Биометрическая идентификация и аутентификация

Материал из Lex Informatica
Перейти к навигации Перейти к поиску
Объект авторских прав
Автор - Wolfcom.

При использовании произведения, размещенного на странице, просим указывать авторство (Волков Владислав Эдуардович) и ссылку на страницу.

Также просим не использовать этот материал в коммерческих целях.

Фактор аутентификации «то, чем являюсь» используется для наиболее надежной идентификации и аутентификации лица на основе его биометрических персональных данных.

Определение биометрических персональных данных дано в статье 11 Федерального закона «О персональных данных» – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

На практике для биометрической идентификации и аутентификации могут использоваться как физиологические и биологические данные человека (отпечатки пальцев, 3D-модель лица, код ДНК, ладонь руки, сетчатка глаза, запах, голос), так и поведенческие характеристики (походка, речь), а также их сочетания.

Использование биометрии для определения лица возможна и без применения цифровых технологий. Например, начиная с 1970-х годов, Народная полиция Восточной Германии разработала метод распознавания запахов, при котором запахи тела подозреваемых и обвиняемых лиц собирались и сохранялись. Для этого использовались стерильные салфетки, которые хранились в герметичных банках. Поскольку технологий оцифровки запахов тогда еще не было, для их распознавания применялись «аналоговые» средства – специально обученные собаки-дифференциаторы[1]. Следы запаха могли быть «либо взяты непосредственно с частей тела подозреваемого, либо конспиративно закреплены на предметах одежды, которые они носили, или на предметах, к которым они прикасались[2]. При этом  запахи не использовались в качестве доказательства. В документе Штази говорится, что дифференциация запахов подходит только «для сужения группы подозрительных лиц».

Сегодня в мире, как правило, применяются пять модальностей (видов) биометрии: отпечаток пальца, изображение или 3D-модель лица, звук голоса, радужная оболочка глаза и рисунок вен ладони.

Особенностью биометрической аутентификации на основе цифровых технологий является высокая степень достоверности определения лица и невозможность быстрой смены данных, используемых для аутентификации.

Единая биометрическая система

В России по совместной инициативе Министерства связи и массовых коммуникаций и Центрального банка создана Единая биометрическая система. В ней размещаются только данные изображения лица человека и данные его голоса. Идентификация человека и размещение сведений в Единой биометрической системе производится государственными органами и банками при личном присутствии физического лица с его согласия и на безвозмездной основе. Также законом допускается удаленный сбор биометрической информации с помощью мобильных устройств, например, смартфонов с установленным приложением банка или оператора Единой биометрической системы.

Формирование и использование Единой биометрической системы регулируется Федеральным законом от 29 декабря 2022 г. № 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации".

Единая биометрическая система - государственная информационная система "Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных", которая содержит биометрические персональные данные физических лиц, векторы единой биометрической системы и иную предусмотренную Федеральным законом от 29 декабря 2022 г. № 572-ФЗ информацию, которая используется в целях осуществления идентификации, аутентификации с использованием биометрических персональных данных физических лиц, а также в иных правоотношениях в случаях, установленных законодательством Российской Федерации, и оператором которой является определенная Правительством Российской Федерации организация.

Оператором ЕБС определена коммерческая организация - АО «Центр биометрических технологий»[3]

В России хранение биометрической информации монополизировано государством, биометрические данные граждан хранятся в государственной информационной системе ЕБС в зашифрованном виде, а другие лица могут получить доступ только к математическим кодам этих данных (векторам), как правило, на платной основе

Риски обработки биометрических данных

Чувствительность биометрических данных означает необходимость их особой защиты. Ст. 11 Закона о персональных данных предусматривает, что обработка биометрических данных возможна только при условии получения письменного согласия гражданина. Однако п.5 ст. 14.1 Закона об информации допускает, что при формировании Единой биометрической системы оно может быть дано и в форме электронного документа, подписанного простой электронной подписью. Такое согласие признается равнозначным документу на бумажном носителе, подписанному собственноручной подписью данного физического лица[4]. Это существенно упрощает задачу операторов единой биометрической системы, но создает потенциальные риски для граждан.

