Сохранить в избранное

Использование биометрических данных в ходе удаленной идентификации

В развитие норм Указа Президента Республики Беларусь от 18.04.2019 № 148 «О цифровых банковских технологиях» (далее – Указ № 148) Национальный банк постановлением Правления от 17октября 2019 г. № 426 утвердил Инструкцию о проведении процедур удаленной идентификации и удаленного обновления (актуализации) (далее – Инструкция). Данная Инструкция вступила в силу 12 января 2020 г.


Разбираемся в нюансах принятого документа в статье 

Сафаревич Д.З.




Сафаревич Д.З., юрист

В соответствии с подп. 1.7 п. 1 Указа Президента Республики Беларусь от 18.04.2019 № 148 «О цифровых банковских технологиях» (далее – Указ № 148) случаи и условия проведения процедуры удаленной идентификации посредством установления видеосвязи с клиентами, их представителями определяются Национальным банком Республики Беларусь (далее – Национальный банк) и Советом Министров Республики Беларусь (далее – Совет Министров) в пределах их компетенции. Случаи, условия и порядок проведения процедуры удаленного обновления (актуализации) данных о клиентах, их представителях определяются Национальным банком и Советом Министров в пределах их компетенции. В развитие вышеуказанных норм Указа № 148 Национальный банк постановлением Правления от 17.10.2019 № 426 утвердил Инструкцию о проведении процедур удаленной идентификации и удаленного обновления (актуализации) (далее – Инструкция), которая вступила в силу 12 января 2020 г.

Терминология

Инструкция оперирует следующими терминами (п. 2 Инструкции):

биометрическая модель – совокупность признаков биометрического образца, преобразованных в соответствии с методикой проведения процедуры удаленной идентификации;

биометрический образец – биометрические данные клиента, его представителя, получаемые при проведении процедуры удаленной идентификации;

блокирование данных о клиенте, его представителе – меры, принимаемые пользователем межбанковской системы идентификации (далее – МСИ), в результате которых использование данных о клиенте, его представителе становится невозможным;

пользователи МСИ – Национальный банк, банки, небанковские кредитно-финансовые организации, открытое акционерное общество «Банк развития Республики Беларусь», лизинговые и микрофинансовые организации, форекс-компании или Национальный форекс-центр, являющиеся пользователями системы идентификации и заключившие с владельцем МСИ договор о подключении к системе идентификации;

признаки биометрического образца – цифровое представление информации, извлеченной из биометрического образца и используемой для создания биометрической модели;

система дистанционного обслуживания – совокупность технологий для целей совершения банковских, других финансовых операций, услуг, иной деятельности и сделок с использованием программно-технических средств и телекоммуникационных систем, обеспечивающих взаимодействие пользователей МСИ и клиентов, их представителей, в том числе передачу электронных документов и документов в электронном виде;

система удаленной идентификации – программно-аппаратный комплекс, реализующий в рамках проведения процедуры удаленной идентификации удаленный сбор и обработку биометрических и иных данных о клиенте, его представителе, необходимых для проведения процедуры удаленной идентификации, а также хранение и предоставление этих данных.

Иные термины используются в значениях, определенных Указом № 148, Законом Республики Беларусь от 28 декабря 2009 г. № 113-З «Об электронном документе и электронной цифровой подписи», Инструкцией об организации ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности в Национальном банке Республики Беларусь, банках и небанковских кредитно-финансовых организациях Республики Беларусь, открытом акционерном обществе «Банк развития Республики Беларусь», утвержденной постановлением Правления Национального банка Республики Беларусь от 12 декабря 2013 г. № 728, Инструкцией о порядке функционирования межбанковской системы идентификации, утвержденной постановлением Правления Национального банка Республики Беларусь от 21 сентября 2016 г. № 497, Инструкцией об использовании программно-аппаратных средств и технологий, утвержденной постановлением Правления Национального банка Республики Беларусь от 19 сентября 2019 г. № 379.

