Биометрические персональные данные

Для идентификации граждан могут использоваться различные методы и источники информации. Что такое биометрические персональные данные? Это набор информации о человеке, относящийся к его физиологическим и поведенческим отличиям, основанный на возможности подтверждения его личности, управления и контроля (например, безопасность, ограниченное пространство доступа). Полный список приведен в федеральном законе 152.

• Генетический код (ДНК),.
• Отпечатки рук и ног.
• Узоры сетчатки глаза
• овальные лица и структуры лица и т.д.

В отличие от распространенных представлений, видеоизображения и фотографии (в том числе содержащиеся в паспортах, рабочих сигналах сотрудников или работников и т.д.) не являются биометрическими персональными данными, поскольку они используются не для проверки личности, а только для идентификации конкретных субъектов. Личность уже установлена.

Что касается ультразвукового сканирования, компьютерной томографии, магнитно-резонансной томографии и рентгенограмм из медицинской карты субъекта, то они являются биометрическими только в том случае, если используются исследовательскими органами для идентификации преступников, свидетелей или жертв в гражданских или уголовных делах. Поэтому определение этих персональных данных является условным, а правила использования, хранения и другие функции напрямую зависят от целей оператора. Помимо идентификации, биометрия также выполняет функцию верификации.

Уникальность данных позволяет обследовать людей с максимально возможной точностью, если это те, за кого они себя выдают — даже однояйцевые близнецы имеют разные радужные оболочки глаз, а также данные отпечатков пальцев.

Что такое биометрические персональные данные в Интернете?

Поскольку по закону эти персональные данные не создаются отдельно, к ним применяются все требования по обработке и защите, предусмотренные Федеральным законом № 152. Субъекты данных имеют все права в случае обнаружения несанкционированного использования.

• Чтобы запросить удаление личных данных из сети, перейдите по адресу
• требовать удаления персональных данных — — добиваться пресечения и запрета дальнейшего использования персональных данных — — добиваться компенсации за моральный/материальный ущерб, нанесенный субъекту данных
• в суд для получения компенсации за неморальный ущерб / материальный ущерб; — в суд для получения компенсации за неморальный ущерб / материальный ущерб
• Обратиться в государственные органы для разъяснения условий дела и защиты права на изменение персональных данных, хранение, передачу третьим лицам, копирование, катастрофы.

Важные нюансы обработки биометрических персональных данных

Основополагающим условием для юридических действий, связанных с идентификацией персональных данных сотрудников, клиентов и деловых партнеров, является письменное разрешение владельца. Информация без него запрещена. Даже если

• судебный приказ может быть исполнен, например
• в рамках уголовного, административного или гражданского судопроизводства.
• Регистрация происходит в рамках обязательного государственного процесса (получение российского или заграничного паспорта).
• Существуют мероприятия, проводимые в контексте международных подготовительных соглашений.
• Это обязательства, связанные с обороной государства, предотвращением актов терроризма, поддержанием транспортных колонн и т.д.

Другими исключениями для обработки персональных данных, которые могут быть использованы в качестве биометрических данных, являются

• Использование графической информации на благо общества и государства, например, публикация фотографий сотрудников, в дополнение к отчетам об их деятельности
• Распространение и хранение видео и фотографий на коммерческой основе — при получении оплаты за публикацию в СМИ или в интернете, в соответствии с договором с заказчиком.
• Использование фотографий, сделанных в общественных местах, на концертах, спортивных мероприятиях, конкурсах красоты, показах мод и т.д. Однако есть одно условие. Изображения людей не должны использоваться в качестве основного объекта.

ФЗ-152 указывает на необходимость хранения и обработки персональных данных в объеме и в течение срока, необходимого для достижения поставленных целей. Особое внимание должно быть уделено организации процедур, связанных с обработкой биометрических данных сотрудников. Например, запрещено хранить в компании копию паспорта сотрудника, но фотография должна быть в личном деле, так как личность уже проверена и не предназначена для идентификации человека.

