Перейти к материалам
разбор

«Тинькофф» и Сбербанк теперь передают биометрические данные клиентов властям. Чем опасно хранение таких данных в государственной системе — и как запретить их использовать?

15 карточек
1

Что случилось?

Банк «Тинькофф» с конца сентября стал просить клиентов согласиться на передачу их биометрических данных в Единую биометрическую систему (ЕБС), а также запрашивать согласие на перевод в формат биометрических данных их фотографий, которые делались при оформлении продуктов. Банк уведомил клиентов о происходящем с помощью сторис в верхней части своего мобильного приложения.

Вскоре под сторис появились тысячи комментариев. Среди прочего пользователи спрашивали, как оформить отказ от обработки данных, поскольку в мобильном приложении банк предусмотрел только кнопку «разрешить».

Подобные уведомления с июня рассылал и Сбербанк. Причина — закон о порядке работы Единой биометрической системы, который Владимир Путин подписал в декабре 2022 года. Он обязал все организации, собирающие биометрические данные, передавать их в государственную систему, уведомив об этом клиентов как минимум за 30 суток. Закон предполагает, что банки должны были обеспечить размещение биометрических персональных данных в единой системе до 30 сентября.

2

Что такое биометрические данные?

Это уникальные характеристики, которые позволяют идентифицировать человека (поскольку их невозможно или очень сложно изменить). Среди таких характеристик — отпечатки пальцев, изображение лица, голос, а также радужная оболочка глаза.

3

И что из этого используют российские банки?

Чаще всего — изображение лица. Некоторые банки могут использовать также сетчатку и отпечаток, но использование «слепка» лица уже стало стандартом. «Это и составляет большую часть накопленных банком биометрических данных», — рассказал «Медузе» киберадвокат Саркис Дарбинян. В некоторых случаях банк может использовать и голос клиента.

4

В каких случаях банк может получить отпечаток моего лица или образец голоса?

Например, когда вы обращаетесь за кредитом — в этом случае сотрудник банка фотографирует клиента, рассказывает юрист Алексей Слободчиков. Позднее эти данные используют в том числе в отделениях:

Большинство банков оснащены плазменными панелями, к которым можно подойти, не вызывая консультантов, показаться в камеру, а банк определит имя и фамилию и выдаст талон. Все это происходит именно за счет использования биометрических данных.

Организации должны получать разрешение клиента на использование подобных данных. Однако раньше банки могли получать такое согласие в устной форме или через приложение, говорит юрист, основательница проекта «Ковчег» Анастасия Буракова:

Например, банки спрашивали, хотите ли вы, чтобы пользоваться услугами было более удобно, и вас узнавали по голосу, когда вы звоните в банк. И, соответственно, вносили в биометрическую базу банка, например, образец голоса. 

5

Сдавать биометрию в банке — это вообще обязательно?

После принятия нового закона — точно нет. В нем есть такой пункт:

Предоставление физическими лицами своих биометрических персональных данных в целях, предусмотренных настоящим Федеральным законом, не может быть обязательным.

Раньше подобной нормы не было — то есть банки вполне могли навязывать клиенту обязательную сдачу биометрии вместе с предоставлением других услуг.

6

Значит, теперь вся биометрия банков — в руках государства?

Именно так — по закону банки обязаны передать биометрию клиента в ЕБС и уведомить его об этом.

«С начала 2023 года некоторым людям стали приходить сообщения, что их данные переданы в единую систему. Кто-то обратил внимание, кто-то не обратил. Люди ходили, подавали заявление на то, чтобы удалить свои биометрические данные из базы», — рассказывает Анастасия Буракова. В августе российские МФЦ даже столкнулись с ажиотажным спросом на подобную услугу — и с огромными очередями.

7

То есть я могу отказаться от передачи биометрии?

Да, это возможно.

«Тинькофф» сообщал клиентам, что для того, чтобы отозвать согласие на обработку биометрических данных, им нужно отправить отказ через «Почту России» или обратиться в банк, писал «Коммерсант». При этом в самом банке рассказали, что для отказа от передачи данных в ЕБС не нужно никуда обращаться: достаточно закрыть уведомление и не давать согласия, утверждает «Тинькофф».

Такой сценарий возможен, пока банк не передал данные клиента в ЕБС. Если же это уже произошло, то отказ можно написать через МФЦ. «Так можно отозвать согласие на обработку биометрии для любого ее использования, кроме случаев, когда на это не требуется согласия субъекта», — говорит Саркис Дарбинян.

