Что такое биометрические данные и зачем их все собирают?
Биометрические данные — это уникальные биологические и физиологические характеристики, которые позволяют установить личность человека. Есть пять самых распространенных типов биометрии: отпечаток пальца, изображение лица, голос, радужная оболочка глаза и рисунок вен ладони и пальца.
А кто и зачем их собирает?
Как правило, биометрию используют для цифровой идентификации граждан. Например, банкам ваши биометрические данные нужны, чтобы предоставлять разные услуги удаленно. Скажем, вы хотите открыть счет или взять кредит. Раньше для этого вам нужно было идти в банк, а теперь многое из перечисленного можно сделать через интернет.
И все? Как еще это может мне помочь?
Это может помочь, например, когда вы соберетесь лететь за границу. В некоторых странах уже можно не тратить время в очередях на паспортный контроль:
достаточно подойти к специальному датчику, приложить паспорт, отсканировать сетчатку глаза и свободно выйти в город. В магазинах уже сейчас нам помогает биометрия, правда пока посредством телефона — вы можете расплатиться за покупки просто приложив палец к своему гаджету. Использование биометрических данных сделает проще и удобнее и получение других услуг. Мы уже рассказывали об этом подробнее вместе с Росбанком.
Ясно. А как начать этим пользоваться?
Нужно зарегистрироваться в Единой биометрической системе. Для этого сперва вам нужно стать клиентом банка, например, прийти и открыть счет. Сотрудник банка поможет завести учетную запись на «Госуслугах» (если у вас ее нет), соберет ваши биометрические данные — фотографию и запись голоса, а затем отправит их в Единую биометрическую систему. После этого вы сможете дистанционно получать услуги банков, которые предоставляются по удаленной идентификации. Нужно будет ввести логин и пароль от «Госуслуг», а потом произнести контрольную фразу, глядя в камеру смартфона или компьютера. Система вас распознает — и доступ к услугам откроется.
Сегодня регистрацию в Единой биометрической системе можно пройти в девяти российских банках. Среди них — «Росбанк», вместе с которым мы подготовили эти карточки. Адреса отделений Росбанка можно узнать вот здесь.
А насколько это надежно?
Биометрия — это уникальный «ключ», который нельзя потерять и практически невозможно подделать. Кроме того, система предусматривает дополнительные механизмы защиты от мошенников. Работает это так: пользователь присылает видео для удаленной идентификации, алгоритмы обрабатывают отдельно изображение лица и голос и определяют процент схожести с биометрическим контрольным шаблоном. Если алгоритм не распознал гражданина, в работу включается так называемый «модуль аномалий», который анализирует причины несоответствия и в случае угрозы мошенничества отправляет уведомление в банк. Такой подход позволяет блокировать мошенников в течение нескольких секунд.
И что, система совсем не дает сбой? А если, например, ей будут пользоваться близнецы?
Точность распознавания у биометрических алгоритмов намного выше, чем у человека. Например, если один близнец придет в банк и попробует открыть счет на имя другого — вполне возможно, что у него это получится и операционист не заметит подвоха. С биометрической системой такое не сработает: во-первых, применяется двухфакторная идентификация — алгоритмы распознают людей не только по лицу, но и по голосу (а даже у близнецов они разные), а во-вторых, для идентификации в системе нужно знать логин и пароль от «Госуслуг» — это гарантирует дополнительную защиту данных.
А что будет, если у меня поменяется голос или, например, в результате травмы изменится мое лицо?
Если вы отрастите бороду, наденете очки или ярко накраситесь, система все равно сможет вас распознать. Но на процесс идентификации могут повлиять серьезные изменения голоса (например, сильная охриплость) или внешности. В этом случае вам придется идти в банк, чтобы сфотографироваться и записать голос. В целом же обновлять биометрические данные нужно один раз в три года.
Окей. А как с этим обстоят дела в мировой практике и в России?
Крупнейшая в мире база биометрических данных существует в Индии. В системе Aadhaar зарегистрировано более 80% населения страны, и биометрия используется в разных сферах: финансах, туризме, образовании и государственных услугах.
В России биометрические технологии только развиваются: пока процедуру биометрической идентификации запустили только девять банков. Со временем Единую биометрическую систему начнут использовать в медицине, образовании, ритейле и других отраслях.
