В России вступает в силу закон о регулировании правил сбора, хранения и использования биометрических данных россиян. Формально распространение биометрии продвигается властями как способ облегчить гражданам доступ к государственным и банковским услугам. В реальности главным бенефициаром нового закона будут силовики: государственный оператор по работе с биометрией будет обязан предоставлять им данные любого гражданина.
Трюк с Горелкиным
Формально автор закона – единоросс Антон Горелкин, который известен инициативами по ограничению работы иностранных компаний и граждан в России (вот последний пример). При этом представители Минцифры сопровождали законопроект о биометрии на всех стадиях обсуждения в парламенте. А в разработке поправок ко второму чтению активное участие, по словам председателя комитета Госдумы по информполитике Александра Хинштейна, принимала Федеральная служба безопасности (ФСБ). Учитывая это, а также размер закона (более 140 страниц), чувствительность темы и количество ведомств, интересы которых он затрагивает, нет сомнений, что Горелкин – лишь номинальный автор документа.
Внесение в Госдуму правительством или спецслужбами важных документов через депутата – распространенная практика в российском законотворчестве. Она позволяет сократить объем межведомственного согласования, в дебрях которого погибает множество инициатив. Благодаря внесению через депутата документ проходит гораздо менее забюрократизированную процедуру получения отзыва из правительства. Заключение правительства на законопроект Горелкина было предельно лаконичным (полторы страницы) и предсказуемо положительным.
Во втором, ключевом чтении Госдума одобрила законопроект меньше чем через месяц — 20 декабря. По словам Хинштейна, к этому моменту не осталось статьи, в которую бы не внесли поправки. Однако это не спасло от раскола при голосовании. Так называемая парламентская оппозиция возмутилась, что обновленный текст гигантского законопроекта был опубликован лишь накануне, а проблема рисков утечек так и не была решена. В итоге законопроект приняли исключительно голосами «Единой России». В третьем окончательном чтении документ одобрили уже на следующий день. И тоже только голосами правящей партии.
«Сегодня наступает новый этап в деле организации того, что некоторые граждане называют электронным концлагерем. <...> Предпринимается попытка создать своего рода «электронное досье» на каждого гражданина России», – написал в своем канале депутат-коммунист Денис Парфенов.
Что написано в законе и какими будут его последствия
Текст закона условно можно разбить на три части: регулирование сбора и использования биометрических данных, доступ к ним силовиков и защита от утечек.
-
Государство как мегарегулятор
Ключевые положения закона, которые касаются сбора и использования биометрии россиян:
-
Биометрические данные россиян должны храниться исключительно в Единой биометрической системе (ЕБС), управлять которой будет назначенный государством оператор.
-
Идентификация по биометрии приравнивается к идентификации по паспорту.
-
Сдача биометрии остается добровольным делом, и по настоянию РПЦ в законе даже прописали запрет на принуждение к этому.
-
Отозвать разрешение на использование своих биометрических данных и потребовать удалить их из ЕБС можно будет в любой момент, в том числе через сайт госуслуг. Эта норма заработает не сразу, а после того, как правительство утвердит соответствующие формы отказа.
-
Органы власти, банки и компании не вправе отказывать в предоставлении услуг гражданину, если он не хочет предоставлять свою биометрию или отозвал разрешение на ее использование.
-
В ЕБС будут храниться два вида биометрических данных граждан – фото/видео изображения лица и образец голоса. Хранение и обработка биометрии россиян за пределом ЕБС запрещены (о важности этого предложения – чуть ниже). Под запретом, как и требовала РПЦ, сбор геномной информации.
-
Идентифицировать граждан с помощью ЕБС смогут органы государственной и муниципальной власти, центры госуслуг, нотариусы, а также любые компании/банки и индивидуальные предприниматели. Для работы с ЕБС всем нужно будет пройти аккредитацию, правила которой определит государство.
