В последние годы вокруг темы биометрии в России возникает всё больше вопросов — и со стороны бизнеса, и со стороны субъектов персональных данных (ПДн). Особенно остро обсуждаются случаи, когда те или иные сведения начинают подпадать под понятие биометрических персональных данных (БПДн) и, как следствие, требуют особого подхода к их обработке и защите в информационных системах ПДн.
В этой статье мы разберём, что такое БПДн с юридической точки зрения, в каких случаях фото — это просто фото, а когда оно приобретает математический шаблон, вектор единой биометрической системы (ЕБС) и какое отношение ко всему этому имеет сама ЕБС.
Согласно
, БПДн — это сведения о физиологических и биологических особенностях человека, позволяющие установить его личность, и которые используются оператором для идентификации субъекта ПДн.
Пример — фотография лица, запись голоса, радужная оболочка глаз, папиллярный узор пальца или рисунок вен ладони которые используются информационной системой для распознавания и автоматической идентификации человека.
Важно понимать, что наличие изображения не всегда означает работу с БПДн. Если на корпоративном портале размещена фотография сотрудника просто «для профиля», и система не использует это изображение для идентификации — это не биометрические данные, а иная категория ПДн.
Аналогичная история с фото в системе контроля и управления доступом (СКУД): если сотрудник охраны сверяет лицо на экране с лицом человека перед собой, идентификация происходит визуально, вручную, и это не считается автоматизированной обработкой БПДн.
Ключевой момент — наличие математического шаблона у БПДн. Этот шаблон позволяет в автоматическом режиме идентифицировать субъекта.
Если такой шаблон существует и используется в целях идентификации субъекта, то это уже биометрия по всем правилам. В России использование математических шаблонов, таких как биометрический вектор лица и биометрический вектор голоса, в целях идентификации субъектов возможно только посредством подключения к ЕБС — централизованной платформе, к которой подключаются банки, МФЦ и другие организации, осуществляющие удалённую идентификацию.
Единая биометрическая система — это государственная платформа, в которой хранятся не изображения и не аудиозаписи, а биометрические векторы. Векторы — это математические представления изображения лица или голоса, полученные по строгим требованиям (например,
).
Организации, работающие с ЕБС, обязаны снимать фото по установленным стандартам (например,
), а не "сырого" фото и передавать его в ЕБС для корреляции с такими векторами.
Здесь всё чуть тоньше. Технически папиллярный узор, радужная оболочка глаза или рисунок вен тоже можно перевести в математический шаблон. Но
пока не распространяется на эти виды биометрии, и использовать их можно только в рамках внутренней безопасности и без подключения к ЕБС.
Также стоит помнить: рост, вес, цвет волос и глаз — это хоть и индивидуальные, но неуникальные признаки. Они не являются биометрическими данными с точки зрения закона.
Любая СКУД, которая предполагает пропуск по биометрии, может работать только при наличии отдельного согласия субъекта. Если человек отказался предоставлять свои БПДн в целях организации пропускного режима (идентификации), организация обязана предложить альтернативный способ идентификации (например, электронную карту).
Важно: запрет на доступ в случае отказа в предоставлении таких БПДн — это нарушение закона.
Да, если организация использует БПДн для собственных нужд и не предоставляет доступ к оказываемым услугам, она может применять биометрию как второй фактор, реализуя тем самым процесс аутентификации субъекта без подключения к ЕБС.
Пример — сотрудник прикладывает карту, а СКУД сверяет его лицо с базой для подтверждения входа. Главное, чтобы не было нарушения прав субъекта и использовалась не автоматическая идентификация, а именно аутентификация (подтверждение личности на основе ранее полученных данных).
Биометрия — это не только сведения, но и требования, и права человека. Использовать её можно и нужно, но осознанно и с соблюдением всех правил. Ведь от этого зависит не только удобство субъектов, но и их безопасность.
В этой статье мы разберём, что такое БПДн с юридической точки зрения, в каких случаях фото — это просто фото, а когда оно приобретает математический шаблон, вектор единой биометрической системы (ЕБС) и какое отношение ко всему этому имеет сама ЕБС.
