Содержание
О мероприятии
Цифровая трансформация стремительно уводит розничный банкинг и другие финансовые сервисы в виртуальный мир, лишая их офисов и других подразделений. Вместо этого у бизнеса появилась возможность дистанционного обслуживания населения с использованием таких массовых оконечных устройств, как смартфоны, ATM и прочие «умные» гаджеты.
Однако регуляторы не успевают за всеми этими изменениями, прежде всего, с точки зрения юридической поддержки практик использования средств удаленной идентификации клиентов. На конференции «Три ипостаси банковской биометрии», организованной «Б.О» в апреле 2016, прозвучало несколько вопросов к законодателям. К сожалению, ответы на них были получены далеко не все. Поэтому в этом году вопросы будут заданы снова. Этим проблемам будет посвящена первая сессия дискуссии.
Почему речь идет именно о биометрической аутентификации и идентификации сегодня уже объяснять никому не надо: соотношение цена-надежность уже давно на стороне аудио-, видео- и прочих гибридных биотехнологий. Вопрос только в том, в какой именно комбинации их лучше всего использовать. Кроме того, научный прогресс непрерывно развивает как устоявшиеся технологии, так и приводит к появлению новых. Естественно, за всем этим необходимо следить. Поэтому во второй сессии конференции обо всех новинках и опыте их внедрения делегатам расскажут признанные эксперты отрасли.
Как это было:
14.01.2020, Вт, 09:43, Мск , Текст: Эльяс Касми
Принятие законопроекта об обязательном сборе биометрических данных в банках и передаче их в единую биометрическую систему было отложено на неопределенный срок. Документ был принят Госдумой в первом чтении в июле 2019 г., и на этом его продвижение было приостановлено.
Законопроект не принимают
Госдума приостановила принятие законопроекта по сбору биометрических данных россиян-клиентов банков. Об этом заявил председатель комитета Госдумы по финансовому рынку Анатолий Аксаков.
По его словам, в 2020 г. власти не будут принимать кардинальных решений по вопросу использования биометрии. Он также подчеркнул, что Банк России настаивал на скорейшем принятии данного законопроекта.
В то же время, по данным «Ведомостей», Аксаков сообщил, что депутаты рассчитывают принять законопроект о биометрии в феврале 2020 г. Он также отметил, что при подготовке документа ко второму чтению он вызвал ряд вопросов у силовых структур и у бизнеса, в частности, у банков, которых обязывают использовать биометрию для оказания услуг и нести расходы на закупку оборудования.
Клиенты банков не спешат сдавать свои биометрические данные
«Мы приостановили принятие законопроекта в связи с тем, что аккуратно стараемся относиться к принятию цифровых законов. Известно, что и финансирование цифрового направления в национальных проектах идет медленнее, чем в других направлениях, и многие законопроекты медленнее принимаются. Это связанно с тем, что тема непростая, прежде всего связана с защитой прав граждан, защитой персональных данных, и с защитой бизнеса тоже», – сказал Аксаков.
Суть законопроекта
Документ, принятие которого было отложено на неопределенный срок, представляет собой поправки к закону «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». Его авторами являются группа депутатов и членов Совета Федерации, и в их число входит сам Анатолий Аксаков.
Законопроект был принят Госдумой в первом чтении 16 июля 2019 г., и на момент публикации материала его рассмотрение остановилось на этом этапе.
Предложенные поправки к закону предусматривают сбор биометрии непосредственно при открытии счетов и вкладов в банках и их филиалах. Также в законопроекте говорится о необходимости конкретизации внутренних подразделений банка, в которых банки будут обязаны обеспечить сбор биометрии.
В дополнение к этому законопроект предоставляет банкам право пользования информацией о биометрических данных клиентов, полученных из единой биометрической системы (ЕБС) для проведения любых банковских операций и сделок с клиентами-физлицами.
Единая биометрическая система
Создание ЕБС, с которой, согласно законопроекту, должны работать все российские банки, началось в 2016 г. Система нужна для удаленной идентификации клиентов банков – к примеру, после регистрации на портале госуслуг и сдачи биометрических данных (изображение лица и образца голоса) в отделении банка, россиянин получит возможность удаленно получать банковские услуги. В частности, он сможет открывать счета, получать кредиты и делать переводы.
