Биометрическая шенгенская виза

Какие нормы защищают мои биометрические персональные данные?

Конвенция Совета Европы № 108 «О защите физических лиц в отношении автоматизированной обработки персональных данных», которую ратифицировала Россия. Предусматривает охрану персональных данных при их автоматизированной обработке, говорит о праве субъекта на персональные данные.

Статья 23 Конституции РФ гарантирует каждому право на неприкосновенность частной жизни, личную и семейную тайну. Эта норма определяет границы, которые оператор персональных данных не вправе переступать при получении и при обработке информации о человеке.

Статьи 137 и 272 УК РФ говорят об уголовной ответственности за незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации. По этим же статьям вас могут и осудить, как историка Михаила Супруна, если кому-то покажется, что вы разглашаете личную информацию. Об этом мы рассказывали в докладе о доступе к информации в России.

Закон «О персональных данных» устанавливает перечень данных, обработка которых запрещена, кроме особых случаев: о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья и интимной жизни. Исключительные случаи, при которых такие данные могут обрабатывать: если реализуется международный договор Российской Федерации, осуществляется правосудие, исполняются судебные акты, и в других случаях, предусмотренных законодательством РФ об обороне, безопасности и противодействии терроризму.

Биометрические данные по тому же закону, могут обрабатываться только при наличии согласия в письменной форме от субъекта персональных данных. Согласие должно быть осознанным и без принуждения, быть конкретным и определенным: какие данные и кому передаются. Например, участники гражданского и уголовного процессов могут возражать против приобщения видеозаписи к гражданскому или уголовному делу, если запись велась с нарушением закона. Работодатель должен получить письменное согласие работника на обработку персональных данных, чтобы разместить фото на пропуске. Об этом говорит определение ВС от 05.03.2018 № 307-КГ18-101.

Организации при обработке информации о физических лицах обязаны принимать организационные и технические меры для её защиты от неправомерного или случайного доступа. Закон о персональных данных обязывает все компании–операторы персональных данных назначить лицо, ответственное за организацию их обработки.

По общему правилу, оператор не может передавать персональные данные третьим лицам без согласия субъекта персональных данных. Без согласия позволяется передавать информацию правоохранительными органам.

Из разъяснений Роскомнадзора следует, что согласие на обработку персональных данных нельзя получить по телефону или через смс-сообщения.

Персональные данные россиян, по 242-ФЗ, можно обрабатывать только с использованием размещенных в России баз данных. Сведения о месте нахождения таких баз оператор персональных данных должен направлять в Роскомнадзор. За нарушение порядка обработки информации по решению суда доступ к сайту блокируют.

Кодекс административных правонарушений (КоАП) предусматривает штраф за нарушение порядка обработки персональных данных (ст. 13.11). Юридические лица могут заплатить от 30 тысяч до 50 тысяч рублей за обработку персональных данных в непредусмотренных законом случаях и от 15 до 75 тысяч рублей за обработку персональных данных без письменного согласия.

С 25 мая все операторы данных, которые работают с персональной информацией о гражданах ЕС, должны выполнять новые правила GDPR (General Data Protection Regulation), мы уже писали о них. Они затронут многие российские компании, обрабатывающие персональные данные граждан ЕС — тех, кто не ведёт бизнес в ЕС, не затронут. Новые правила объединяют и ужесточают все ранее существовавшие в европейских странах нормы защиты персональных данных. Компании, управляющие персональными данными, получат огромные штрафы, если не смогут обеспечить безопасность данных. Санкции нарушителям нового европейского регламента строже, чем в КоАП: до 20 млн евро или 4 % от мирового годового оборота за финансовый год.

Грядет цифровой гулаг?

А вот без сдачи биометрии некоторые госуслуги могут стать недоступными удаленно, говорят источники «Коммерсанта». И в стремительно наступающем цифровом мире это будет равносильно поражению в правах.