Что такое БПДн по закону?
Согласно
У вас нет разрешения на просмотр ссылки, пожалуйста Вход или Регистрация
Пример — фотография лица, запись голоса, радужная оболочка глаз, папиллярный узор пальца или рисунок вен ладони которые используются информационной системой для распознавания и автоматической идентификации человека.
Фото в системе ≠ биометрия
Важно понимать, что наличие изображения не всегда означает работу с БПДн. Если на корпоративном портале размещена фотография сотрудника просто «для профиля», и система не использует это изображение для идентификации — это не биометрические данные, а иная категория ПДн.Аналогичная история с фото в системе контроля и управления доступом (СКУД): если сотрудник охраны сверяет лицо на экране с лицом человека перед собой, идентификация происходит визуально, вручную, и это не считается автоматизированной обработкой БПДн.
Когда начинается «автоматизированная обработка»
Ключевой момент — наличие математического шаблона у БПДн. Этот шаблон позволяет в автоматическом режиме идентифицировать субъекта.Если такой шаблон существует и используется в целях идентификации субъекта, то это уже биометрия по всем правилам. В России использование математических шаблонов, таких как биометрический вектор лица и биометрический вектор голоса, в целях идентификации субъектов возможно только посредством подключения к ЕБС — централизованной платформе, к которой подключаются банки, МФЦ и другие организации, осуществляющие удалённую идентификацию.
Что такое ЕБС и зачем она нужна
Единая биометрическая система — это государственная платформа, в которой хранятся не изображения и не аудиозаписи, а биометрические векторы. Векторы — это математические представления изображения лица или голоса, полученные по строгим требованиям (например,
У вас нет разрешения на просмотр ссылки, пожалуйста Вход или Регистрация
Организации, работающие с ЕБС, обязаны снимать фото по установленным стандартам (например,
У вас нет разрешения на просмотр ссылки, пожалуйста Вход или Регистрация
Есть ли ограничения с отпечатками пальцев и радужкой
Здесь всё чуть тоньше. Технически папиллярный узор, радужная оболочка глаза или рисунок вен тоже можно перевести в математический шаблон. Но
У вас нет разрешения на просмотр ссылки, пожалуйста Вход или Регистрация
Также стоит помнить: рост, вес, цвет волос и глаз — это хоть и индивидуальные, но неуникальные признаки. Они не являются биометрическими данными с точки зрения закона.
Только с согласия — и без давления
Любая СКУД, которая предполагает пропуск по биометрии, может работать только при наличии отдельного согласия субъекта. Если человек отказался предоставлять свои БПДн в целях организации пропускного режима (идентификации), организация обязана предложить альтернативный способ идентификации (например, электронную карту).Важно: запрет на доступ в случае отказа в предоставлении таких БПДн — это нарушение закона.
Использование биометрии внутри компании
Да, если организация использует БПДн для собственных нужд и не предоставляет доступ к оказываемым услугам, она может применять биометрию как второй фактор, реализуя тем самым процесс аутентификации субъекта без подключения к ЕБС.Пример — сотрудник прикладывает карту, а СКУД сверяет его лицо с базой для подтверждения входа. Главное, чтобы не было нарушения прав субъекта и использовалась не автоматическая идентификация, а именно аутентификация (подтверждение личности на основе ранее полученных данных).
Подведем итоги
| Ситуация | Это БПДн | Автоматизация | Нужна ЕБС |
|---|---|---|---|
| Фото сотрудника на портале | Нет | Да | Нет |
| Фото в СКУД при идентификации охранником | Да (вне рамок СКУД) | Нет | Нет |
| Лицо в биометрической системе, идентификация СКУД | Да | Да | Да |
| Радужка глаза, переведённая в математический шаблон | Да | Да | Пока нет |
| Вес, рост, цвет глаз в информационной системе | Нет | Да | Нет |
Биометрия — это не только сведения, но и требования, и права человека. Использовать её можно и нужно, но осознанно и с соблюдением всех правил. Ведь от этого зависит не только удобство субъектов, но и их безопасность.