Что такое биометрические персональные данные и как регулируется их сбор в России?

Визуализация биометрических данных с элементами защиты персональных данных на фоне российского флага

В современную цифровую эпоху биометрические персональные данные приобретают всё большую значимость. В статье рассматриваем, что такое биометрические данные, почему их защита важна и каким образом регулируется сбор и обработка такой информации в России для обеспечения безопасности пользователей.

Понятие биометрических персональных данных и их особенности

Биометрические данные давно перестали быть элементом фантастических фильмов. Мы разблокируем телефоны взмахом руки, проходим в офис по радужной оболочке глаза, открываем банковские счета через видеоинтервью. Но что именно попадает под определение биометрии в юридическом поле России? Ответ на этот вопрос определяет, какие действия с нашими уникальными характеристиками считаются законными.

Согласно статье 11 Федерального закона № 152-ФЗ, к биометрическим персональным данным относятся физиологические и биологические особенности человека. Речь идет о параметрах, которые невозможно изменить или подделать без серьезных усилий. Типичные примеры вы наверняка знаете:

  • Папиллярный узор пальцев
  • Геометрия лица
  • Ритм сердечных сокращений
  • Тембр и особенности голоса
  • Характер движения радужной оболочки глаза

К этой же категории относят поведенческие паттерны. У каждого из нас уникальная манера нажимать на клавиши, держать смартфон, даже ходить. Системы распознавания по походке уже тестируют в московском метро, хотя их юридический статус пока вызывает вопросы.

Главная особенность биометрии — прямая привязка к человеку. Если пароль можно передать знакомому, а паспортные данные случайно оставить на сайте, то рисунок вен на ладони или узор сетчатки физически невозможно «украсть» в классическом понимании. Но именно это создает парадоксальную уязвимость. Утечка биометрических шаблонов превращает человека в открытую книгу — восстановить или заменить уникальные параметры тела мы не можем.

Российское законодательство пытается балансировать между удобством технологий и защитой приватности. С одной стороны, закон обязывает операторов получать письменное согласие на обработку биометрии. В теории это выглядит как галочка в мобильном приложении или подпись под документом. На практике пользователи часто не осознают, что разрешают собирать не просто фото для аккаунта, а уникальные параметры лица, которые потом попадают в единую базу.

Особенно тревожно выглядят кейсы с банковским сектором. В 2023 году Банк России зафиксировал рост мошенничества с биометрией на 67%. Злоумышленники использовали глубокие фейки и синтезированные голосовые модели для доступа к счетам. При этом формально банки не нарушали закон — системы идентификации соответствовали требованиям ЦБ. Проблема в том, что нормативы до сих пор не учитывают возможности нейросетей по подделке биометрических параметров.

Сбор биометрических данных в России строго регламентирован, но исключения есть даже здесь. Статья 11 152-ФЗ разрешает обрабатывать биометрию без согласия человека в трех случаях: при осуществлении правосудия, в рамках оперативно-розыскной деятельности, а также если это требуется международными договорами о реадмиссии. На этом основании, например, работает система распознавания лиц в метро — формально она помогает искать преступников, но собирает данные всех пассажиров.

Отдельная головная боль для юристов — хранение биометрических данных. Закон требует обезличивать информацию и хранить её на территории РФ. Но как технически реализовать это требование? Большинство компаний используют не исходные изображения, а математические модели — цифровые отпечатки параметров. Правовой статус таких шаблонов пока не определен. В 2022 году Роскомнадзор оштрафовал три IT-компании за хранение нейросетевых хешей лиц за пределами страны, хотя сами изображения оставались в России.

Интересный прецедент появился после запуска Единой биометрической системы. Граждане могут добровольно передавать свои данные для удаленной идентификации в госуслугах и банках. Но проверка РКН показала, что 40% записей в системе не соответствуют требованиям по качеству. Это значит, что система может ошибаться при распознавании, но ответственность за последствия ошибок законодательством не прописана.

Безопасность биометрических данных упирается в технические стандарты. Приказ ФСТЭК № 239 от 2022 года обязывает использовать криптографическую защиту при передаче и хранении. На практике это приводит к курьёзам. Некоторые медицинские учреждения до сих пор сканируют отпечатки пальцев на оборудовании 2010-х годов, которое физически не поддерживает современные алгоритмы шифрования. Формально они нарушают закон, но заменять дорогостоящее оборудование готовы не все.

