Биометрия: головокружение от успехов?

Разговоры о том, нужно ли нам использовать биометрию, уже не своевременны. Достигнутые успехи, особенно за последние пять лет, во многом за счет внедрения нейросетевых методов, позволили осуществить начало широкомасштабного внедрения биометрических технологий по различным направлениям.

Ключевые проекты

Наиболее показательными примерами внедрения биометрии в России за последнее время стали:

1. Единая биометрическая система (ЕБС) – совместный проект Банка России и "Ростелекома". Проект направлен на сбор биометрической информации и ее использование для идентификации пользователей финансовых услуг.
   Платформа была разработана по инициативе Минкомсвязи и Центрального банка, разработчик и оператор ЕБС – "Ростелеком". В конце 2021 г. ЕБС приобрела статус государственного информационного ресурса.
2. Система распознавания в московском метро Face Pay. Face Pay – это бесконтактная система оплаты проезда при помощи технологии распознавания лиц. Она работает на базе существующей системы распознавания лиц, запущенной в столичном метро в сентябре 2020 г. Москва стала первым городом в мире, где технология оплаты по лицу используется в таком масштабе и охватывает все станции московского метро. Аналогичная система была запущена, насколько мне известно, только в нескольких городах Китая, но там были оборудованы лишь отдельные станции.
   Планируется, что с мая 2022 г. в Москве будет проводиться эксперимент по оплате проезда с помощью сервиса Face Pay на наземном транспорте, а в конце апреля будет набрана первая фокус-группа людей из 100 человек для проведения тестирования.
3. Пилотные проекты внедрения биометрии в аэропортах.
4. Пилотные проекты в области биометрической оплаты товаров в сети магазинов "Азбука вкуса", "Лента", сети общественного питания "Пять Звезд", Mediacafe, в пиццериях сети Papa John’s. Сервис с использованием биометрических технологий позволяет сократить время цикла обслуживания клиента в среднем с 20 до 5 с.

Однако не все так гладко в процессе внедрения биометрических технологий.

Система оплаты проезда при помощи технологии распознавания лиц в московском метро Face Pay. Face Pay работает на базе существующей системы распознавания лиц, запущенной в столичном метро в сентябре 2020 г. Москва стала первым городом в мире, где технология оплаты по лицу используется в таком масштабе и охватывает все станции московского метрополитена.

Законодательная база и ее слабые стороны

В предыдущей статье¹ я уже отмечал ряд вопросов, связанных с недостаточной отработкой законодательной базы, в частности с отсутствием актуализации (устареванием) требований, указанных в постановлении Правительства РФ от 26 сентября 2016 г. № 969 "Об утверждении требований к функциональным свойствам технических средств обеспечения транспортной безопасности и Правил обязательной сертификации технических средств обеспечения транспортной безопасности".

За последний год Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации подготовило ряд приказов и постановлений Правительства РФ, к которым у сообщества разработчиков и пользователей биометрических технологий возникло множество вопросов.

Наибольшее количество вопросов вызывают два документа:

1. Приказ от 10 сентября 2021 г. № 930 "Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических
   персональных данных, порядка размещения и обновления биометрических персональных данных в единой биометрической системе и в иных информационных системах…".
2. Постановление Правительства Российской Федерации от 20.10.2021 г. № 1799 "Об аккредитации организаций, владеющих информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц…".

В первом документе:

• Не установлены требования к формату обмена данными (открытый или проприетарный). В случае использования открытого формата обмена дополнительно необходимо указать соответствующий нормативный документ, устанавливающий требования к формату обмена. Отсутствие учета требований ГОСТа по стандартизации форматов обмена данными при создании биометрических систем делает невозможным взаимозаменяемость технических средств и программного обеспечения различных производителей, что, в свою очередь, приводит к монополизации рынка.
• Отсутствуют ссылки на необходимость учета требований к биометрической продукции, предъявляемых в целях ее отнесения к продукции, произведенной в Российской Федерации, в соответствии с постановлением Правительства Российской Федерации от 17 июля 2015 г. № 719.
• Отсутствуют требования к ошибкам первого и второго рода для всей информационной системы. В документе приведены требования только к ошибкам одного вида (второго рода), так в документе указаны вероятность ложноположительной биометрической идентификации и вероятность ложного совпадения. Требования к ошибкам первого рода – вероятности ложноотрицательной биометрической идентификации – не приведены. Учитывая то, что биометрическая система в целом может характеризоваться только парой взаимосвязанных ошибок – первого и второго рода, требования к значению одной из ошибок бессмысленны.