Тестирование системы, как сообщал CNews, началось в декабре 2017 г., и затраты на ее создание оценивались на тот момент в 247,6 млн руб., не считая расходов самих банков на оборудование. По всей России система начала работать с 30 июня 2018 г., поскольку для этого необходимо было внести поправки в закон о противодействии отмыванию доходов, касающиеся идентификации клиентов в банках. Оператором ЕБС был назначен «Ростелеком».
Для идентификации пользователей изначально использовалось два биометрических показателя: изображение лица и образцы голоса. В будущем не исключалось подключение других биометрий, в частности, радужной оболочки глаз и рисунков вен. В мае 2019 г. Минкомсвязи предложило дополнительно вносить систему информацию о номере телефона и электронной почте россиян. В сентябре 2019 г. власти присвоили номерам мобильников и электронным адресам статус официальных идентификаторов россиян.
Актуальность сбора биометрии и утечки данных
По словам Анатолия Аксакова, в России по состоянию на январь 2020 г. сбор биометрии нельзя назвать массовым. Среди россиян-клиентов банков данная услуга не очень востребована, что подтверждает и статистика сбора таких данных. По информации Центробанка, на 1 декабря 2019 г. сбор биометрических данных осуществлялся менее чем в 40% отделений кредитных организаций.
По статистике «Ростелекома», на начало января 2020 г. в ЕБС было зарегистрировано около 110 тыс. человек.
Аксаков подчеркнул, что обязательный сбор биометрии может оказаться дорогостоящим для банков. По его мнению, банки с базовой лицензией стоит освободить от этой обязанности, как и системообразующие банки, «если это не приведет к благу для граждан, которые будут пользоваться данной услугой».
Отметим, что банки не всегда могут обеспечить надежную защиту от утечки биометрических данных. Так, в конце октября 2019 г. в интернете был обнаружен архив, содержащий, помимо прочей персональной информации, еще записи разговоров клиентов Сбербанка с техподдержкой банка, а это, фактически, образцы их голоса. Сбербанк отрицал факт утечки, но подлинность части содержащейся в архиве информации была подтверждена сотрудниками РБК.
31 декабря Владимир Путин подписал закон №482-ФЗ, позволяющий банкам открывать счета физическим лицам, предоставлять им кредиты и осуществлять денежные переводы в режиме онлайн, без посещения офиса.
Для установления и подтверждения достоверности сведений о клиенте могут быть использованы единая система идентификации и аутентификации (ЕСИА), а также единая биометрическая система.
Закон вводит обязанность банков, входящих в перечень, установленный Центральным банком РФ, по поручению и с согласия клиента-физического лица, осуществлять сбор и передачу в ЕСИА различных персональных данных клиента, в том числе биометрических. Однако хотя бы один раз гражданину придётся пройти идентификацию очно, чтобы его биометрические данные были внесены в ЕСИА.
Что такое биометрические персональные данные
В соответствии со статьей 11 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», биометрическими персональными данными являются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
К таким данным могут быть, в частности, отнесены отпечатки пальцев, радужная оболочка глаз, анализы ДНК, рост, вес, изображение человека (фотография и видеозапись) и др.
Данные гражданина, прошедшего очную идентификацию, размещаются в ЕСИА и в единой биометрической системе. Форма согласия на обработку персональных данных и биометрических персональных данных утверждается правительством Российской Федерации.
Контроль выполнения банками мер по обеспечению безопасности персональных данных при использовании единой биометрической системы будет осуществляться Центральным банком.
Функции оператора единой биометрической системы должны быть возложены на организацию, занимающую «существенное положение в сети связи общего пользования на территориях не менее чем две трети субъектов Российской Федерации».
Оператор единой биометрической системы:
1) осуществляет передачу информации о результатах проверки соответствия предоставленных биометрических персональных данных гражданина Российской Федерации его биометрическим персональным данным, содержащимся в единой биометрической системе, в государственные органы, банки и иные организации (указанные в законе);
2) предоставляет в МВД и ФСБ сведения, содержащиеся в единой биометрической системе, в порядке, установленном Правительством Российской Федерации.
