Торг лицом: какую ответственность будет нести бизнес за некорректный сбор биометрии

Анастасия Гаврилюк Редакция Forbes

Фото Andrey Rudakov / Bloomberg via Getty Images

Stub — Фото Andrey Rudakov / Bloomberg via Getty Images

В Госдуму внесены поправки в КоАП, предполагающие штрафы за обработку биометрии без согласия граждан, а также кратное увеличение уже существующих штрафов за «незаконную обработку персональных данных». Минцифры, в свою очередь, обещает отдельные повышенные взыскания за утечку биометрии. При этом уже с июня бизнес должен перенести данные в Единую биометрическую систему. Forbes разбирался с тем, какую ответственность компании понесут за незаконные сбор и обработку таких данных

Штрафной удар

4 мая группа депутатов во главе со спикером Вячеславом Володиным внесла в Госдуму законопроект, предусматривающий санкции за незаконный оборот персональных данных, к которым относится и биометрия. Поправки в Кодекс об административных правонарушениях (КоАП) вводят штрафы за обработку биометрических персональных данных без должного согласия на это. Также они повышают штраф за «незаконную обработку персональных данных». Согласно законопроекту, для юрлиц максимальный штраф увеличится с 150 000 рублей до 700 000 рублей, за повторное нарушение он вырастет с 500 000 рублей до 1,5 млн рублей.

подпишитесь на нас в Telegram

Судя по формулировкам законопроекта, он направлен на те частные биометрические системы, которые не планируют интегрироваться с Единой биометрической системой (ЕБС), полагает директор Института исследований интернета Карен Казарян. Под формулировки текущей версии законопроекта можно подвести кого угодно, подчеркивает он.

В законопроекте прописана ответственность за нарушение сбора биометрических данных, но нет ответственности за нарушение правил дальнейшей работы с биометрией, обращает внимание соучредитель и член правления Ассоциации профессионалов в области приватности (RPPA) Алексей Мунтян. «Можно не выполнять требования по защите биометрии или обрабатывать биометрию способом, прямо не предусмотренным законодательством, отдельного оговоренного наказания за это нет», — добавляет он. По словам эксперта, также не решен до сих пор вопрос и об ответственности за ошибки при биометрической аутентификации (подтверждении личности). «Система может допускать ошибки, и человек может пострадать из-за того, что его приняли за другого», — поясняет Мунтян.

Внимание к ответственности бизнеса за сохранность данных проявляет и профильное министерство — Минцифры сейчас готовит оборотные штрафы за утечки персональных данных. В декабре 2022 года в актуальной на тот момент версии законопроекта были предусмотрены санкции в диапазоне от 5 млн рублей до 500 млн рублей. Причем в документе был оговорен фиксированный размер штрафа при первой утечке персональной информации компании, тогда как размер повторного наказания уже зависел бы от оборота компании. «Верхний потолок» был предусмотрен в случае, если компания допустила утечку данных повторно с момента вступления закона в силу и нарушила ряд требований регулятора, например попыталась скрыть инцидент.

Материал по теме

В Минцифры Forbes сообщили, что поправки, предполагающие в том числе введение оборотных штрафов за утечки, относятся ко всем операторам персональных данных и ко всем видам персональных данных, в том числе к биометрическим. С учетом того что биометрические данные относятся «к категории высокой чувствительности», за их утечку планируется повышенная административная ответственность, подчеркивают в министерстве.

С первого взгляда

Сейчас собственные биометрические системы развивают банки и другие организации. Сдав биометрический слепок в отделении большинства кредитных организаций, можно подтвердить свою личность и получать банковские услуги без паспорта. Также можно, например, в московском метро оплатить проход с помощью Face Pay от ВТБ, а в некоторых сетевых магазинах и кафе («Магнит», «Перекресток», «ВкусВилл», Prime и др.) заплатить с помощью услуги «Сбера» «Оплата одним взглядом». Компания МТС год назад запустила в салонах биометрию для обслуживания клиентов, что позволяет воспользоваться услугами без предъявления паспорта: поменять номер, SIM-карту, тарифный план, подключить услуги и т. д. Используется биометрия и для входа в фитнес-клубы.

Однако скоро все компании, которые работают с такими данными, должны будут передать ее в ЕБС. В середине июля 2022 года был принят соответствующий закон. Свои же собственные слепки бизнес должен будет уничтожить и пользоваться векторами (то есть наборами чисел, которые характеризуют лицо человека или другие его биометрические параметры), за которыми он будет обращаться к ЕБС. Процесс передачи биометрии в ЕБС должен начаться 1 июня 2023 года и закончиться к 1 октября 2023 года.