Пилотные проекты в области биометрической оплаты товаров в сети магазинов "Азбука вкуса", "Лента", сети общественного питания "Пять Звезд", Mediacafe, в пиццериях сети Papa John’s и др. показали, что сервис с использованием биометрических технологий позволяет сократить время цикла обслуживания клиента в среднем с 20 до 5 с.

Можно также отметить, что уровень ошибок, установленный в приказах Минцифры, относится только к низкому (для голоса) и среднему (для лица) уровню доверия, что не соответствует международной классификации, представленной в международном стандарте ISO/IEC 19989-2 Information security – Criteria and methodology for security evaluation of biometric systems – Part 2: Biometric recognition performance.

Во втором документе:

• Отсутствует статистика по инцидентам утечки биометрических данных и ошибкам распознавания. Невозможно определить количество и стоимость причиненного ущерба, в постановлении не определено, как оценивать ущерб, кто будет контролировать работу лицензируемых фирм, как будет проходить компенсация ущерба.
• Обозначенные значительные суммы финансового обеспечения могут оказать негативное воздействие на субъекты малого и среднего бизнеса. Небольшие и средние фирмы прекратят работать с биометрическими персональными данными.
• Нет ссылок на проведение сертификации биометрических систем и биометрических технологий перед выдачей аккредитации.
  Постановление не содержит требований проведения сертификации устройств для работы с биометрическими данными (датчики, ПО).

Видимо, развитие биометрических технологий идет слишком быстрыми темпами и желание внедрить их в нашу жизнь – а это, конечно, соответствует в целом запросам общества на работу с безопасными и удобными сервисами – опережает разработку и актуализацию нормативной базы.

Следует также учесть, что не хватает квалифицированных специалистов, способных независимо оценить качество документов, содержащих высокотехнологические требования.

Вопросов по нормативно-правовым документам в области биометрии накопилось достаточно, среди проблемных вопросов можно отметить следующие:

• Что делать гражданину в случае компрометации биометрических данных?
• Как определить в ряде случаев, что относится к понятию персональных биометрических данных, если разъяснения Роскомнадзора от 02.09.2013 г. "О вопросах отнесения фото и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки" были признаны самим Роскомнадзором неактуальными?
• Стоит ли запрещать использование биометрических данных несовершеннолетних граждан?

Мнение профессионального сообщества

Важность вопросов актуализации нормативно-правовой базы в области биометрии была отражена в обмене мнениями на круглом столе, посвященном совершенствованию законодательного регулирования обработки биометрических персональных данных, который был организован Комитетом Совета Федерации по экономической политике совместно с Комитетом по конституционному законодательству и государственному строительству.

Модератором выступил заместитель председателя Комитета СФ по экономической политике Константин Долгов. Сенатор отметил², что биометрические технологии, основанные на идентификации личности по ее уникальным физиологическим, биологическим и поведенческим характеристикам, в настоящее время приобретают массовое распространение. Так, сбор отпечатков пальцев пришел из области обеспечения безопасности и противодействия терроризму в миграционных процессах, однако в современном обществе вышел далеко за ее пределы.

Сегодня биометрическая идентификация активно применяется и внедряется в сфере кредитных и банковских отношений, оказания различных коммерческих услуг.

Сенатор отметил, что в современных условиях крайне значимым является вопрос обеспечения максимального импортозамещения и быстрого перехода на российское оборудование и программное обеспечение, что важно для обеспечения безопасности российских граждан.

Константин Долгов отметил, что ключевая законодательная норма, регулирующая правовой режим биометрических данных, статья 11 закона "О персональных данных", не менялась более десяти лет и, по мнению ряда экспертов, требует корректировки вслед за изменением технологических процессов в обществе.

Надеюсь, что профессиональное обсуждение возникших вопросов позволит в кратчайшие сроки актуализировать нормативно-правовую базу, а также исключит разрыв между быстрым внедрением биометрических технологий и отставанием в корректировке формулировок и разъяснений регулирующих документов.

Редакция советует

В системах контроля и управления доступом и учета рабочего времени широко используются решения ведущего российского разработчика и производителя биометрических систем для идентификации человека по отпечатку пальцев, венам ладони и лицу – компании BIOSMART. Они помогают защитить ресурсы бизнеса от несанкционированного доступа, эффективно организовать рабочий процесс и добиться максимальной отдачи от персонала.

Опубликовано в журнале "Системы безопасности" №2/2022

Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>