Общие правила проведения удаленной идентификации

Процедура удаленной идентификации проводится только в случае отсутствия в МСИ данных о клиентах, их представителях. В случае наличия данных о клиенте, его представителе в МСИ клиент, его представитель проходят процедуру идентификации посредством МСИ (п. 3 Инструкции).

В соответствии с п. 4 Инструкции банкам, форекс-компаниям предоставлено право в рамках процесса проведения процедуры удаленной идентификации привлекать на основании договора организацию, оказывающую технические услуги для проведения такой процедуры.

Процедура удаленной идентификации проводится при соблюдении следующих условий:

  • сбор, обработка, предоставление и использование данных о клиентах, их представителях, полученных при проведении процедуры удаленной идентификации, осуществляются с соблюдением требований законодательства об информации, информатизации и защите информации (См.: Закон Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»), законодательства и международных договоров, направленных на защиту прав субъектов персональных данных;

  • обеспечена возможность блокирования данных о клиенте, его представителе в системе удаленной идентификации;

  • биометрические данные клиентов, их представителей фиксируются в базе данных отдельной от базы данных иных данных, полученных при проведении процедуры;

  • данные о клиентах, их представителях, прошедших идентификацию посредством процедуры удаленной идентификации, маркируются пользователем МСИ в своей базе данных;

  • фото- и (или) видеофиксация лиц клиента, его представителя и документа, удостоверяющего личность, на основании которых формируются биометрические модели, осуществляется в процессе одного общего видеосеанса с клиентом, его представителем;

  • осуществляется проверка подлинности полученного изображения документа, удостоверяющего личность, и анализ особых признаков подлинности документа, удостоверяющего личность;

  • используются программно-технические средства, предотвращающие неправомерные действия, в том числе методы обнаружения применения средств имитации внешности и (или) голоса клиента, его представителя (произнесение клиентом, его представителем контрольной фразы, анализ движений и (или) мимики клиента, его представителя и т.п.);

  • проводится сравнение биометрических моделей, сформированных на основании лица клиента, его представителя и фотографии клиента, его представителя из документа, удостоверяющего его личность, и определяется степень их сходства. Решение о признании результата проведения процедуры удаленной идентификации положительным принимает пользователь МСИ на основании определенной им пороговой степени сходства (п. 5 Инструкции).

Согласие клиента, его представителя

Удаленная идентификация, удаленное обновление (актуализация) проводятся при наличии (п. 6 Инструкции):

1) согласия клиента, его представителя на проведение таких процедур. Предоставляется клиентом, его представителем в электронном виде с использованием средств электронной цифровой подписи или без их использования с применением программно-аппаратных средств и технологий. Данное согласие является одноразовым фактором, подтверждающим намерение клиента, его представителя совершить указанную процедуру;

2) согласия на сбор, обработку, предоставление и использование данных о клиенте, его представителе, в том числе биометрических (далее – согласие на обработку данных). Предоставление согласия на обработку данных осуществляется в электронном виде с использованием средств электронной цифровой подписи или без их использования с применением программно-аппаратных средств и технологий, в том числе посредством использования клиентом, его представителем системы дистанционного обслуживания пользователя МСИ и (или) аутентификационных факторов, применяемых для аутентификации клиента, его представителя в системе дистанционного обслуживания пользователя МСИ. Согласие на обработку данных действует в течение пяти лет с даты его предоставления и должно быть получено пользователем МСИ до начала проведения процедуры удаленной идентификации или процедуры удаленного обновления (актуализации).

В соответствии с п. 7 Инструкции пользователь МСИ при получении согласия на обработку данных в доступной форме обязан проинформировать клиента, его представителя:

  • о целях сбора, обработки, предоставления и использования данных о клиенте, его представителе;

  • о составе данных о клиенте, его представителе, подлежащих сбору, обработке, предоставлению и использованию;

  • о лицах, получающих доступ к данным о клиенте, его представителе;

  • о сроке действия такого согласия;

  • об иных условиях сбора, обработки, предоставления и использования данных о клиенте, его представителе.