8

А что за исключения, при которых мое согласие не требуется?

Закон № 152 о персональных данных в целом написан очень расплывчато — и эти исключения, по мнению экспертов, также описаны нечетко: в документе говорится, что обработка данных без согласия допускается для обеспечения безопасности государства, противодействия отмыванию денег и выполнения правоохранительных функций.

То есть правоохранительные и контрразведывательные органы, у которых есть полномочия, связанные с оперативно-разыскной деятельностью, вполне могут собирать данные без согласия граждан. Это, к примеру, могут делать сотрудники МВД и ФСБ (включая пограничников).

По словам юриста Анастасии Бураковой, остается только гадать, как силовики используют данные системы:

Если, например, человек подал заявление, чтобы удалить свои данные из этой государственной системы, остаются ли они у правоохранительных органов? Это вопрос, на который ни у кого, кроме правоохранительных органов, нет ответа.

«Никто не может дать гарантию, что завтра ваша биометрия не будет использована для того, чтобы отслеживать режим карантина, как это уже было, или для того, чтобы ловить мобилизованных, или для того, чтобы ловить тех, кто ходит на акции протеста», — перечисляет Саркис Дарбинян. 

Как защититься от взлома?

Из дела Ивана Сафронова стало понятнее, как именно российские силовики взламывают компьютеры и телефоны Вот инструкция «Медузы» — как себя защитить

Как защититься от взлома?

Из дела Ивана Сафронова стало понятнее, как именно российские силовики взламывают компьютеры и телефоны Вот инструкция «Медузы» — как себя защитить

9

Ну хотя бы во всех остальных случаях, если я оформляю отказ от передачи данных, опасаться нечего?

К сожалению, мы не можем этого утверждать. Есть важный нюанс — после отказа вам придется поверить банку и государству на слово.

Проверить, действительно ли биометрические данные удалили из системы (банка или ЕБС), никак нельзя. Остается только рассчитывать, что банк или оператор системы вас не обманывают.

«Все проверки Роскомнадзора сейчас камеральные, а не выездные, при которых реально выяснялось, что происходит на серверах, действительно ли все данные были удалены и не подлежат восстановлению», — рассказывает Дарбинян.

10

Я понятия не имею, давал я банку какое-то согласие или нет. Это можно проверить?

Да, можно отдельно запросить, есть ли ваши биометрические данные в базе. Обычно и в приложении банка, и на портале «Госуслуг» есть раздел «Биометрия», в котором указано, содержатся ли в системе данные. Но и в этом случае ответу на запрос придется просто поверить.

11

А если я никому не передавал свою биометрию — я в безопасности?

Совсем не факт.

Формально ЕБС — это система, которая должна быть использована для коммерческих организаций (например, банков) или для оплаты транспортных услуг, говорит киберадвокат Саркис Дарбинян:

Биометрия человека просто так в ЕБС не попадает. Никто не может втихаря вас снять и без вашего согласия в эту базу добавить, на это требуется согласие. Человек вряд ли забудет, если он это делал: заходил в специальные биометрические кабинки, в которых система берет качественный отпечаток.

Однако это правило не действует, когда данные используют полиция или спецслужбы: в такой ситуации вообще не обязательно, чтобы человек сдавал свою биометрию. Во многих случаях камеры с функцией распознавания лиц прекрасно работают с фотографиями, которые могут быть взяты из «Роспаспорта» (это электронная база всех паспортов, которую ведет МВД), из социальных сетей и из других источников.

«В таком случае, конечно, никакой защиты нет, и написание письма об отказе [от передачи и обработки биометрических данных] никак не остановит, например, правительство Москвы или МВД от того, что они могут отслеживать человека по его лицу», — предупреждает Дарбинян.

А маски и грим не помогут?

Военком Москвы заявил, что уклонистов будут искать с помощью системы «умных камер». А ее можно обмануть? Спойлер: вы можете попробовать. Но если вам грозит опасность, надежнее просто переехать

А маски и грим не помогут?

Военком Москвы заявил, что уклонистов будут искать с помощью системы «умных камер». А ее можно обмануть? Спойлер: вы можете попробовать. Но если вам грозит опасность, надежнее просто переехать

12

Биометрия, которая хранится в моем гаджете, к государству случайно не попадет?

Пока об этом не стоит беспокоиться, считают эксперты, опрошенные «Медузой».