Биометрические персональные данные, нюансы и тонкости обработки
Применение биометрии как способа идентификации появилось еще в далеком 19-м веке. Английские колонизаторы ввели практику идентификации своих контрагентов из числа индийцев по отпечаткам пальцев и ладоней. Метод дорабатывался в дальнейшем, но применяется и по сей день. В этой статье мы попытаемся разобраться, что же относится к биометрическим данным и какие особенности обработки возникают у оператора при работе с данной категорией персональных данных.
Биометрические персональные данные, что это?
Для начала обратимся к определению, которое приводится в ст. 11 ФЗ-152 «О персональных данных». Биометрические персональные данные — это сведения, которые характеризуют физиологические и биологические особенности человека, и которые используются для установления личности субъекта ПД.
Исходя из разъяснений Роскомнадзора, к физиологическим данным относятся: дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес, а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность.
Например, цветное цифровое фотографическое изображение лица владельца паспорта является биометрическими персональными данными владельца документа. Эта норма закреплена в ПП РФ № 125 от 4 марта 2010г. Здесь речь идет о чипе внутри первой страницы биометрического паспорта (спасибо за поправки пользователю t12589645). В тоже время, необходимо принимать во внимание цель, которую преследует оператор при обработке персональных данных, но об этом чуть позже.
Особенности обработки биометрических персональных данных
Первое, что мы видим открыв ст. 11 ФЗ-152: « Обработка биометрических персональных данных может осуществляться только с письменного согласия субъекта ПД, в случае если данные используются для установления личности субъекта. Это основное отличие обработки данной категории ПД. В остальном оператор должен руководствоваться общими требования 152-ФЗ, к организации обработки персональных данных.
Из этого правила есть и ряд исключений, когда согласие на биометрию не требуется, они приведены в ч.2 ст.11. Письменное согласие не требуется в случаях, когда обработка данных производится в связи:
- с реализацией международных договоров о реадмиссии;
- с осуществлением правосудия и исполнение судебных актов;
- с проведением обязательной государственной дактилоскопической регистрацией;
- в случаях, предусмотренных законодательством РФ об обороне, противодействии терроризму, о транспортной безопасности, о противодействии коррупции, оперативно-розыскной деятельности и т.д.
- Использование изображения в государственных, общественных или иных публичных интересах. Например, к таким случаем можно отнести информацию (фото или видеозапись), связанную с исполнением своих функций должностными лицами и общественными деятелями.Данное исключение зафиксировано в п.25 Постановления Пленума Верховного Суда РФ № 16 от 15 июня 2010г.
- Использование изображения полученного при съемке, проводимой в местах свободного посещения или на публичных мероприятиях: собраниях, концертах, спортивных соревнованиях и т.д. При этом изображение субъекта не должно быть основным объектом использования.
- Использование фотографий и видеозаписей, за которые гражданин получил оплату. Этот и предыдущий пункт регламентированы Статьей 152.1 ГК РФ. «Охрана изображения гражданина»
Цели обработки биометрических персональных данных
Ключевой момент здесь: «используются для установления личности субъекта ПД». Другими словами, если оператор использует паспорт для определения личности владельца документа, то такая обработка должна строго соответствовать требованиям ст.11 Федерального закона « О персональных данных». Давайте разберем это на примерах:
В Вашей организации используется система контроля управления доступа (СКУД) — это может быть таймформер или «аналоговый» вариант в виде сотрудника, который сверяет фотографию из базы данных и присутствующую на Вашем пропуске или паспорте. В данном случае используются фотографии, которые являются биометрическими данными, характеризующие физиологические особенности, и целью обработки является определение личности, предъявляющей пропуск. Согласно разъяснениям Роскомнадзора, фотографии и другие биометрические сведения(отпечатки пальцев и т.д.), используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию относятся к обработке биометрических персональных данных.Такая процедура должна осуществляться только с письменного согласия.
Пример неправильной обработки биометрических персональных данных
Обратимся к Определению Верховного Суда РФ от 05.03.2018 № 307-КГ18-101
По итогам проверки Роскомнадзор выписал предписание организации(бассейну) с требованием прекратить использование фотографий клиентов на пропусках. Нарушение заключалось в отсутствии отдельного письменного согласия посетителей на обработку их биометрических данных, а именно фотографий.