Клиент, его представитель могут отозвать свое согласие на обработку данных следующими способами:

  • в электронном виде с использованием средств электронной цифровой подписи или без их использования с применением программно-аппаратных средств и технологий после аутентификации клиента, его представителя в системе дистанционного обслуживания пользователя МСИ;

  • в письменном виде при личном обращении к пользователю МСИ.

Пользователь МСИ при отзыве согласия на обработку данных обязан заблокировать данные о клиенте, его представителе не позднее банковского дня, следующего за днем отзыва такого согласия клиента, его представителя (п. 8 Инструкции).

Удаленное обновление (актуализация) данных о клиенте, его представителе

В соответствии с п. 9 Инструкции процедура удаленного обновления (актуализации) данных о клиенте, его представителе, за исключением биометрических, может проводиться в следующих случаях:

  • при необходимости обновления (актуализации) данных о клиенте, его представителе в соответствии с законодательством в сфере предотвращения легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения;

  • по инициативе клиента, его представителя.

Процедура удаленного обновления (актуализации) биометрических данных клиента, его представителя может проводиться в следующих случаях:

  • по истечении трех лет с даты обновления (актуализации) биометрических данных клиента, его представителя или внесения новых данных в базу данных пользователя МСИ;

  • по инициативе клиента, его представителя

Процедура удаленного обновления (актуализации) данных о клиенте, его представителе пользователем МСИ проводится при соблюдении следующих условий:

  • в отношении клиента, его представителя осуществлена многофакторная аутентификация. При этом обновление (актуализация) абонентского номера сотовой подвижной электросвязи происходит только при осуществлении многофакторной аутентификации с использованием трех видов аутентификационных факторов;

  • пользователь МСИ может удостовериться в актуальности предоставленных данных.

Способы подтверждения актуальности данных, предоставленных клиентом, его представителем, определяются пользователем МСИ (п. 10 Инструкции).

В п. 11 Инструкции установлено, что процедура удаленного обновления (актуализации) данных о клиенте, его представителе проводится в следующем порядке:

  • клиент, его представитель проходят процедуру аутентификации в системе дистанционного обслуживания пользователя МСИ;

  • пользователь МСИ или клиент, его представитель осуществляют запрос на обновление (актуализацию) данных о клиенте, его представителе, после чего клиент, его представитель указывают актуальную информацию посредством заполнения анкеты или видеосвязи с клиентом, его представителем по выбору пользователя МСИ;

  • пользователь МСИ проверяет актуальность данных, предоставленных клиентом, его представителем;

  • в случае положительного результата проверки актуальности данных, предоставленных клиентом, его представителем, пользователь МСИ фиксирует актуальные данные в соответствующей системе (базе данных);

  • в случае отрицательного результата проверки актуальности предоставленных данных пользователь МСИ оповещает об этом клиента, его представителя и указывает возможные способы обновления (актуализации) таких данных, в том числе при личном обращении клиента, его представителя к пользователю МСИ.

Опыт РФ

Удаленная идентификация в РФ – это механизм, позволяющий физическим лицам получать финансовые услуги дистанционно в разных банках, подтвердив свою личность с помощью биометрических персональных данных (изображение лица и голос).

Механизм удаленной идентификации разработан Банком России в рамках реализации Основных направлений развития финансовых технологий на период 2018–2020 годов.

Создание и развитие платформы для удаленной идентификации позволяет перевести финансовые услуги в цифровую среду, повысить доступность финансовых услуг для потребителей, в том числе людей с ограниченными возможностями, пожилого и маломобильного населения, а также увеличить конкуренцию на финансовом рынке.

Для реализации механизма удаленной идентификации разработаны нормативные (правовые) акты, а также сформирована технологическая инфраструктура, в том числе Единая биометрическая система, которая совместно с Единой системой идентификации и аутентификации (ЕСИА) обеспечит достоверную идентификацию пользователей.

Процедура для пользователя является бесплатной и добровольной и осуществляется только с согласия клиента.

Преимущества: получение финансовых услуг в разных банках, в любом месте, в любое время.

