30Апр 2020

Использование биометрических данных в ходе удаленной идентификации

В развитие норм Указа Президента Республики Беларусь от 18.04.2019 № 148 «О цифровых банковских технологиях» (далее – Указ № 148) Национальный банк постановлением Правления от 17октября 2019 г. № 426 утвердил Инструкцию о проведении процедур удаленной идентификации и удаленного обновления (актуализации) (далее – Инструкция). Данная Инструкция вступила в силу 12 января 2020 г.


Разбираемся в нюансах принятого документа в статье 

Сафаревич Д.З.




Сафаревич Д.З., юрист

В соответствии с подп. 1.7 п. 1 Указа Президента Республики Беларусь от 18.04.2019 № 148 «О цифровых банковских технологиях» (далее – Указ № 148) случаи и условия проведения процедуры удаленной идентификации посредством установления видеосвязи с клиентами, их представителями определяются Национальным банком Республики Беларусь (далее – Национальный банк) и Советом Министров Республики Беларусь (далее – Совет Министров) в пределах их компетенции. Случаи, условия и порядок проведения процедуры удаленного обновления (актуализации) данных о клиентах, их представителях определяются Национальным банком и Советом Министров в пределах их компетенции. В развитие вышеуказанных норм Указа № 148 Национальный банк постановлением Правления от 17.10.2019 № 426 утвердил Инструкцию о проведении процедур удаленной идентификации и удаленного обновления (актуализации) (далее – Инструкция), которая вступила в силу 12 января 2020 г.

Терминология

Инструкция оперирует следующими терминами (п. 2 Инструкции):

биометрическая модель – совокупность признаков биометрического образца, преобразованных в соответствии с методикой проведения процедуры удаленной идентификации;

биометрический образец – биометрические данные клиента, его представителя, получаемые при проведении процедуры удаленной идентификации;

блокирование данных о клиенте, его представителе – меры, принимаемые пользователем межбанковской системы идентификации (далее – МСИ), в результате которых использование данных о клиенте, его представителе становится невозможным;

пользователи МСИ – Национальный банк, банки, небанковские кредитно-финансовые организации, открытое акционерное общество «Банк развития Республики Беларусь», лизинговые и микрофинансовые организации, форекс-компании или Национальный форекс-центр, являющиеся пользователями системы идентификации и заключившие с владельцем МСИ договор о подключении к системе идентификации;

признаки биометрического образца – цифровое представление информации, извлеченной из биометрического образца и используемой для создания биометрической модели;

система дистанционного обслуживания – совокупность технологий для целей совершения банковских, других финансовых операций, услуг, иной деятельности и сделок с использованием программно-технических средств и телекоммуникационных систем, обеспечивающих взаимодействие пользователей МСИ и клиентов, их представителей, в том числе передачу электронных документов и документов в электронном виде;

система удаленной идентификации – программно-аппаратный комплекс, реализующий в рамках проведения процедуры удаленной идентификации удаленный сбор и обработку биометрических и иных данных о клиенте, его представителе, необходимых для проведения процедуры удаленной идентификации, а также хранение и предоставление этих данных.

Иные термины используются в значениях, определенных Указом № 148, Законом Республики Беларусь от 28 декабря 2009 г. № 113-З «Об электронном документе и электронной цифровой подписи», Инструкцией об организации ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности в Национальном банке Республики Беларусь, банках и небанковских кредитно-финансовых организациях Республики Беларусь, открытом акционерном обществе «Банк развития Республики Беларусь», утвержденной постановлением Правления Национального банка Республики Беларусь от 12 декабря 2013 г. № 728, Инструкцией о порядке функционирования межбанковской системы идентификации, утвержденной постановлением Правления Национального банка Республики Беларусь от 21 сентября 2016 г. № 497, Инструкцией об использовании программно-аппаратных средств и технологий, утвержденной постановлением Правления Национального банка Республики Беларусь от 19 сентября 2019 г. № 379.

Общие правила проведения удаленной идентификации

Процедура удаленной идентификации проводится только в случае отсутствия в МСИ данных о клиентах, их представителях. В случае наличия данных о клиенте, его представителе в МСИ клиент, его представитель проходят процедуру идентификации посредством МСИ (п. 3 Инструкции).

В соответствии с п. 4 Инструкции банкам, форекс-компаниям предоставлено право в рамках процесса проведения процедуры удаленной идентификации привлекать на основании договора организацию, оказывающую технические услуги для проведения такой процедуры.