Доводы приводимые оператором персональных данных, о том что:
- Посетители давали общее согласие на обработку ПД,
- Посетители добровольно прикрепляли фото к пропускам
- ПП РФ № 125 не упоминает фото на бумажном носителе, а говорит только о «цветном цифровом фотографическом изображении»
Правильные цели обработки биометрических персональных данных
Вернемся к разъяснениям Роскомнадзора, в которых приведены случаи, когда биометрические данные могут обрабатываться в соответствии с общими требованиями ФЗ «О персональных данных». Например, Вы приходите в банк или поликлинику, там у Вас также могут спросить паспорт и отсканировать его или снять копию. Но в этом случае целью будет являться подтверждение осуществления действий конкретным лицом (заключение договора на оказание услуг, банковских, услуг связи и т.д.) без проведения процедур установления личности. Такие действия уже не будут классифицироваться как обработка биометрических персональных данных. Соответственно, обработка данных должна осуществляться в соответствии с общими требованиями, установленными ФЗ-152.
Достаточно тонкая грань, но при этом являющаяся очень значимым моментом, который может привести к штрафным санкциям,, поэтому рекомендуется систематически проводить внутренний аудит персональных данных.»
Личное дело сотрудника
Также биометрическими персональными данными не является фотография сотрудника, хранящаяся в личном деле и подпись работника. Т.к. все действия, которые совершает работодатель, используя данные из личного дела, направлены на подтверждение их принадлежности конкретному физическому лицу. При этом личность работника уже определена и его персональные данные уже имеются у работодателя.
При этом хранить копию паспорта считается правонарушением, т.к. согласно Статье 65 Трудового кодекса Российской Федерации перечень персональных данных хранимый работодателем не определен, а данная статья определяет перечень данных, которые работник предъявляет при заключении трудового договора. К ним, в частности, относится и паспорт, как документ определяющий личность. Хранение же копии паспорта может классифицироваться как избыточные действие по отношению к заявленным целям их обработки. Здесь в качестве примера приведу пример из кассационной инстанции Северо-Кавказкого округа.
Видеосъемка в общественных местах
В том случае, если на охраняемой территории или в публичных местах ведется видеосъемка, эти данные также не могут считаться биометрическими ПД, поскольку владелец видеокамеры не использует их для идентификации конкретного человека. Биометрическими эти данные могут стать, в случае передачи их в правоохранительные органы и если переданные видеоматериалы будут использоваться для определения личности конкретного физического лица.
На что стоит обратить внимание оператору организующему такую видеосъемку?
Оператор в таком случае должен проинформировать посетителей о том, что в данном месте ведется фото-, видеосъемка. Это может быть текстовая табличка или специализированная наклейка, специальных требований к оформлению не предъявляется. В том случае, если Вы выполнили это простое требование, то согласие посетителей на проведение таких мероприятий не требуется.
Если же Вы установили видеонаблюдение в рабочих помещениях, то не забудьте проинформировать работников об этом. Уведомлять нужно обязательно под роспись. Данное требования закреплено в Трудовом кодексе РФ ст. 74 и заключается в изменении условий трудового договора.
Цели организации видеонаблюдения
Повторю это еще раз, определение целей обработки – одна из ключевых задач оператора. И организация видеонаблюдения не является исключением. Цели должны быть определены заранее и иметь правовое обоснование.
Например, если видеонаблюдение ведется в офисе, то это может быть: «Фиксация возможных действий противоправного характера». В медицинских учреждениях или на производстве продуктов питания целью может быть: «Обеспечение прав пациентов, клиентов или потребителей». Наверняка, заказывая пиццу, Вы сталкивались с возможностью наблюдать за ее приготовлением по средствам вебкамер, направленных на рабочие места.
При этом данный процесс должен быть отражен во внутренней документации оператора. Должен быть определен ответственный, имеющий доступ к системе видеонаблюдения. Обычно это закрепляется приказом. Помимо этого необходимо предусмотреть порядок и сроки хранения видеозаписей, а также порядок их удаления. Само собой не забываем про информационные таблички.
Самое важное в одном абзаце
Подводя итог, еще раз хочется остановиться на самых важных моментах. Внимательно прочитайте ч.2 ст. 11 ФЗ-152 «О персональных данных» и во всех случаях, не попадающих под них, собирайте согласие на обработку биометрических персональных данных в письменном виде. Заранее определяйте цели обработки и строго придерживайтесь их. Не собирайте избыточную информацию. В случае, если Вы не знаете как трактовать то или иное требование закона, обратитесь к разъяснениям РКН или напишите им обращение с Вашим вопросом.
Видео про самые распространенные ошибки, оформлению Согласия на обработку персональных данных можно посмотреть на ютуб канале ПДМастер, также как и другие полезные материалы по тематике «Персональные данные».
