Все будет в ЕБС: какие перемены грядут на рынке биометрии
У российских предприятий, работающих с биометрическими данными, осталось 3 месяца, чтобы подготовиться к переходу на новые правила. Первый этап трансформации рынка стартовал 1 июня 2023 года — с этих пор собирать биометрию коммерческим предприятиям больше нельзя. До 30 сентября все ранее собранные данные должны быть переданы в подконтрольную государству Единую биометрическую систему. Доступ к ней получат только аккредитованные компании. Организации смогут создать и свои защищенные коммерческие биометрические системы. Те, у кого такой аккредитации и технологий не будет, с января 2024 года должны будут прекратить оказывать услуги с использованием биометрии. В противном случае им грозят серьезные штрафные санкции. Новые стандарты оказания услуг потребуют от бизнеса серьезных инвестиций. Что сейчас происходит на рынке биометрии — в обзоре аналитической службы «Реального времени».
Предыстория
В декабре 2022 года в России был принят ФЗ №572 «О единой биометрической системе» (ЕБС), который устанавливает правила обработки биометрической информации. Во-первых, он ограничил перечень такой информации — теперь это только лицо и голос гражданина. Во-вторых, закон предусматривает возможность упрощенного удаления данных из системы и контроль за их использованием через портал «Госуслуги». Запрещается также собирать биометрию детей без согласия их родителей. Причем использовать такие данные можно только в российских базах.
Биометрия сегодня широко применяется в различных сферах — это пропускные системы доступа для сотрудников и клиентов организаций, доступ по лицу в многоквартирных домах, а также проход в образовательные и учебные заведения. Технология активно используется в финтехе и в государственных информационных системах.
Сдав биометрию, россияне уже сегодня могут воспользоваться следующими услугами:
- защитой учетной записи на Госуслугах при помощи биометрии;
- дистанционным оформлением карты болельщика без посещения МФЦ;
- удаленным открытием счетов и вкладов в банках, а также оформлением кредитов;
- получением сертификата ключа проверки электронной подписи без похода в удостоверяющий центр;
- заключением договоров на услуги связи и оформлением eSIM;
- сдачей экзаменов и зачетов дистанционно;
- быстрым прохождением в офисы и на спортивные мероприятия при помощи системы распознавания лиц.
Основные положения нового закона вступили в силу с 1 июня 2023 года. Именно с этого момента все организации, которые на своем предприятии занимаются обработкой персональных данных с использованием биометрии, начали передавать их в единую систему ЕБС, созданную в рамках национальной программы «Цифровая экономика РФ». Оператором системы выступает Центр биометрических технологий.
Коммерческие организации больше не могут собирать биометрические данные клиентов и сотрудников, а уже собранные данные должны быть переданы в ЕБС в срок до 30 сентября 2023 года. При этом доступ к Единой биометрической системе получат только уполномоченные и аккредитованные коммерческие организации, соблюдающие все необходимые требования 572-ФЗ.
За нарушение работы с данными граждан вводят ответственность вплоть до уголовной. Поправки к КоАП устанавливают размер штрафа за нарушение порядка сбора, обработки или хранения биометрических данных от 100 тысяч до 300 тысяч рублей для должностных лиц и от 300 тысяч до 500 тысяч рублей для юридических.
Поправки к УК за умышленное внесение в ЕБС уполномоченными должностными лицами «заведомо недостоверных сведений» предполагают наложение штрафа до 300 тысяч рублей, лишение возможности занимать определенные должности, принудительные или обязательные работы или лишение свободы на срок до пяти лет, а при тяжких последствиях — до десяти лет.
Защиту данных берет на себя государство
«Реальное время» получило разъяснения по нововведениям и от Центра биометрических технологий. Как прокомментировали в пресс-службе ЦБТ, государство предъявляет жесткие требования, которым должны соответствовать все компании, желающие предоставлять услуги клиентам по биометрии.
Сложные механизмы защиты данных возьмет на себя государственная Единая биометрическая система. «Она соответствует максимальному уровню информационной безопасности. Собираться, храниться и обрабатываться биометрические данные в нашей стране будут только в ГИС ЕБС. Это упростит работу бизнеса, сохраняя доступность всех сервисов», — отметили в пресс-службе ЦБТ.
Компании, как пояснили в ЦБТ, теперь смогут работать с биометрическими сервисами двумя способами. Первый — векторная модель. Компании для оказания услуг будет передаваться не сама биометрия, а ее вектор. Вектор — это математически обработанные данные, из которых невозможно воссоздать фотографию лица или голос. Работа по векторной модели доступна только после получения аккредитации Минцифры. Это обеспечивает дополнительную безопасность персональных биометрических данных. Первые организации уже успешно прошли аккредитацию.
Также для оказания услуг по биометрии можно напрямую подключиться к ГИС ЕБС или воспользоваться услугами аккредитованной организации. В этом случае аккредитация организации не требуется. Организация получает не вектор, а результат сравнения данных, пояснили в Центре биометрических технологий.
Новые требования позволяют создать комфортные условия для развития деловой среды, снизить административную нагрузку на бизнес, сделать правила простыми и прозрачными. У бизнеса появится возможность перевести клиентов в дистанционный канал, что позволит расширить базу и сократить издержки.
В Центре биометрических технологий обращают внимание, что работать с данными организации могут только при наличии согласия гражданина. «Пользоваться биометрией или нет — каждый решает сам. Ущемлять человека в правах, если он не сдавал биометрию, запрещено законом», — подчеркнула пресс-служба оператора.
Паника в регионах
Нововведения уже посеяли панику среди рядовых граждан. В августе десятки тысяч россиян из разных регионов России побежали штурмовать многофункциональные центры по оказанию госуслуг для того, чтобы отказаться от предоставления своих биометрических данных государству. Всему виной стали распространяемые в мессенджерах сообщения о том, что отказ от сбора биометрии можно оформить только до 31 августа. После этого граждан якобы начнут принудительно фотографировать через камеры банкоматов и записывать голос по телефону.
В Минцифре РФ неоднократно подчеркивали, что сдача биометрических данных была и остается добровольной. В МФЦ также опровергли информацию о существующем дедлайне. Заявление на отказ от сбора и хранения биометрических данных можно подать в любом из офисов и после даты, указанной в сообщениях.
Интересно, что чаще всего «отказные» заявления пишут граждане, чьих биометрических данных нет в базах.
Переходный год
«Конечная цель изменений — сделать так, чтобы предприятие не хранило фотографии в виде фотографий, так как это может быть переиспользовано в негативных сценариях, — пояснил «Реальному времени» директор по региональному развитию VisionLabs Леонид Сыров. — Мы как раз уже давно занимаемся разработкой программных решений, которые позволяют трансформировать фотографии в так называемый дискриптор — математическую формулу, которую невозможно переложить обратно в исходное фото».
«Основная цель биометрических технологий — сверить личность, — говорит он. — Карточку на проходной мы всегда можем передать, соответственно, нужны решения двухфакторные. Например, объекты критической инфраструктуры должны быть защищены двухфакторно».
2023 год, по словам Сырова, переходный с точки зрения архитектуры решений. «Применять биометрию в бизнесе можно, но теперь на рынке появился регулятор в виде Центра биометрических технологий — совместного предприятия, созданного Минцифрой, Центральным банком и Ростелекомом, — рассказал Сыров. — Его основная задача — хранение всей биометрии нашего населения в одном месте в формате дискрипторов. Это помогает использовать лица в процессах, в которых мы уже привыкли. Но при этом позволяет государству быть уверенным, что они хранятся с достаточным уровнем безопасности».
Сам Центр биометрических технологий напрямую услуги бизнесу не предоставляет. «В законе есть возможность создания коммерческой биометрической системы (КБС). Компании, которые намерены продолжить работать с биометрией, должны либо сами стать КБС, либо подключиться к этой услуге, — разъясняет он. — Чуть-чуть усложняется сам путь. Если мы говорим о создании КБС, то компания VisionLabs, которая занимается именно созданием программной части и движка, на текущий момент уже имеет два КБС, зарегистрированных в системе, подтвержденных и аккредитованных — это КБС Альфа Банка и Россельхозбанка. Оба сделаны на базе нашего решения».