«Apple точно не будет сейчас делиться той биометрией, которую собирает. С китайскими компаниями сложнее. В принципе, можно допустить, что они, будучи самым крупным поставщиком смартфонов в Россию, скорее всего, храня всю эту биометрию у себя на китайских серверах, могут предоставлять его китайской коммунистической партии. И вполне возможно, что они по каким-либо соглашениям, которые еще могут ждать нас впереди, будут передавать эту информацию российским властям», — допускает Саркис Дарбинян. Однако в данный момент информации о подобных соглашениях нет.

13

Насколько вообще плохо, что биометрические данные людей окажутся у государства?

Учитывая, что российское государство не соблюдает права человека, — это довольно плохая новость.

Такие данные могут быть использованы, например, для политического преследования и розыска лиц, которые скрываются от призыва. Юрист Алексей Слободчиков добавляет, что государство может использовать биометрические данные, синхронизировав их со всеми другими базами, и, используя BigData, вычислить местоположение, маршруты и место работы конкретного человека. Эксперт также напоминает о сборе данных с помощью системы распознавания лиц «Сфера», которая используется в московском метро:

В Москве вообще очень большое количество камер. И все это делается для тотального слежения и выявления преступности. Конечно, государство будет говорить, что вся эта система слежения построена, чтобы следить за порядком, находить преступников. Но мы прекрасно понимаем, что биометрические данные могут использоваться и в случае неправомерного ареста гражданина России и слежки за ним. Всем прекрасно ясно, как будут использовать эту базу.

Также Слободчиков напоминает, что многие люди отказывались передавать свои биометрические данные «Госуслугам» и другим государственным ведомствам из-за недоверия, а вот банки имели эффективную систему мониторинга и более полную базу биометрических слепков. «Естественно, этот лакомый кусочек очень важен российскому государству для пополнения базы данных граждан и слежки за ними», — считает юрист.

14

А еще какие-нибудь риски есть?

Да, это риск утечек.

«На российском черном рынке данные можно купить очень дешево. И нет гарантий, что такие данные, в том числе биометрические, не попадут на черный рынок. А в таком случае уже возможны, например, подмена голоса, мошеннические банковские операции или что-то еще. Хорошо сгенерированный голос, который система распознает как голос клиента, в теории может послужить подтверждением какой-нибудь операции в банке», — говорит юрист Анастасия Буракова.

Так было, например, с волонтером «Роскомсвободы» Анной Кузнецовой, которая летом 2020 года обнаружила свои биометрические данные, полученные с московских камер, в даркнете. Информацию продали двое полицейских.

«Они использовали логин и пароль начальника полиции, который так и остался там работать. Он дал показания, что сотрудники подглядели его пароль со спины, а он вообще не давал никаких доступов. Есть большая проблема с контролем использования доступа и созданием механизмов каких-то сдержек. Сейчас ни прокурорский, ни судебный, ни тем более контроль Роскомнадзора за использованием подобных баз данных не ведется», — рассказывает Саркис Дарбинян. Это, пожалуй, самый большой риск, из-за которого многие россияне до сих пор боятся передавать свою биометрию в государственную информационную систему, считает эксперт.

15

Можно ли как-то себя обезопасить?

Вряд ли. Но попробовать все-таки стоит. Вот что советует Алексей Слободчиков:

  • Стоит отказаться от прохождения верификации по биометрии в «Госуслугах» — вы можете подтвердить свой профиль по данным паспорта.
  • По возможности нужно отказываться предоставлять биометрию в банке (напомним, что принуждать вас к этому не имеют права).
  • Анастасия Буракова также советует внимательно следить в банковских приложениях и различных учреждениях, какие документы вы подписываете и с чем соглашаетесь. Это касается и разговоров с оператором.

Но если вы активный пользователь банковских продуктов и у вас есть профиль на «Госуслугах» — скорее всего, избежать попадания в базу уже не получится, считает Слободчиков.

Удаление фотографий или закрытие аккаунта в соцсетях тоже не поможет. Если вы куда-то загрузили фотографию — она навсегда остается в интернете. Найти ваш профиль и воссоздать эти фотографии не составит труда, уверен эксперт.

Что еще о нас знают силовики?

Силовики хотят, чтобы им позволили читать переписку россиян даже без решения суда. Сейчас у них такого права нет? И как можно будет защитить свои данные?

12 карточек

Марина Дульнева