Какие российские и международные нормы защищают биометрические персональные данные?

Несмотря на активные усилия по обеспечению безопасности этой категории персональных данных, не все моменты были решены как на федеральном, так и на международном уровне. Основными нормативными документами являются следующие.

• Договор № 108, принятый Советом Европы и ратифицированный Российской Федерацией; и
• Конституция Российской Федерации (статья 23); и
• Уголовный кодекс Российской Федерации (статьи 272 и 137), Уголовный кодекс
• FZ-152,.
• Цао.
• Общее положение о защите данных (GDPR).

Правила защиты биометрических персональных данных также изложены в стандартах ISO 17799 и ISO 15489.

У наших консультантов вы можете получить подробную информацию о законодательстве в области биометрических персональных данных и рекомендации по разработке эффективной системы защиты в соответствии с требованиями, установленными в Российской Федерации. Эксперты помогут вам разобраться в юридических тонкостях, а также своевременно внести изменения в процесс обработки персональных данных.

Что такое биометрия?

Примером распространенных и хорошо известных биометрических данных является характерный рисунок радужной оболочки глаза или папиллярная линия на краю пальца. Однако стоит отметить, что биометрические факторы включают в себя не только физические, но и поведенческие показатели, такие как привычка ходить и печатать.

Однако, каким бы ни был тип, он является уникальным для данного человека и может гарантировать очень высокую степень идентификации, если только читатель не обманывается. В целом, биометрические материалы сейчас развиваются именно в этом направлении и становятся более устойчивыми к фотографиям лица и трехмерным пальцам.

Основные требования к биометрическим свойствам можно описать как «три W», то есть универсальность, уникальность и стабильность. Другими словами, для того, чтобы он стал критерием для распознавания личности, параметры должны быть у каждого человека, отличаться в каждом случае и оставаться относительно неизменными с течением времени. Существует также ряд сопутствующих требований.

Например, функции должны быть легко измеримы, включая общее принятие процесса.

ГОСТ может быть использован следующими способами

• Изображения отпечатков пальцев.
• Изображения лица,.
• изображения радужной оболочки глаза
• изображения сосудистого русла, в
• геометрия руки, рука
• Динамическая подпись.
• Данные ДНК.

Помимо этих методов, известно или обсуждается множество других методов, включая некоторые довольно экзотические.

• Слышал голоса.
• изображения сетчатки,.
• Тепловые карты лица,.
• индивидуальные модели набора текста на клавиатуре.

Какие существуют проблемы с биометрией?

В то же время у этого подхода есть свои недостатки. Например, теоретической проблемой, на которую стоит обратить внимание, является требование уникальности. По некоторым показателям это не может быть выполнено в полном объеме. Поэтому были введены два понятия: коэффициент принятия идентичности (FAR) и коэффициент отклонения идентичности (FRR).

Первый — это вероятность того, что пользователь A будет идентифицирован/аутентифицирован пользователем B, например, в результате совпадения маркера.

Второй, наоборот, — это возможность того, что система не узнает пользователя и воспринимает его как незнакомца. По некоторым данным, средний FAR для отпечатков пальцев составляет 0,01%, но для лица и голоса (те же параметры, которые используются отечественными банками) он может достигать от 1 до 2%. Именно поэтому биометрия не считается подходящей для крупномасштабного применения: если одна из каждых 100 попыток аутентификации приводит к несанкционированному доступу, это может привести к миллионам инцидентов в национальном масштабе.

Практика применения биометрии в России:

Исторически первые формы биометрии можно смело назвать сбором информации о преступниках в рамках работы правоохранительных органов. Например, отпечатки пальцев являются типичным доказательством в уголовных расследованиях. При работе с подозреваемым или осужденным правоохранительные органы фиксируют рост и физические характеристики человека.

