Еще каких-то 20-25 лет назад распознавание человека по лицу, голосу или отпечатку пальца представлялось либо научной фантастикой, либо порождением разума сценаристов и кинорежиссеров. Но сейчас биометрические данные и использующие их системы — это даже не наше будущее, это наша реальность, к тому же закрепленная в том числе и на юридическом уровне.
Изначально биометрия использовалась только для судебной идентификации, сегодня же она интегрирована во многие акты нашей повседневной жизни и используется для предварительной идентификации людей. Например, это контроль доступа работников к офисным, банковским помещениям; входы в компьютерные системы; доступ к онлайн-сервисам; распознавание личности при переходе государственной границы и др. В некоторых странах это также средство подтверждения подключения пользователя к телевизионным услугам; механизм замены электронных ключей в процессе осуществления онлайн-платежей или процедура защиты оборота медицинских данных.
Если говорить о применении биометрических технологий на государственном уровне, то лидерами можно назвать следующие страны: Китай, США, Индия, Юго-Восточная Азия. Там широко распространена практика распознавания лиц в общественных местах и при использовании банковских услуг. При этом коммерческий рынок биометрических технологий развивается повсеместно – он не привязан к определенной стране, но зависит от технологического развития и рынка инвестиций.
Основная задача биометрической идентификации —это в первую очередь безопасность человека. Поэтому биометрия востребована на объектах, требующих повышенного уровня защищенности, — например, на предприятиях промышленного комплекса и ТЭК, в аэропортах, банках, на вокзалах и других объектах транспортной инфраструктуры. В последние годы интерес к внедрению биометрии проявляют бизнес-центры, где идентификация по лицу выполняет задачи безопасности, служит инструментом формирования комфортной, дружелюбной рабочей среды и анализа занятости офисного пространства.
Биометрические данные, их природа и признаки
В самом общем виде методы биометрии можно определить как компьютерные методы, которые позволяют автоматически распознавать человека на основе его физических, биологических или поведенческих характеристик. Соответственно, биометрические данные — это такая разновидность персональных данных, которая является результатом специфической технической либо информационной обработки этих характеристик людей, и позволяет в итоге автоматически идентифицировать субъекта данных.
Собственно говоря, именно так они и определяются в законодательных актах разных стран. Но к этому мы еще вернемся позднее, а пока поговорим о сущностных признаках биометрических данных. К ним можно отнести: универсальность, уникальность, неотчуждаемость, нефальсифицируемость, устойчивость и измеримость.
Универсальность биометрических данных означает, что каждый человек обладает физиологическими, физическими и поведенческими особенностями. Какие-то присущи ему от рождения, другие формируются по мере становления личности, третьи приобретаются по воле лица. Например, рисунок папиллярных узоров на поверхности рук формируется во внутриутробном периоде жизни человека, а походка, рост и голос — гораздо позже.
Следующим критерием, характеризующим биометрические персональные данные, может быть названа их уникальность. Отпечатки пальцев, геометрия руки, радужная оболочка, рисунок вен, голос, геометрия лица — это далеко не весь перечень индивидуальных особенностей человека, на основании которых возможна его идентификация, при которой вероятность ошибки минимальна. Даже у близнецов такие особенности уникальны и неповторимы.
Более того, в отличие от иных персональных данных, биометрические характеризуются неотчуждаемостью. Иными словами, сведения о биометрических особенностях человека не могут быть им изменены или удалены по собственному усмотрению. Даже если изменить, например, папиллярные узоры или лицо с помощью пластической хирургии, подделать рост, голос или цвет глаз практически невозможно.
Не менее важным их признаком является нефальсифицируемость. Проблема фальсификации персональных данных стоит довольно остро. Наиболее устойчивыми к ней являются как раз биометрические данные. Причиной тому служит уже рассмотренный выше признак неотчуждаемости таких данных, а также сложность осуществления подделки. Как правило, фальсификация биометрических данных требует наличия у субъекта специальных навыков и знаний, а также технического сопровождения.