Похоже, что именно частичное или полное отключение от портала госуслуг и строящихся на его основании сервисов может стать одним из самых распространенных наказаний для граждан в ближайшем будущем.

Ведь отключенный от части услуг человек не сможет удаленно записываться к врачу, оформить пособия, соцвыплаты, получить паспорт и т.д. Пока что почти все услуги можно получить офлайн. Но с учетом быстрой цифровизации российского общества вполне вероятно, что уже вскоре не регистрироваться на госуслугах станет невозможно.

И в итоге уже через пару лет совсем не фантастической будет выглядеть вот такая история. Если гражданин не «сдал» свое лицо в ЕБС или на его банковской карте, привязанной к цифровому профилю, нет денег, то после трех, например, проходов в салон автобуса под камеру видеофиксации без оплаты проезда для него будет закрыта часть госуслуг. Заплатишь штраф – все откроют обратно.

В какой срок можно оформить биометрический загранпаспорт?

Согласно 2*общий срок изготовления паспорта с электронным носителем при обращении в компетентный орган по месту регистрации – не более 1 месяца с момента подачи заявления и документов. Сократить этот период никак нельзя, если только Ваша ситуация не является одной из следующих:

• тяжелая болезнь;
• смерть близкого человека;
• необходимость экстренного лечения.

Подтвердить вышеуказанные обстоятельства придется документально тому органу, который выдает загранпаспорт. Решение по такому обращению принимается в индивидуальном порядке, то есть Вам еще могут и отказать.

Если Вы хотите оформить паспорт по месту жительства – то законодатель отводит для этого 3 месяца (до февраля 2018 года вообще было четыре). Такой срок ожидания также предусмотрен для лиц, желающих стать обладателем биометрии, но имеющим делом по долгу службы с государственной тайной (независимо от места подачи).

Отсчет указанных сроков начинается с момента, когда документы были приняты компетентным органом. Если подавать заявление лично – вопросов на счет точного установления этого момента не возникает. А вот при электронной подачи – недоразумения на практике случаются довольно часто.

Датой подачи заявления в онлайн-режиме считается день направления заявителю электронного сообщения о приеме заявления. Причем оно должно быть отправлено не позднее рабочего дня, следующего за днем подачи заявления.

Пример. Холоденко Г.И. отправил документы и заявление через портал Госуслуги 08.02.2019 (пятница). Ответ пришел только 14.02.2019 года (четверг). По закону 2* извещение должно было прийти 11.02.2019 года (не 9 февраля, так как это суббота – выходной день). Сроки были нарушены, поэтому Холоденко Г.И., руководствуясь положениями 3*, направил начальнику УВМ МВД по региону через сайт Госуслуги.

По каким правилам собираются, обрабатываются и хранятся данные

Работа с индивидуальными сведениями граждан предполагает:

• сбор;
• хранение;
• использование;
• обновление;
• защиту информации.

Эти процедуры регулирует приказ Минкомсвязи № 321.

Работа с персональными данными, в том числе биометрическими, осуществляется в следующем порядке:

1. Уведомление оператором по сбору информации Роскомнадзора о том, что биометрические сведения будут собираться. Методические рекомендации по оповещению закреплены в приказе Роскомнадзора от 30.05.2017 № 94. Уведомление не требуется, если (п. 2 ст. 22 закона № 152-ФЗ):

• сбор проводится в рамках трудового законодательства;
• информация используется только для заключения сделки, стороной которой является субъект персональных сведений, и никуда не передается;
• сведения ограничены Ф. И. О.;
• в иных перечисленных в законе случаях.

1. Получение письменного согласия субъекта персональной информации на сбор данных о нем. Без согласия информация может собираться в рамках (п. 2 ст. 11 закона № 152-ФЗ):

• международных договоров о реадмиссии;
• судопроизводства;
• исполнения судебных решений;
• обязательной дактилоскопической регистрации.

1. Сбор сведений. Информацию должен получать уполномоченный сотрудник при личном присутствии человека. При этом создается биометрический шаблон, который подписывается электронной подписью и размещается в единой информационной системе.
2. Хранение персональных биометрических шаблонов осуществляется не менее чем 50 лет со дня размещения в системе.

