Что такое биометрические персональные данные человека
Что такое биометрические персональные данные человека
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
(см. текст в предыдущей редакции)
1. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации, законодательством Российской Федерации о нотариате.
(в ред. Федеральных законов от 04.06.2014 N 142-ФЗ, от 31.12.2017 N 498-ФЗ, от 27.12.2019 N 480-ФЗ)
Что нужно знать о биометрических персональных данных
Понятие биометрических данных. Какими законами регулируется обращение с такой информацией
Биометрия — это уникальные физические или поведенческие характеристики, которые позволяют отличать людей друг от друга.
На законодательном уровне в России порядок обращения с биометрическими персональными данными определен:
Где могут быть использованы физические сведения о гражданине
Биофизические информационные материалы могут понадобиться в различных сферах жизни, где требуется распознавание человека. Успешное применение биофизических особенностей граждан уже нашло себя в таких направлениях, как:
Идентификация по биометрическим данным гораздо надежнее, чем визуальная. Например, сотрудник банка не сумеет отличить друг от друга близнецов, а биометрический анализ их голоса и изображения с большой долей вероятности сможет.
Что относится к биометрическим материалам
Отнесение информации к биофизическим данным требует соблюдения следующих условий:
К биофизическим индивидуальным свойствам относятся:
Для распознавания гражданина необходима одна или больше поведенческих или физических особенностей. В постановлении № 722 к сведениям, подлежащим размещению в общей информационной системе индивидуальных данных, относятся:
По каким правилам собираются, обрабатываются и хранятся данные
Работа с индивидуальными сведениями граждан предполагает:
Эти процедуры регулирует приказ Минкомсвязи № 321.
Работа с персональными данными, в том числе биометрическими, осуществляется в следующем порядке:
Образец согласия на обработку персональных биометрических данных привели эксперты КонсультантПлюс. Получите пробный доступ к системе бесплатно и переходите к документу.
Без согласия информация может собираться в рамках (п. 2 ст. 11 закона № 152-ФЗ):
Хранение и защита идентификационных сведений
Защита биометрических персональных данных предполагает соблюдение оператором данных следующих правил (п.8 приказа № 321):
Конфиденциальность доступной информации должны хранить сотрудники, как собирающие биометрические данные, так и готовящие и выдающие ключи электронных подписей.
Дополнительно банковские учреждения должны (пп. 31, 33 Порядка, утв. приказом № 321):
Итоги
Таким образом, работа с биометрическим материалом позволяет идентифицировать людей по их голосу, фото, видео и другим индивидуальным особенностям. Порядок работы с биометрическими данными строго регламентирован законодательством. Чтобы организация могла работать с персональными сведениями, она должна направить уведомление в Роскомнадзор в порядке, предусмотренном приказом Роскомнадзора от 30.05.2017 № 94.
Биометрические персональные данные россиян
В свете скорого вступления в действие закона о биометрической идентификации клиентов банков хотелось бы вернуться немного назад и вспомнить, а чем собственно являются биометрические персональные данные. Что по этому поводу нам говорит Роскомнадзор и как нам быть, если придется с ними работать.
Согласно Федеральному закону от 27.07.2006 N 152-ФЗ «О персональных данных», ст. 11:
«Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.»
Биометрические персональные данные представляют собой сведения о наших биологических особенностях. Эти данные уникальны, принадлежат только одному человеку и никогда не повторяются.
Биометрические данные заложены в нас от рождения самой природой, они никем не присваиваются, это просто закодированная информация о человеке, которую люди научились считывать. К таким данным относятся:
отпечаток пальца, рисунок радужной оболочки глаза, код ДНК, слепок голоса и пр.
О стандартах
В соответствии с приказом Федерального агентства по техническому регулированию и метрологии от 6 марта 2017 года №448 была организована деятельность технического комитета по стандартизации ТК 098 «Биометрия и биомониторинг».
Согласно Приложению N 3 к приказу Федерального агентства по техническому регулированию и метрологии от 6 марта 2017 г. N 448 (Положение о техническом комитете по стандартизации «Биометрия и биомониторинг») ТК призван решать следующие задачи:
Наименование национального стандарта
ГОСТ ISO/IEC 2382-37-2016*
Информационные технологии. Словарь. Часть 37. Биометрия (принят протоколом МГС №93-П от 22 ноября 2016 г.)