Процедура удаленной идентификации проводится при соблюдении следующих условий:

  • сбор, обработка, предоставление и использование данных о клиентах, их представителях, полученных при проведении процедуры удаленной идентификации, осуществляются с соблюдением требований законодательства об информации, информатизации и защите информации (См.: Закон Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»), законодательства и международных договоров, направленных на защиту прав субъектов персональных данных;

  • обеспечена возможность блокирования данных о клиенте, его представителе в системе удаленной идентификации;

  • биометрические данные клиентов, их представителей фиксируются в базе данных отдельной от базы данных иных данных, полученных при проведении процедуры;

  • данные о клиентах, их представителях, прошедших идентификацию посредством процедуры удаленной идентификации, маркируются пользователем МСИ в своей базе данных;

  • фото- и (или) видеофиксация лиц клиента, его представителя и документа, удостоверяющего личность, на основании которых формируются биометрические модели, осуществляется в процессе одного общего видеосеанса с клиентом, его представителем;

  • осуществляется проверка подлинности полученного изображения документа, удостоверяющего личность, и анализ особых признаков подлинности документа, удостоверяющего личность;

  • используются программно-технические средства, предотвращающие неправомерные действия, в том числе методы обнаружения применения средств имитации внешности и (или) голоса клиента, его представителя (произнесение клиентом, его представителем контрольной фразы, анализ движений и (или) мимики клиента, его представителя и т.п.);

  • проводится сравнение биометрических моделей, сформированных на основании лица клиента, его представителя и фотографии клиента, его представителя из документа, удостоверяющего его личность, и определяется степень их сходства. Решение о признании результата проведения процедуры удаленной идентификации положительным принимает пользователь МСИ на основании определенной им пороговой степени сходства (п. 5 Инструкции).

Согласие клиента, его представителя

Удаленная идентификация, удаленное обновление (актуализация) проводятся при наличии (п. 6 Инструкции):

1) согласия клиента, его представителя на проведение таких процедур. Предоставляется клиентом, его представителем в электронном виде с использованием средств электронной цифровой подписи или без их использования с применением программно-аппаратных средств и технологий. Данное согласие является одноразовым фактором, подтверждающим намерение клиента, его представителя совершить указанную процедуру;

2) согласия на сбор, обработку, предоставление и использование данных о клиенте, его представителе, в том числе биометрических (далее – согласие на обработку данных). Предоставление согласия на обработку данных осуществляется в электронном виде с использованием средств электронной цифровой подписи или без их использования с применением программно-аппаратных средств и технологий, в том числе посредством использования клиентом, его представителем системы дистанционного обслуживания пользователя МСИ и (или) аутентификационных факторов, применяемых для аутентификации клиента, его представителя в системе дистанционного обслуживания пользователя МСИ. Согласие на обработку данных действует в течение пяти лет с даты его предоставления и должно быть получено пользователем МСИ до начала проведения процедуры удаленной идентификации или процедуры удаленного обновления (актуализации).

В соответствии с п. 7 Инструкции пользователь МСИ при получении согласия на обработку данных в доступной форме обязан проинформировать клиента, его представителя:

  • о целях сбора, обработки, предоставления и использования данных о клиенте, его представителе;

  • о составе данных о клиенте, его представителе, подлежащих сбору, обработке, предоставлению и использованию;

  • о лицах, получающих доступ к данным о клиенте, его представителе;

  • о сроке действия такого согласия;

  • об иных условиях сбора, обработки, предоставления и использования данных о клиенте, его представителе.

Клиент, его представитель могут отозвать свое согласие на обработку данных следующими способами:

  • в электронном виде с использованием средств электронной цифровой подписи или без их использования с применением программно-аппаратных средств и технологий после аутентификации клиента, его представителя в системе дистанционного обслуживания пользователя МСИ;

  • в письменном виде при личном обращении к пользователю МСИ.

Пользователь МСИ при отзыве согласия на обработку данных обязан заблокировать данные о клиенте, его представителе не позднее банковского дня, следующего за днем отзыва такого согласия клиента, его представителя (п. 8 Инструкции).

Удаленное обновление (актуализация) данных о клиенте, его представителе

В соответствии с п. 9 Инструкции процедура удаленного обновления (актуализации) данных о клиенте, его представителе, за исключением биометрических, может проводиться в следующих случаях:

  • при необходимости обновления (актуализации) данных о клиенте, его представителе в соответствии с законодательством в сфере предотвращения легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения;

  • по инициативе клиента, его представителя.

Процедура удаленного обновления (актуализации) биометрических данных клиента, его представителя может проводиться в следующих случаях:

  • по истечении трех лет с даты обновления (актуализации) биометрических данных клиента, его представителя или внесения новых данных в базу данных пользователя МСИ;

  • по инициативе клиента, его представителя

Процедура удаленного обновления (актуализации) данных о клиенте, его представителе пользователем МСИ проводится при соблюдении следующих условий:

  • в отношении клиента, его представителя осуществлена многофакторная аутентификация. При этом обновление (актуализация) абонентского номера сотовой подвижной электросвязи происходит только при осуществлении многофакторной аутентификации с использованием трех видов аутентификационных факторов;

  • пользователь МСИ может удостовериться в актуальности предоставленных данных.

Способы подтверждения актуальности данных, предоставленных клиентом, его представителем, определяются пользователем МСИ (п. 10 Инструкции).