В соответствии с законом, оператор единой биометрической системы будет взимать с банков плату за проверку и подтверждение предоставленных клиентом биометрических персональных данных. Размер и порядок взимания такой платы должны определяться Минкомсвязью по согласованию с Центральным банком и самим оператором единой биометрической системы.
Банком России могут быть установлены ограничения по общему количеству банковских счетов (вкладов), открытых в банках клиенту – физическому лицу, по общей сумме кредитов, выданных одним банком клиенту – физическому лицу, а также по общей сумме переводов денежных средств в течение месяца, осуществленных одним банком, при проведении идентификации с использованием сети «Интернет».
Как и в обычном случае, открытие банковского счёта онлайн возможно при «отсутствии подозрений в причастности указанного лица к легализации и отмыванию доходов, полученных преступным путем, экстремистской и (или) террористической деятельности».
По плану разработка Национальной биометрической платформы должна быть завершена к концу 2017 года. В соответствии с техническим заданием эта платформа позволит банкам идентифицировать по биометрическим данным как действующих, так и новых клиентов — физических лиц. Такая идентификация позволит частным лицам дистанционно осуществлять банковские операции, а в дальнейшем может быть использована в других отраслях экономики — в медицине, образовании, e-commerce и т.д.
Заместитель председателя правления Совкомбанка Алексей Панферов о том, какие новые возможности открывает перед банками и их клиентами внедрение биометрических технологий. Фото: пресс-служба
С 1 июля 2018 года в России заработала система, позволяющая банкам проводить удаленную идентификацию клиентов на основе биометрических данных. Это очень важный шаг, позволяющий гражданам значительно упростить доступ к рынку финансовых услуг. А в перспективе — и не только финансовых.
Удаленная идентификация — это система по распознаванию физического лица на расстоянии в целях принятия клиента на обслуживание и оказания банковских услуг дистанционно. В настоящее время в рамках действующего законодательства удаленная идентификация посредством биометрии — это единственный способ провести полную удаленную идентификацию и принять клиента на полноценное обслуживание (открытие депозитов, счетов и т.п.) в банк без обязательного посещения офиса.
Работает система достаточно просто. Первое, что нужно сделать, — прийти в отделение банка, оказывающего услугу снятия биометрического шаблона, и пройти соответствующую процедуру. Сам процесс сдачи биометрического шаблона занимает всего несколько минут, но то, сколько именно времени вы проведете в отделении банка, зависит от ряда дополнительных обстоятельств — например, от того, являетесь ли вы уже клиентом данного банка и есть ли у вас личный кабинет в Единой системе идентификации и аутентификации (ЕСИА) на сайте госуслуг (если нет, придется его завести).
После указанной процедуры ваши данные вводятся в Единую биометрическую систему — и на этом, собственно, все. Теперь вы можете получать финансовые услуги во всех банках, в которых установлена система верификации клиентов по биометрическим данным (сейчас их порядка десятка, но, думаю, их число будет довольно быстро расти) без необходимости личного посещения офиса кредитной организации. То есть, не выходя из дома, клиент получит возможность приобрести банковский продукт или получить доступ к необходимому сервису. Услуги, которые доступны сейчас: открытие счета, открытие депозита, открытие виртуальной карты. В дальнейшем можно будет подавать заявки на получение кредита и пр. ЕСИА при этом выступает не только как источник верифицированной информации о физическом лице (паспортные данные, адрес проживания, номер мобильного телефона и т.п.), но и в роли хранилища информации о физлице.
Технически и юридически все выглядит следующим образом. В соответствии с российским законодательством для того, чтобы принять клиента на обслуживание, банки должны провести ряд мероприятий. Это проверка выполнения требований закона 115-ФЗ (о противодействии отмыванию денег и финансированию терроризма), снятие копии паспорта и т.п. Ранее все делалось при личном присутствии клиента либо в офисе банка, либо к клиенту приезжал финансовый представитель.