Как обманывают людей? Реальные истории

Сбербанк собирает согласие клиентов на биометрию, не оповещая об этом граждан напрямую. Как это происходит, рассказывает россиянин.

Приложение Онлайн Сбербанк стало предлагать биометрию. Мужчина нажимал в личном кабинете на «не сейчас». Далее он пришел в офис, чтобы снять наличку с карты. Девушка-кассир попросила вставить пластик для подтверждения операции. Он взглянул на экран и увидел информацию о биометрии, написанную мелким шрифтом и ничего не смог прочитать и понять что это. На слова работника банка «вставьте карточку» он ответил согласием. Действие клиента и стало согласием с обработкой данных.

Сведения, напечатанные мелкими буквами, прочесть полностью не оказалось возможным. Да и можно ли заранее предугадать обман? Делайте выводы сами. А они таковы:

• Сбербанк собирает ваше согласие на биометрию путем вставления карты в терминал и ввода кода. При этом ничего не объясняет, вводя вас в заблуждение.
• Кассир, конечно, никогда не сообщит о проходящем сборе согласий. Именно таким способом Сбербанк считается лидером по количеству биометрических данных своих клиентов.

Все банкоматы Сбербанка имеют встроенную биометрическую аппаратуру. Занимаясь своими финансовыми делами через банкомат, вы автоматически предоставляете банку свою биометрию. Подробнее об этом смотрите в видео-обзоре:

Семь лет назад в Индии похитили биометрические данные почти на всех жителей страны. Это произошло из-за системной ошибки службы безопасности, которой быстро воспользовались хакеры для получения своей выгоды. Представьте, каковы масштабы проблемы?

Новые рекомендации Банка России

В феврале 2019 г. регулятор выпустил методические рекомендации 4-МР по использованию средств защиты информации. Как известно, эти рекомендации не проходили регистрацию в Минюсте и согласование с ФСТЭК и ФСБ. При внимательном изучении в них можно увидеть противоречия требованиям ФСТЭК. Суть противоречия в том, что, согласно этим рекомендациям, банки обязуют использовать продукты, сертифицированные ФСБ, там, где надо использовать средства защиты информации, имеющие сертификаты ФСТЭК, и наоборот.

В этих рекомендациях введены понятия «Собственное решение», «Типовое решение» и «Облачное решение». Но разница между «собственными» и «типовыми» решениями очень расплывчата, и критерии, по которым их можно отнести к первой или второй категории, отсутствуют. Кроме того, в рекомендациях сказано, если банк намерен использовать типовое или облачное решение, оно должно создаваться на базе согласованного с ФСБ системного проекта. Но ФСБ не занимается согласованием системных проектов — в ее составе нет соответствующего подразделения, если не брать в расчет отдел, отвечающий за работу удостоверяющих центров, которому, к слову, сейчас и передали эту работу.

Если говорить про 4-МР — это не нормативный документ, а рекомендации. В них продублированы требования ФСБ и ФСТЭК только к собственному решению. Требования же к типовому и облачному решению переданы на усмотрение ФСБ, и она должна использовать их при согласовании технического проекта. Но пока не согласованы требования к решениям и не разработаны требования и к самому техническому проекту.

Очевидно, что, выпуская 4-МР, Банк России попытался свести воедино все, что нужно выполнить при внедрении ЕБС в банке: формуляры на СКЗИ, указание регулятора №4859-У, приказ ФСТЭК №21, приказ ФСБ №378. Разобраться в них, действительно, тяжело и по силам только специалисту, глубоко погруженному в специфику требований ФСТЭК и ФСБ и имеющему опыт внедрения таких средств защиты.