Традиционные биометрические системы не обезличивают данные, а создают точную связь между измеряемыми параметрами и конкретным человеком. В предыдущем разделе мы рассмотрели закон о персональных данных и отметили, что согласие субъекта не требуется для сбора биометрических персональных данных в связи с судебным управлением или уголовным расследованием. Эти положения подчеркивают особый характер этих данных.

Упоминание биометрии в нашем законодательном обзоре началось с загранпаспортов. Фактически, основной документ российских граждан за рубежом и по сей день остается одним из главных применений биометрической технологии. Микрочипы в таких изделиях могут хранить не только общую информацию о владельце (имя, фото и т.д.), но и рисунок радужной оболочки глаза и отпечатки пальцев.

Строго говоря, биометрические паспорта не являются обязательными, но гражданам рекомендуется их получать, тем более что они имеют вдвое больший срок действия. Иногда высказываются опасения по поводу надежности и устойчивости к подделке биометрических паспортов и их способности считывать данные дистанционно, однако биометрические удостоверения личности в целом более надежны. Въезд в страну разрешен только по этому виду документа.

Что я могу сделать в России с помощью биометрии?

• Удаленное зачисление в банках.
• Открыть счет, сделать депозит или взять кредит
• Оплачивать покупки в некоторых магазинах, кафе и на автозаправочных станциях.
• Снимайте деньги в банкоматах.

Для чего российские банки собирают биометрию?

Строительство системы хранения и использования данных началось в 2017 году, а Единая биометрическая система — база данных для хранения биометрических данных граждан — начала функционировать 1 июля 2018 года. В то же время ряд крупных банков, включая Сбербанк, Альфа-банк, ВТБ, Почта Банк и Райффайзен, начали принимать биометрическую идентификацию.

Разработчиком и оператором системы является компания «Ростелеком». Он обрабатывает данные и обеспечивает их безопасное хранение. Записи голоса и изображения лица теперь могут быть отправлены в биометрическую систему.

Эти данные могут быть использованы для идентификации лиц в филиале или удаленно, например, по телефону или через мобильные приложения. В будущем система может хранить и другие параметры, например, отпечатки пальцев или сканирование радужной оболочки глаза.

Биометрические системы облегчают банкам и их клиентам подачу заявок на финансовые продукты. Для распознавания личности клиента больше не нужно будет запрашивать его паспорт, а достаточно будет сопоставить его голос и лицо с записями в базе данных. Клиенты банка могут подавать заявки на вклады, кредиты и другие продукты в любое время и в любом месте, через телефон или интернет-банкинг.

Банковские услуги станут более доступными для жителей отдаленных районов, где возможности банковского обслуживания ограничены или отсутствуют.

Как сдать биометрию?

Используя карту на сайте центрального банка, вы можете узнать, где в вашем городе вы можете подать свой голос и лицо. Здесь вы найдете список отделений банка с адресами и часами работы. Список постоянно расширяется и включает новые филиалы и банки.

Для подачи данных необходимы только паспорта, СНИЛС и счета «Госуслуг». После подписания согласия на обработку данных банкир начинает сбор биометрических данных. Процесс состоит из записи голоса и изображения лица.

На первом этапе цифры должны быть прочитаны три раза. Например, от 0 до 9, затем от 9 до 0, в случайном порядке. На втором этапе сотрудники делают фотографию человека, как на паспорт.

Обратите внимание, что сбор биометрических данных может отличаться в зависимости от места.

Безопасно ли сдавать биометрию?

Вскоре после первых новостей о том, что банки начали собирать биометрические данные, люди начали сомневаться в надежности хранения данных. С одной стороны, они опасались, что мошенники, в том числе в банковских кассах, будут использовать лазейки в системе для выдачи кредитов иностранцам. Другие опасались, что изменения в голосе (например, простуда) или внешности (например, пластическая операция или травма) могут помешать системе правильно идентифицировать человека.

Разработчики EBS учитывают эти проблемы и стараются свести их к минимуму. Биометрические данные записываются в UBS без привязки к персональным данным, таким как имя, возраст, номер и серия паспорта, номер СНИЛС и т.д. Для обеспечения их безопасности используются самые современные средства шифрования, сертифицированные Федеральной службой безопасности и Федеральным ведомством по технологиям и экспортному контролю.