С 1 июля банки могут принять клиента на обслуживание на расстоянии при условии прохождения гражданином удаленной идентификации посредством биометрии. В рамках удаленной идентификации банк получает данные от ЕСИА и ЕБС (единая биометрическая система), после чего проводится определение степени схожести ранее сданных образцов биометрии с теми, которые гражданин сдал в момент прохождения удаленной идентификации. Если степень схожести образцов 99,96% и выше, банк получает от ЕСИА данные по клиенту (паспортные данные, ФИО, номер мобильного телефона, СНИЛС, место проживания). На основании этой информации банк проводит проверки на соблюдение «антиотмывочного» законодательства, и если гражданин их проходит, то становится клиентом банка; соответственно, идти лично в банковский офис либо ждать представителя/курьера кредитной организации не надо.
Технологически все также не слишком сложно. Биометрические шаблоны клиента, позволяющие ему в дальнейшем с домашнего компьютера или мобильного устройства стать клиентом банка с помощью идентификации и аутентификации удаленно, могут быть получены за счет использования направленного микрофона и веб-камеры среднего ценового диапазона. Схожие требования и к оборудованию, которое нужно клиенту для последующего прохождения удаленной идентификации, — соответствующая аппаратура есть у всех, кто, например, пользуется скайпом или иными мессенджерами.
Теперь о том, почему введение удаленной биометрической идентификации так важно.
Во-первых, очевидно, что это просто удобно: поездка в офис банка не всегда является таким простым делом, особенно для граждан преклонного возраста, инвалидов, да и просто жителей небольших населенных пунктов, где кредитные организации представлены слабо или их нет вообще. То есть с точки зрения клиента это увеличение мобильности, улучшение доступа к финансовым услугам и возможность оперативно реагировать на новые предложения банков.
Во-вторых, бóльшая мобильность клиентов, упрощение для них процедуры открытия счета и, соответственно, смены банка или открытия нескольких счетов в разных кредитных организациях автоматически означает усиление конкуренции за клиентов. А ее повышение в любом сегменте рынка всегда идет на пользу потребителю товаров или услуг.
В-третьих, и это главное, внедрение удаленной биометрической идентификации в банковской сфере — лишь первый шаг. Очевидно, что система будет развиваться. Скажем, реализуемый сейчас способ съема биометрических шаблонов через кредитные организации не является единственным, есть еще участники рынка, которые могут потенциально осуществить съем биометрии и которым может быть интересно ее использование. Например, один из каналов для съема биометрических шаблонов — подключение к данному процессу учреждений, обладающих развитой сетью офисов по всей стране: многофункциональных центров (МФЦ) либо отделений «Почты России», сеть которых плотно охватывает всю территорию страны, подключена к сети Интернет и обладает компетентным персоналом для проведения необходимых процедур, а также хорошим входящим клиентским потоком. В случае с МФЦ это особенно удобно для граждан: каждый посещает данный центр как минимум три-пять раз в течение своей жизни — при получении российского или заграничного паспорта, регистрации по месту жительства, а также водительского удостоверения и т.д.
Кроме того, понятно, что внедрение системы биометрической идентификации началось с банковского сектора, поскольку современные банки — это прежде всего высокотехнологичные компании, обладающие как кадровым потенциалом, так и финансовыми ресурсами для реализации подобных проектов. Но есть еще масса сфер, причем не только в финансовом секторе, где данные технологии могут быть задействованы. Перечислю самые, на мой взгляд, очевидные:
- страхование населения, так как для проведения операции оплаты страховок суммой больше 15 тыс. руб. необходима идентификация физического лица;
- телемедицина для предоставления доступа к электронной карте пациента и общения с врачом удаленно;
- предоставление доступа на финансовый маркетплейс, который сейчас создается рядом компаний при поддержке ЦБ РФ, для идентификации клиента и проведения операций;
- предоставление доступа в личный кабинет ЕСИА, особенно если в нем будут находиться данные пользователя, для которых есть особые требования к изменению или доступу, и изменение которых критично для физического лица;
- открытие и регистрация, внесение изменений в документы юридического лица (если биометрические шаблоны сданы учредителями и генеральным директором, то идентификацию можно будет провести удаленно);
Таким образом, внедрение биометрических технологий — это не только история взаимодействия с банками. Это упрощение доступа к целому пласту услуг, имеющих первостепенное значение для граждан. А в конечном итоге — значительная экономия времени и сил, то есть улучшение качества жизни.