Однако появление 4-МР сделало процедуру подключения банков к ЕБС более запутанной. Получилось, что следование всем правилам создает замкнутый круг: если проект соответствует приказу № 378 ФСБ, то, как было сказано ранее, он противоречит приказу №4859-У Банка России. В такой ситуации логичнее было бы возложить обязанность проводить оценку технических проектов на ФСТЭК, которая исторически занимается решением таких вопросов. Для этого существует процедура аттестации информационных систем по требованиям ИБ, которая подтверждает, что все требования безопасности выполнены, и объект можно переводить в промышленную эксплуатацию.

К счастью, благодаря активному участию Банка России во встречах членов Ассоциации банков России (Ассоциация «Россия»), регулятор изменил свою позицию и объявил, что положения 4-МР носят рекомендательный характер, а при выборе сертифицированных средств защиты информации необходимо руководствоваться требованиями формуляра.

Требования методических рекомендаций МР-4

После выхода МР-4 производители программного обеспечения (ПО) для ЕБС оперативно приступили к согласованию типовых решений и проведению оценки влияния ПО на функционирование HSM. Для многих это стало тяжелым испытанием, поскольку разобраться во всех тонкостях требований к ИБ было непросто. Затем началось соревнование, кто первым объявит о завершении согласования. Некоторые компании рапортовали об этом сразу после утверждения технического задания, которое, по сути, является лишь первым этапом. Причин этому несколько. Во-первых, специалистов, разбирающихся в деталях проведения работ по оценке влияния программного обеспечения на функционирование HSM, не так много. А во-вторых, проверить правдивость таких заявлений практически невозможно, поскольку подобная информация подпадает под категорию «для служебного пользования» и недоступна посторонним.

Беспарольный отпечаток

Эксперт считает, что при утечке данных злоумышленнику необязательно распечатывать фотографию лица. Достаточно передавать в систему БД в том техническом формате, в котором она их принимает. В таком случае хакеры смогут производить оплату со счета, не имея фотографии. Для этого будет необходим лишь цифровой отпечаток лица.

Самое страшное, что при утечке человек не сможет изменить свою биометрию, как он меняет пароли после взлома.

Эксперт полагает, что при использовании административного ресурса для сбора БД нужно мягко предлагать гражданам удобные сервисы GovTech (цифровые технологии в госсекторе) с правом выбора аутентификации по биометрии, логину или иным способам аутентификации.

Пока государство и бизнес четко не ответят на вопросы безопасности, не стоит ожидать массового прихода людей в биометрию.

Особое внимание к централизованным базам данных и опасения относительно их безопасности выражают эксперты ЕС, Австралии, Китая и Индии. По мнению европейских регуляторов, лучше подходят децентрализованные решения, поскольку биометрия может храниться на устройстве, принадлежащем человеку

А.Рыбаков отмечает, что ЕБС, сегментированная по секторам экономики, существенно поможет в бизнес-аналитике, но несет больше рисков в сохранении конфиденциальности ПД.

В качестве варианта могут предлагаться на сервисном уровне данные клиентов из базы. Вопрос конфиденциальности и защиты получаемых участником ПД будет решаться обезличиванием информации. Но и здесь возникают проблемы конфиденциальности, поскольку необходимы анонимизированные данные (АД), считает А.Рыбаков, регулирование которых сегодня в законодательстве пока не прописано. Анонимизированные большие данные будут действительно полезны компаниям, которые смогут таким образом проводить аналитику потребительского рынка.

Как пользоваться биометрией в Сбербанке?

Любая новая технология вызывает множество вопросов по использованию. Мифов по биометрии также немало. Например, появлялась даже фейковая информация о свечении штрих-кода на лбу у тех, кто сдал биометрию в Сбербанке. На практике ничего такого нет.

Пока биометрию самый крупный банк РФ предлагает использовать при использовании некоторых банкоматов, оплате покупок или при звонке в call-центр. В будущем планируется, что возможности системы станут значительно шире. Например, можно будет совершать сделки с недвижимостью прямо из дома, открывать счета в любых банках и т. д.

