор зашифрованных символов. По данным карты и телефону идентифицировать человека можно, но это могут сделать только банки и мобильные операторы.
«По нашим прогнозам, в ближайшие два-три года 10-15 процентов пассажиров будут регулярно пользоваться Face Pay», — сказал заммэра Москвы по вопросам транспорта Максим Ликсутов, его слова привел mos.ru.
Банки могут дистанционно открывать счета, предоставлять кредиты и осуществлять переводы без личного присутствия клиента с использованием его биометрических данных и Единой системы идентификации и аутентификации. Для этого выбраны наиболее удобные для дистанционного сбора и обработки биометрические технологии — изображение лица и голос, а также пароль от сайта госуслуг.
Читайте также:
• Минцифры разработало поправки, которые позволят сдавать биометрию через приложение • Что угрожает биометрическим данным граждан
Большинству россиян уже приходилось сталкиваться с биометрическими методами идентификации личности — это разблокировка гаджетов, открытие приложений или бесконтактная оплата (84 процента), доступ в помещения (69 процентов) и получение банковских услуг в отделении либо через банкомат (65 процентов). Об этом говорится в опросе Национального агентства финансовых исследований. Распознаванием по отпечатку пальца пользовалось больше половины респондентов, по лицу — 36 процентов, по голосу — 28 процентов. Реже люди сталкивались с идентификацией по сетчатке или радужке глаза и по рисунку вен.
«Большинство россиян много раз в день использует биометрию — для разблокировки телефона «по лицу» или отпечатку пальца. На многих смартфонах этой функцией подтверждают оплату или другие значимые действия», — рассказал «РФ сегодня» ведущий аналитик Mobile Research Group Эльдар Муртазин.
Он объяснил, что, взаимодействуя таким образом с телефоном, человек одновременно может передавать свой отпечаток или слепок лица компании — производителю мобильного устройства. А значит, IT-гиганты собирают огромное количество персональных данных о пользователях со всего мира. Как они их используют, неизвестно.
Чужой портрет — сложно, но можно
Согласно исследованию Высшей школы экономики, большинство пользователей (84 процента) чувствуют бессилие перед возрастающими рисками утраты контроля над их данными в Сети. Более половины считают, что не могут самостоятельно защититься от кражи персональной информации. А 55 процентов участников исследования обеспокоены, что их действия могут быть записаны и проанализированы.
Эксперты объясняют, что при использовании биометрии оператор данных хранит не лицо человека, а некий цифровой ключ, в который превращается изображение. Преобразовать такой «портрет» обратно в фотографию невозможно.
«Угнать» биометрические данные нельзя, подделать — сложно, но можно, прокомментировал Эльдар Муртазин. Эксперт посоветовал не полагаться на биометрию как единственный способ подтвердить свою личность. Одновременно с распознаванием по лицу, когда это особенно важно, например при получении финансовых услуг, нужно использовать еще и пароль. Или сочетать несколько способов биометрической аутентификации, например одновременно по голосу и лицу.
В мире хорошо известна технология deep fake, то есть создание видео с наложением лиц и голосов других людей на видео различного содержания. Это один из примеров, когда биометрические данные используют без ведома их владельца. Выступая на XVIII Международном банковском форуме «Банки России — XXI век», глава InfoWatch Наталья Касперская сказала, что найти лицо в Интернете и с его помощью удаленно заплатить теоретически несложно. «И это, конечно, будет сделано», — привёл слова эксперта ТАСС. В Китае подобные случаи уже известны: там в начале года взяли двух злоумышленников, которые с помощью дипфейков обманывали налоговую службу.
Биометрия в ближайшие годы плотно войдет в жизнь россиян, а значит, надо встретить ее во всеоружии, уверен председатель Комитета Госдумы по информационной политике, информтехнологиям и связи Александр Хинштейн. По его словам, установление ответственности за подделку биометрических данных — одно из направлений развития законодательства.
Председатель IT-комитета предупредил о появлении подделок биометрических данных. «Если кто-то сумел сделать замок, значит, кто-то сможет подобрать к нему ключ — так работает человеческая мысль», — отметил Хинштейн. По его мнению, персональные данные человека, в том числе биометрия, не должны быть предметом коммерческой деятельности — распоряжаться ими имеет право лишь сам обладатель.