В п. 11 Инструкции установлено, что процедура удаленного обновления (актуализации) данных о клиенте, его представителе проводится в следующем порядке:

  • клиент, его представитель проходят процедуру аутентификации в системе дистанционного обслуживания пользователя МСИ;

  • пользователь МСИ или клиент, его представитель осуществляют запрос на обновление (актуализацию) данных о клиенте, его представителе, после чего клиент, его представитель указывают актуальную информацию посредством заполнения анкеты или видеосвязи с клиентом, его представителем по выбору пользователя МСИ;

  • пользователь МСИ проверяет актуальность данных, предоставленных клиентом, его представителем;

  • в случае положительного результата проверки актуальности данных, предоставленных клиентом, его представителем, пользователь МСИ фиксирует актуальные данные в соответствующей системе (базе данных);

  • в случае отрицательного результата проверки актуальности предоставленных данных пользователь МСИ оповещает об этом клиента, его представителя и указывает возможные способы обновления (актуализации) таких данных, в том числе при личном обращении клиента, его представителя к пользователю МСИ.

Опыт РФ

Удаленная идентификация в РФ – это механизм, позволяющий физическим лицам получать финансовые услуги дистанционно в разных банках, подтвердив свою личность с помощью биометрических персональных данных (изображение лица и голос).

Механизм удаленной идентификации разработан Банком России в рамках реализации Основных направлений развития финансовых технологий на период 2018–2020 годов.

Создание и развитие платформы для удаленной идентификации позволяет перевести финансовые услуги в цифровую среду, повысить доступность финансовых услуг для потребителей, в том числе людей с ограниченными возможностями, пожилого и маломобильного населения, а также увеличить конкуренцию на финансовом рынке.

Для реализации механизма удаленной идентификации разработаны нормативные (правовые) акты, а также сформирована технологическая инфраструктура, в том числе Единая биометрическая система, которая совместно с Единой системой идентификации и аутентификации (ЕСИА) обеспечит достоверную идентификацию пользователей.

Процедура для пользователя является бесплатной и добровольной и осуществляется только с согласия клиента.

Преимущества: получение финансовых услуг в разных банках, в любом месте, в любое время.

Как начать использовать удаленную идентификацию?

1. Пройти первичную регистрацию биометрических данных. Гражданину нужно прийти в один из уполномоченных банков, обладающих правом проводить регистрацию физических лиц в Единой системе идентификации и аутентификации (ЕСИА) и Единой биометрической системе. Такой Банк проведет идентификацию физического лица при личном присутствии, зарегистрирует его в ЕСИА, а также снимет биометрические параметры (сфотографирует и запишет образец голоса) и направит их в Единую биометрическую систему.

2. Получить банковские услуги с помощью удаленной идентификации. Для получения услуги в новом банке гражданину нужно зайти на сайт или мобильное приложение этого банка и выбрать получение услуги с использованием удаленной идентификации. Далее необходимо пройти авторизацию в ЕСИА и подтвердить свои биометрические данные с помощью смартфона, планшета, ноутбука или стационарного компьютера с камерой и микрофоном. Для подтверждения своих биометрических данных с мобильного устройства необходимо скачать мобильное приложение Единой биометрической системы. Приложение доступно для скачивания в Google Play и App Store. После сравнения лица и голоса гражданина с ранее внесенными в Единую биометрическую систему данными, он сможет открыть счет (вклад), получить кредит, сделать перевод, не приходя в банк.

Проверить регистрацию в Единой биометрической системе можно в личном кабинете: на Едином портале госуслуг gosuslugi.ru и на портале Единой биометрической системы bio.rt.ru. Регистрация в ЕСИА и Единой биометрической системе, а также удаленная идентификация для гражданина является бесплатной.

Меры защиты биометрических данных. Процедура удаленной идентификации гражданина с помощью Единой биометрической системы надежно защищена от взлома и мошенничества с помощью самых высоких стандартов защиты информации. Биометрические данные гражданина в Единую биометрическую систему передаются по защищенному российскими криптоалгоритмами каналу связи. Мобильное приложение Единой биометрической системы имеет встроенные криптографические средства защиты информации, которые соответствуют всем требованиям законодательства РФ в сфере защиты информации. Биометрические данные граждан в Единой биометрической системе хранятся в зашифрованном виде в обезличенной форме отдельно от других персональных данных, таких как Ф.И.О., паспорт, СНИЛС и др. Указанные персональные данные хранятся в Единой системе идентификации и аутентификации (ЕСИА). Связка между системами осуществляется по технологическому идентификатору ЕСИА.

Можно ли обмануть систему, используя, например, фотографию человека или записи голоса? Для надежности и безопасности при проведении идентификации используется алгоритм, позволяющий проверять, что перед камерой находится живой человек. При удаленной идентификации у пользователя появляется окно для видеозаписи и случайно сгенерированная последовательность цифр, которую нужно прочесть вслух на камеру. Система сравнит эту запись с образцами, которые хранятся в Единой биометрической системе, и сообщит банку степень совпадения. Такая проверка является дополнительным фактором, обеспечивающим предотвращение несанкционированного доступа к биометрическим данным, хранящимся в Единой биометрической системе.

Материал подготовлен с использованием нормативных правовых актов по состоянию на 11 марта 2020 г.


Пожалуйста, поверните свое устройство в горизонтальное положение.
Заказать
звонок