Биометрические данные: что это такое и где хранится биометрия
А ещё — вредит ли сдача биометрии здоровью, кому позволено собирать эти данные и могут ли близнецы обмануть системы распознавания лиц.
Иллюстрация: Оля Ежак для Skillbox Media
«Усы, лапы, хвост — вот мои документы!» — помните эти слова Кота Матроскина? Ещё совсем недавно мы даже не думали о том, что для подтверждения личности будет достаточно приложить палец, сказать какое-нибудь слово или просто улыбнуться в камеру. Но сегодня это реальность. Биометрические способы подтверждения личности используются в гаджетах, общественном транспорте, банках и других учреждениях.
В декабре 2022 года в российском законодательстве появился федеральный закон, регулирующий работу с биометрией. Он определяет, кому можно собирать биометрические данные россиян, как они должны храниться и кому можно их передавать. Но вопросы о том, насколько безопасно сдавать биометрические данные и не воспользуются ли ими мошенники, всё ещё остаются.
Что такое биометрия
Биометрия — это система идентификации человека по его физическим характеристикам или поведенческим факторам. Такими характеристиками могут быть отпечатки пальцев, узор сетчатки глаза или голос.
Впервые биометрические данные для подписания документов и договоров в 1859 году использовал Уильям Гершель, служащий одной из британских колониальных компаний. На его взгляд, все индийские рабочие выглядели одинаково, а запомнить их имена не было «никакой возможности».
Чтобы различать рабочих хотя бы документально, Гершель решил использовать метод идентификации, основанный на отпечатках пальцев и ладоней. Сперва он определял владельца только по размеру и форме отпечатка. Потом заметил, что рисунок на отпечатках различается у разных людей, при этом даже по прошествии времени линии не меняются.
Следующий шаг в развитии биометрии сделал криминалист из Франции Альфонс Бертильон. Он взял за основу своей системы учёта и каталогизации преступников существовавший тогда реестр со словесными портретами людей и добавил к нему точные измерения тела преступников, отпечатки пальцев и ладоней.
Постепенно количество биометрических данных увеличивалось. Сейчас к ним относят не только отпечатки пальцев, но и рисунок вен на ладонях, геометрию кисти, сетчатку и радужную оболочку глаз, форму ушей и голос. Кроме этого есть и уникальные для каждого человека поведенческие характеристики: походка, подпись, ритм набора текста на клавиатуре, движения рукой при использовании компьютерной мышки и так далее.
Виды биометрии: что входит в понятие «биометрические данные»
Чтобы отнести какую-то характеристику к биометрическим данным, необходимо, чтобы она соответствовала правилу трёх «У»:
- универсальная — присутствовала у всех людей;
- уникальная — была неповторимой для каждого человека;
- устойчивая — сохранялась у человека на протяжении всей жизни.
Все биометрические данные делятся на два вида: статические и динамические.
Статические
Это постоянные особенности организма, не меняющиеся на всём протяжении жизни. К ним относят, например, отпечатки пальцев. Из-за высокой надёжности и простоты использования это один из самых распространённых видов биометрических данных.
Кроме отпечатков пальцев, к статическим биометрическим данным относят следующие характеристики человека:
- узор радужки глаза;
- рисунок сетчатки;
- черты и термограмму лица;
- расположение венозных сосудов;
- ДНК;
- геометрию кисти рук;
- трёхмерную модель лица.
Динамические
Некоторые характеристики могут меняться на протяжении жизни из-за возраста, заболеваний или других событий. В основном это поведенческие биометрические данные. Например:
- походка;
- характерные жесты;
- почерк;
- голос;
- ЭКГ;
- особенности набора текста.
Кто может собирать биометрию
В декабре 2022 года вступил в силу закон №572-ФЗ о биометрических данных россиян. Он регулирует их сбор, хранение и применение. Самое главное в законе то, что он наделяет самих граждан правом управлять своими биометрическими данными: их первичным сбором, обновлением или удалением.
Сдать и зарегистрировать биометрические данные можно на «Госуслугах», с помощью приложения «Биометрия», в российских банках, прошедших аккредитацию, и в МФЦ. Там же можно и отказаться от использования биометрических данных и удалить их.
Узнать, зарегистрированы ли ваши биометрические данные и, если нужно, удалить их можно на портале «Госуслуг».
Коммерческие организации, колл-центры и другие организации не могут собирать информацию подобного типа. Также сбор биометрических данных без согласия человека невозможен.