Его коллега по комитету Антон Горелкин считает обеспечение безопасности хранения и обработки персональных данных важной государственной задачей. «Персональных данных граждан в государственных базах становится всё больше, сбор биометрии будет только расти, — сказал «РФ сегодня» депутат. — Одна серьезная утечка или потеря данных может подорвать доверие людей».
Горелкин также напомнил, что на биометрию распространяются нормы закона о защите персональных данных. Их обработка возможна только с согласия человека и должна быть прекращена в случае отзыва им такого согласия.
По мнению экспертов, пока вряд ли стоит ждать массовых случаев мошенничества с чужим лицом — ради стоимости проезда в метро или даже тележки с продуктами в магазине никто не будет заниматься сложными ухищрениями. Но когда «лицевую оплату» внедрят везде, где только можно, то такими системами заинтересуются и желающие поживиться за чужой счет.
Тем временем Минцифры уже разработало новый порядок обработки биометрии, который вступит в силу в марте 2022 года. По нему, собирать и хранить лица и голоса россиян сможет не только ЕБС, но и аналогичные коммерческие системы. «Приказ обеспечивает равные требования к государственным и к частным системам, устанавливает для всех одинаковые лимиты на погрешность, обязывает отчитываться об инцидентах», — отметил в комментарии «РФ сегодня» преподаватель Moscow Digital School Олег Блинов.
Коммерческая биометрия еще больше расширит возможности использования таких данных, считает эксперт. И если люди поверят в безопасность и ощутят удобство от таких технологий, то уже через несколько лет проход «по лицу» превратится в обыденную ситуацию.
Мировой рынок
Объем мирового рынка биометрических систем на конец 2016 года, по данным международной консалтинговой компании J’son&Partners, оценивали на уровне 14,5 миллиарда долларов. В 2020-м он удвоился и, по прогнозу, к следующем году вырастет до 40 миллиардов долларов.
Самая распространенная в мире технология идентификации — по отпечаткам пальцев, она составляет более половины всего объема рынка, отмечено в обзоре международного рынка биометрических технологий Центробанка. На изображение лица приходится 21,6 процента рынка, радужной оболочки глаза — 10,2 процента, голоса — четыре процента, рисунка вен — три процента, геометрии ладони, ДНК и иного — около семи процентов.
Крупнейшей в мире системой биометрической идентификации считают Aadhaar в Индии — в ней зарегистрировано более 1,2 миллиарда человек, то есть почти все население страны старше 18 лет. Людям присваивают 12-значный идентификационный номер, сформированный на основе биометрических данных — фотографии, шаблонов папиллярных узоров и радужной оболочки глаза.
Одну из крупнейших национальных биометрических баз в мире имеет Китай. Система массового наблюдения Skynet включает более двухсот миллионов камер, которые могут наблюдать за людьми и транспортными средствами, используя распознавание лиц, физические характеристики и анализ походки для отслеживания и идентификации человека в любом месте и в любое время.
США активно используют биометрию в системах безопасности. Базы правоохранительных органов страны содержат информацию о 117 миллионах американских граждан. С 2004 года в США ввели обязательное снятие отпечатков пальцев и фотографирование всех прибывающих в Америку иностранцев.
Германия стала первой страной Евросоюза, которая ввела выездной паспорт с полными биометрическими данными своих граждан. Помимо него, в 2010 году в Германии появилось новое электронное удостоверение личности.
В ЦБ сообщили, что более 80 стран мира, включая Бахрейн, Кувейт, Оман, Катар, Саудовскую Аравию и ОАЭ, используют программы электронных паспортов, в которых содержатся биометрические данные. Многие страны в обязательном порядке заносят такие данные иммигрантов при въезде в страну. В некоторых государствах для участия в выборах требуется сдать биометрические данные. Например, в Бразилии использовали отпечатки пальцев для проведения выборов в 2018 году.
После катастрофы российского пассажирского самолета на Синае в 2015 году наша страна заявила, что полеты будут происходить только в случае полного обеспечения безопасности в аэропортах Египта. Биометрические сканеры уже установлены в крупнейших аэропортах этой страны, говорится в обзоре ЦБ.
Все граждане России имеют право пройти добровольную государственную дактилоскопическую регистрацию. С 2015 года выдается загранпаспорт с биометрическими данными, содержащими 3D-фотографию и отпечатки двух пальцев рук. С конца 2017 года появились водительские удостоверения нового образца, которые также содержат сведения о биометрии — отпечатках пальцев и изображение лица.