Хотя закон о биометрии принят только сейчас, российский бизнес собирает биометрические данные клиентов уже нескольких лет. По оценкам Минцифры, те или иные виды биометрии сдали 70 млн россиян, и в основном данные находятся у банков. Наиболее успешно и агрессивно качественную биометрию (по которой человека можно распознать удаленно) собирает Сбербанк. Его руководитель Герман Греф в конце 2018 года говорил, что в базе банка находятся миллионы биометрических образцов. Был даже проект «Сбер.Ладошки», чтобы детям было удобнее оплачивать школьные обеды.
С июля 2018 года банки начали принимать биометрию клиентов в государственную Единую биометрическую систему, работу которой и регулирует новый закон. По логике государства, банкам должно быть выгодно работать на пополнение ЕБС, ведь они могут получить данные, собранные конкурентами. А значит успешнее продавать свои продукты (кредиты, депозиты, ипотека и т.п.) с помощью удаленной идентификации клиента.
Но на практике внедрение ЕБС идет с трудом. Банки жалуются, что оборудование для сбора биометрии дорогое, а граждане неохотно делятся своими данными. Сколько россиян поделились своей биометрией с ЕБС, власти раскрывали лишь однажды, в феврале 2021 года. Тогда называлась цифра в 164 тысячи человек. Для сравнения, сайтом Госуслуг пользуется около 126 млн человек.
Сейчас биометрия разбросана по нескольким операторам, а власти хотят все собрать в одном месте, объясняет логику закона юрист «Роскомсвободы» (недавно организация была признана иностранным агентом, и чтобы не навредить автору комментария, мы не указываем его имя и фамилию).
«Процесс превращения государства в суперрегулятора в сфере биометрии идет в России уже несколько лет, и новый закон – важный этап этого процесса», – отмечает он. Об этом же, но другими словами говорил в Госдуме и министр цифрового развития Максут Шадаев: закон должен ввести «в определенные рамки» биометрическую анархию, которая сейчас есть.
Хотя закон не заставляет граждан сдавать биометрию, он содержит нормы, которые будут подталкивать его к этому. Например, открытый перечень организаций, которые смогут идентифицировать граждан с помощью ЕБС после получения аккредитации, означает, что все больше услуг в России будет предоставляться с помощью идентификации через ЕБС. И закон не запрещает государству, банкам и компаниям устанавливать более длительные сроки получения услуги, если гражданин отказался сдавать биометрию.
2. Биометрия на службе ФСБ и полиции
Федеральная служба безопасности – одно из самых упоминаемых в законе ведомств.
Закон предписывает правительству и другими гражданским органам власти согласовать со спецслужбой ключевые подзаконные акты о работе биометрической системы. Например, положение об операторе ЕБС, порядок сдачи биометрии через смартфон, перечень угроз безопасности для ЕБС и т.д. Кроме того, ФСБ будет осуществлять «надзор за соблюдением организационных и технических мер по обеспечению безопасности биометрических данных россиян».
У ФСБ, Росгвардии, полиции, Федеральной службы охраны (охраняет Путина и его окружение), судов и Федеральной службы исполнения наказаний будет право удалять из ЕБС данные о своих сотрудниках. Закон также не распространяется на сбор и обработку биометрии в рамках оперативно-розыскной деятельности, разведки и контрразведки, обороны, обеспечения безопасности, миграционного и регистрационного учета (то есть выдачу загранпаспортов), обеспечения санитарно-эпидемиологического благополучия. Это значит, что ведомства, которые ответственны за эти темы, смогут вести самостоятельный сбор биометрии.
Россия – один из мировых лидеров по количеству камер видеонаблюдения, а создание ЕБС и ее наполнение – еще одно огромное подспорье для российских силовиков. В 2021 году они уже использовали уличные камеры видеонаблюдения для преследования граждан за участие в митингах в поддержку оппозиционера Алексея Навального (здесь можно прочитать большой доклад ОВД-Инфо). В 2018 году с помощью «умных камер» власти поймали180 человек на чемпионате мира по футболу. Они же использовались для контроля за соблюдением карантинных ограничений в 2020 году. Тогда москвичам на карантине приходили штрафы за то, что они выходили вынести мусор. В 2022 году с помощью распознавания лиц в Москве отлавливали мужчин для мобилизации на войну.