Исключение — сбор таких данных сотрудниками МВД в случаях, когда человек подозревается в преступлении. В таком случае фотографии, отпечатки пальцев и другие биометрические данные собираются без согласия подозреваемого и хранятся в отдельной картотеке МВД.
Как работает биометрия
Чтобы подтвердить личность человека по биометрическим данным, используют нейросетевые алгоритмы. Их первостепенная задача — определить, что перед ними живой человек, а не его фотография или трёхмерный слепок головы, распечатанный на 3D-принтере. Этот процесс называется liveness detection, то есть распознавание живого присутствия.
Как работает подтверждение личности? Допустим, клиент банка пришёл в отделение и хочет снять деньги со счёта в кассе, но забыл паспорт. Если он разрешил банку обрабатывать свои биометрические данные, то ему не придётся возвращаться домой за паспортом. Произойдёт вот что:
- Камера в кассе сфотографирует лицо и переведёт его в векторный формат с помощью свёрточных нейросетей . Вектор — это набор чисел, кодирующий уникальные характеристики. В данном случае это геометрические особенности лица.
- Вектор отправится на сервер в информационную систему Единой биометрической системы, которая хранит уникальные векторы клиентов, сдавших биометрические данные. Система будет искать вектор в своей базе и, если найдёт, идентифицирует клиента в Единой системе идентификации и аутентификации.
- Информация о подтверждении или отказе с сервера отправится в банк, и кассир поймёт, выдавать деньги или нет.
Все три этапа занимают пару секунд, и клиент может снять наличные со счёта без паспорта.
Точность биометрических данных высока — например, они позволяют идентифицировать близнецов, не путая их между собой. Нейросети лучше человеческого глаза ищут различия в фотографиях, находя уникальные характеристики лица каждого человека. Но иногда случаются проблемы и близнецы оказываются одним и тем же человеком.
Где хранят и кому передают биометрические данные
Для хранения и обработки биометрические данные поступают в Единую биометрическую систему (ЕБС), запущенную в 2018 году. В ней в зашифрованном виде хранится фотография и запись голоса человека. При этом информация не имеет непосредственной привязки к Единой системе идентификации и аутентификации (ЕСИА), где находятся персональные данные людей, например Ф. И. О., год рождения и другая информация.
Это повышает безопасность всей системы. Даже если мошенники каким-либо образом получат сведения о биометрических данных из ЕБС, они не смогут их использовать. Чтобы это сделать, им потребуется одновременно получить идентификатор из ЕСИА и правильно сопоставить его с характеристиками человека: отпечатками пальцев, голосом и так далее.
Коммерческие компании, например банки, заключившие договор с Единой биометрической системой, получают из её базы требующиеся им сведения. Но это будут не сами биометрические данные, а их вектор, то есть математическое отображение. Само распознавание личности будет осуществляться через ГИС ЕБС. Такая векторная модель работы делает безопасным хранение информации, обеспечивает удобство её использования заинтересованными организациями, не требуя от них дополнительных мощностей для обработки информации. Всю работу на себя берёт ЕБС.
Где и для чего используют биометрические данные
Согласно закону №572-ФЗ, биометрию можно использовать как в государственных структурах, так и в частных компаниях, оказывающих различные услуги.
В банковских организациях
Различные банки, например «Сбер», ВТБ и «Альфа-Банк», начали пользоваться биометрией для идентификации клиентов в 2018 году — с момента запуска ЕБС. Это повысило скорость и безопасность выполнения банковских операций и улучшило обслуживание клиентов за счёт быстрого подтверждения их личности. Сегодня с помощью биометрических данных можно дистанционно открыть счёт или вклад, оформить кредит или снять деньги в банкомате.
При расследовании преступлений
Первые биометрические данные использовали именно для поиска преступников. Сначала это были отпечатки пальцев, оставленные на месте происшествия. Потом носители ДНК, например волосы.
Сегодня в крупных городах, таких как Москва, повсеместно используются камеры видеонаблюдения — на улицах, в офисах и торговых центрах, в аэропортах и других общественных местах. Это часть системы распознавания лиц. Она помогает МВД обнаруживать на улицах и в общественных местах преступников, сверяя полученные данные с видеокамер со своей внутренней базой биометрических данных. Кроме того, эта система с 2023 года используется в Москве для определения места жительства призывников.
В биометрических загранпаспортах
Первые заграничные паспорта с биометрическими данными начали выдавать в 2010 году. В документ внедрён электронный носитель, содержащий фото владельца, отпечатки пальцев и другие сведения о нём.