Рядовому пользователю стоит помнить главное. Передавая биометрию, вы теряете контроль над частью своей цифровой идентичности. Даже при строгом соблюдении законов всегда есть риск утечки или технической ошибки. Прежде чем согласиться на сканирование лица или голоса, задайте себе вопрос — действительно ли эта услуга того стоит? Альтернативы вроде двухфакторной аутентификации порой защищают лучше, чем самые продвинутые биометрические системы.

Законодательное регулирование сбора и обработки биометрических данных в России

Жёсткую основу регулирования биометрии в России формирует Федеральный закон №152-ФЗ. Его называют «библией» защиты персональных данных. Закон определяет биометрические данные как сведения о физиологических и биологических особенностях человека, которые используются для установления личности. В отличие от обычных персональных данных, для работы с ними требуется сочетание базовых правил и специальных требований.

С 2021 года вступили в силу поправки, которые сделали обязательным использование Единой биометрической системы (ЕБС) для операторов. Все биометрические шаблоны теперь хранятся централизованно в Национальном облаке. Это не означает, что банки или мобильные операторы потеряли доступ к данным. Они могут их использовать, но исходные образцы остаются в государственной системе. Каждая операция требует онлайн-запроса к ЕБС через защищённые протоколы.

Три ключевых требования к операторам

  • Получение письменного согласия с чётким указанием цели сбора
  • Использование сертифицированного ФСТЭК оборудования для обработки
  • Передача данных в ЕБС в течение 1 рабочего дня с момента сбора

Согласие стало главным камнем преткновения. Бланк должен содержать не просто общую формулировку, а конкретные цели: «для банковской идентификации через мобильное приложение», «для доступа в офисные помещения». Пример из практики: крупный банк выплатил штраф 300 тысяч рублей, потому что в согласии клиентов значилось «цели обработки определяются внутренними регламентами». Роскомнадзор признал это нарушением принципа конкретности.

Согласно статье 11 закона №152-ФЗ, отзыв согласия на обработку биометрии автоматически влечёт уничтожение образцов. Но на практике удаление из ЕБС занимает до 30 дней из-за технических процедур проверки.

Меры безопасности делятся на организационные и технические. Для локального хранения исходных биометрических данных (до передачи в ЕБС) операторы обязаны использовать криптостойкое шифрование по ГОСТ Р 34.12-2015. Жёсткие диски должны быть сертифицированы ФСТЭК, доступ к серверам — по модели двухфакторной аутентификации. Яркий пример: в 2022 году телеком-оператор получил предписание за хранение голосовых записей клиентов на обычных SSD-накопителях без шифрования.

Чем регулируется техническая часть

  • Приказ ФСТЭК №21 от 18 февраля 2013 года — требования к снижению актуальных киберугроз
  • Постановление Правительства №1119 — уровни защищённости информации
  • ГОСТ Р ИСО/МЭК 19794-5 — стандарты формирования биометрических шаблонов

Роскомнадзор проверяет документацию и проводёт внеплановые проверки при утечках. С 2023 года начали применять систему автоматического мониторинга транзакций ЕБС через ИИ-алгоритмы. Это позволяет находить аномалии — например, 15 запросов к одному биометрическому шаблону из разных регионов за час.

Главный парадокс законодательства — отсутствие прямого запрета на коммерческое использование биометрии. Закон говорит только о «целях, указанных при сборе». Это создаёт лазейку: компания может получить согласие на идентификацию для доступа к услугам, а затем использовать данные для анализа эмоций в маркетинговых целях. Судебная практика пока не выработала однозначного подхода к таким кейсам.

Ситуацию осложняет интеграция с системами видеоаналитики. Камеры с распознаванием лиц в метро или ТЦ формально работают на основании согласия, которое пользователь «даёт действием» — входом в зону съёмки. Юристы спорят, соответствует ли это статье 9 закона №152-ФЗ о явном согласии. В феврале 2024 года суд Петербурга впервые признал такую практику незаконной, обязав ТЦ платить штраф 150 тысяч рублей ежемесячно до установки информационных табличек с возможностью отказа.

Отдельный пласт проблем — передача данных госорганам. Операторы обязаны предоставлять информацию по запросам ФСБ, МВД и ФНС без дополнительного согласия субъекта. При этом закон не устанавливает пределов такого доступа. В декабре 2023 года Конституционный суд рассмотрел жалобу гражданина, чьи биометрические данные из банка были использованы в уголовном деле. Суд указал на необходимость внесения изменений в законодательство для баланса интересов, но пока практика остаётся прежней.