Принуждение к биометрической идентификации и аутентификации

Во-первых, несмотря на формально добровольный характер регистрации человека в Единой биометрической системе, он может быть фактически принужден к ней. При формальном равноправии, государство и кредитные учреждения обладают несопоставимо большими экономическими возможностями, чем гражданин. Оператор Единой биометрической системы специально подчеркивает, что граждане, зарегистрированные в ней, получат доступ к лучшим предложениям на рынке. Значит граждане, не сдавшие биометрию могут быть дискриминированы. С учетом нестабильного имущественного положения значительной части граждан России, краткосрочная выгода от передачи своих биометрических данных может иметь для них решающее значение. Поэтому неизбежное внедрение биометрических технологий в сферу реализации прав личности должно сопровождаться мерами, направленными на защиту гражданина как слабой стороны, имеющей гораздо меньше реальных возможностей, чем его корпоративные контрагенты.

C точки зрения цифровой этики принципиальную важность приобретает правило взаимной идентификации – если гражданин идентифицировал себя во взаимоотношениях с корпоративным субъектом, он должен иметь право и реальную возможность получить достоверную информацию о лице, действующем от имени корпорации. Это правило приобретает особую значимость в условиях, когда от имени корпорации может выступать не человек, а система искусственного интеллекта. В законодательстве России это правило пока не реализовано.

Также гражданин должен получить юридические гарантии того, что отказ от представления биометрических данных не приведет к ухудшению его положения по сравнению с другими потребителями коммерческих и государственных услуг. На обеспечение таких гарантий направлен Федеральный закон “Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных…”. Он формально запрещает биометрическую дискриминацию – гражданам, которые не хотят сдавать биометрические данные, не должны отказать в услугах, в том числе государственных и муниципальных. При этом заметно стремление отдельных органов исполнительной власти “мотивировать” граждан к сдаче биометрических данных аргументами об ускоренном или более удобном представлении отдельных государственных услуг[5].

Использование биометрических данных без согласия

Вторая угроза, возникающая в результате широкого распространения биометрической идентификации состоит в том, что физиологические, биологические и поведенческие характеристики человека могут использоваться с целями, на которые он не давал согласия. К примеру, биометрическая информация может быть использована для определения политических предпочтений гражданина.

Результаты исследования, проведенного в 2020 году, показывают, что технология распознавания лиц может эффективно применяться для выявления политической ориентации человека. Обученный алгоритм распознавания лиц  правильно определяет политическую ориентацию в 72% случаев. Этот результат значительно лучше случайности (50%), точности определения человеком (55%) или в результате социологического опроса, которая составляет 66%. Точность была одинаковой для разных стран (США, Канада и Великобритания), технологических платформ сред (социальные сети, сайты знакомств) и оставалась высокой (69%) независимо от возраста, пола и этнической принадлежности определяемого лица[6].

Примечания

  1. Kristie Macrakis: Die Stasi-Geheimnisse: Methoden und Technik der DDR-Spionage. Herbig 2009, ISBN 978-3776625929, S. 371ff.
  2. Wörterbuch der Staatssicherheit. GVS JHS 001-400/81, herausgegeben vom BStU 1993, S. 137.
  3. Оператором Единой биометрической системы стал "Центр Биометрических Технологий"
  4. Распоряжение Правительства РФ от 30 июня 2018 г. N 1322-р Об утверждении формы согласия на обработку персональных данных, необходимых для регистрации гражданина РФ в единой системе идентификации и аутентификации, и иных сведений, если такие сведения предусмотрены федеральными законами в указанной системе, и биометрических персональных данных гражданина РФ в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина РФ
  5. Госуслуги поворачиваются лицом к биометрии
  6. Kosinski M. Facial recognition technology can expose political orientation from naturalistic facial image / M. Kosinski / Nature.com. – URL: https://www.nature.com
Источник — https://wiki.lexinformatica.ru/index.php?title=Биометрическая_идентификация_и_аутентификация&oldid=337