«Тинькофф» и Сбербанк теперь передают биометрические данные клиентов властям. Чем опасно хранение таких данных в государственной системе — и как запретить их использовать?

Банк «Тинькофф» с конца сентября стал просить клиентов согласиться на передачу их биометрических данных в Единую биометрическую систему (ЕБС), а также запрашивать согласие на перевод в формат биометрических данных их фотографий, которые делались при оформлении продуктов. Банк уведомил клиентов о происходящем с помощью сторис в верхней части своего мобильного приложения.

Вскоре под сторис появились тысячи комментариев. Среди прочего пользователи спрашивали, как оформить отказ от обработки данных, поскольку в мобильном приложении банк предусмотрел только кнопку «разрешить».

Подобные уведомления с июня рассылал и Сбербанк. Причина — закон о порядке работы Единой биометрической системы, который Владимир Путин подписал в декабре 2022 года. Он обязал все организации, собирающие биометрические данные, передавать их в государственную систему, уведомив об этом клиентов как минимум за 30 суток. Закон предполагает, что банки должны были обеспечить размещение биометрических персональных данных в единой системе до 30 сентября.

Это уникальные характеристики, которые позволяют идентифицировать человека (поскольку их невозможно или очень сложно изменить). Среди таких характеристик — отпечатки пальцев, изображение лица, голос, а также радужная оболочка глаза.

Чаще всего — изображение лица. Некоторые банки могут использовать также сетчатку и отпечаток, но использование «слепка» лица уже стало стандартом. «Это и составляет большую часть накопленных банком биометрических данных», — рассказал «Медузе» киберадвокат Саркис Дарбинян. В некоторых случаях банк может использовать и голос клиента.

Например, когда вы обращаетесь за кредитом — в этом случае сотрудник банка фотографирует клиента, рассказывает юрист Алексей Слободчиков. Позднее эти данные используют в том числе в отделениях:

Организации должны получать разрешение клиента на использование подобных данных. Однако раньше банки могли получать такое согласие в устной форме или через приложение, говорит юрист, основательница проекта «Ковчег» Анастасия Буракова:

После принятия нового закона — точно нет. В нем есть такой пункт:

Раньше подобной нормы не было — то есть банки вполне могли навязывать клиенту обязательную сдачу биометрии вместе с предоставлением других услуг.

Именно так — по закону банки обязаны передать биометрию клиента в ЕБС и уведомить его об этом.

«С начала 2023 года некоторым людям стали приходить сообщения, что их данные переданы в единую систему. Кто-то обратил внимание, кто-то не обратил. Люди ходили, подавали заявление на то, чтобы удалить свои биометрические данные из базы», — рассказывает Анастасия Буракова. В августе российские МФЦ даже столкнулись с ажиотажным спросом на подобную услугу — и с огромными очередями.

Да, это возможно.

«Тинькофф» сообщал клиентам, что для того, чтобы отозвать согласие на обработку биометрических данных, им нужно отправить отказ через «Почту России» или обратиться в банк, писал «Коммерсант». При этом в самом банке рассказали, что для отказа от передачи данных в ЕБС не нужно никуда обращаться: достаточно закрыть уведомление и не давать согласия, утверждает «Тинькофф».

Такой сценарий возможен, пока банк не передал данные клиента в ЕБС. Если же это уже произошло, то отказ можно написать через МФЦ. «Так можно отозвать согласие на обработку биометрии для любого ее использования, кроме случаев, когда на это не требуется согласия субъекта», — говорит Саркис Дарбинян.

Закон № 152 о персональных данных в целом написан очень расплывчато — и эти исключения, по мнению экспертов, также описаны нечетко: в документе говорится, что обработка данных без согласия допускается для обеспечения безопасности государства, противодействия отмыванию денег и выполнения правоохранительных функций.

То есть правоохранительные и контрразведывательные органы, у которых есть полномочия, связанные с оперативно-разыскной деятельностью, вполне могут собирать данные без согласия граждан. Это, к примеру, могут делать сотрудники МВД и ФСБ (включая пограничников).

По словам юриста Анастасии Бураковой, остается только гадать, как силовики используют данные системы:

«Никто не может дать гарантию, что завтра ваша биометрия не будет использована для того, чтобы отслеживать режим карантина, как это уже было, или для того, чтобы ловить мобилизованных, или для того, чтобы ловить тех, кто ходит на акции протеста», — перечисляет Саркис Дарбинян. 

К сожалению, мы не можем этого утверждать. Есть важный нюанс — после отказа вам придется поверить банку и государству на слово.

Проверить, действительно ли биометрические данные удалили из системы (банка или ЕБС), никак нельзя. Остается только рассчитывать, что банк или оператор системы вас не обманывают.

