Биометрический контроль: как не потерять лицо Биометрический контроль: как не потерять лицо

Биометрический контроль: как не потерять лицо

К 2024 году Минтранс РФ планирует применять биометрию на всех видах общественного транспорта. О рисках и технологии — соучредитель Russian Privacy Professionals Association Алексей Мунтян

Согласно «Закону о персональных данных», биометрические данные — это сведения о физиологических и биологических особенностях человека, которые позволяют установить его личность. Эти сведения бывают статическими и динамическими.

Статические сведения — информация об уникальных физиологических характеристиках человека, например черты и форма лица, папиллярные узоры пальцев, радужная оболочка глаза, геномная информация и многое другое.

Динамические сведения — это сведения о своеобразных характеристиках человека, которые могут изменяться, например, с возрастом или в зависимости от состояния человека. К таким характеристикам относятся, например, голос, подпись, сила и скорость нажатия пальцев на клавиатуру.
 

Технология Face Pay тестировалась с августа 2021 года на четырех ветках столичного метро, с ее помощью было совершено более 1,5 млн проходов. 15 октября 2021 года оплата проезда через систему распознавания лиц Face Pay заработала на всех станциях московского метро. К 2024 году биометрия будет применяться на всех видах общественного транспорта, заявил глава Минтранса РФ Виталий Савельев.

 
Опцию обработки биометрических данных имеют многие смартфоны с функцией face ID, биометрические сканеры папиллярного узора на пальцах и пр. Это биометрическая идентификация, но ее риски максимально снижены за счет того, что данные обрабатываются на пользовательском устройстве и хранятся там в зашифрованном виде. Для идентификации в банковском приложении используются биометрические сканеры, например в виде face ID, но ни банк, ни владелец приложения не имеют к ним доступа, данные хранятся лишь на пользовательском устройстве. При попытке входа смартфон передает в банк информацию о том, есть ли совпадение с данными пользователя, и на основании этого банк дает или не дает доступ в приложение, то есть осуществляется аутентификация пользователя приложения как владельца банковского счета или потребителя услуг. Поэтому очень важно, где именно хранятся биометрические данные, кто их обрабатывает и сопоставляет с эталонной моделью.


Кто и на каком основании может использовать биометрию


В России по закону о персональных данных есть исчерпывающий перечень правовых оснований, позволяющих для установления личности человека легально использовать биометрические персональные данные. Наиболее часто в качестве такого основания выступает письменное согласие субъекта (именно в письменном виде либо в электронной форме, подписанное электронной подписью данного субъекта) на то, чтобы использовались его/ее биометрические персональные данные.

Также есть более редкие основания: осуществление правосудия и исполнение судебного акта, реализация международных договоров, проведение обязательной государственной дактилоскопической регистрации. Последнее, пятое основание, которое довольно часто пытаются использовать, это требования законодательства РФ. Но обращаю внимание на то, что речь не идет о любом требовании законодательства, а только об определенных областях, допустим, в сфере обороны, безопасности, противодействия терроризму, прокурорского надзора, оперативно-розыскной деятельности, свидетельства в нотариате и так далее. В законодательстве, которое касается вопросов финансовых расчетов и оплаты, допустим, проезда на общественном транспорте, этих правовых оснований нет. Поэтому первый вопрос, который хотелось бы задать, —


каким образом будет получено согласие пользователей метрополитена на обработку их биометрических персональных данных?


Этот вопрос можно решить разными способами, например через портал «Госуслуги».

Все биометрические технологии, используемые для идентификации, характеризуются такими параметрами, как false accept rate (процент ошибочного разрешения доступа) и false reject rate (процент ошибочного отказа в доступе). Технологии биометрии сейчас не настолько совершенны, чтобы говорить о 100% точности при идентификации. В странах, где внедрили обязательную биометрическую идентификацию, установлен определенный процент ошибок.

В некоторых странах при выдаче национального ID — документа, удостоверяющего личность, — есть любопытные схемы, когда после уникального номера ID стоит отдельная цифра, например 2 или 5: эта цифра означает, что в базе биометрических данных, которые государство собрало со своих граждан, есть еще 2 или 5 человек, данные которых очень похожи на эти, и при существующем уровне достоверности биометрической аутентификации в отношении этих лиц возможны ошибки, то есть имеются несколько человек, с которыми гражданина могут перепутать.

