В России активно внедряются технологии, использующие биометрические данные человека. Например, в Москве можно оплачивать «взглядом» проезд в метро. Идентификация плательщика происходит по лицу. Сбор биометрических данных с согласия людей ведут не только госструктуры, но и банки. Проблема утечек информации затрагивает и их интересы. В 2021 году был создан подведомственный Роскомнадзору Центр правовой помощи гражданам в цифровой среде. В интервью NEWS.ru глава центра Людмила Куровская рассказала, как защититься от потери биометрии, которую нельзя поменять, как номер телефона.
— В интервью РИА Новости Наталья Касперская рекомендовала не давать согласие на сбор биометрических данных. Насколько опасно сегодня давать такое согласие, по вашей оценке? Дайте свои рекомендации гражданам по обращению с биометрическими данными.
— Напомню, что биометрические персональные данные — это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность, например дактилоскопические данные или радужная оболочка глаза.
Когда гражданин передает кому-либо свои персональные данные, в том числе биометрические, это всегда создает риски. Основная опасность дачи согласия на обработку биометрических данных заключается в том, что они могут быть использованы, например, для незаконного отслеживания и мониторинга людей.
Следите за развитием событий в нашем Телеграм-канале
Перед тем как согласиться на обработку персональных данных, уточните, для чего они собираются и с какой целью будут использоваться. Также обращайте внимание на то, что срок хранения данных не должен быть избыточным по отношению к целям их обработки.
— Какие реальные риски существуют сегодня в РФ при использовании биометрии, которую собирают банки и госструктуры, в случае попадания биометрических данных к злоумышленникам? Права ли Касперская в части того, что данные могут быть использованы конкретно «в крупных сделках с недвижимостью, при управлении счетом в банке, при проходе на закрытые объекты»?
— В случае утечки биометрических данных или специальных категорий персональных данных (например, сведений о состоянии здоровья человека или его интимной жизни) последствия могут быть гораздо серьёзнее, чем при утечке номера телефона или адреса электронной почты. Если номер мобильного всегда можно поменять, то с биометрией это сделать не получится: нельзя изменить лицо или голос! Из-за этого утечка данных будет носить длящийся характер.
Однако никто не может заставить вас согласиться на обработку биометрических персональных данных, если вы этого не хотите. За исключением ограниченного перечня предусмотренных законом случаев (к примеру, для исполнения судебных актов или осуществления оперативно-разыскной деятельности), обработка такой информации допускается только с письменного согласия гражданина. Кроме того, вам не могут отказать в получении какой-либо услуги или в покупке товара, если вы не согласны передавать биометрические данные.
При проведении сделок с недвижимостью биометрия, к счастью, не используется. Банки, в свою очередь, предлагают согласиться на ее обработку, обещая наибольшую защиту вкладов, поскольку биометрические данные могут быть использованы лишь в совокупности с другими сведениями, которые позволяют идентифицировать гражданина.
— Какие структуры, по вашей оценке, обеспечивают большую сохранность биометрии: госструктуры, коммерческие банки или корпорации с госучастием, например Сбербанк?
— Если вы соглашаетесь на обработку биометрических персональных данных, будьте готовы: ни один оператор персональных данных не может гарантировать абсолютную безопасность. Утечки происходят и в госорганах, и в банках, и далеко не всегда это связано с громкими хакерскими атаками. Нередки случаи, когда недобросовестные сотрудники копируют базы данных клиентов и затем продают их. Такие действия, что очевидно, незаконны и становятся основанием для привлечения виновных лиц к уголовной ответственности.
Любой оператор должен стремиться обеспечить безопасность обрабатываемых им персональных данных и быть готовым своевременно отреагировать на утечки, чтобы минимизировать ущерб. И тем более такие факты не следует скрывать, поскольку тайное всегда становится явным.
— Что самое главное необходимо знать гражданам о работе со своей биометрией? О чём говорит опыт вашей работы с жертвами незаконного использования персональных данных?
— При даче согласия на обработку биометрических данных следует уделять особое внимание вопросам соразмерности: действительно ли эти данные требуются оператору? Так, во Франции работодатель вправе использовать методы биометрической аутентификации сотрудников только в том случае, если он сможет обосновать необходимость этого. Например, речь может идти о строгом пропускном режиме на территорию предприятия.
Действующее законодательство предусматривает обязанность мотивировать необходимость обработки тех или иных пересданных, в том числе биометрических, поскольку перечень запрашиваемых данных не должен быть избыточным по отношению к заявленным целям их обработки. В частности, если вас просят прислать копию паспорта в электронном виде для покупки билета в кино — это повод насторожиться и задуматься о последствиях любой передачи данных третьим лицам.
К сожалению, среди обратившихся к нам много потерпевших от действий мошенников, которые от их имени оформили микрозаймы, кредиты, вступили в переписку с другими гражданами. В некоторых случаях проблем можно было бы избежать, если бы граждане внимательнее относились к тому, кто и зачем просит их персональные данные.