Особенность российского подхода — жёсткая привязка к инфраструктуре ЕБС при недостаточной проработке крайних случаев. Что происходит с данными при банкротстве компании? Как удалить образцы, если оператор прекратил работу? Нормативки в этих вопросах хромает. Эксперты советуют прописывать условия удаления данных в договорах с операторами — такие пункты имеют юридическую силу.

Пока система работает по принципу «запрещено всё, что не разрешено». Даже академические исследования с использованием биометрии требуют отдельной лицензии ФСТЭК. Это тормозит развитие технологий, зато снижает риски утечек. Цена безопасности — жёсткая бюрократия и замедление инноваций. Баланс между защитой прав и развитием цифровой экономики остаётся главным вызовом для законодателей.

Практические рекомендации по защите биометрических данных от утечек и злоупотреблений

Защита биометрических данных начинается с понимания их уникальной природы. В отличие от паролей или PIN-кодов, отпечатки пальцев или рисунок радужки глаза невозможно изменить после утечки. Это требует особых подходов к безопасности — как технических, так и организационных.

Технические методы защиты

Шифрование данных становится первой линией обороны. Российские разработчики всё чаще используют алгоритмы ГОСТ Р 34.12-2015 вместо зарубежных стандартов. Например, система биометрической идентификации Сбера применяет криптографическую защиту на всех этапах — от момента сканирования лица до передачи данных в Единую биометрическую систему.

Для безопасного хранения эксперты рекомендуют:

  • Раздельное хранение биометрических шаблонов и персональных данных
  • Использование защищённых дата-центров с сертификатом ФСТЭК
  • Регулярное обновление криптографических ключей

Технология многофакторной аутентификации сейчас внедряется в банковском секторе. Тинькофф Банк сочетает распознавание голоса с проверкой по фотографии, снижая риск подделки биометрии. Но такие решения требуют тщательной настройки — ложные срабатывания могут блокировать доступ законным пользователям.

Организационные меры

Обучение сотрудников оказалось критически важным. По данным Роскомнадзора, 60% утечек в 2023 году произошли из-за человеческого фактора. Крупные компании вроде МТС проводят ежеквартальные тренинги по работе с биометрией, моделируя реальные ситуации:

  1. Как распознать фишинговую атаку
  2. Что делать при обнаружении подозрительного запроса данных
  3. Как правильно вести журналы доступа

Система разграничения прав доступа должна соответствовать принципу минимальных привилегий. В «Ростелекоме», который оператор ЕБС, инженеры службы поддержки не имеют доступа к «сырым» биометрическим образцам — только к обезличенным хэшам.

Обязательный аудит безопасности помогает выявлять уязвимости. Независимые компании вроде «КРОК» предлагают стресс-тестирование систем биометрической идентификации, проверяя устойчивость к атакам с генеративным ИИ.

Права пользователей и контроль

Закон даёт гражданам инструменты для управления своими биометрическими данными. Через Госуслуги можно:

  • Отозвать согласие на обработку
  • Запросить историю использования данных
  • Подать жалобу на неправомерные действия оператора

Но на практике многие сталкиваются с бюрократическими сложностями. Юристы советуют всегда сохранять копию письменного согласия и проверять, указаны ли в нём конкретные цели обработки. Если компания требует биометрию для доступа в личный кабинет — это нарушение принципа соразмерности по 152-ФЗ.

Интересный прецедент создал суд в Нижнем Новгороде в 2023 году. Гражданин взыскал с оператора связи 50 000 рублей за хранение голосового шаблона без явного согласия. Это показывает — закон работает, когда пользователи активно отстаивают права.

Осознанное использование технологий

Обычные люди часто не понимают рисков. Запись голоса в мессенджере или публикация видео с лицом в соцсетях может стать источником для создания deepfake. Эксперты «Лаборатории Касперского» советуют:

  1. Не использовать биометрию в непроверенных приложениях
  2. Отключать функцию распознавания лица в публичных местах
  3. Регулярно проверять список организаций с доступом к данным через ЕБС

Родителям стоит быть особенно осторожными. Школы иногда незаконно собирают отпечатки пальцев для системы пропусков. В таких случаях можно требовать альтернативу — например, электронные карты.

Бизнес-пользователям стоит обратить внимание на облачные решения с российской юрисдикцией. Сервис «КриптоПро Биометрия» позволяет хранить данные в зашифрованном виде, автоматически удаляя их после завершения транзакции.

Технологии защиты развиваются быстрее регуляторных норм. Нейросети уже могут обнаруживать поддельную биометрию по микроартефактам в изображении. Но никакой алгоритм не заменит критического мышления — перед сканированием лица в новом сервисе стоит задать себе: «Кому и зачем я это доверяю?»

Похожие записи