Устойчивость как признак биометрических данных характеризуется периодом времени, в течение которого свойство объекта остается в неизменном состоянии. Относительно иных персональных данных биометрические обладают значительно более высокой степенью устойчивости. Однако отдельные особенности человека подвергаются возрастным изменениям, а также могут меняться в связи с перенесенной медицинской операцией или травмой.
И, наконец, можно выделить признаки измеримости биометрических данных, то есть техническую возможность сбора и сопоставления собранных данных для проведения идентификации, а также аутентификации и верификации.
Как мы уже говорили выше, биометрические данные в самом общем виде можно определить как совокупность данных, полученных в результате технической обработки физических, биологических или поведенческих характеристик индивида, благодаря которой последнего можно четко идентифицировать.
Именно так они трактуются, например, в статье 2 закона Аргентины “О защите персональных данных” (2000). Согласно ей, к таким данным относятся персональные данные, полученные при помощи специальных технических устройств, относящиеся к физическим, физиологическим или поведенческим особенностям физического лица, позволяющие его идентифицировать.
Общеевропейский Регламент по защите персональных данных (GDPR), вступивший в 2018 году в силу на всей территории Евросоюза, также относит к биометрическим «персональные данные после специфической технической обработки, относящиеся к физическим, физиологическим или поведенческим признакам физического лица, которые позволяют провести или подтвердить уникальную идентификацию указанного физического лица, например, изображение человеческого лица или дактилоскопические данные» (ст. 4(14) GDPR).
Такой же подход зафиксирован и казахстанским законодателем в п.1 статьи 1 Закона РК “О персональных данных и их защите” от 21 мая 2013 г. № 94-V, согласно которому к биометрическим персональным данным относятся «данные, которые характеризуют физиологические и биологические особенности субъекта персональных данных, на основе которых можно установить его личность».
Но это все-таки достаточно узкое понятие. Если говорить более широко, то к биометрическим персональным данным относятся физиологические параметры (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и др.) и иные физиологические или биологические характеристики человека, в том числе его изображения (фотография и видеозапись), поскольку они характеризуют физиологические и биологические особенности человека.
Министр цифрового развития, инноваций и аэрокосмической промышленности РК своим приказом от 27 октября 2020 года утвердил Правила сбора, обработки и хранения биометрических данных физических лиц для их биометрической аутентификации при оказании государственных услуг. Как отмечается в документе, сбор и обработка биометрических данных для аутентификации при оказании государственных услуг, производится у физических лиц, достигших 18-летнего возраста, на добровольной основе.
Сбор и обработка биометрических данных у физического лица, недееспособность (ограниченная дееспособность) которого установлена судом, проводится только в присутствии и на основании письменного заявления его опекуна (попечителя)
«Процесс сбора биометрических данных осуществляется бескрасковым методом путем сканирования всех существующих пальцев обеих рук на дактилоскопическом сканере», — говорится в документе.
При наличии у человека биометрических данных на отдельных ногтевых фалангах пальцев рук открытых ран и иных повреждений, временно исключающих их сбор, а также имеет деформированные суставы, сбор биометрических данных проводится по неповрежденным или менее деформированным пальцам.
Физические лица, ранее прошедшие процедуры сбора биометрических параметров, проходят процедуру сбора повторно с его письменного согласия, если лицо, прошедшее сбор биометрических данных, не распознается по базе биометрических данных ввиду приобретенных необратимых повреждений папиллярных узоров ногтевых фаланг пальца (например, рубцов, шрамов вследствие кожных заболеваний, значительных травм).
Сбору и обработке биометрических данных не подлежат лица со следующими физическими недостатками, исключающими возможность дактилоскопирования:
-
отсутствие всех пальцев на обеих руках;
-
отсутствие папиллярных узоров на ногтевых фалангах всех пальцев обеих рук.
При обращении физического лица, прошедшего сбор биометрических данных или у законного представителя, опекуна физического лица, недееспособность которого установлена судом, с заявлением о желании уничтожения из Базы своих биометрических данных в день получения обращения уничтожаются.
Хранение и передача биометрических данных осуществляется с использованием средств криптографической защиты информации, имеющих параметры не ниже третьего уровня безопасности в соответствии со стандартом РК «Средства криптографической защиты информации. Общие технические требования».
