Демьяненко Кристина Витальевна – студентка Северо-Кавказского филиала Российского государственного университета правосудия.
Аннотация: В статье автор рассматривает технологии биометрического распознавания человека. В настоящее время биометрические технологии используются и внедряются во многих областях или сферах, направленных на обеспечение защиты информации. Так же автор изучил аутсорсинговые компании, которые могут использоваться для защиты данных.
Ключевые слова: информационные технологии, защита, биометрия, аутсорсинговые компании, идентификация, аутентификация.
Технологии биометрического распознавания человека можно назвать самым многообещающим способом идентификации и аутентификации. Во-первых, это удобно в пользовании, так же отличается особой индивидуальностью и надёжностью.
Основные положения и правила использования биометрии на территории РФ изложены в ст. 11 Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных"[1].
Анализируя способы передачи и использования биометрических персональных данных в законодательстве РФ, необходимо отметить, что к ним применяется особый режим, определяется порядок сбора, хранения и обработки такой информации, устанавливается юридическая ответственность за противоправное использование указанных сведений.
Ст. 23 Конституции РФ [2]. гарантирует каждому право на неприкосновенность частной жизни, личную и семейную тайну. Данная норма определяет границы, которые никто не вправе переступать при получении и при обработке информации о человеке, его персональных данных.
Необходимо упомянуть о запуске проекта, который законодательно урегулирован. В декабре 2017 года был принят закон, позволяющий банкам открывать счета физическим лицам без их личного присутствия только с использованием биометрических данных, а именно голоса и лица [3].
С началом внедрения банками безналичных платежей биометрия стала спасательным кругом для безопасности. ПИН-код, как средство идентификации и защиты, перестал отвечать требованиям безопасности. Его эффективность резко снизилась с появлением мошеннических технологий, таких как накладки на клавиатуру, скиммер и т.д [4, стр. 35-38].
Каждый способ защиты информации имеет обратную сторону медали. Одной из проблем является высокий риск утечки информации. Такие данные невозможно изменить или обновить – они не отчуждаемы и на всю жизнь. Поэтому их утечка куда серьезнее, чем утечка любых ПИН-кодов.
Например, информация конфиденциального характера была опубликована на интернет-ресурсах Германии. Вина была признана и предъявлено обвинение в совершении преступлений, предусмотренных ч. 1 ст. 183 УК РФ [5] (незаконное получение и разглашение сведений, составляющих коммерческую тайну) и ч. 1 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации) [6].
Информационная безопасность должна занимать ведущее место в построении Единой биометрической системы. Биометрия требует особого правового регулирования. Поэтому на законодательном уровне необходимо максимально точно урегулировать все вопросы, касающиеся биометрии и ее защиты, и предусмотреть усиленный контроль процедуры оборота подобной информации. К тому же, необходимо основательное правовое исследование данных проблем на государственном уровне, которое бы в результате послужило основой при разработке новейшего законодательства. Так, например, Европейский регламент General Data Protection Regulation, (вступивший в силу с мая 2018 г.) признал особый характер исследуемых данных и квалифицировал их как наиболее «уязвимые» в современном информационном социуме, ведь они могут касаться здоровья, частной жизни, политических или религиозных убеждений граждан, обработка которых ограничена. Таким образом, европейские законодатели пришли к выводу, что можно признать эти данные особыми [7, стр. 368-378].
Последствия будут масштабными, если произойдет утечка информации. На данном этапе в банках постепенно вводят биометрию, но соблюдаются ли права граждан при этом?
В соответствии с Федеральным законом «О персональных данных», сведения, обработка физиологических и биологических данных, которые содержат в себе идентифицирующие особенности человека, на основании которых устанавливается личность и которые действительно могут применяться оператором для определения или поиска физического лица, могут использоваться при условии наличия согласия в письменной форме собственника персональных данных, за исключением случаев, предусмотренных законом [1].
Собственно как выглядит процедура соглашения на биометрию. Например, когда приходишь в отделение банка для получения новой карты, работник просит вставить ее и набрать ПИН-код, чтобы активировать. Затем, любезно просит, продиктовать от 1 до 10 и в обратном направлении цифры в микрофон. Это и есть биометрия, с помощью которой в последующем будет использоваться ваш голос. Да, эта процедура добровольная и мы сами решаем, воспользоваться ей или нет. Но, к сожалению, не всегда на практике работники банка спрашивают желание, хотим ли мы воспользоваться данной функцией или нет. Они машинально говорят, что делать, а граждане, не задумываясь, соглашаются на это.
И в этот самый момент нарушаются конституционные права граждан РФ. На наш взгляд для защиты персональных данных необходимо дать возможность 3-м лицам – аутсорсинговым компаниям защищать от неправомерного или случайного доступа к персональным данным, уничтожения или изменения, блокировки, копирования, предоставления к ним доступа, а также распространения.
Существует множество определений аутсорсинга. Аутсорсинг (Оutsourcing) переводится с английского как – заключение договора подряда с внешними фирмами. Аутсорсинг – (англ. outsourcing) – передача традиционных дополнительных функций организации (таких, например, как бухгалтерский учет или рекламная деятельность для авиастроительной компании) внешним исполнителям – аутсорсерам, субподрядчикам, высококвалифицированным специалистам сторонней фирмы [8, стр. 35].
Аутсорсинг, как привлеченное извне явление считается новеллой во всех областях. Бизнес-проекты с аутсорсинговыми компаниями позволяют российским и зарубежным банкам сосредоточиться на выполнении своих основных функций, передав управление иными функциями специально созданным интернет-проектам или удаленным администраторам [9].
В процессе внедрения аутсорсинговой составляющей в финансовых организациях/банках, можно выделить как преимущества, так и недостатки. Преимуществами применения банковского аутсорсинга являются:
К недостаткам можно отнести:
Таким образом, применение аутсорсинга для современной финансовой организации может быть весьма благоприятным. Законодательная база должна способствовать развитию таких отношений. Необходимо законодательно закрепить не только связи между банком и аутсорсинговой фирмой, но и совершенствовать алгоритмы безопасности для всех участников процесса. Необходимо проводить разъяснительные мероприятия, форумы и семинары для топ-менеджеров, которые будут способствовать продвижению такого явления как аутсорсинг в области безопасности.
Однако аутсорсинговая компания должна получить согласие субъектов на обработку биометрических данных. Банкам должны быть предъявлены следующие требования: давать аутсорсинговой компании персональные данные граждан только с их письменного согласия; информировать лиц, получающих персональные данные граждан, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные граждан, обязаны соблюдать режим конфиденциальности.
Такой аутсорсинг поможет масштабировать необходимые ИТ-решения под растущие требования банка, разгружать ИТ-сотрудников. С реализацией этих проектов, будут выделены новые отношения, и такие проекты позволят сделать шаг к развитию защищённого информационного общества в России.
Список литературы