Информационно-правовые аспекты биометрических технологий идентификации
Демьяненко Кристина Витальевна – студентка Северо-Кавказского филиала Российского государственного университета правосудия.
Аннотация: В статье автор рассматривает технологии биометрического распознавания человека. В настоящее время биометрические технологии используются и внедряются во многих областях или сферах, направленных на обеспечение защиты информации. Так же автор изучил аутсорсинговые компании, которые могут использоваться для защиты данных.
Ключевые слова: информационные технологии, защита, биометрия, аутсорсинговые компании, идентификация, аутентификация.
Технологии биометрического распознавания человека можно назвать самым многообещающим способом идентификации и аутентификации. Во-первых, это удобно в пользовании, так же отличается особой индивидуальностью и надёжностью.
Основные положения и правила использования биометрии на территории РФ изложены в ст. 11 Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных"[1].
Анализируя способы передачи и использования биометрических персональных данных в законодательстве РФ, необходимо отметить, что к ним применяется особый режим, определяется порядок сбора, хранения и обработки такой информации, устанавливается юридическая ответственность за противоправное использование указанных сведений.
Ст. 23 Конституции РФ [2]. гарантирует каждому право на неприкосновенность частной жизни, личную и семейную тайну. Данная норма определяет границы, которые никто не вправе переступать при получении и при обработке информации о человеке, его персональных данных.
Необходимо упомянуть о запуске проекта, который законодательно урегулирован. В декабре 2017 года был принят закон, позволяющий банкам открывать счета физическим лицам без их личного присутствия только с использованием биометрических данных, а именно голоса и лица [3].
С началом внедрения банками безналичных платежей биометрия стала спасательным кругом для безопасности. ПИН-код, как средство идентификации и защиты, перестал отвечать требованиям безопасности. Его эффективность резко снизилась с появлением мошеннических технологий, таких как накладки на клавиатуру, скиммер и т.д [4, стр. 35-38].
Каждый способ защиты информации имеет обратную сторону медали. Одной из проблем является высокий риск утечки информации. Такие данные невозможно изменить или обновить – они не отчуждаемы и на всю жизнь. Поэтому их утечка куда серьезнее, чем утечка любых ПИН-кодов.
Например, информация конфиденциального характера была опубликована на интернет-ресурсах Германии. Вина была признана и предъявлено обвинение в совершении преступлений, предусмотренных ч. 1 ст. 183 УК РФ [5] (незаконное получение и разглашение сведений, составляющих коммерческую тайну) и ч. 1 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации) [6].
Информационная безопасность должна занимать ведущее место в построении Единой биометрической системы. Биометрия требует особого правового регулирования. Поэтому на законодательном уровне необходимо максимально точно урегулировать все вопросы, касающиеся биометрии и ее защиты, и предусмотреть усиленный контроль процедуры оборота подобной информации. К тому же, необходимо основательное правовое исследование данных проблем на государственном уровне, которое бы в результате послужило основой при разработке новейшего законодательства. Так, например, Европейский регламент General Data Protection Regulation, (вступивший в силу с мая 2018 г.) признал особый характер исследуемых данных и квалифицировал их как наиболее «уязвимые» в современном информационном социуме, ведь они могут касаться здоровья, частной жизни, политических или религиозных убеждений граждан, обработка которых ограничена. Таким образом, европейские законодатели пришли к выводу, что можно признать эти данные особыми [7, стр. 368-378].
Последствия будут масштабными, если произойдет утечка информации. На данном этапе в банках постепенно вводят биометрию, но соблюдаются ли права граждан при этом?
В соответствии с Федеральным законом «О персональных данных», сведения, обработка физиологических и биологических данных, которые содержат в себе идентифицирующие особенности человека, на основании которых устанавливается личность и которые действительно могут применяться оператором для определения или поиска физического лица, могут использоваться при условии наличия согласия в письменной форме собственника персональных данных, за исключением случаев, предусмотренных законом [1].
Собственно как выглядит процедура соглашения на биометрию. Например, когда приходишь в отделение банка для получения новой карты, работник просит вставить ее и набрать ПИН-код, чтобы активировать. Затем, любезно просит, продиктовать от 1 до 10 и в обратном направлении цифры в микрофон. Это и есть биометрия, с помощью которой в последующем будет использоваться ваш голос. Да, эта процедура добровольная и мы сами решаем, воспользоваться ей или нет. Но, к сожалению, не всегда на практике работники банка спрашивают желание, хотим ли мы воспользоваться данной функцией или нет. Они машинально говорят, что делать, а граждане, не задумываясь, соглашаются на это.
И в этот самый момент нарушаются конституционные права граждан РФ. На наш взгляд для защиты персональных данных необходимо дать возможность 3-м лицам – аутсорсинговым компаниям защищать от неправомерного или случайного доступа к персональным данным, уничтожения или изменения, блокировки, копирования, предоставления к ним доступа, а также распространения.
Существует множество определений аутсорсинга. Аутсорсинг (Оutsourcing) переводится с английского как – заключение договора подряда с внешними фирмами. Аутсорсинг – (англ. outsourcing) – передача традиционных дополнительных функций организации (таких, например, как бухгалтерский учет или рекламная деятельность для авиастроительной компании) внешним исполнителям – аутсорсерам, субподрядчикам, высококвалифицированным специалистам сторонней фирмы [8, стр. 35].
Аутсорсинг, как привлеченное извне явление считается новеллой во всех областях. Бизнес-проекты с аутсорсинговыми компаниями позволяют российским и зарубежным банкам сосредоточиться на выполнении своих основных функций, передав управление иными функциями специально созданным интернет-проектам или удаленным администраторам [9].
В процессе внедрения аутсорсинговой составляющей в финансовых организациях/банках, можно выделить как преимущества, так и недостатки. Преимуществами применения банковского аутсорсинга являются:
- Облегченная финансовая нагрузка. Стоимость услуг аутсорсинга гораздо ниже, чем затраты на построение собственной инфраструктуры, обеспечивающей информационную безопасность.
- Освободившиеся средства направляются на профильную деятельностью организации.
- Экономия времени на подбор и обучение кадров – в аутсорсинговой компании необходимые специалисты уже набраны и обучены и имеют необходимый багаж знаний на случай возникновение вопросов.
- Пользуясь услугами аутсорсеров банку не нужно создавать дополнительные рабочие места этим специалистом, тем самым снижаются затраты на расширения рабочих площадок.
- Возможность оптимизации налоговых платежей.
К недостаткам можно отнести:
- Законодательная база не настроена под процессы аутсорсинга.
- Нет предварительного серьезного подготовительного этапа при заключении договора между клиентом (гражданином) и 3-м лицом (аутсорсинговой компанией)
- Отсутствуют гарантии безопасности для информации о клиенте и особенно о его биометрических данных.
Таким образом, применение аутсорсинга для современной финансовой организации может быть весьма благоприятным. Законодательная база должна способствовать развитию таких отношений. Необходимо законодательно закрепить не только связи между банком и аутсорсинговой фирмой, но и совершенствовать алгоритмы безопасности для всех участников процесса. Необходимо проводить разъяснительные мероприятия, форумы и семинары для топ-менеджеров, которые будут способствовать продвижению такого явления как аутсорсинг в области безопасности.
Однако аутсорсинговая компания должна получить согласие субъектов на обработку биометрических данных. Банкам должны быть предъявлены следующие требования: давать аутсорсинговой компании персональные данные граждан только с их письменного согласия; информировать лиц, получающих персональные данные граждан, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные граждан, обязаны соблюдать режим конфиденциальности.
Такой аутсорсинг поможет масштабировать необходимые ИТ-решения под растущие требования банка, разгружать ИТ-сотрудников. С реализацией этих проектов, будут выделены новые отношения, и такие проекты позволят сделать шаг к развитию защищённого информационного общества в России.
Список литературы
- Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных"//http://ivo.garant.ru/#/document/77688035/paragraph/22876:0 (дата обращения 25 февраля 2020г.)
- Конституция Российской Федерации, принята всенародным голосованием 12 декабря 1993 г. // Собрание законодательства РФ. 2014. № 9. Ст.851.
- Федеральный закон от 31.12.2017 г. № 482-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации»// Собрание законодательства РФ. 2018. № 1 (1 ч.). Ст. 66.
- Аюпова А. Р., Ахатов Р. Р. Биометрический паспорт: зло или добро // Здоровый образ жизни как условие устойчивого развития государства: сборник материалов Всероссийской научно-практической конференции. — 2017. — С. 35—38.
- Уголовный кодекс Российской Федерации от 13.06.1996г. № 63-ФЗ//Собрание законодательства РФ. 1996. № 25. Ст. 2954.
- https://ria.ru/20191206/1562060626.html [электронный ресурс], СК обвинил жителя Кубани в утечке данных сотрудников РЖД Дата обращения: 08.12.2019.
- Михайлов М. А., Волеводз А. Г., Сидоренко Э. Л. Международная научно-практическая конференция в Государственной Думе «Совершенствование системы дактилоскопической регистрации» //Библиотека криминалиста.// Научный журнал. – 2016. – № 1 (24). – С. 368 – 378.
- Райзберг Б.А., Лозовский Л.Ш., Стародубцева Е.Б. Современный экономический словарь. 5-е изд., перераб. и доп.– М.: Инфра-М, 2007. С. 35
- Волчинков С.А., Никитина Т.В. Банковский аутсорсинг: теоретические и практические аспекты; учебное пособие/ под. ред. д-ра экон. Наук. Проф. Г.Н. Белоглазовой. – СПб.: Изд-во СПбГУЭФ, 2010, С. 10.