Казахстанский рынок биометрии: отличительные черты и перспективы развития
Если раньше биометрическая система использовалась на объектах повышенной безопасности, то сегодня она распространена везде — от международных компаний до микрофинансовых организаций. Первые могут вести учет рабочего времени сотрудников, вторые — оптимизировать бюджет за счет смены кассиров на автоматизированную систему искусственного интеллекта, выполняющую те же задачи.
Казахстан активно применяет биометрические технологии в разных областях. Высокие темпы развития сегмента во многом диктовал госсектор: биометрия используется при оформлении виз, паспортном контроле, в большинстве стран мира внедрены биометрические паспорта. В Казахстане в конце 2016 года впервые был принят Закон «О дактилоскопической и геномной регистрации», в соответствии с которым органы внутренних дел должны осуществлять сбор отпечатков пальцев у казахстанцев, иностранных граждан и лиц без гражданства, постоянно проживающих в стране. По замыслу разработчиков, наличие геномной базы данных позволит повысить раскрываемость преступлений, более успешно вести их профилактику и ускорит процесс опознания.
Ближе к 2021 году из-за отсутствия финансирования, которое ушло на здравоохранение, сроки обязательной дактилоскопии граждан перенесли на несколько лет. В итоге, с 1 января 2021 года вступил в действие закон по части геномной регистрации, а дактилоскопическую регистрацию планируют начать с 2023 года. Сегодня геномная регистрация осужденных осуществляется органами внутренних дел. Сбор и обработка регламентируются согласно правилам проведения дактилоскопической и геномной регистрации.
При этом в исследовании экспертной группы информационной кампании #Biometry_KZ сообщалось, что на начало 2021 года нет общедоступной информации от госорганов по необходимым мерам и расходам в рамках реализации дактилоскопии граждан, то есть нет никакой экономической прозрачности. Также непонятно, куда и на что именно будут потрачены средства. Нет цифр и в официальных документах.
По словам эксперта #Biometry_KZ, замдиректора высшей школы права университета КазГЮУ им. М.С. Нарикбаева и представителя DRC Qazaqstan Даны Мухамеджановой, до начала реализации проекта по дактилоскопии граждан денег не осталось и неизвестно, когда госорганы сообщат о финансировании.
«Мы еще не знаем, на что будут потрачены средства, какое оборудование будет куплено. Наша команда отправляла запросы в МВД, КНБ и другие государственные учреждения, но по оснащению нам ничего не сказали. Также когда мы подняли вопрос о социальном влиянии, т. е. если на кампанию по реализации дактилоскопической регистрации будет потрачено меньше средств из республиканского бюджета, будет ли соответствовать оборудование критериям, стандартам хранения информации, нам тоже ничего не ответили. <...> Я думаю, люди могли бы подготовиться к дактилоскопии при должной информационной поддержке со стороны государственных органов. Это важно, потому что нельзя резко заявлять о том, что с 2023 года ты не получишь удостоверение, если не сдашь отпечаток. У многих людей в сознании сдача отпечатка пальцев связана с неприятными моментами. Иногда больше с тем, что ассоциации идут с подозреваемым лицом», — рассказывала Дана еще в июле 2022 года.
При этом в статье 443-1 КоАП РК предусмотрены штрафы за отказ от обязательной дактилоскопической регистрации, где для граждан РК он составляет 2 МРП, а для иностранцев или лиц без гражданства — 5 МРП.
«Если вы откажетесь от регистрации — заплатите штраф, но если заплатите и не станете регистрироваться, вам просто не выдадут новое удостоверение без привязки <...> Также нужно понимать, что главный регламент Европейского союза имеет трансграничный характер. И если в Казахстане на границе будут неправильно или с нарушениями собирать данные иностранцев, то стране грозят многомиллионные штрафы, и уже не в тенге, а в евро», —отметила Дана Мухамеджанова.
Самым активным пользователем в вопросах биометрии выступает корпоративный сектор Казахстана – она упрощает и автоматизирует почти все процессы крупных банков и снижает необходимость в бумажном документообороте.