Информация передается по защищенным каналам связи. Одновременная проверка голоса и изображения лица с различными параметрами; по мнению экспертов «Ростелекома», вероятность ошибки составляет 1 к 10 000 000.

Конечно, уже сейчас можно очень точно имитировать внешность и даже голос человека. Для выявления и отбраковки подделок компания EBS ввела дополнительные методы аутентификации. Тщательное внимание уделяется мимике, расположению камеры, интонации и другим параметрам, чтобы показать, что клиент сам говорит в систему, а не имитирует ее.

В некоторых случаях может потребоваться ответить на скрининговые вопросы или выполнить дополнительные действия, например, прикоснуться к мочке уха. Таким образом, дополнительно проверяется, что с системой взаимодействует реальный человек.

Как осуществляется обработка

Согласно ФЗ-152, обработка персональных данных с целью идентификации личности может осуществляться только с письменного согласия идентифицируемого лица.

Исключением из этого правила является сбор информации для судебного разбирательства и поддержания безопасности граждан (борьба с терроризмом, поддержка расследований).

Кроме того, обработке персональных биометрических данных без предварительного согласия подлежат фото- и видеоизображения, сделанные при следующих условиях

1. снятые на публичных мероприятиях (концертах, пресс-конференциях); и
2. Они используются в общественных целях; и
3. Изображения, за которые лицо получило вознаграждение (т.е. выступило в качестве модели).

Примечание: Собранная информация может храниться до 50 лет, но должна обновляться каждые три года.

Что такое дактилоскопическая информация

Отпечатки пальцев — это уникальные банкноты, состоящие из узоров кожи. Отпечатки пальцев широко используются банками и государственными учреждениями.

Отпечатки пальцев часто используются для защиты доступа вместо обычных паролей. Биометрические персональные данные собираются и хранятся путем оцифровки собранных отпечатков пальцев и помещения их в базу данных организации.

Законодательные изменения об обработке биометрических ПД в 2022 году

1 сентября 2022 года вступят в силу поправки к закону об обработке персональных данных. Это изменение также затронуло биометрические данные. Узнайте, что именно может повлиять на владельцев бизнеса.

Биометрия у подростков

В настоящее время запрещено получать и обрабатывать персональные биометрические данные несовершеннолетних. Запрещены любые средства идентификации несовершеннолетних, такие как фотографии или видео. Другими словами, если ваша компания заключила контракт на обучение с несовершеннолетним, простое размещение его фотографии на именной карточке является нарушением закона.

Наличие обязательного согласия

Ранее компании могли свободно использовать фотографии своих сотрудников при заполнении визитных карточек, но в 2022 году даже это простое действие потребует согласия на обработку персональных данных с помощью биометрии.

Закон содержит новые критерии, которым должно соответствовать письменное согласие

• Ясность — в документе должно быть четко указано согласие субъекта.
• Субъективность — Конечная цель сбора персональных данных должна быть ясна.

Что такое Единая биометрическая система

Проект EBS, запущенный «Ростелекомом» и Центральным банком, позволяет гражданам предоставить свои данные и получить кредит без необходимости открывать счет, подписывать документы или предъявлять паспорт.

В качестве материала используются записи голоса и модели лица. Интересно, что обе биометрии используются вместе. Это предотвращает кражу и подделку файлов.

Как происходит сбор ПД

Требования к сбору персональных биометрических данных следующие

1. Клиент приходит в отделение банка или другой организации с паспортом и СНИЛС. Этот процесс также требует наличия активной учетной записи на сайте «Gosuslugi». Через эту учетную запись отправляется заявка.
2. Клиент подписывает письменное согласие на сбор персональных данных.
3. Организация собирает информацию. Делается фотография клиента и записывается его голос.
4. Собранные данные вводятся в Единую биометрическую систему.

