Представляем вашему вниманию ещё один доклад, который был на Международной конференции Privacy Day 2023.
Данила Бектурганов, президент ОФ «Гражданская экспертиза», рассказал о проблемах биометрической идентификации в РК с точки зрения воздействия на права человека и сохранения приватности граждан. В самом начале доклада он напомнил о том, какие нормы содержатся в законодательной базе, касающиеся персональных данных и биометрии.
В Казахстане собираются следующие биометрические данные: цифровое фото и геномная информация.
Первичный сбор фото осуществляют подразделения МВД и Пограничной службы КНБ РК, хранением занимаются Государственная база данных физлиц Министерства Юстиции и ЕИС «Беркут».
Первичный сбор геномной информации поручен также МВД, а хранение — АИС БИЛ МВД РК.
Сбор дактилоскопических данных отложен до 1 января следующего года, напомнил эксперт.
В качестве примера цифрового фото Данила Бектурганов привёл процесс получения паспорта или удостоверения личности, когда в ЦОНе вам делают фотографию, и она является эталонным цифровым изображением гражданина РК, которое можно расценивать в качестве биометрической информации.
В качестве примера цифрового фото Данила Бектурганов привёл процесс получения паспорта или удостоверения личности, когда в ЦОНе вам делают фотографию, и она является эталонным цифровым изображением гражданина РК, которое можно расценивать в качестве биометрической информации.
Геномная же информация собирается не со всех, отметил эксперт. В основном это связано с криминальными кейсами, либо такой сбор ведётся при поиске пропавших без вести лиц.
В перечне проблем существующих систем сбора, хранения и сбора биометрии эксперт назвал:
- децентрализованное законодательное регулирование;
- отсутствие методологии по разделению верификации/идентификации и разделению ответственности за неправильно проведённые верификацию/идентификацию;
- отсутствие понятия «владельца данных» и «утечки данных»;
- отсутствие требований и стандартов к форматам биометрических данных;
- технически не реализованы возможности по праву на уничтожение и просмотр запрошенных/предоставленных персданных;
- данные хранятся в различных системах и госбазах, в связи с чем возможно расхождение сведений;
- нет механизмов реализации норм законодательства на уничтожение данных и на просмотр данных, запрошенных третьими лицами;
- невозможность верификации биометрических данных ввиду хранения различных модальностей и назначений использования данных;
- невозможность определения достоверности данных ввиду отсутствия взаимодействия между акторами;
- возможно нарушение целостности биометрических данных, их подмена, удаление, компрометация, а также недостоверность;
- неопределённость со сроками введения в действие ЗРК "О дактилоскопической и геномной регистрации в части дактилоскопических данных;
- отсутствует правовое регулирование использования систем Face ID, хотя эти системы де факто существуют и используются;
- низкий уровень доверия людей к внедрению новых технологических инструментов, сбору чувствительных данных.
В связи с этим Данила Бектурганов озвучил несколько перспективных решений озвученных выше проблем. Одним из главных является осуществление программы создания Национальной Платформы Цифровой Биометрической Идентификации, включающей систему сбора и миграции данных, контрольную биометрическую систему, операционные базы данных, платформу биометрической верификации и систему управления согласиями на сбор и обработку данных.
Озвучивая наиболее часто задаваемые по поводу биометрии вопросы, эксперт рассказал об обязательной сдаче дактилоскопических данных, которую придётся сдавать всем гражданам РК, обратившимся для получения паспорта или удостоверения личности, иностранцам, иммигрантам, а также детям от 12 лет при получении паспорта РК. Как говорилось ранее, запуск сдачи дактилоскопии пока назначен на 1 января 2024 года.
Как и утечка любых других данных, компрометация биометрических данных принесёт жертве большое количество проблем, предупреждает Бектурганов. Хотя за операторами закреплена обязанность применять различные технические меры против краж данных, такого рода инциденты не могут быть полностью исключены. Но есть способы минимизации потерь в случае утечки или кражи биометрии.
В перечне проблем существующих систем сбора, хранения и сбора биометрии эксперт назвал:
- децентрализованное законодательное регулирование;
- отсутствие методологии по разделению верификации/идентификации и разделению ответственности за неправильно проведённые верификацию/идентификацию;
- отсутствие понятия «владельца данных» и «утечки данных»;
- отсутствие требований и стандартов к форматам биометрических данных;
- технически не реализованы возможности по праву на уничтожение и просмотр запрошенных/предоставленных персданных;
- данные хранятся в различных системах и госбазах, в связи с чем возможно расхождение сведений;
- нет механизмов реализации норм законодательства на уничтожение данных и на просмотр данных, запрошенных третьими лицами;
- невозможность верификации биометрических данных ввиду хранения различных модальностей и назначений использования данных;
- невозможность определения достоверности данных ввиду отсутствия взаимодействия между акторами;
- возможно нарушение целостности биометрических данных, их подмена, удаление, компрометация, а также недостоверность;
- неопределённость со сроками введения в действие ЗРК "О дактилоскопической и геномной регистрации в части дактилоскопических данных;
- отсутствует правовое регулирование использования систем Face ID, хотя эти системы де факто существуют и используются;
- низкий уровень доверия людей к внедрению новых технологических инструментов, сбору чувствительных данных.
В связи с этим Данила Бектурганов озвучил несколько перспективных решений озвученных выше проблем. Одним из главных является осуществление программы создания Национальной Платформы Цифровой Биометрической Идентификации, включающей систему сбора и миграции данных, контрольную биометрическую систему, операционные базы данных, платформу биометрической верификации и систему управления согласиями на сбор и обработку данных.
Озвучивая наиболее часто задаваемые по поводу биометрии вопросы, эксперт рассказал об обязательной сдаче дактилоскопических данных, которую придётся сдавать всем гражданам РК, обратившимся для получения паспорта или удостоверения личности, иностранцам, иммигрантам, а также детям от 12 лет при получении паспорта РК. Как говорилось ранее, запуск сдачи дактилоскопии пока назначен на 1 января 2024 года.
Как и утечка любых других данных, компрометация биометрических данных принесёт жертве большое количество проблем, предупреждает Бектурганов. Хотя за операторами закреплена обязанность применять различные технические меры против краж данных, такого рода инциденты не могут быть полностью исключены. Но есть способы минимизации потерь в случае утечки или кражи биометрии.
Один из таких подходов — взятие в качестве шаблонов не всех, а только части дактилоскопических данных. Например, отпечаток большого пальца одной руки и мизинца другой. Это позволит достаточно точно идентифицировать человека, а в случае компрометации заменить на другие данные без ущерба для точности его биометрической идентификации. То же самое касается и других данных (лицо, «радужка», etc).
Рассказал эксперт и о слежке с помощью распознавания лиц, например, для этого уже есть система «Сергек» и эталонные цифровые фото граждан РК. Но правовой базы по использованию Face ID для наблюдения за гражданами и суперкомпьютеров с ИИ для идентификации с использованием изображений камер и фото из государственных баз пока не существует.
Ознакомиться с полным докладом можно, перейдя по ссылке на видеоролик.
Видео всей конференции можно увидеть здесь.