Как начать использовать удаленную идентификацию?

1. Пройти первичную регистрацию биометрических данных. Гражданину нужно прийти в один из уполномоченных банков, обладающих правом проводить регистрацию физических лиц в Единой системе идентификации и аутентификации (ЕСИА) и Единой биометрической системе. Такой Банк проведет идентификацию физического лица при личном присутствии, зарегистрирует его в ЕСИА, а также снимет биометрические параметры (сфотографирует и запишет образец голоса) и направит их в Единую биометрическую систему.

2. Получить банковские услуги с помощью удаленной идентификации. Для получения услуги в новом банке гражданину нужно зайти на сайт или мобильное приложение этого банка и выбрать получение услуги с использованием удаленной идентификации. Далее необходимо пройти авторизацию в ЕСИА и подтвердить свои биометрические данные с помощью смартфона, планшета, ноутбука или стационарного компьютера с камерой и микрофоном. Для подтверждения своих биометрических данных с мобильного устройства необходимо скачать мобильное приложение Единой биометрической системы. Приложение доступно для скачивания в Google Play и App Store. После сравнения лица и голоса гражданина с ранее внесенными в Единую биометрическую систему данными, он сможет открыть счет (вклад), получить кредит, сделать перевод, не приходя в банк.

Проверить регистрацию в Единой биометрической системе можно в личном кабинете: на Едином портале госуслуг gosuslugi.ru и на портале Единой биометрической системы bio.rt.ru. Регистрация в ЕСИА и Единой биометрической системе, а также удаленная идентификация для гражданина является бесплатной.

Меры защиты биометрических данных. Процедура удаленной идентификации гражданина с помощью Единой биометрической системы надежно защищена от взлома и мошенничества с помощью самых высоких стандартов защиты информации. Биометрические данные гражданина в Единую биометрическую систему передаются по защищенному российскими криптоалгоритмами каналу связи. Мобильное приложение Единой биометрической системы имеет встроенные криптографические средства защиты информации, которые соответствуют всем требованиям законодательства РФ в сфере защиты информации. Биометрические данные граждан в Единой биометрической системе хранятся в зашифрованном виде в обезличенной форме отдельно от других персональных данных, таких как Ф.И.О., паспорт, СНИЛС и др. Указанные персональные данные хранятся в Единой системе идентификации и аутентификации (ЕСИА). Связка между системами осуществляется по технологическому идентификатору ЕСИА.

Можно ли обмануть систему, используя, например, фотографию человека или записи голоса? Для надежности и безопасности при проведении идентификации используется алгоритм, позволяющий проверять, что перед камерой находится живой человек. При удаленной идентификации у пользователя появляется окно для видеозаписи и случайно сгенерированная последовательность цифр, которую нужно прочесть вслух на камеру. Система сравнит эту запись с образцами, которые хранятся в Единой биометрической системе, и сообщит банку степень совпадения. Такая проверка является дополнительным фактором, обеспечивающим предотвращение несанкционированного доступа к биометрическим данным, хранящимся в Единой биометрической системе.

Материал подготовлен с использованием нормативных правовых актов по состоянию на 11 марта 2020 г.


Сохранить в избранное
Читайте также в разделе
Вам будет интересно
Видеонаблюдение и видеосъемка как обработка персональных данных. Видеосъемка граждан, осуществляемая журналистами и блогерами
Полещук Д.Г., юрист, кандидат юридических наук, доцент

Необходимо ли согласие граждан на обработку персональных данных при распространении информационных сообщений и (или) материалов, подготовленных журналистами и блогерами с использованием аудио- и видеозаписи, кино- и фотосъемки физического лица.

Читайте в нашем материале.

Читать подробнее
Календарь событий
до 26 июля 2024 г.
Общественное обсуждение
Проект Закона Республики Беларусь «О риэлтерской деятельности»
Подробнее
Видео
Здравствуйте, данный браузер не поддерживается нашей системой, для продолжения работы воспользуйтесь другим браузером.