При подаче заявления на получение загранпаспорта человек может выбрать, какой документ он хочет получить — классический или биометрический. Некоторые страны, например США, Канада, Великобритания, Германия, сегодня принимают туристов только с биометрическим паспортом.
Доступ к мобильным гаджетам, приложениям и сервисам
Все современные смартфоны имеют функцию распознавания лица или отпечатка пальца. Это реализовано и в отдельных приложениях для них — например, на iOS многие программы позволяют использовать для идентификации Face ID. А в Android-смартфонах, помимо распознавания владельца по лицу, есть функция считывания отпечатка пальца.
Самые частые вопросы про биометрические данные
Могут ли государственные учреждения или частные компании собирать биометрические данные без согласия человека?
Согласно федеральному закону №572-ФЗ, никакая организация, будь то частный банк или государственная структура, не может собирать и использовать биометрические данные без согласия человека. То есть необходимо прямое согласие на сохранение биометрических данных в базе ЕБС.
Однако есть исключения. Как было сказано выше, если человек подозревается или обвиняется в совершении преступления, то МВД может собирать данные без его согласия. Кроме того, известно, что в Москве использовались системы распознавания лиц для определения места жительства призывников.
Что делать, если изменилось лицо или отпечатки пальцев?
Геометрия лица или отпечатки пальцев могут поменяться. Например, после травм или пластических операций. В этом случае можно сдать биометрию повторно, обновив её в базе Единой биометрической системы с помощью приложения «Биометрия», в российских банках, прошедших аккредитацию, или в МФЦ.
Могут ли подделать биометрические данные?
Теоретически подделать биометрию возможно, но на практике эта задача настолько сложна, что злоумышленники выбирают другие векторы атаки. Кроме самих биометрических данных, которые хранятся в Единой биометрической системе, злоумышленникам будет необходимо получить доступ к Единой системе идентификации и аутентификации, где хранится информация о человеке — его Ф. И. О., возраст и так далее.
Взлом двух систем одновременно практически невозможен. Поэтому у преступников может оказаться только набор зашифрованных векторов, то есть числа без привязки к конкретному человеку, которые ещё предстоит расшифровать. Для взлома личных кабинетов и получения конфиденциальной информации злоумышленникам проще использовать методы фишинга.
Возможно ли использование биометрии другими людьми?
Биометрические данные — это не просто фотография лица или подушечки пальца, а математическая модель на их основе, учитывающая множество признаков. Например, при оценке геометрии лица модель определяет несколько параметров: точки расположения углов глаз, расстояние между ними, геометрию губ, носа и так далее. Пройти идентификацию или аутентификацию с помощью фотографии или статичной 3D-модели не получится, так как распознавание живого присутствия будет провалено.
Важно, что мошенники могут сделать запись голоса человека. Обычно это короткий фрагмент в 5–10 секунд. Но системы, использующие голос для аутентификации, не просто слушают речь человека, а ещё и общаются с ним — задают вопросы, контролируют тональность и другие параметры. Банки подчёркивают, что снять деньги со счёта или взять кредит с помощью биометрии у преступников не получится.
Вредит ли сдача биометрии здоровью?
Нет. Для сбора и проверки биометрических данных в учреждениях и транспорте используют сканеры, терминалы и другие устройства, которые проходят проверку безопасности.
Может ли информация в социальных сетях стать источником биометрических данных?
Да, главным источником своих биометрических данных в свободном доступе является сам человек. Многие люди выкладывают в социальные сети свои фотографии, видео с мимикой, голосом и походкой. Идентифицировать их при этом несложно, так как все эти данные привязаны к личному аккаунту, в котором указаны имя и город проживания.
Биометрия: что это за система и где используется
Биометрия — это система идентификации и распознавания человека с помощью отличительных физических характеристик, которые уникальны для каждого человека: отпечаток пальца, голос, трехмерный снимок лица или тела, рисунок вен, сетчатка глаза [1]. С древнегреческого языка слово переводится как «измерение жизни».
Биометрические системы прочно вошли во многие сферы: банки, транспорт, а также используются в большинстве современных гаджетов. Почти все современные смартфоны можно разблокировать с помощью отпечатка пальца или просто посмотрев на экран. Данные зашифровываются и хранятся на удаленном сервере или в устройстве и считываются при помощи сканеров.
Есть правило «трех У» при определении требований к биометрическим характеристикам. Они должны быть уникальны, универсальны и устойчивы.
Еще в древности биометрические данные (рост, особые черты, цвет глаз, внешность) использовали как способ подтверждения личности. А уже полноценные исследования в этой области начались в XIX веке, когда чиновник и английский ученый Уильям Гершель выдвинул гипотезу о неизменности отпечатков пальцев человека [2]. Он работал в британской администрации в Индии и выплачивал жалование индийским солдатам. Чтобы солдаты не обманывали и не приходили за деньгами повторно, Гершель обязал их на документах ставить отпечатки двух пальцев. Впоследствии чиновник заметил, что рисунок линий на пальцах с годами не меняется.
Виды биометрии
Статические
Эти типы биометрии основаны на постоянных характеристиках человека, неизменных на протяжении жизни. К ним относятся:
- Отпечаток пальца. Самый популярный, простой и надежный способ. Коэффициент ложной идентификации все же есть, он составляет порядка 3%, однако вероятность нелегального доступа — менее 0,00001% (один из 1 млн случаев) [3].
- Радужка глаза. Особенность этой технологии в том, что человек может не фокусироваться на цели, рисунок радужки находится на поверхности глаза, отсканировать его можно с расстояния меньше 1 м.
- Сетчатка. При этом методе измеряются углы распределения кровеносных сосудов в глазах. Капиллярная сетка различается даже у близнецов.
- Черты лица. Это распознавание двухмерных изображений, извлеченных из фото и видео.
- Термограмма лица. При этом фиксируются тепловые узоры движения крови под кожей. Кровеносные сосуды уникальны у каждого человека, так что это очень точный метод биометрии.
- Рисунок вен. Технология основана на сканировании кровеносных сосудов инфракрасными лучами. Однако такой метод пока не используется широко из-за высокой стоимости сканеров.
- ДНК. ДНК в виде волоска, слюны, частицы кожи, капли крови остаются на месте преступления так же часто, как и отпечатки пальцев. Такой метод идентификации личности распространен в основном в судебной экспертизе.
- Трехмерная модель лица. При этом считывается форма и структура черепа.
- Геометрия кисти руки. Это уже устаревший метод, используется редко, например в системах учета рабочего времени.
- Сердечный ритм.
Динамические
Динамические характеристики приобретаются и меняются в течение жизни, в моменте, когда человек совершает какое-либо действие. К таким относятся:
- Голос. Для идентификации по голосу используются разные комбинации частоты и статистических характеристик. Этот способ чаще всего применяется в банковской сфере и в здравоохранении.
- Походка. Метод достаточно экзотический и пока не внедрен, а только исследуется. Среди преимуществ — возможность распознавания с большого расстояния.
- Жесты — например, распознавание движения пальцев по силе нажатия на экран и манере листать страницы в интернете.
- Почерк — распознавание подписи. К компьютеру подключены перо и планшет, который распознает скорость, время, давление при написании текста.
- Характеристики набора текста на клавиатуре. Оценивается динамика нажатия клавиш — метод, похожий на распознавание подписи, но более современный. Система отслеживает ритм ввода пароля.
Для чего нужна биометрия
Так как физиологические данные человека уникальны и не могут быть утеряны или подделаны, биометрия используется чаще всего в системах контроля доступа в тех сферах, где безопасность особенно важна. Это защищает от мошенников — нельзя подобрать отпечаток пальца в отличие от цифрового ПИН-кода, а также упрощает многие операции — от совершения покупок до регистрации на рейс.
Например, в России с помощью биометрии можно:
- дистанционно пройти регистрацию в банке;
- открыть счет или вклад, оформить кредит;
- расплатиться в магазинах, кафе и т.д.;
- снять деньги в банкомате.
Вот наиболее популярные сферы применения биометрии.
Биометрия в банке
Российские банки собирают биометрические данные клиентов с 2018 года, когда Банк России совместно с «Ростелекомом» запустил Единую биометрическую систему (ЕБС). Это нужно, чтобы повысить скорость обслуживания, удобство, безопасность клиентов, дать возможность пользоваться услугами банка без посещения офиса.
Данные, которые собирают банки, — запись голоса и изображение лица. Сдача биометрии исключительно добровольна, происходит при подписании согласия на обработку данных. Для регистрации в ЕБС нужно прийти в банк с паспортом и СНИЛС, а также иметь аккаунт на сайте госуслуг.
Расследование преступлений
Сбор сведений о правонарушителях стал первой сферой, где начали использовать биометрические данные. Например, поиск отпечатков пальцев на месте преступления. Впервые это применили во французской полиции в конце XIX века [4].