«Большая потребность в создании инструментов удаленной идентификации, которую пока не запустили, спровоцировала развитие биометрии в коммерческом секторе: если инфраструктурные элементы не создаются, рынок сам создает их внутри своих экосистем. Сейчас биометрия набирает обороты за счет улучшенных технологий и возможностей создания быстрых, легких и надежных процессов», — считает директор по развитию бизнеса Первого кредитного бюро (ПКБ) Асем Нургалиева. По ее мнению, эти технологии в Казахстане будут активно развиваться на национальном уровне, в коммерческом и государственном секторе.
Наиболее гибкой и передовой оказалась банковская среда, которая еще до пандемии позволяла управлять финансовыми операциями в удаленном режиме и производить оплату без физических карт. Сегодня "внеофисный" банк становится оптимальным решением: биометрические технологии помогают развивать бесконтактные услуги, уменьшать количество посещений в отделения и экономить время клиентов.
Так, Национальный банк Казахстана с 1 октября 2020 года запустил в промышленную эксплуатацию сервис удаленной биометрической идентификации для получения финансовых услуг. Сервис дает возможность получения финансовых услуг с применением технологии «распознавания лица» без физического посещения отделений и офисов. Оператором системы выступила дочерняя организация Национального Банка – РГП «Казахстанский центр межбанковских расчетов» (КЦМР). С использованием биометрии казахстанцам теперь можно получать такие услуги, как открытие банковских счетов и депозитов, выпуск платежных карточек, кредитование.
Кроме того, в Нацбанке уточнили, что сервис станет доступен банкам, страховым компаниям, профессиональным участникам рынка ценных бумаг, платежным и микрофинансовым организациям.
В августе 2022 года министр цифрового развития, инноваций и аэрокосмической промышленности РК Багдат Мусин сообщил о том, что в Казахстане планируют ввести биометрическую идентификацию при регистрации мобильных номеров. «Таким образом мы хотим избежать случаев, когда телефонные номера регистрируются на других лиц», — написал министр в своих социальных сетях.
«Мы будем проводить биометрическую идентификацию при регистрации мобильного телефона. На одного человека оформляется сумма номеров, они вывозятся за границу, и через них мошенники начинают совершать мошеннические действия. Для того чтобы это предотвратить, мы сейчас вносим необходимые изменения в нормативные документы, технически мы готовы. Вы видите, везде используется биометрическая идентификация», — сказал он, отвечая на вопрос журналистов портала Tengrinews.kz.
По словам министра, норма будет вводиться и для новых, и для старых номеров.
«После этого мы думаем, что лиц, покупающих по тысяче номеров и оформляющих на себя, будет меньше. Если через них будут мошеннические действия, то они будут нести ответственность. Сегодня они говорят, что не знали, что оформление пошло. При биометрической идентификации уже будет уверенность, что человек действительно, когда покупал номер, подтвердил, что это его номер», — пояснил Мусин.
Говоря о рисках масштабного введения биометрии в РК, эксперты отмечают, что алгоритмы биометрических технологий пока все же не идеальны и небольшая доля погрешности присутствует. «Но даже эта погрешность выражается не в ошибках, а в том, что в некоторых случаях биометрическая система все же предупреждает оператора и выводит процесс верификации на ручной уровень. Для снижения такой погрешности организациям стоит детально тестировать работу биометрических систем, делать больше пилотных проектов, изучать, какие технологии биометрия может автоматизировать, а потом внедрять их», – считает один из экспертов Евразийского банка, опрошенных Forbes.kz.
Тем не менее, ряд специалистов полагает, что введение новых технологий может как максимально облегчить, так и максимально осложнить жизнь человека. Появление такого мощного инструмента в руках крупных компаний и государства вызывает вполне обоснованные страхи даже у самых здравомыслящих людей. При этом нельзя забывать, что криптозащита — достаточно дорогое решение».
Существует вариант дальнейшего развития биометрических технологий в рамках регуляторной песочницы, где будут созданы условия, которые помогут государству и участникам рынка понять, как может развиваться сегмент. Шагом к более активному внедрению биометрических решений могут стать предоставление доступа к государственным базам данных физических лиц, усиление цифровизации документооборота со стороны госструктур, профессиональное сотрудничество государственного и банковского сектора, нацеленное на противодействие мошенничеству.