«Все проверки Роскомнадзора сейчас камеральные, а не выездные, при которых реально выяснялось, что происходит на серверах, действительно ли все данные были удалены и не подлежат восстановлению», — рассказывает Дарбинян.

Да, можно отдельно запросить, есть ли ваши биометрические данные в базе. Обычно и в приложении банка, и на портале «Госуслуг» есть раздел «Биометрия», в котором указано, содержатся ли в системе данные. Но и в этом случае ответу на запрос придется просто поверить.

Совсем не факт.

Формально ЕБС — это система, которая должна быть использована для коммерческих организаций (например, банков) или для оплаты транспортных услуг, говорит киберадвокат Саркис Дарбинян:

Однако это правило не действует, когда данные используют полиция или спецслужбы: в такой ситуации вообще не обязательно, чтобы человек сдавал свою биометрию. Во многих случаях камеры с функцией распознавания лиц прекрасно работают с фотографиями, которые могут быть взяты из «Роспаспорта» (это электронная база всех паспортов, которую ведет МВД), из социальных сетей и из других источников.

«В таком случае, конечно, никакой защиты нет, и написание письма об отказе [от передачи и обработки биометрических данных] никак не остановит, например, правительство Москвы или МВД от того, что они могут отслеживать человека по его лицу», — предупреждает Дарбинян.

Пока об этом не стоит беспокоиться, считают эксперты, опрошенные «Медузой».

«Apple точно не будет сейчас делиться той биометрией, которую собирает. С китайскими компаниями сложнее. В принципе, можно допустить, что они, будучи самым крупным поставщиком смартфонов в Россию, скорее всего, храня всю эту биометрию у себя на китайских серверах, могут предоставлять его китайской коммунистической партии. И вполне возможно, что они по каким-либо соглашениям, которые еще могут ждать нас впереди, будут передавать эту информацию российским властям», — допускает Саркис Дарбинян. Однако в данный момент информации о подобных соглашениях нет.

Учитывая, что российское государство не соблюдает права человека, — это довольно плохая новость.

Такие данные могут быть использованы, например, для политического преследования и розыска лиц, которые скрываются от призыва. Юрист Алексей Слободчиков добавляет, что государство может использовать биометрические данные, синхронизировав их со всеми другими базами, и, используя BigData, вычислить местоположение, маршруты и место работы конкретного человека. Эксперт также напоминает о сборе данных с помощью системы распознавания лиц «Сфера», которая используется в московском метро:

Также Слободчиков напоминает, что многие люди отказывались передавать свои биометрические данные «Госуслугам» и другим государственным ведомствам из-за недоверия, а вот банки имели эффективную систему мониторинга и более полную базу биометрических слепков. «Естественно, этот лакомый кусочек очень важен российскому государству для пополнения базы данных граждан и слежки за ними», — считает юрист.

Да, это риск утечек.

«На российском черном рынке данные можно купить очень дешево. И нет гарантий, что такие данные, в том числе биометрические, не попадут на черный рынок. А в таком случае уже возможны, например, подмена голоса, мошеннические банковские операции или что-то еще. Хорошо сгенерированный голос, который система распознает как голос клиента, в теории может послужить подтверждением какой-нибудь операции в банке», — говорит юрист Анастасия Буракова.

Так было, например, с волонтером «Роскомсвободы» Анной Кузнецовой, которая летом 2020 года обнаружила свои биометрические данные, полученные с московских камер, в даркнете. Информацию продали двое полицейских.

«Они использовали логин и пароль начальника полиции, который так и остался там работать. Он дал показания, что сотрудники подглядели его пароль со спины, а он вообще не давал никаких доступов. Есть большая проблема с контролем использования доступа и созданием механизмов каких-то сдержек. Сейчас ни прокурорский, ни судебный, ни тем более контроль Роскомнадзора за использованием подобных баз данных не ведется», — рассказывает Саркис Дарбинян. Это, пожалуй, самый большой риск, из-за которого многие россияне до сих пор боятся передавать свою биометрию в государственную информационную систему, считает эксперт.

Вряд ли. Но попробовать все-таки стоит. Вот что советует Алексей Слободчиков:

Но если вы активный пользователь банковских продуктов и у вас есть профиль на «Госуслугах» — скорее всего, избежать попадания в базу уже не получится, считает Слободчиков.

Удаление фотографий или закрытие аккаунта в соцсетях тоже не поможет. Если вы куда-то загрузили фотографию — она навсегда остается в интернете. Найти ваш профиль и воссоздать эти фотографии не составит труда, уверен эксперт.