На habr.com вышел разбор от специалиста по информационной безопасности: как в России на практике защищается биометрия — наши лица, голоса и отпечатки пальцев. Если коротко: банки и сервисы не имеют права хранить оригинальные селфи и записи голоса у себя, всё это уходит в Единую биометрическую систему (ЕБС), а оператору остаётся только математический «слепок», из которого фото обратно не восстановить.
Что говорит закон
Ключевая норма — статья 11 152-ФЗ: биометрия — это сведения о физиологических особенностях, по которым можно установить личность. Никакого деления на «обычное фото» и «секретный скан» нет: селфи в приложении банка с момента, как его используют для идентификации, становится биометрическими данными со всеми вытекающими.
Дальше включается 572-ФЗ от 29.12.2022. Пункты 2 и 3 статьи 15 фактически запрещают организациям хранить и обрабатывать оригиналы биометрии вне ЕБС. Вместо них работает понятие «вектор единой биометрической системы» — необратимый математический шаблон. Превратить его обратно в фото или аудио нельзя. И главное правило: обрабатывать биометрию можно только с письменного согласия. Исключения — госбезопасность, правосудие, спасение жизни.
Что считается биометрией, а что нет
Минцифры (письмо от 28.08.2020 № ЛБ-С-074-24059) и Роскомнадзор (письмо от 29.08.2022 № 08-78032) уточняют список:
- отпечатки пальцев, радужка, ДНК, рост, вес;
- цветное цифровое фото лица и видео;
- запись голоса.
А вот что биометрией не является: скан паспорта, фото из личного дела, подпись и почерк, рентген, видеонаблюдение в публичных местах. Критерий один: данные становятся биометрией, только если их используют именно для установления личности.
Что с этим делать обычному человеку
Во-первых, не паниковать из-за «банк уже всё снял»: если речь о ЕБС, у банка хранится только вектор, а не ваше лицо в JPEG. Во-вторых, проверьте свои согласия — в приложениях банков это обычно отдельный пункт, и его можно отозвать. В-третьих, помните про безусловное право удаления: вы можете потребовать стереть свои данные из ЕБС, и оператор обязан это сделать. А история с терминалом, который «узнаёт» вас и сам выбирает карту, — отличный повод заглянуть в настройки биометрической оплаты и решить, хотите ли вы такой уровень удобства.