Банкомат с биометрией

Еще в 2017 году стали появляться новые банкоматы Сбербанка с биометрией. В них можно проводить услугам без использования карты. Для этого первоначально надо активировать услугу в офисе банка.

Непосредственно для совершения операции пользователю достаточно нажать на устройстве кнопку «Обслуживание по биометрии». После этого банкомат идентифицирует пользователя по изображению лица и можно будет совершать операции.

Пока банкоматы с биометрией Сбербанк активно не устанавливает. Все работает в тестовом режиме.

Голосовая биометрия

Используется голосовая биометрия при обращении в call-центр Сбербанка. При звонке не потребуется сообщать кодовое слово, паспортные данные. Система автоматически определит, что обращается именно клиент, сравнив его голос с образцом в базе данных.

Работу с биометрическими данными при обращениях в call-центр Сбербанк ведет особенно активно. Это позволяет существенно повысить безопасность операций через специалистов и голосовое меню. При этом время обслуживание сокращается.

Как происходит сдача данных?

Сдача отпечатков пальцев и цифрового фото для шенгенской визы происходит в определенной последовательности. Для прохождения процедуры требуется посещение соответствующих консульских центров, где планируется получение визы. Здесь предусматривается следующее:

• снятие цифрового фото, что выполняется посредством снимка на обыкновенный цифровой фотоаппарат;
• получение отпечатков пальцев обеих рук (гражданин попеременно прикладывает по 4 пальца с каждой руки);
• впоследствии одновременно снимается скан отпечатков больших пальцев, которые предстоит приложить на экран совместно;
• сама по себе процедура занимает не более 10 минут, после чего все полученные сведения моментально заносятся в базу данных.

Схожие аппараты присутствуют в центрах визового контроля, через которые гражданам приходится проходить по прибытию в государство шенгенской зоны. При необходимости сотрудник таможни попросит прислонить пальцы рук к сканеру, после чего вся информация о человеке будет выведена на экран.

Биометрический паспорт

Подавляющее большинство заграничных паспортов, выдаваемых сегодня, являются биометрическими. В них, кроме основной текстовой информации содержатся оцифрованные сканы пальцев и особенная фотография. Такой паспорт имеет пластиковую страницу с фото и нанесёнными с помощью лазера сведениями. В находящемся там чипе также располагается фотография и персональные данные с указанием места выдачи.

Владельцам такого паспорта проще пройти контроль на границе и регистрацию на самолёт. Достаточно лишь приложить его к специальному устройству, которое считает всю информацию.

В паспорте отсутствует страница, позволяющая вписать туда детей. На каждого ребёнка оформляется персональный документ, удостоверяющий личность.

Евросоюз далеко не первым ввёл обязательную дактилоскопию. Сначала эту систему опробовали США, затем другие страны. Проводится она и при въезде в Россию.

На первых порах были опасения, что упадёт посещаемость стран Шенгена, нанеся ущерб туристической отрасли. Однако этого не произошло. Да, огромные очереди в посольствах и консульствах отпугнули было посетителей, но сейчас ситуация нормализовалась. Люди привыкли к новым требованиям, осознали их значимость и оценили удобство применения. Ажиотаж спал, большое количество туристов уже прошли биометрию, и теперь могут обращаться за визами, используя свои данные, находящиеся в общей базе.

Значительно выросла безопасность границ и быстрота их пересечения честными путешественниками. А посольства многих стран Шенгенской зоны стали давать мультивизы длительного срока действия, компенсируя неудобства новых требований.

Условия обработки персональных данных

Настоящий документ (далее — Условия) определяет порядок обработки персональных данных пользователей «Личного кабинета пользователя «Единой биометрической системы» (далее — Личный кабинет), доступ к которому осуществляется при помощи интернет-сайта https://bio.rt.ru и специального мобильного приложения «Единой биометрической системы».

Оператором, осуществляющим обработку персональных данных (далее — Оператор), является Публичное акционерное «Ростелеком»; ОГРН 1027700198767; Адрес местонахождения: 191002, г. Санкт-Петербург, ул. Достоевского, д.15; Почтовый адрес: 115172, Российская Федерация, Москва, ул. Гончарная, д. 30, стр 1.

