Главная » Разное

Какие используют способы идентификации личности при предоставлении

Биометрические персональные данные и технологии идентификации: какие правовые проблемы могут возникнуть?

pegasustudio / Depositphotos.com

Автоматизация занимает отдельное место в сфере идентификации и аутентификации пользователей – использование функции распознавания человека применяется как организациями, так и государственными органами. К первому случаю можно отнести оказание финансовых услуг банковскими организациями: так, некоторые банки используют системы идентификации с помощью биометрии, например, с помощью голоса можно подтверждать совершение операций. Примером второго выступает использование камер видеонаблюдения, установленных на улице и в общественном транспорте.

Государство амбициозно внедряет новые автоматизированные решения: к данному процессу подключаются различные предприятия. На тематическом мероприятии директор по информационным технологиям АО «Гознак» Олег Барсуков сообщил о том, что компания занимается разработкой и автоматизации прохода пассажиров на транспорт на основе биометрической идентификации и электронного документа. Он пообещал представить на обозрение в ближайшее время технологию верификации по радужной оболочке глаза. Эксперт также отметил, что предприятие развивает технологии, использующие в основе биометрию: помимо радужной оболочки глаза также планируют сканировать вены ладоней.

При правовой оценке планируемых нововведений возникает вопрос о том, каким образом они будут соотноситься с законодательством, а именно каким образом будет соблюдаться Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).

В первую очередь следует определить, относятся ли данные, получаемые при идентификации с помощью радужной оболочки глаза или вен ладоней, к биометрическим персональным данным. Текущее законодательство, разъяснения государственных органов и судебная практика в значительной степени разнятся.

К биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека (п. 1 ст. 11 Закона № 152-ФЗ). Важно отметить, что на основании таких сведений можно установить личность субъекта персональных данных: для этой цели они обрабатываются оператором.

Постановление Правительства РФ от 30 июня 2018 г. № 772 к биометрическим персональным данным относит изображение лица человека, полученные с помощью фото-, видеоустройств и данные голоса человека, полученные с помощью звукозаписывающих устройств (подп. а) Постановления).

Роскомнадзор также выражал свою позицию по вопросу того, какие персональные данные относятся к биометрическим. Так, по мнению ведомства, к биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта (Разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30 августа 2013 г. «Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки»). К ним же относятся фото и иные сведения, используемые для обеспечения прохода на охраняемую территорию и установления личности гражданина.

При этом судебная практика демонстрирует противоположные подходы относительно того, какие сведения относятся к биометрическим персональным данным, а какие нет.

Фотографии на пропуске суды расценивают как биометрические персональные данные. Так, в одном деле Арбитражного суда Северо-Западного округа прямо указал, что такие фотографии характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность путем сравнения фото и содержащихся на документе (пропуске) фамилии, имени и отчества с лицом предъявителя пропуска (Постановление Арбитражного суда Северо-Западного округа от 21 ноября 2017 г. N Ф07-11732/17 по делу № А42-342/2017). Верховный Суд Российской Федерации впоследствии подтвердил позицию суда нижестоящей инстанции, отметив, что предприятие не получило согласие субъектов на обработку биометрических персональных данных (Определение Верховного Суда РФ от 5 марта 2018 г. № 307-КГ18-101 по делу № А42-342/2017). К аналогичным доводам приходят и другие суды – лица, предоставляющие фотографию на пропуск с целью использования предприятием для установления личности субъекта, должны давать письменное согласие на обработку биометрических персональных данных (Постановление Тринадцатого арбитражного апелляционного суда от 16 августа 2018 г. № 13АП-15087/18).

В одном деле гражданка П. обратилась в ГУ МВД России с административным иском на Департамент информационных технологий (ДИТ) г. Москвы. По мнению истца, ДИТ с помощью камер видеонаблюдения обрабатывает ее биометрические персональные данные. Судебная коллегия не усмотрела факта идентификации, в связи с чем решила, что само по себе получение изображения истца в период ее нахождения на территории, попадающей под сектор наблюдения конкретной камеры, установленной в целях контроля за окружающей обстановкой, не является способом сбора биометрических персональных данных, поскольку не использовалось непосредственно для определения личности, а при отсутствии процедуры идентификации личности, видеоизображения граждан не могут считаться биометрическими персональными данными. Суд посчитал, что в рассматриваемом случае отсутствует необходимость получать письменное согласие гражданина на обработку биометрических персональных данных. Подробнее об этом деле, а также об утечках при использовании систем распознавания лиц читайте в нашем материале: Использование системы видеонаблюдения – нарушение законодательства о персональных данных?

Читайте также:  Брага состав способ приготовления

В другом деле гражданка С. пожаловалась на гражданку М., которая без согласия осуществляла видеосъемку на камеру мобильного телефона с участием первой. Территориальное управление Роскомнадзора отказало в возбуждении дела, установив, что видеозапись не содержит сведений, позволяющих идентифицировать гражданку С. как конкретного субъекта персональных данных, что свидетельствует об отсутствии нарушений положений закона о персональных данных, в связи с чем доводы жалобы были опровергнуты районным и областным судом (Постановление Четвертого кассационного суда общей юрисдикции от 16 октября 2020 г. по делу № 16-894/2020).

Основную сложность использование обработки биометрических персональных данных обязательное наличие согласия в письменной форме (ч. 1 ст. 11 Закона № 152-ФЗ). Более того, при применении информационных технологий в целях идентификации применяется форма, утвержденная Правительством РФ (в соответствии с ч. 5 ст. 14.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»). Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено законом (п. 1 ст. 9 Закона № 152-ФЗ).

Обработка биометрических персональных данных возможна без согласия субъекта в некоторых случаях, определенных законом. Представляется, что для целей обработки персональных данных при идентификации может быть справедливо следующие случаи (ч. 2 ст. 11 Закона № 152-ФЗ):

  • в связи с осуществлением правосудия и исполнением судебных актов;
  • в связи с проведением обязательной государственной дактилоскопической регистрации;
  • в случаях, предусмотренных законодательством об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности.

Помимо требования об обязательном письменном согласии на обработку персональных данных оператору требуется соблюдать положение о неразглашении персональных данных без согласия субъекта. В одном деле апелляционный суд согласился с доводами суда первой инстанции, отметив, что у потребителя не было возможности отказаться от передачи его персональных данных третьим лицам, и, следовательно, потребитель, являющийся стороной договора, был лишен возможности влиять на его содержание (Постановление Одиннадцатого арбитражного апелляционного суда от 28 октября 2020 г. № 11АП-13301/20 по делу N А55-14835/2020). Такую деятельность суд трактовал как нарушение законодательства, в части персональных данных деятельность ответчика противоречит ст. 7 Закона № 152-ФЗ – операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных.

В условиях цифровизации основная опасность – кража идентификации, уверен заместитель Министра финансов Российской Федерации, председатель совета директоров АО «Гознак» Алексей Моисеев. В случае скомпроментирования пароля банк сразу заметит, оповестит клиента, который, в свою очередь, может поменять пароль. В случае же кражи идентификации сценарий действия не так очевиден.

В последнее время СМИ сообщают об участившихся случаях финансового мошенничества с использованием биометрии. Так, жителю Москвы позвонил неизвестный, представившийся банковским сотрудником, сообщил о сомнительной операции, якобы совершенной с использованием счета гражданина 1 . Примечательно, что злоумышленник не запрашивал дополнительные данные, а попросил ответить утвердительно или отрицательно на вопрос: «Согласны ли Вы заблокировать счета карт, с которых были попытки списаний неизвестными?». После утвердительного ответа гражданин обнаружил поступление кредитных средств на свой счет и последующее их списание вместе с личными сбережениями. Данный пример демонстрирует, как использование верификации по голосу способствовала мошенническим действиям. Однако, представляется, что такие случаи не должны являться препятствием к внедрению и развитию систем идентификации на основании биометрических данных. Лучшим способом противодействия мошенническим схемам является осведомленность граждан о случаях мошенничества – подробнее об этом читайте в нашем материале: Телефонное мошенничество: как противодействовать обману.

1 Подробнее об этом случае можно узнать на официальном сайте окружной электронной газеты Зеленоградского административного округа г. Москвы.

Источник

Удалённая банковская идентификация: от сложного к простому, или Банки, зачем вам биометрия?


(Изображение взято отсюда)

Не всегда усложнение технологии ведет к улучшению результата. В сегодняшней статье мы постараемся показать, что сложное техническое решение по биометрической идентификации и аутентификации клиентов в банковских приложениях вполне заменимо традиционным предъявлением паспорта, но в современной интерпретации “подключенного мира”: в качестве “проверяющего” сотрудника банка вполне может выступать приложение с внедренным модулем распознавания и проверки документа. Мы не ставим своей целью критиковать или ставить под сомнение необходимость развития биометрических способов идентификации личности как самостоятельного технологического направления. Мы показываем, что современные технологии догоняют друг друга, постепенно совершенствуясь за счет упрощения и “облегчения” алгоритмов.

Читайте также:  Как выразить свои мысли 10 способов

Вопрос удаленной идентификации, особенно в банковской сфере, где от качества примененного решения, его точности и безопасности зависят не только персональные данные человека, но и его финансовое благополучие, в последнее время стал чрезвычайно актуальным, особенно, когда мир резко ушел в онлайн. Высветились основные проблемы, связанные с техническими, юридическими и организационными аспектами. И если не так давно казалось, что биометрия и распознавание лиц смогут решить все проблемы разом, то при стресс-тесте, которому подверглась планета, выяснилось, что биометрия далеко не единственный, и уж точно не самый безопасный для всех сторон способ обеспечить удаленную идентификацию клиента. Достаточно посмотреть к чему приводят неуверенные технологии распознавания с низким уровнем точности. Недавний пример — штраф, выписанный не тому человеку, из-за его 61% схожести с тем, кому этот штраф предназначался [1].

Несколько лет назад, когда у нас в стране начали вводить единую систему биометрических данных, именно удаленное распознавание по биометрическим показателям человека расценивалось как наиболее точный метод удаленно верифицировать человека.

Вот как описывают процесс биометрической удаленной идентификации на одном из сайтов [2]:

Удаленная идентификация — это процедура первичного знакомства банка с клиентом, которая осуществляется онлайн по определенным биометрическим параметрам (идентификаторам). Ими могут быть отпечатки пальцев, рисунок сетчатки глаз или капилляров на пальцах, голос, контуры лица и даже частота сердечного ритма (встречается и такое). Важно, чтобы: 1) клиент заранее сдал образец своей идентификации; 2) образец хранился в определенной базе; 3) банк имел доступ к этой базе данных; 4) возможно было сверить (подтвердить) предоставленный клиентом материал с образцом параметров, хранящийся в базе данных.

Получается, что перед тем, как использовать биометрию, клиенту необходимо прийти физически в банк (или другую организацию, которая применяет систему), “сдать” образцы своих биометрических данных (самые распространенные — записать голос, отсканировать отпечатки пальцев). И уже после того, как в некотором цифровом репозитории эти образцы появятся, идентификация и аутентификация станет возможной. Процесс, конечно, надежный, но на наш взгляд, крайне сложный и невыгодный ни одной из сторон. Из плюсов здесь то, что биометрия всегда (или почти всегда) с нами. Именно поэтому идентификация по биометрическим данным применима, скорее, в криминалистике и в трансграничном контроле: проводится не только идентификация гражданина по его биометрии, но и в обратную сторону — установление соответствия биометрических данных какому-либо гражданину.

Самое парадоксальное (и неприятное для поклонников исключительно биометрических методов аутентификации) в том, что предъявление собственных отпечатков пальцев, или голоса, или радужки глаза технологически мало чем отличается от ввода 256-битного пароля, известного только клиенту, или использование связки “токен-устройство”, или любого другого метода двух- или трех- факторной аутентификации: в любом случае для машины вся наша биометрия остается набором нулей и единиц. Самое главное, что компрометации биометрические данные поддаются ничуть не сложнее, чем любые другие. Пример тому — утечка данных крупнейшей в мире Индийской базы биометрических данных Aadhaar в 2017 году [3].

Интересно, что в Европе с некоторого времени биометрия уже не рассматривается в качестве единственного средства удаленной идентификации при предоставлении сервисов, имеющих дело с чувствительными данными.

14 сентября 2019 года вступила в действие директива Евросоюза PSD2 [4], также известная как Open Banking. Она требует, чтобы банки обязательно использовали многофакторную аутентификацию при выполнении любых удаленных транзакций. Это означает, что в процессе идентификации/аутентификации пользователя должны использоваться несколько способов подтверждения личности [5]:

  • Знания — какой-то информации, известной только пользователю, например, пароля или контрольного вопроса.
  • Владения — какого-то устройства, которое имеется только у пользователя, например, телефона или токена.
  • Уникальности — чего-то неотъемлемого, присущего пользователю и однозначно идентифицирующего личность, например, биометрических данных.

Проведение банковских операций помимо использования в качестве ключа доступа биометрических данных должно обязательно сопровождаться дополнительными проверками с помощью кодового слова, контрольного вопроса, подключения токена, использования конкретного устройства (смартфона или компьютера с уникальным идентификационным номером), или PUSH/SMS-кодов. Вопрос — зачем здесь биометрические данные?

Для банков в случае принудительного использования систем биометрической идентификации есть еще одна огромная неприятность. Внедрение систем биометрии требует значительных затрат на развертывание сопутствующей информационной инфраструктуры: собственно, оборудования для сбора идентификационных данных, программного обеспечения для их обработки, создание ЦОД или аренда защищенного облачного сервиса для хранения, обеспечение защиты и так далее. Именно поэтому принятие закона об обязательном сборе биометрических данных в России наткнулось на противодействие банковского сообщества и послужило причиной тому, что его принятие откладывается на неопределенный срок [6].

Технологии развиваются и банки постепенно выводят из цепочки взаимодействия с клиентом посредников в виде операторов, менеджеров, агентов. Они остаются лишь там, где необходимо обеспечить так называемое премиальное обслуживание, при котором клиенту предоставляется не только удобство сервиса, но оказывается персональное внимание, либо в тех регионах и теми категориями клиентов, которые по техническим причинам не имеют возможности пользоваться современными техническими средствами. На смену оператору приходит “банк в смартфоне”. Важно, что удаленная идентификация клиента необходима банку на всех этапах взаимодействия. До недавнего времени даже в крупных банках, которые сегодня полностью перешли на электронный документооборот, снимали физические копии с паспорта клиента при совершении каждой операции со счетом, будь то пополнение счета, снятие денег, перевод на другой счет или заключение дополнительных соглашений на подключение интернет-банка или СМС-информирование. Это обеспечивало банку защиту от претензий со стороны клиента о спорных изменениях в договоре или операций по счету.

Читайте также:  Методы теоретического исследования это способы исследования

До тех пор, пока в государстве не создана единая цифровая платформа учета всех граждан с рождения до смерти (наиболее близко к построению такого полностью цифрового общества в Европе подошла сегодня Эстония, построившая за 25 лет полноценное электронное государство, переведя 99% государственных услуг в электронный вид [7]), физическое предъявление нецифрового (печатного) паспорта или другого удостоверяющего документа с одновременной проверкой его подлинности и соответствия предъявителя указанному в документе владельцу, является наиболее точным способом идентификации клиента. В случае удаленной идентификации с использованием программно-аппаратных комплексов роль оператора (контролера, клиентского менеджера) выполняет устройство пользователя: смартфон или компьютер с веб-камерой.

С точки зрения ожидаемого результата предъявление паспорта системе распознавания документов и предъявление паспорта оператору ничем не отличается: в итоге совершения операции данные клиента вводятся в систему управления взаимоотношений с клиентами (СRM) банка, что позволяет впоследствии идентифицировать его при обращении. В случае предъявления паспорта оператору, функции ввода данных в систему выполняет человек, которого банк наделил полномочиями совершить необходимые действия: взять паспорт и, используя специальный сканер, мобильную камеру и приложение, ввести данные в систему (в оптимистичном сценарии, применимом далеко не ко всем банкам и их отделениям), или же вбить данные в соответствующие поля формы у себя на компьютере (реалистичный сценарий).

Мобильное приложение со встроенной системой удаленной идентификации позволяет оптимизировать сразу несколько задач как со стороны клиента, так и со стороны банка. Приложение распознает данные клиента и автоматически вводит их в необходимые поля. Например, приложения на основе SDK Smart IDreader распознают данные документов пользователей практически мгновенно, при этом работают полностью в автономном режиме, не передавая образов документов на сторонние сервера или в облачные сервисы. Система компьютерного зрения автоматически выделяет фото на документе и соотносит его с фото владельца. В зависимости от требования банка, в приложение может быть интегрирована функция форензики, то есть проверки образа документа на наличие признаков подделки или дополнительной обработки изображения, а также проверка корректности данных на основании анализа машиночитаемой зоны (MRZ). Совершенно не имеет значения, кто и где проводит все эти мероприятия — оператор в банке или сам пользователь, сидя на диване у себя дома. Цепочка действий сохраняется неизменной: предъявление документа, ввод данных, проверка данных, оценка валидности документа.

Обратим внимание на следующее: если при предъявлении подложного документа система распознавания на основе искусственного интеллекта не выявила признаков подделки документа и зафиксировала соответствие лица предъявителя фотографии на документе, и одобрила совершение операции, это означает, что в случае предъявления документа оператору в банке или пункте выдачи кредитов, оператором (человеком) было было бы принято аналогичное решение. Обмануть машинное зрение сегодня значительно сложнее, чем обмануть человека.

Выступая адептами идентификации на базе распознавания документов, подведем итог перечислением преимуществ подхода.

  • Технологии распознавания документов основаны на современных научных достижениях в области компьютерного зрения и технологий распознавания образов (OCR). Технологически это более “продвинутое” решение, чем биометрия, так как оперирует с менее индивидуализированными, хотя и более структурированными объектами. В этом их сходство с биометрией.
  • Распознавание паспортных данных ведется на конечном устройстве и не требует подключения к единому репозиторию персональных данных, как это происходит в случае с использованием биометрических данных.
  • Утечка данных бумажного документа исправляется в разы проще путем его замены, нежели чем утечка биометрических данных.
  • Удаленная идентификация через распознавание документов требует вложений на уровне развития программного обеспечения (клиентского приложения), но не требует развития сопутствующей инфраструктуры, не предусматривает создания собственного хранилища биометрических данных или обращение к существующим системам более высокого уровня (государственных или отраслевых).

Спасибо за внимание!

Источник

Оцените статью
Разные способы
© 2024 Разные способы.
Внимание! Информация, опубликованная на сайте, носит исключительно ознакомительный характер и не является рекомендацией к применению.