«Сбер» уже подтвердил, что сейчас находится в процессе выполнения регуляторных требований. ВТБ сообщил, что полностью соответствует всем установленным требованиям безопасности и исполняет все предписания регулятора в этой сфере. Впрочем, пока закон не вступил в силу и не все нормативно-правовые акты к нему доработаны и приняты, указывает Карен Казарян, — это беспокоит бизнес, так как нюансы правоприменения неясны. В «Газпромбанке», Тинькофф Банке, МТС, Райффайзенбанке и Альфа-банке не ответили на запрос Forbes.

Сама ЕБС была создана в 2018 году по инициативе Минцифры и ЦБ. Все кредитные организации России тогда обязали собирать биометрию — образец голоса и фотоизображение — для ЕБС. Параллельно банки создавали и собственные базы биометрии для обслуживания своих клиентов.

Материал по теме

Однако ЕБС наполнялась плохо: по последним раскрытым ЦБ данным, на середину 2022 года в ней было всего 236 400 пользователей. В банках же, по экспертным оценкам, собраны миллионы биометрических записей. В конце 2021 года ЕБС получила статус государственной информационной системы (ГИС), а ее оператором стал «Ростелеком». Спустя год «Ростелеком» сменил «Центр биометрических технологий» (ЦБТ): 49% в ЦБТ владеет «Ростелеком», государству принадлежит 26%, Банку России — 25%. Предполагается, что оператор ЕБС будет устанавливать плату за запрос к системе. Методику расчета размера платы определит Минцифры по согласованию с Центробанком.

Если биометрия, собранная банками, не соответствует критериям (например, если банк собирал только образцы голоса), то ЕБС возьмет ее на хранение, но использоваться она будет только для оказания услуг собравшим ее банком, пояснили в ЦБТ. Таким образом, на сервисы банка передача биометрии из частной системы в ЕБС никак не повлияет, уверяют в ЦБТ. Если клиент банка сдавал биометрические данные не для ЕБС, то кредитная организация не сможет против его воли передать эти данные — она обязана уведомить клиента за 30 дней до начала передачи. Если клиент откажется — передачи не будет. В ЦБТ говорят, что в системе реализован принцип раздельного хранения данных: там размещается биометрия в зашифрованном виде, но паспортные данные или ФИО в ЕБС не хранятся.

Что с лицом

Примечательно, что ЦБТ не гарантирует своим клиентам-юрлицам качество предоставления услуг и компенсацию убытков (или недополученной прибыли), возникающих «из-за технологических причин и действий третьих лиц при использовании стороннего оборудования». Об этом говорится в оферте ЦБТ.

Если договор заключен между ЦБТ и лицом, то такое лицо вправе использовать для подключения к ЦБТ только собственное оборудование, поясняет главный юрисконсульт практики интеллектуальной собственности юридической компании «ЭБР» Кирилл Ляхманов. В противном случае все убытки, которые может понести заказчик услуги, исполнитель не будет возмещать. Такие убытки могут возникать из-за проблем с аутентификацией клиентов, невозможности своевременного доступа и др. Например, если банк настроит систему идентификации таким образом, что будет использоваться сервер, находящийся вне контура банка, ЦБТ не несет ответственности за ситуации, в которых что-то может пойти не так, поясняет он.

Материал по теме

Пользователи фактически лишены возможности не принимать это условие соглашения, даже если не согласны с ним, и отказаться даже от заведомо невыгодных условий, добавляет руководитель практики интеллектуальной собственности юридической фирмы DRC Владимир Ожерельев.

Клиентами ЕБС по большей части являются банки, и они обязаны страховать риски на 100 млн рублей, отмечает Карен Казарян. При этом ЦБТ за убытки своих клиентов и прочих организаций, которые обращаются в ЕБС за векторами, ответственность нести не планирует. «Государство практически игнорирует добросовестность бизнеса и, скорее всего, предполагает обязать его выплачивать компенсации клиентам в любых случаях. Но при этом «государственно образованные» юрлица такой подход не применяют», — подчеркивает Казарян.

Регулирование использования биометрических персональных данных ставит под вопрос целесообразность их коммерческого использования, считает Карен Казарян. Однако это будет зависеть от того, как взаимодействие коммерческих биометрических систем с ЕБС будет реализовано на практике и какие услуги будут предоставляться на основе биометрии; не исключено, что использовать биометрию для оказания услуг смогут только крупные компании, заключает эксперт.

Изменения в регулировании биометрии могут серьезно ограничить российские компании в апробации и применении биометрических технологий, не связанных с подтверждением личности, например при пресечении мошеннических действий на онлайн-платформах, сообщили в Ассоциации больших данных (АБД, объединяет «Яндекс», VK, «Ростелеком», МТС, «Газпромбанк» и др.). «Это, в свою очередь, приведет к снижению гарантий добросовестных пользователей и клиентов. Необходимо найти баланс в регулировании биометрии с учетом мнения участников рынка и сложившихся добросовестных бизнес-практик», — подчеркивают в АБД.