Возможности силовиков следить за гражданами становятся безграничными еще и потому, что использование камер с функцией распознавания лиц в России фактически не регулируется. В Роскомсвободе отмечали, что нет никакого публичного списка оснований, когда может использоваться эта система, какие фотографии можно загружать в базы, и какие сотрудники имеют к ней доступ.
3. Вектор как защита от утечек
Риск утечек — пожалуй самый частый вопрос, который депутаты и сенаторы поднимали при обсуждении законопроекта. Если суммировать ответы Минцифры, Горелкина и Хинштейна, то на уровне закона защита состоит из трех частей.
Во-первых, к самим биометрическим данным будет доступ только у оператора ЕБС. С 19 декабря оператором системы стал «Центр биометрических технологий» — совместное предприятие, которое на 49% принадлежит «Ростелекому» и на 26% — государству. Еще 25% компании в ближайшем будущем окажутся у Центробанка. Остальные участники системы (центры госуслуг, банки и т.д.) будут работать с так называемыми векторами данных — персональными данными, полученными в результате математического преобразования биометрии. Имея только векторные данные, нельзя вычислить, кому именно они принадлежат
Во-вторых, все биометрические данные россиян будут передаваться и храниться только на территории России. Их вывоз за рубеж запрещен. Собирать биометрию могут только российские организации. Региональными операторами ЕБС могут быть только государственные предприятия.
В-третьих, аккредитацию для работы с ЕБС получат только те компании, которые подключатся к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на российские сайты, а также у которых есть аппараты и ПО для криптошифрования, которые одобрены ФСБ.
Эксперты, однако, считают, что серьезный риск утечек из системы сохраняется.
«Разговоры про вектор – это такая же демагогия, как «хлопок» и «отрицательный рост», – категоричен автор канала «ЗаТелеком» Михаил Климарев. По его словам, доступ к векторам подразумевает, что у центров госуслуг, банков и т.д. будет доступ и к алгоритмам их расшифровки. «А значит, взломав эти системы, можно получить информацию о биометрических данных конкретных людей, а не просто обезличенный код», – отмечает Климарев.
В законе есть исключения, согласно которым биометрия может храниться короткое время в базах тех организаций, которые ее собрали, обращает внимание управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников.
«Например, какое-то время она может храниться в базах МФЦ и банков. Дальше они должны ее уничтожить. А где гарантии, что они это сделают? А как проверить, что они все удалили?», — говорит Емельянников. При этом, что делать человеку, если его биометрические данные будут скомпрометированы, непонятно.
Защитить такие системы, как ЕБС, очень сложно и чрезвычайно дорого, а причиной утечек могут быть не только хакеры и иностранные спецслужбы, но и сотрудник, который решил заработать, продолжает Емельянников. На риск утечек изнутри обращает внимание и Климарев: «У государственных информационных систем защита хуже, чем у частных. Это хорошо видно по расценкам пробива данных. Для государственных систем они на порядок ниже, чем для частных», — отмечает он.
Единая база биометрических данных — удобная большая мишень для атаки, согласен представитель «Роскомсвободы». «Именно поэтому никто кроме Китая, а теперь и России, в таком количестве биометрию не собирает. Риск утечек большой, а поменять эти данные человек может», — поясняет Климарев.
В 2022 году в России было как минимум 60 крупных утечек данных. В том числе из сервисов с участием государства, таких как Мосгортранс или «Московская электронная школа». В свободном доступе находятся данные утечек из баз «Яндекс.Еды», СДЭКа и ГИБДД. Агрегирование таких данных позволяет в один клик узнать номер паспорта человека, адрес его проживания, прописку и многое другое. Если из ЕБС произойдет утечка, то у злоумышленников появится буквально полный набор для того, чтобы, например, брать кредиты в любом из банков или удаленно продать квартиру.
Власти обещают кардинально ужесточить наказание за утечки. Например, юридических лиц планируется штрафовать на сумму до 500 млн рублей или до 3% от оборота, а для граждан, которые торгуют персональными данными, могут ввести уголовное наказание. Кроме того, Минцифры еще летом 2022 года разработало поправки в КоАП и УК с наказаниями за нарушение порядка сбора, обработки или хранения биометрических данных. Однако законопроекты так и не были приняты.