Важно: Сбор биометрических данных необязателен. Если клиент отказывается предоставить информацию, она не может быть запрошена или собрана без его согласия.

Биометрия — это особый способ идентификации личности, который является новой разработкой для финансовых учреждений. Применение биометрии в повседневной жизни позволяет гражданам подписывать контракты на расстоянии без необходимости оформления дополнительных документов.

Федеральные законы

• Федеральный закон «О внесении изменений в статью 15.3 Федерального закона «Об информации, информационных технологиях и о защите информации» и статьи 3 и 5 Федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации».

Постановления Правительства и их проекты

• Постановление Правительства Российской Федерации от 30. 09. 2021 № 1657 «Об утверждении правил применения уполномоченными федеральными органами исполнительной власти в области безопасности и технической разведки и технологий, указанных в статье 14. 1 Федерального закона «Об информации, информационных технологиях и о безопасности» статьи 14. 1. Информация о безопасности, управление и надзор за соблюдением требований учреждениями, организациями, индивидуальными предпринимателями и нотариусами.
• Постановление Правительства Российской Федерации от 11. 10. 2021 № 1729 «Об утверждении положений о федеральном государственном контроле (надзоре) в сфере идентификации и (или) аутентификации».
• Постановление Правительства Российской Федерации от 20. 10. 2021 № 1799 «Об аккредитации организаций, имеющих информационные системы, обеспечивающие идентификацию и (или) аутентификацию с использованием биометрических персональных данных, и (или) оказание услуг по идентификации и (или) аутентификации с использованием биометрических персональных данных».
• Постановление Правительства Российской Федерации от 23. 10. 2021 № 1815 «Об утверждении перечня случаев, сбора биометрических персональных данных физических лиц и биометрических данных, используемых для идентификации или установления личности при использовании кредитными организациями, некредитными финансовыми организациями при использовании организациями и обработки биометрических персональных данных для проведения идентификации и (или) аккредитации личности».
• План постановления Правительства «О приближении процесса обработки физическими лицами биометрических персональных данных в единой информационной системе по связи с биометрическими персональными данными физических лиц, а также указанные случаи и сроки биометрических персональных данных
• ‘Проект постановления Правительства о решении об утверждении Положения о единой системе обработки персональных данных, в том числе о сборе и хранении биометрических персональных данных, их проверке и передаче информации о связи с предоставленными биометрическими персональными данными физических лиц’.
• План постановления Правительства «Некредитные финансовые организации, на которые распространяется действие части первой статьи 76.1 Федерального закона «О Центральном банке Российской Федерации (Банке России)», на основании согласования с кредитными организациями», «государственные платежные системы, иные организации, имеющие информационные системы, гарантирующие идентификацию и (или) аутентификацию с использованием биометрических персональных данных и (или) услуги идеализации.