1. Пользователем Личного кабинета (далее также — субъектом персональных данных) является лицо, осуществившее регистрацию своего профиля в Личном кабинете путем совершения определенных Оператором последовательных действий при помощи сайта https://bio.rt.ru и специального мобильного приложения «Единой биометрической системы» (далее также — создание Личного кабинета), а также использующее Личный кабинет для:

• Получения информации:
  • О статусе регистрации биометрических данных и сроках ее действия;
  • О том, как и где зарегистрировать биометрические данные;
  • Об истории операций, совершенных с использованием биометрических данных;
  • О правилах подключения к единой биометрической системе и порядке взаимодействия;
  • О правилах и порядке работы с системой.
• Обеспечения «обратной связи» Оператора с пользователем по вопросам функционирования Единой биометрической системы;
• Использования других интерактивных сервисов, предоставляемых с помощью Личного кабинета.

1. Оператором обрабатываются следующие персональные данные: фамилия, имя, отчество, номер мобильного телефона и адрес электронной почты. Персональные данные предоставляются и/или верифицируются пользователем при создании Личного кабинета, а также в процессе его дальнейшего использования (в частности, при изменении ранее внесенных персональных данных).
2. Пользователь отвечает за достоверность предоставленных персональных данных и самостоятельно несет риски наступления любых неблагоприятных последствий в случаях предоставления чужих и (или) недостоверных персональных данных.
3. Персональные данные обрабатываются в целях предоставления соответствующих сервисов при помощи Личного кабинета, указанных в п. 2 настоящих Условий.
4. Оператором совершаются следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение и удаление. Персональные данные обрабатываются с использованием средств автоматизации Оператора.
5. Персональные данные могут передаваться третьим лицам — АО «РТ Лабс» и АО «МЦ НТТ» осуществляющим техническую поддержку Личного кабинета на условиях заключенного договора, содержащего положение о соблюдении конфиденциальности, в том числе, для целей анализа полученных данных.
6. Оператор соблюдает конфиденциальность персональных данных и обеспечивает безопасность персональных данных при их обработке, а также соблюдает применимые требования законодательства РФ.
7. Оператор обеспечивает запись и последующую обработку персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, если иное не предусмотрено требованиями законодательства РФ.
8. Оператор не осуществляет трансграничной передачи персональных данных.
9. Персональные данные обрабатываются до достижения цели обработки и в течение 3 (трех) лет с указанного момента, если иной срок обработки не следует из требований законодательства РФ.
10. Пользователь в любой момент вправе направить Оператору заявление о прекращении обработки (отозвать согласие на обработку) персональных данных путем направления письменного заявления на почтовый адрес, указанный в п. 1 настоящих Условий. При этом пользователь признает и соглашается с тем, что с момента направления заявления о прекращении обработки (отзыва согласия на обработку) использование Личного кабинета согласно его целевому назначению становится невозможным или ограничиваются возможности такого использования.
11. Пользователь возмещает Оператору убытки, причиненные в случае нарушения положений п. 3 настоящих Условий.

Продолжение следует

Десять лет назад никто не мог и подумать, что рядовые смартфоны будут идентифицировать своего владельца по отпечатку пальца и снимку лица, причем делать это быстро и безошибочно. Пять лет назад не было и мысли о том, что можно оплатить телефоном покупку в любом магазине, приложив палец к кнопке. А еще через пять-десять лет странной покажется сама мысль о том, что при себе надо иметь какие-то документы. Повысится безопасность, откроется столько новых возможностей и сервисов, что это навсегда изменит и государство, и бизнес, и само общество.

Прогресс стремителен, технологии рождаются и проникают в массы в течение считанных лет. Первые из описанных в статье сценариев станут реальностью в ближайшие два-три года. Остальные — вопрос пяти-семи лет.

Материалы по теме: