Журнал "Системы Безопасности" № 6‘2023

О собое внимание уделяется безопасности и устойчивости обработки биометрических персональных данных – в силу как кратного роста утечек персональных данных в последние годы, так и значимых негативных последствий для людей от компрометации их биометриче- ских данных. Скомпрометированные биометри- ческие данные практически невозможно изме- нить и тем самым восстановить статус-кво неизвестности этих данных. Российское государство начиная с 2020 г. про- водит активное реформирование норматив- ного правового регулирования обработки персональных данных, последовательно при- нимая ряд федеральных законов (479-ФЗ, 572-ФЗ) 1, 2 и подзаконных актов. Хотя сам процесс реформ еще нельзя считать завер- шенным, основные контуры обновленного регулирования уже вполне очевидны. Учиты- вая, что наиболее популярный сценарий обра- ботки биометрических персональных данных связан с организацией контроля и управления доступом на определенную территорию или в определенные помещения, представляется уместным рассмотреть новые правила обра- ботки биометрических данных именно в дан- ном разрезе. Биометрические персональные данные и юридическая ответственность С точки зрения различных типов сведений био- метрические данные могут быть условно разде- лены на: l статическую биометрию – физиологическая характеристика человека, то есть уникальное свойство, данное человеку от рождения, например рисунок вен, папиллярные узоры пальцев, радужная оболочка и сетчатка глаза, геномная информация (п. 3 ст. 1 242-ФЗ) 3 , фотография или видеоизображение лица; l динамическую биометрию – поведенческая характеристика человека, например голос, подпись, показывающая физиологическо- поведенческие характеристики (степень нажатия, направление движений, штрих и прочие аспекты), поведенческие паттерны (например, нажатие клавиш или походка). Правовая дефиниция биометрических данных закреплена в ч. 1 ст. 11 152-ФЗ 4 и подразуме- вает необходимость одновременного наличия следующих трех квалифицирующих признаков биометрии: 1. Сведения о физиологических и биологиче- ских особенностях человека. 2. Позволяют установить личность человека. 3. Используются для установления личности человека. декабрь 2023 – январь 2024 www.secuteck.ru БИОМЕТРИЧЕСКИЕ СИСТЕМЫ  С И С Т Е М Ы К О Н Т Р О Л Я И У П Р А В Л Е Н И Я Д О С Т У П О М 56 Алексей Мунтян СЕО компании Privacy Advocates и соучредитель Сообщества профессионалов в области приватности (RPPA) Новые правила обработки биометрии для контроля и управления доступом на территорию Бурное развитие информационных (цифровых) технологий в последние годы и десятилетия заставляет общество и государство уделять повышенное внимание сопутствующим рискам. В настоящее время сформировалось понимание о невоз- можности 100% защиты от инцидентов в цифровой среде, в том числе от утечек пер- сональных данных, и о необходимости расходования ресурсов на профилактику и минимизацию количества инцидентов и скорейшее преодоление их негативных последствий 1 Федеральный закон от 29.12.2020 г. № 479-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации". 2 Федеральный закон от 29.12.2022 г. № 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации". 3 Федеральный закон от 03.12.2008 г. № 242-ФЗ "О государственной геномной регистрации в РФ". 4 Федеральный закон от 27.07.2006 г. № 152-ФЗ "О персональных данных". КОЛОНКА РЕДАКТОРА А за прошлогодний снег вы еще не платили… В сегменте СКУД в н а с т о я щ е е время сложно найти более болезненный сегмент, чем био- метрия. Понятно только одно: пока не появится реальная правоприменитель- ная практика, ниче- го четкого, понятно- го и прозрачного не ожидается. Практика полу- чила старт, теперь ждем реакции рынка и реаль- ных решений по конкретным, а не придуман- ным нашими законодателями ситуациям. В качестве примера приведу одну возможную коллизию. При использовании методов скани- рования лица для идентификации его "носитель" должен дать письменное разрешение на использование своих биометрических данных. Не является секретом, что сканирование лица – наиболее "вкусный" по рыночным меркам метод биометрической идентификации, поскольку он: l бесконтактный (значит, безопасный с меди- цинских позиций); l быстрый (многие сканеры определяют поль- зователя, что называется, "на подходе"); l удобный для пользователя, поскольку иденти- фикатор всегда с собой (как и вся биометрия). Зачем я эти очевидные вещи перечислил? Да просто разрешение дает сам носитель, доверен- ное лицо уже не может. Поскольку лицевая био- метрия закономерно проявляет свои достоин- ства с ростом аудитории, самыми крупными и вкусными "кусками пирога" являются места мас- сового пребывания людей: транспорт, учебные заведения (школы и институты), спортивные объекты и пр. А на эти объекты ходят в том числе несовершеннолетние. Дать разрешение на использование биометрии они не могут. Такое разрешение не могут дать и их родители, поскольку не являются носителями биометриче- ских признаков своих детей. Получаем патовую ситуацию. Часть наиболее активного населения не может воспользоваться удобной, эффектив- ной и безопасной услугой. На работу и в инсти- тут в 16 и 17 лет ходить можно, а вот использо- вать лицо как идентификатор – нет. Это частный пример, но таких вариантов не один. И как "вишенка, на торте" – компании должны будут за это платить (за каждую идентификацию). Я уже не говорю о резком снижении конкурен- ции в сегменте рынка, лоббировании интересов узкого круга производителей и пр. Почему-то вспоминается старый мультфильм: "…а за про- шлогодний снег вы еще не платили…" Алексей Гинце Редактор раздела "Системы контроля и управления доступом", директор по связям с общественностью компании "ААМ Системз"