Приказы Минцифры и их проекты

• Приказ Министерства связи и массовых коммуникаций № 321 от 25. 06. 2018 г. (истекает 01. 03. 2022 г.) о сборе и хранении, параметрах биометрических персональных данных в целях идентификации, процессе размещения биометрических данных в единой системе биометрической идентификации и информации технологии и технические средства, направленные на обработку биометрических персональных данных в целях идентификации, об утверждении процесса обработки, включая требования».
• Приказ № 930 Министерства цифровых технологий РФ (взамен Приказа № 321) «Об утверждении процессов сбора и хранения, параметров персональных данных физических лиц, процесса установки единой биометрической системы, информационных биометрических данных, а также идентификации и обработки (например, идентификационных и иных информационных систем касающихся» или) аутентификации с использованием биометрических персональных данных, а также требований информационных технологий и технических средств, направленных на обработку биометрических персональных данных».
• 07. 07. 2021 № 685 «Об определении формы подтверждения соответствия информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных, требованиям, установленным в соответствии с § 13 статьи 13 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и О защите информации».
• Приказ № 494 Министерства юстиции Российской Федерации от 25. 05. 2021 «Об утверждении перечня угроз безопасности при обработке биометрических персональных данных, проверке и передаче информации о степени соответствия биометрическим данным физического лица» Текст. Интегрированная информационная система персональных данных, гарантирующая обработку, включая сбор и хранение биометрических персональных данных, проверку и передачу информации о степени соответствия биометрическим данным физических лиц, и право.
• Приказ Министерства юстиции Российской Федерации от 1 сентября 2021 года № 902 «Об утверждении перечня угроз безопасности при обработке биометрических персональных данных, их верификации и передаче информации о степени соответствия биометрическим персональным данным физических лиц в информационных системах организаций, осуществляющих идентификацию или/и физических лиц аутентификация с использованием биометрических персональных данных, в дополнение к единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных.
• Проект постановления «Об утверждении перечня показателей риска нарушения обязательных требований федерального государственного контроля (надзора) в области идентификации и (или) аутентификации».
• Проект Указа «Об утверждении стандартизированных процедур действий уполномоченных сотрудников многофункциональных центров предоставления государственных и муниципальных услуг при размещении или обновлении сведений, необходимых для зачисления физических лиц в единую систему идентификации и аутентификации, биометрии в интегрированную информационную систему персональных данных». Размещение персональных данных. Это обеспечивает сбор и хранение биометрических персональных данных, их управление и обработку, включая передачу информации о состоянии таких данных.
• Проект приказа «Об утверждении формы проверочного листа (перечня проверочных листов), используемого Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации при осуществлении федерального государственного контроля (надзора) в области идентификации и (или) сертификации».

Указания и Положения Банка России

• Указание Банка России от 16. 12. 2021 № 6018-у «О перечне угроз безопасности при обработке биометрических персональных данных, их проверке и проверке информации об уровне соответствия биометрических данных физических лиц, предоставляемых в информационные системы идентификации финансового рынка, персональным данным». (или) аккредитация личности с использованием биометрических персональных данных физических лиц в отношении взаимодействия организаций финансового рынка, за исключением единых биометрических систем».
• Указание Банка России от 17 октября 2018 года № 493 3-У «О надзорном процессе Банка России, о банковском процессе, адаптированном для банков и единой системе идентификации и аутентификации информации, необходимой для зачисления клиентов — физических лиц, и в единую систему идентификации и аутентификации информации, Федеральный закон №. 115-ФЗ, статья 7(1), второй подпункт, предусматривает не только «борьбу с отмыванием денег и финансированием терроризма», но и единую информационную систему per
• Указание Банка России и ПАО «Ростелком» от 9 июля 2018 года № 4859-У/01/01/782-18 «Перечень угроз безопасности, связанных с обработкой, включает сбор и хранение, биометрических данных, верификацию и передачу информации государственным органам, как определено подпунктом 1 статьи 14 Российская Федерация банкам и другим организациям.1 Защита информации и разведданных в единой биометрической системе».
• Информационное письмо Банка России от 28 июня 2018 года № 03-13/40 ИН-03-13/40 «О деталях реализации мер Банка при принятии Банком мер, предусмотренных пунктом 7 статьи 7) отмывания денег и финансирования терроризма».
• Методическая рекомендация Банка России от 14 февраля 2019 года «4-МР по нейтрализации угроз безопасности, включая сбор и хранение информации о биометрических персональных данных граждан Российской Федерации, предоставляемых и степени соответствия, биометрических данных, верификации и передачи».

Роскомнадзор

• РКН в своем письме от 19. 11. 2021, 09-78548 «о неактуальности разъяснения Роскомнадзора». Биометрические данные и особенности их обработки.

Надеемся, что мы собрали все (или почти все) биометрические персональные данные, которые были обнародованы. Если что-то было упущено или, наоборот, неправильно включено, мы будем рады прокомментировать замечания.

Мир сходит с ума, но никогда не поздно сделать все правильно, подпишитесь на канал Seclabnews и помогите предотвратить киберразоблачения!