Информационно-правовые аспекты биометрических технологий идентификации

Демьяненко Кристина Витальевна – студентка Северо-Кавказского филиала Российского государственного университета правосудия.

Аннотация: В статье автор рассматривает технологии биометрического распознавания человека. В настоящее время биометрические технологии используются и внедряются во многих областях или сферах, направленных на обеспечение защиты информации. Так же автор изучил аутсорсинговые компании, которые могут использоваться для защиты данных.

Ключевые слова: информационные технологии, защита, биометрия, аутсорсинговые компании, идентификация, аутентификация.

Технологии биометрического распознавания человека можно назвать самым многообещающим способом идентификации и аутентификации. Во-первых, это удобно в пользовании, так же отличается особой индивидуальностью и надёжностью.

Основные положения и правила использования биометрии на территории РФ изложены в ст. 11 Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных"[1].

Анализируя способы передачи и использования биометрических персональных данных в законодательстве РФ, необходимо отметить, что к ним применяется особый режим, определяется порядок сбора, хранения и обработки такой информации, устанавливается юридическая ответственность за противоправное использование указанных сведений. 

Ст. 23 Конституции РФ [2]. гарантирует каждому право на неприкосновенность частной жизни, личную и семейную тайну. Данная норма определяет границы, которые никто не вправе переступать при получении и при обработке информации о человеке, его персональных данных.

Необходимо упомянуть о запуске проекта, который законодательно урегулирован. В декабре 2017 года был принят закон, позволяющий банкам открывать счета физическим лицам без их личного присутствия только с использованием биометрических данных, а именно голоса и лица [3].

С началом внедрения банками безналичных платежей биометрия стала спасательным кругом для безопасности. ПИН-код, как средство идентификации и защиты, перестал отвечать требованиям безопасности. Его эффективность резко снизилась с появлением мошеннических технологий, таких как накладки на клавиатуру, скиммер и т.д [4, стр. 35-38].

Каждый способ защиты информации имеет обратную сторону медали. Одной из проблем является высокий риск утечки информации. Такие данные невозможно изменить или обновить – они не отчуждаемы и на всю жизнь. Поэтому их утечка куда серьезнее, чем утечка любых ПИН-кодов.

Например, информация конфиденциального характера была опубликована на интернет-ресурсах Германии. Вина была признана и предъявлено обвинение в совершении преступлений, предусмотренных ч. 1 ст. 183 УК РФ [5] (незаконное получение и разглашение сведений, составляющих коммерческую тайну) и ч. 1 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации) [6].

Информационная безопасность должна занимать ведущее место в построении Единой биометрической системы. Биометрия требует особого правового регулирования. Поэтому на законодательном уровне необходимо максимально точно урегулировать все вопросы, касающиеся биометрии и ее защиты, и предусмотреть усиленный контроль процедуры оборота подобной информации. К тому же, необходимо основательное правовое исследование данных проблем на государственном уровне, которое бы в результате послужило основой при разработке новейшего законодательства. Так, например, Европейский регламент General Data Protection Regulation, (вступивший в силу с мая 2018 г.) признал особый характер исследуемых данных и квалифицировал их как наиболее «уязвимые» в современном информационном социуме, ведь они могут касаться здоровья, частной жизни, политических или религиозных убеждений граждан, обработка которых ограничена. Таким образом, европейские законодатели пришли к выводу, что можно признать эти данные особыми [7, стр. 368-378].

Последствия будут масштабными, если произойдет утечка информации. На данном этапе в банках постепенно вводят биометрию, но соблюдаются ли права граждан при этом?

В соответствии с Федеральным законом «О персональных данных», сведения, обработка физиологических и биологических данных, которые содержат в себе идентифицирующие особенности человека, на основании которых устанавливается личность и которые действительно могут применяться оператором для определения или поиска физического лица, могут использоваться при условии наличия согласия в письменной форме собственника персональных данных, за исключением случаев, предусмотренных законом [1].

Собственно как выглядит процедура соглашения на биометрию. Например, когда приходишь в отделение банка для получения новой карты, работник просит вставить ее и набрать ПИН-код, чтобы активировать. Затем, любезно просит, продиктовать от 1 до 10 и в обратном направлении цифры в микрофон. Это и есть биометрия, с помощью которой в последующем будет использоваться ваш голос. Да, эта процедура добровольная и мы сами решаем, воспользоваться ей или нет. Но, к сожалению, не всегда на практике работники банка спрашивают желание, хотим ли мы воспользоваться данной функцией или нет. Они машинально говорят, что делать, а граждане, не задумываясь, соглашаются на это.

И в этот самый момент нарушаются конституционные права граждан РФ. На наш взгляд для защиты персональных данных необходимо дать возможность 3-м лицам – аутсорсинговым компаниям защищать от неправомерного или случайного доступа к персональным данным, уничтожения или изменения, блокировки, копирования, предоставления к ним доступа, а также распространения.

Существует множество определений аутсорсинга. Аутсорсинг (Оutsourcing) переводится с английского как – заключение договора подряда с внешними фирмами. Аутсорсинг – (англ. outsourcing) – передача традиционных дополнительных функций организации (таких, например, как бухгалтерский учет или рекламная деятельность для авиастроительной компании) внешним исполнителям – аутсорсерам, субподрядчикам, высококвалифицированным специалистам сторонней фирмы [8, стр. 35].

Аутсорсинг, как привлеченное извне явление считается новеллой во всех областях. Бизнес-проекты с аутсорсинговыми компаниями позволяют российским и зарубежным банкам сосредоточиться на выполнении своих основных функций, передав управление иными функциями специально созданным интернет-проектам или удаленным администраторам [9].

В процессе внедрения аутсорсинговой составляющей в финансовых организациях/банках, можно выделить как преимущества, так и недостатки. Преимуществами применения банковского аутсорсинга являются:

1. Облегченная финансовая нагрузка. Стоимость услуг аутсорсинга гораздо ниже, чем затраты на построение собственной инфраструктуры, обеспечивающей информационную безопасность.
2. Освободившиеся средства направляются на профильную деятельностью организации.
3. Экономия времени на подбор и обучение кадров – в аутсорсинговой компании необходимые специалисты уже набраны и обучены и имеют необходимый багаж знаний на случай возникновение вопросов.
4. Пользуясь услугами аутсорсеров банку не нужно создавать дополнительные рабочие места этим специалистом, тем самым снижаются затраты на расширения рабочих площадок.
5. Возможность оптимизации налоговых платежей.

К недостаткам можно отнести:

1. Законодательная база не настроена под процессы аутсорсинга.
2. Нет предварительного серьезного подготовительного этапа при заключении договора между клиентом (гражданином) и 3-м лицом (аутсорсинговой компанией)
3. Отсутствуют гарантии безопасности для информации о клиенте и особенно о его биометрических данных.

Таким образом, применение аутсорсинга для современной финансовой организации может быть весьма благоприятным. Законодательная база должна способствовать развитию таких отношений. Необходимо законодательно закрепить не только связи между банком и аутсорсинговой фирмой, но и совершенствовать алгоритмы безопасности для всех участников процесса. Необходимо проводить разъяснительные мероприятия, форумы и семинары для топ-менеджеров, которые будут способствовать продвижению такого явления как аутсорсинг в области безопасности.

Однако аутсорсинговая компания должна получить согласие субъектов на обработку биометрических данных. Банкам должны быть предъявлены следующие требования: давать аутсорсинговой компании персональные данные граждан только с их письменного согласия; информировать лиц, получающих персональные данные граждан, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные граждан, обязаны соблюдать режим конфиденциальности.

Такой аутсорсинг поможет масштабировать необходимые ИТ-решения под растущие требования банка, разгружать ИТ-сотрудников. С реализацией этих проектов, будут выделены новые отношения, и такие проекты позволят сделать шаг к развитию защищённого информационного общества в России.

Список литературы

1. Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных"//http://ivo.garant.ru/#/document/77688035/paragraph/22876:0 (дата обращения 25 февраля 2020г.)
2. Конституция Российской Федерации, принята всенародным голосованием 12 декабря 1993 г. // Собрание законодательства РФ. 2014. № 9. Ст.851.
3. Федеральный закон от 31.12.2017 г. № 482-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации»// Собрание законодательства РФ. 2018. № 1 (1 ч.). Ст. 66.
4. Аюпова А. Р., Ахатов Р. Р. Биометрический паспорт: зло или добро // Здоровый образ жизни как условие устойчивого развития государства: сборник материалов Всероссийской научно-практической конференции. — 2017. — С. 35—38.
5. Уголовный кодекс Российской Федерации от 13.06.1996г. № 63-ФЗ//Собрание законодательства РФ. 1996. № 25. Ст. 2954.
6. https://ria.ru/20191206/1562060626.html [электронный ресурс], СК обвинил жителя Кубани в утечке данных сотрудников РЖД Дата обращения: 08.12.2019.
7. Михайлов М. А., Волеводз А. Г., Сидоренко Э. Л. Международная научно-практическая конференция в Государственной Думе «Совершенствование системы дактилоскопической регистрации» //Библиотека криминалиста.// Научный журнал. – 2016. – № 1 (24). – С. 368 – 378.
8. Райзберг Б.А., Лозовский Л.Ш., Стародубцева Е.Б. Современный экономический словарь. 5-е изд., перераб. и доп.– М.: Инфра-М, 2007. С. 35
9. Волчинков С.А., Никитина Т.В. Банковский аутсорсинг: теоретические и практические аспекты; учебное пособие/ под. ред. д-ра экон. Наук. Проф. Г.Н. Белоглазовой. – СПб.: Изд-во СПбГУЭФ, 2010, С. 10.