Госдума приостановила принятие законопроекта по сбору банками биометрических данных своих клиентов, сообщил председатель комитета Госдумы по финансовому рынку Анатолий Аксаков. Речь идет о новом виде идентификации пользователя: банки предлагают клиентам предоставить два вида биометрических данных — изображение лица и образец голоса. Впоследствии это даст им возможность удаленно открывать счета, получать кредиты, делать переводы и пользоваться другими банковскими услугами.
Однако, выяснилось, что такие услуги не интересны ни банкирам, ни их клиентам. Для одних это непонятно и рискованно, для других — слишком дорого, пояснил «Ъ FM” Анатолий Аксаков: «Все, что связано со сбором биометрических данных, их обработкой и использованием для оказания финансовых услуг, — это затраты кредитных организаций. Банкиров беспокоит, что они будут обязаны на это потратиться, при том что общий объем собранных банками биометрических данных крайне невелик.
Свои данные в Единую биометрическую систему сдали только около 30 тыс. граждан. Необходимо накопить критическую массу данных, после которой этот процесс может стать экономически выгоден».
Тем не менее, за скорейший запуск системы сбора биометрических данных выступает Центробанк. Один из аргументов регулятора — биометрия позволит кредитным организациям экономить на содержании офисов и персонала. В то же время эксперты признают, что базы биометрических данных пока не слишком надежны — в некоторых странах уже были крупные утечки, отметил генеральный директор Intems Алексей Титов:
«Сбор биометрии банками подразумевает наличие единого центра хранения биометрических образцов, а такой центр уязвим. Было достаточно много утечек информации, в том числе биометрической, и это большая проблема — в отличие от пароля, биометрию не сменишь. По каким-то причинам банки выбирают не распределенное, а центральное хранение. Люди чувствуют, что это может быть сделано не совсем для того, что было удобно и повысилась безопасность, а в каких-то других целях, например, чтобы предоставить кому-то единый доступ к базе данных. Если мы выбираем распределенное хранение, то такой доступ уже не так просто получить: нужно, чтобы пользователь куда-то пришел, дал доступ, например, к своей смарт-карте — оттуда будут проведены чтение и идентификация, но биометрические данные останутся у него на карте».
По словам Анатолия Аксакова, закон о биометрии, скорее всего, с доработками, будет принят в феврале. Предполагается, что банкам дадут несколько лет для настройки системы и закупки оборудования — за это время они в добровольном порядке должны будут запустить массовое использование биометрии. Некоторые кредитные организации уже начали собирать базы с данными клиентов: необходимое оборудование в своих отделениях уже установили ВТБ, Сбербанк, Росбанк, Райффайзенбанк и еще несколько игроков рынка.
Главная проблема с массовым запуском системы — это ненадежность смартфонов, с помощью которых клиенты должны подтверждать свою личность для совершения банковских операций, пояснила гендиректор IDX Светлана Белова: «И iOS, и Android являются так называемыми недоверенными операционными системами. Это означает, что коды этих операционных систем и процессоров, встроенных в телефон, не доступны российским службам — соответственно, нельзя проверить их на жучки, подслушки и прочее. Если бы можно было гарантировать, что в смартфоне будет обеспечена доверенная среда для хранения данных, которые предъявляются банку, тогда все проблемы были бы решены, но на сегодняшний день такое решение пока не применяется в ЦБ.
Хотя оно есть — это специальные сим-карты, на которых используется российская криптография. Такое решение обеспечивает необходимый уровень защиты, признанный ФСБ достаточным для хранения данных».
С 1 декабря прошлого года вступил в силу закон, обязывающий сотовых операторов устанавливать оборудование, разработанное российскими учеными и одобренное спецслужбами. Когда это будет сделано, в стране начнется массовая замена сим-карт: абоненты всех мобильных сетей должны будут проходить процедуру идентификации только с помощью криптографии, утвержденной ФСБ — тогда банки смогут безопасно собирать биометрию своих клиентов.
Предполагается, что к 1 января 2021 года все банки страны будут подключены к Единой биометрической системе.
Светлана Белова