Сейчас ловить преступников также помогают камеры видеонаблюдения, распознающие лица, на улицах городов, в аэропортах, торговых центрах и других общественных местах.
При этом в отличие от частных компаний и государственных организаций в сфере криминалистики биометрические данные не обезличиваются, а также не требуется согласие на сбор информации о человеке.
Получение заграничного паспорта
С 1 января 2011 года в России начали выдавать биометрические заграничные паспорта. Чип, внедренный в документ, содержит как общую информацию о владельце, так и изображение его лица и отпечатки пальцев.
Для планирующих загранпоездки именно биометрический паспорт не обязателен, можно пользоваться классическим документом без биометрии. Но есть свои плюсы, например возможность быстрее пройти границу и увеличенный срок действия — десять лет вместо пяти. Кроме того, некоторые страны разрешают въезд только по биометрическим паспортам.
Здравоохранение
Во многих учреждениях здравоохранения используют биометрическую идентификацию пациентов. Это помогает избежать ошибок, надежно защищает персональные данные и истории болезней.
В некоторых странах биометрические технологии используются в борьбе с наркоманией: по некоторым физиологическим признакам система может определить, находится ли человек под действием запрещенных веществ.
Доступ в приложения и сервисы
С помощью биометрических данных можно войти в сервисы государственных учреждений, например на сайт госуслуг.
Почти все мобильные телефоны оснащены функциями распознавания отпечатков пальцев и лиц. Первыми функцию Touch ID (распознавание пользователя по отпечатку пальцев) внедрила в смартфоны iPhone 5S компания Apple в 2015 году [5]. Распознавание лиц впервые появилось в модели iPhone X, выпущенной в ноябре 2017-го.
Мифы о биометрии
Вокруг биометрии много мифов, разберем самые популярные.
Данные легко подделать
Биометрические и персональные данные хранятся в независимых системах. Например, в ЕСИА (Единая система идентификации и аутентификации) находится информация о паспортных данных, ИНН, СНИЛС и других документах пользователя. Эта система не связана напрямую с ЕБС, где хранятся зашифрованные биометрические данные без привязки к персональной информации и личным документам. Поэтому даже если третьи лица получат к ним доступ, это будет лишь база шаблонов, которыми они не смогут воспользоваться. Ранее оператор ЕБС отмечал, что вероятность ошибки — один на 10 млн случаев [6].
За пользователями могут следить
Если говорить о камерах, то людской поток в зоне их обзора настолько велик, что для слежки за конкретным человеком нужны действительно веские основания. Это может быть использовано, в случае если ведется расследование преступления. На самом деле опасения по поводу слежки с помощью биометрических данных не обоснованы еще и потому, что многие сами активно делятся в соцсетях голосовыми сообщениями, фото, местоположением и эти данные защищены не так хорошо, как биометрические. А если говорить про ГИС ЕБС, представители АО «Центр биометрических технологий» (оператор ЕБС) утверждают, что система не связана с камерами видеонаблюдения.
Данными могут воспользоваться другие люди
На самом деле даже близнецы не смогут использовать уникальную биометрическую информацию своих брата или сестры. В системе хранится не фотография, а математическая модель на основе снимка. Сканер работает не с изображением, а с набором признаков. При сравнении с эталоном система выявит различия. Да, мошенники научились подделывать чужую речь, для этого им достаточно записи с примером продолжительностью 6–7 секунд. Но, к примеру, в ЕБС существует множество этапов проверки, в том числе есть ряд алгоритмов, которые распознают мошеннические действия. Например, алгоритмы liveness защищают от подлога лица в камере, когда мошенник пытается войти в систему с помощью фотографии человека или 3D-маски/слепка его лица. В качестве дополнительной защиты система может попросить назвать клиента последовательность цифр на экране — это активный liveness, проверка «живости» во время биометрической идентификации и аутентификации по лицу.
Биометрические технологии могут быть опасны для здоровья
Многие считают, что сканеры и терминалы идентификации плохо изучены, но они не опаснее обычных фотоаппаратов. В них не используют лазеры, поэтому нет риска для здоровья. Идентификацию черт лица или радужки глаза сканеры проводят бесконтактно. Устройства выпускают с соответствующей документацией, подтверждающей безопасность для человека. Например, у устройства идентификации по венам от BioSmart есть медицинское заключение ФГБНУ «НИИ медицины труда» [7].