«Сегодня нужно готовое решение, которое должно давать большую точность. Кроме того, оно должно быть сертифицировано. Это работа не одного года. Это невозможно быстро сделать. А в банковских процессах использование биометрии критично. Это возможность совершать операции, например, без карты в банкомате. Если решение будет давать точность ниже 95%, пользователь не будет счастлив и не будет применять биометрию», — поясняет он.
По его прогнозам, рынок коммерческих биометрических систем России будет расти. «Биометрию мы все продолжим применять, потому что это удобно, — убежден Сыров. — Есть проекты оплаты по лицу в московском метрополитене с нашим движком, есть история с решениями в ретейле, когда мы можем оплачивать по лицу на кассах Х5 Group. И мы видим, что это хорошая история для всех — и для пользователей, и для рынка».
Рынок, по его оценкам, «плюс-минус очистится», потому что компании, которые делали движки на Open Source платформах, вынуждены будут уйти. «В промышленных объемах работать на таких решениях будет высоким риском для бизнеса», — поясняет Леонид Сыров.
За соблюдением законодательства будет следить Роскомнадзор. По факту они будут проверять то, как предприятия хранят биометрию и какие технологии они используют, — продолжает эксперт. — Как это будет в реальном времени работать, пока неизвестно. Регулятор, конечно, понимает, что есть сложности при переходе — с точки зрения инвестиций, это серьезная история. Поэтому, как это будет с 1 января 2024 года, пока сложно сказать».
Важно, что информационно поле за год получилось разогреть, все начали задумываться, а правильно ли мы применяем биометрию, можно ли это делать или нельзя и в каком виде это делать можно, считает он.
Леонид Сыров не исключает, что некоторые компании могут просто отключить эту технологию, а потом будут готовиться технически, чтобы вернуть ее. Финтех, который активно использует биотметрию, коммерческие биометрические системы однозначно сделает.
«В ближайшее время все крупные игроки перейдут на новые правила. Мы верим, что в банках почти везде будет переиспользован наш движок, — убежден Сыров. — Но однозначно эта история с законом заставит задуматься и тех, кто внутри эту технологию не разрабатывал, и заставит их инвестировать в нее время и деньги. И для рынка это хорошо, потому что это конкуренция».
Ряд компаний может отказаться от биометрии
В Татарстане услуги с использованием биометрии внедряет компания «Инфоматика».
«Мы как разработчик и поставщик систем контроля доступа уже давно используем биометрические решения для целей, когда нужен более авторизованный доступ, — рассказал «Реальному времени» Давид Тартаковский, гендиректор ООО «Инфоматика». — С 2015 года у нас было несколько проектов в спорте, несколько стадионов, где решалась задача биометрической идентификации для проверки, находится ли болельщик в черном списке и не запрещен ли ему проход на стадион».
Биометрия также активно развивалась в финтехе и, например, в фитнес индустрии, привел в пример. В фитнес центрах использовались простые решения, когда проверка помогала бизнесу снижать человеческий фактор и делать доступ в спортивный центр более понятным и удобным как для компании, так и для клиентов, — отмечает Тартаковский. — Однако в 2022 году произошли изменения в законодательстве, принят закон №572, который теперь регулирует обработку биометрических данных, том числе и для целей бизнеса».
Изменения в федеральном законодательстве определенно усложнят работу небольших компаний, которые собирали и хранили биометрические данные клиентов и сотрудников. Кроме того, сделают использование этой технологии более дорогой для бизнеса. Ряду компаний, например, фитнес-центрам, возможно, придется отказаться от подобных услуг.
Подписывайтесь на телеграм-канал, группу «ВКонтакте» и страницу в «Одноклассниках» «Реального времени». Ежедневные видео на Rutube, «Дзене» и Youtube.