В российском законодательстве нет указаний на степень достоверности идентификации субъекта как необходимый признак биометрических данных.


Может ли система биометрической идентификации, используемая при входе в метро, давать ошибочные срабатывания? Да, безусловно, может. И учитывая то, что мы не знаем, какие именно технологии там используются, процент таких случаев может быть как и очень небольшой, так и достаточно большой.


Узнают в маске, шапке и очках

Сработает ли распознавание лиц, если человек будет в медицинской маске или в шапке? Здесь многое зависит от той технологии, которая будет использоваться. Современные технологии уже настолько продвинуты, что им не нужно видеть все ваше лицо, большинство из них ориентируется на область вокруг глаз, которая у каждого человека обладает уникальными характеристиками. Повторюсь, из-за несовершенства самих технологий возможны ошибочное срабатывание и случаи, когда оплата будет списана с другого человека или пассажир заплатит за другого.

Кстати, уже существует технология, которая с помощью нейросети может определить имя человека по его фотографии. Возникла она не так давно, но достоверность распознавания — от 72 до 80%. Подобных инструментов становится все больше.


Опасности биометрии

Наши уникальные физиологические, биологические и иные характеристики — это наша неотъемлемая часть. Наши биологические характеристики уникальны; в отличие от пароля и места жительства, сменить их невозможно. Вот почему любые технологии биометрической идентификации представляют еще и существенную опасность.

Угроза компрометации биометрических персональных данных создает для человека серьезные риски, потому что идентифицировать такого пользователя с учетом современного развития технологий, огромного количества информации, цифровых следов, которые мы оставляем везде, будет очень легко.

Многие встречались с ситуацией, когда при размещении группового фото социальная сеть предлагает отметить на этой фотографии конкретных людей, например вашего друга Васю. Соцсеть «узнает» Васю на всех фото, которые загружают другие пользователи. Эти технологии уже давно вошли в нашу жизнь, они довольно распространены, их применение не является монополией государства или крупных компаний. Любой человек, обладающий специальными знаниями, может при весьма скромном бюджете в течение дня обработать огромный массив фотографий и другой личной информации. Возможности средних, а тем более крупных компаний, особенно международных холдингов, намного больше.


Общественная безопасность и тотальный контроль

Начиная с 2018 года (в том числе со времени проведения в России чемпионата мира по футболу) стали появляться новости о том, что благодаря системе видеофиксации в Москве, Санкт-Петербурге и других крупных городах МВД выявило сотни людей, которые находились в региональном, федеральном и международном розыске .

И параллельно с этим некоторые физические лица и НКО пытаются судиться с властями, требуя ограничить или запретить использование камер видеонаблюдения для биометрической идентификации, прямо указывая на положение ФЗ «О персональных данных», о котором говорилось выше. Но государство пока не настроено на то, чтобы ограничивать использование этих технологий, — это обосновывается защитой государственных и общественных интересов.

Опыт других стран — Китая, Индии, Латинской Америки, даже США — говорит о том, что если во главу угла при введении технологий ставить интересы общественной безопасности, то больше половины людей согласятся с необходимостью их использования, ведь это поможет предотвратить преступления.

Но важно помнить о том, что у этой медали две стороны, ведь таким образом человечество быстро может прийти к тотальному контролю государств над гражданами.

Помните облетевшую медиа летом 2021 года новость о том, что компания Apple по запросу европейских властей начала тестировать технологию, анализирующую фото и видеоизображения на пользовательских устройствах? Это позволит, в частности, выявлять случаи детской порнографии, —  при этом подобные прецеденты делают содержимое наших смартфонов достоянием общественности.


Почему биометрия должна быть предметом общественной дискуссии


Идея оплаты «по лицу» в любом случае будет реализовываться все шире, потому что общество заинтересовано в этом. Но, с другой стороны, пугает перспектива использования технологий без контроля со стороны общества и то, что нас, по сути, ставят перед фактом. В этом смысле интересен пример Швейцарии, где регулярно проходят референдумы и опросы, причем на национальном и местном уровнях. Такая модель кажется перспективной. Для тех случаев, когда планируется широкое использование технологий биометрической идентификации, было бы полезно проводить подобные опросы хотя бы на уровне субъекта федерации.