ГОСТ ISO/IEC 19794-1-2015*
Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 1. Структура
ГОСТ Р ИСО/МЭК 19794-2-2013
Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 2. Данные изображения отпечатка пальца — контрольные точки
ГОСТ Р ИСО/МЭК 19794-3-2009
Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 3. Спектральные данные изображения отпечатка пальца
ГОСТ Р ИСО/МЭК 19794-4-2014
Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 4. Данные изображения отпечатка пальца
ГОСТ Р ИСО/МЭК 19794-5-2013
Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица
ГОСТ Р ИСО/МЭК 19794-6-2014
Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 6. Данные изображения радужной оболочки глаза
ГОСТ Р ИСО/МЭК 19794-7-2009
Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 7. Данные динамики подписи
ГОСТ Р ИСО/МЭК 19794-8-2015
Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 8. Данные изображения отпечатка пальца — остов
ГОСТ Р ИСО/МЭК 19794-9-2015
Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 9. Данные изображения сосудистого русла
ГОСТ Р ИСО/МЭК 19794-10-2010
Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 10. Данные геометрии контура кисти руки
ГОСТ Р ИСО/МЭК 19794-11-2015
Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 11. Обрабатываемые данные динамики подписи
ГОСТ Р ИСО/МЭК 19794-14-2017
Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 14. Данные ДНК
ГОСТ Р ИСО/МЭК 19795-1-2007
Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 1. Принципы и структура
ГОСТ Р ИСО/МЭК 19795-2-2008
Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии.
Часть 2. Методы проведения технологического и сценарного испытаний
Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 3. Особенности проведения испытаний при различных биометрических модальностях
ГОСТ Р ИСО/МЭК 19795-4-2011
Информационные технологии. Биометрия. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 4. Испытания на совместимость
ГОСТ Р ИСО/МЭК 19795-6-2015
Информационные технологии. Биометрия. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 6. Методология проведения оперативных испытаний
ГОСТ Р ИСО/МЭК 19784-1-2007
Автоматическая идентификация. Идентификация биометрическая. Биометрический программный интерфейс. Часть 1. Спецификация биометрического программного интерфейса
ГОСТ Р ИСО/МЭК 19784-2-2010
Автоматическая идентификация. Идентификация биометрическая. Биометрический программный интерфейс. Часть 2. Интерфейс поставщика биометрической функции архива
ГОСТ Р ИСО/МЭК 19784-4-2014
Информационные технологии. Биометрия. Биометрический программный интерфейс. Часть 4. Интерфейс поставщика функции биометрического датчика
ГОСТ Р ИСО/МЭК 19785-1-2008
Автоматическая идентификация. Идентификация биометрическая. Единая структура форматов обмена биометрическими данными. Часть
1. Спецификация элементов данных
ГОСТ Р ИСО/МЭК 19785-2-2008
Автоматическая идентификация. Идентификация биометрическая. Единая структура форматов обмена биометрическими данными. Часть 2. Процедуры действий регистрационного органа в области биометрии
ГОСТ Р ИСО/МЭК 19785-4-2012
Информационные технологии. Биометрия. Единая структура форматов обмена биометрическими данными. Часть 4. Спецификация формата блока защиты информации
ГОСТ Р ИСО/МЭК 24708-2013
Информационные технологии. Биометрия. Протокол межсетевого обмена БиоАПИ
ГОСТ Р ИСО/МЭК 24709-1-2009
Автоматическая идентификация. Идентификация биометрическая. Испытания на соответствие биометрическому программному интерфейсу (БиоАПИ). Часть 1. Методы и процедуры
ГОСТ Р ИСО/МЭК 24709-2-2011
Информационные технологии. Биометрия. Испытания на соответствие биометрическому программному интерфейсу (БиоАПИ). Часть 2. Тестовые утверждения для поставщиков биометрических услуг
ГОСТ Р ИСО/МЭК 24709-3-2013
Информационные технологии. Биометрия. Испытания на соответствие биометрическому программному интерфейсу (БиоАПИ). Часть 3. Тестовые утверждения для инфраструктур БиоАПИ
ГОСТ ISO/IEC 24713-1-2013*
Информационные технологии. Биометрические профили для взаимодействия и обмена данными. Часть 1. Общая архитектура биометрической системы и биометрические профили
ГОСТ Р ИСО/МЭК 24713-2-2011
Информационные технологии. Биометрия. Биометрические профили для взаимодействия и обмена данными. Часть 2. Физический контроль доступа сотрудников аэропорта
ГОСТ Р ИСО/МЭК 24713-3-2016
Информационные технологии. Биометрия. Биометрические профили для взаимодействия и обмена данными. Часть 3. Биометрическая верификация и идентификация моряков
ГОСТ Р ИСО/МЭК 29109-1-2012
Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, определенным в комплексе стандартов ИСО/МЭК 19794. Часть 1. Обобщенная методология испытаний на соответствие
ГОСТ Р ИСО/МЭК 29109-4-2015
Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, определенным в комплексе стандартов ИСО/МЭК 19794. Часть 4. Данные изображения отпечатка пальца
ГОСТ Р ИСО/МЭК 29109-5-2013
Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, определенным в комплексе стандартов ИСО/МЭК 19794. Часть 5. Данные изображения лица
ГОСТ Р ИСО/МЭК 29109-6-2016
Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, определенным в комплексе стандартов ИСО/МЭК 19794. Часть 6. Данные изображения радужной оболочки глаза
ГОСТ Р ИСО/МЭК 29109-7-2016
Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, определенным в комплексе стандартов ИСО/МЭК 19794. Часть 7. Данные динамики подписи
ГОСТ Р ИСО/МЭК 29109-8-2016
Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, определенным в комплексе стандартов ИСО/МЭК 19794. Часть 8. Данные изображения отпечатка пальца — остов
ГОСТ Р ИСО/МЭК 29109-9-2017
Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, определенным в комплексе стандартов ИСО/МЭК 19794. Часть 9. Данные изображения сосудистого русла
ГОСТ Р ИСО/МЭК 29109-10-2017
Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, определенным в комплексе стандартов ИСО/МЭК 19794. Часть 10. Данные геометрии контура кисти руки
ГОСТ Р ИСО/МЭК 29794-1-2012
Информационные технологии. Биометрия. Качество биометрических образцов. Часть 1. Структура
ГОСТ Р ИСО/МЭК 29141-2012
Информационные технологии. Биометрия. Одновременное получение изображений отпечатков десяти пальцев с помощью БиоАПИ
ГОСТ Р 54412-2011/ISO/IEC TR 24741:2007
Информационные технологии. Биометрия. Обучающая программа по биометрии
Как видим, перечень довольно обширный, но и это еще не все. Кроме непосредственно биометрических технологий, так же касаются биометрии и стандарты на машиносчитываемые паспортно-визовые документы, а так же на идентификационные карты с биометрическими данными. Приводить в рамках данной статьи их не будем, при желании ознакомиться с ними, все это можно найти на сайте ТК 098.
О разъяснениях Роскомнадзора
Выпущенные в свет разъяснения Роскомнадзора, которые как раз поднимали «…вопросы отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки.», многими были проигнорированы и зря. До сих пор возникает много вопросов, ответы на которые можно было найти в разъяснениях, не закапываясь в ГОСТы. Поэтому предлагаю еще раз пройти по основным тезисам, а для кого-то ознакомиться с ними впервые.
Исходя из определения, приведенного выше, в контексте Федерального закона «О персональных данных» отнесение сведений персонального характера к биометрическим персональным данным и их последующая обработка должны рассматриваться в рамках проводимых оператором мероприятий, направленных на установление личности конкретного лица, если иное не предусмотрено федеральными законами и принятыми на их основе нормативными правовыми актами.
Т.е., если пользователь, допустим, ставит свою фотографию на какую-нибудь аватарку, то мы не считаем это биометрическими данными, т.к. по аватарке мы не определяем личность пользователя. Тем не менее, есть случаи, когда фотографию прямо относят к биометрическим персональным данным.
«Согласно пункту 6 Перечня персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию, утвержденного постановлением Правительства Российской Федерации 4 марта 2010 г. № 125, цветное цифровое фотографическое изображение лица владельца документа является биометрическими персональными данными владельца документа.»
В случаях, когда сканирование паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом, например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных и ст. 11 Федерального закона «О персональных данных» не регулируются. Соответственно, обработка сведений, в данных случаях, осуществляется в соответствии с общими требованиями, установленными Федеральным законом «О персональных данных».
Не являются биометрическим персональными данными рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека, и находящиеся в истории болезни (медицинской карте) пациента (не имеет значения, бумажной или электронной), поскольку они не используются оператором (медицинским учреждением) для установления личности пациента. Но в случае их передачи по запросу субъектов оперативно-розыскной деятельности, органов следствия и дознания в рамках проводимых ими мероприятий указанные сведения становятся биометрическими персональными данными, поскольку используются операторами — органами следствия и дознания в целях установления личности конкретного лица. Т.е. в органы следствия передаются сведения медицинского характера, а там они уже становятся биометрическими персональными данными.
Аналогичным подходом нужно руководствоваться и при получении иных сведений, которые можно отнести к биометрическим персональным данным. Таким образом, если мы используем полученные сведения характеризующие физиологические и биологические особенности человека для установления личности, то у нас биометрия, если нет – иное.
Главное, что в случае обработки биометрических персональных данных необходимо помнить:
«В соответствии с ч. 1 ст. 11 Федерального закона «О персональных данных» обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных.»
Как работает биометрия в России и следует ли ее опасаться?
Биометрию можно назвать самым многообещающим способом идентификации и аутентификации: удобство пользования сочетается в ней с надежностью, а считыватели уже достаточно просты, чтобы встраиваться в мобильные телефоны. Россия также следует общемировому тренду. Рассказываем, как в нашей стране работает биометрическая система.
Читайте «Хайтек» в
В последние пару лет в России тема биометрической идентификации граждан находится в фокусе общественного и политического внимания. Это связано главным образом с развитием Единой биометрической системы, для нормативно-правового обеспечения которой был принят Федеральный закон от 31 декабря 2017 г. № 482-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации».
В частности, Центробанк уже довольно давно прилагает усилия к тому, чтобы стимулировать банки к применению таких систем удостоверения личности. Банки стараются: например, Сбербанк разворачивал в Москве пилотную зону с банкоматами, способными опознавать клиента по лицу. Выгоды кажутся очевидными: скажем, для открытия вклада не нужно беспокоиться о наличии паспорта, достаточно прийти в отделение и предъявить самого себя, а при общении с банкоматом не понадобится и пластиковая карта.
Что такое биометрия?
Общеизвестные примеры биометрических данных — это характерные рисунки радужной оболочки глаза или папиллярных линий на подушечках пальцев. Впрочем, стоит отметить, что к биометрии относят не только физические, но и поведенческие показатели, наподобие походки или индивидуальных особенностей набора текстов на клавиатуре.
Однако к какому бы типу ни относились эти данные, они в любом случае неотъемлемы от человека и поэтому могут гарантировать очень высокую надежность удостоверения личности — при условии, что считыватели трудно обмануть. В целом биометрическая аппаратура развивается сейчас именно в этом направлении, повышая устойчивость к фотографиям лиц и напечатанным на 3D-принтерах пальцам.
Главные требования к биометрическим характеристикам можно назвать «тремя У»: универсальность, уникальность, устойчивость. Иначе говоря, для того, чтобы стать критерием распознавания личности, параметр должен иметься у каждого человека, отличаться в каждом конкретном случае и оставаться относительно неизменным со временем. Есть и несколько сопутствующих требований: например, характеристика должна быть удобна для измерения, включая общественную приемлемость этой процедуры.
Имеются ГОСТы по следующим методам:
Помимо этих способов известен или обсуждается ряд других, в том числе довольно экзотичных:
Какие существуют проблемы с биометрией?
В то же время способ имеет свои изъяны. Так, заметной теоретической проблемой является требование уникальности, которое, согласно некоторым измерениям, не может быть полностью выполнено. В связи с этим вводят два понятия: частота ложного одобрения (false acceptance rate, FAR) и частота ложного отказа (false rejection rate, FRR).
Первый параметр отражает вероятность того, что по данным пользователя А будет идентифицирован / аутентифицирован пользователь В — например, в результате совпадения их показателей.
Второй параметр — это, наоборот, вероятность того, что система не узнает пользователя, посчитав его посторонним лицом. По некоторым данным, если для отпечатков пальцев средний FAR составляет 0,01%, то для лица и голоса (тех самых параметров, которые будут использовать отечественные банки) он может достигать 1-2%. Именно поэтому существует мнение, что биометрия не подходит для массового внедрения: если одна попытка аутентификации из ста будет заканчиваться несанкционированным доступом, то в масштабах страны это даст миллионы инцидентов.
Практика применения биометрии в России:
Исторически первой формой работы с биометрическими данными можно смело назвать сбор сведений о правонарушителях в рамках работы силовых ведомств. Отпечатки пальцев, например, — классическое доказательство при расследовании преступлений. Работая с подозреваемыми и осужденными, правоохранительные органы фиксируют рост человека, характерные приметы его внешности.
При этом, если в обычных биометрических системах данные обезличиваются, то здесь, напротив, устанавливается точная связь измеренных параметров с конкретным человеком. В предыдущем разделе, рассматривая законодательство о персональных данных, мы отметили, что в связи с осуществлением правосудия или оперативно-розыскными мероприятиями согласие субъекта на сбор биометрических ПД не требуется; эти положения подчеркивают особый характер таких сведений.
Упоминания о биометрии в нашем обзоре законодательства начались с заграничных паспортов. Действительно, основной документ гражданина России за рубежом по сей день остается одной из главных областей применения биометрических технологий. Микросхема в подобном изделии бывает способна хранить не только общие сведения о владельце (например, имя, фотографию и т. п.), но и рисунок радужной оболочки глаза или отпечаток пальца.
Что можно делать при помощи биометрии В России?
Для чего российские банки собирают биометрию?
Работа над системой хранения и использования данных началась еще в 2017 году. С 1 июля 2018 года была запущена Единая биометрическая система — база, в которой хранятся биометрические данные граждан. Тогда же начали прием биометрии несколько крупных банков — Сбербанк, Альфа-Банк, ВТБ, Почта Банк, Райффайзен и другие.
Разработчиком и оператором системы выступает Ростелеком — он обрабатывает данные и обеспечивает их безопасное хранение. Сейчас в биометрическую систему можно сдать запись голоса и изображение лица. По этим данным можно идентифицировать человека как в отделении, так и удаленно — например, по телефону или через мобильное приложение. Возможно, в будущем в системе будут храниться и другие параметры — отпечатки пальцев или снимки радужки глаза.
Как сдать биометрию?
Узнать, где в вашем городе можно сдать свои голос и лицо, можно с помощью карты на сайте Центробанка. Здесь можно найти список отделений банков с адресами и временем работы. Список постоянно расширяется, в нем появляются новые отделения и банки.
Отметим, что сбор биометрии может отличаться от места к месту.
Безопасно ли сдавать биометрию?
Сразу после первых новостей о начале сбора банками биометрии появились люди, которые начали сомневаться в надежности хранения своих данных. С одной стороны, они боялись, что дырами в системе могут воспользоваться мошенники – в том числе, подставные люди в банках – чтобы оформлять на посторонние лица кредиты. Другие опасаются того, что система не сможет правильно распознать человека из-за изменений в голосе (например, при простуде) или во внешности (например, после пластической операции или травмы).
Конечно, уже сейчас можно достаточно точно смоделировать внешность любого человека и даже подделать его голос. Чтобы распознавать и отметать имитации, ЕБС вводит дополнительные методы подтверждения личности. Она обращает внимание на выражение лица, расположение камеры, интонацию и другие параметры, которые могут показать, что к системе обращается сам клиент, а не имитация. Иногда нужно будет ответить на контрольные вопросы или совершить дополнительные действия – например, дотронуться до мочки уха. Так дополнительно будет подтверждаться факт того, что с системой взаимодействует реальное лицо.