До последнего времени россияне не могли отказаться от передачи своих персональных данных в ЕБС — Единую биометрическую систему. Туда попадало все, что собирали банки и другие организации. Причем без согласия самих граждан. То есть предполагалось, что если ранее человек сдал биометрические данные, допустим, банку, то отдельного согласия на их дальнейшую передачу в ЕБС уже не требуется. Но банк и единая система, к которой имеют доступ все госструктуры, — это все-таки не одно и то же. Некоторые не хотят, чтобы у государства был его цифровой двойник. Теперь эти некоторые смогут запретить такое использование своих биометрических данных.

Комментирует директор по правовым инициативам Фонда развития интернет-инициатив Александра Орехович:

Александра Орехович директор по правовым инициативам Фонда развития интернет-инициатив «Если гражданин в свое время или сейчас отдал банку на обработку изображение своего лица, свой голос, то есть биометрические данные, то гражданин не должен думать, что он просто платит по лицу и больше ничего с его данными не случилось. Банк обязан передать эти самые биометрические данные в ЕБС без его согласия, но уведомив его соответствующим образом. При этом теперь у гражданина в соответствии с этими изменениями есть возможность отказаться от размещения данных в ЕБС и в региональном сегменте ЕБС. Для этого теперь есть даже соответствующая форма».

Чтобы запретить сбор и передачу биометрических данных, нужно прийти в МФЦ, предъявить паспорт или другой документ, удостоверяющий личность, и вручную заполнить бланк заявления по форме, утвержденной ранее правительством. Да, не очень удобно, но теперь такая возможность хотя бы есть.

Закон, отдельные положения которого вступили в силу 1 июня, запрещает дискриминацию отказавшихся от биометрии. Но в том же законе говорится, что использование ЕБС является обязательным для идентификации людей при проходе на территорию режимных объектов. Речь идет, например, о предприятиях оборонки, ТЭК, транспортной инфраструктуры. Сотрудники таких предприятий вправе отказаться от сдачи и обработки своих биометрических данных. Но тогда им, видимо, придется отказаться и от работы. Продолжает юрист Александр Набатов:

Александр Набатов юрист «Отказаться они могут, но это как в анекдоте: права и обязанности есть у всех людей, только у одних права есть, они их качают, а другие ими пользуются. Вот тут такая же ситуация. Качать права вы можете: «Отзывайте мои персональные данные!» Вы отзовете. А дальше как проходить будете, если система устроена так, что проходить можете только по отпечатку пальца, например? Вы подпишете допсоглашение о предоставлении своих данных и о пропускной системе, а допсоглашение к трудовому договору является неотъемлемой частью договора. Если вы его не соблюдаете, возникает вопрос о дальнейшей отмене договора. Если вы не исполняете часть условий договора, это является основанием для вашего дальнейшего увольнения».

Еще одно нововведение: с 1 июня обработка биометрических данных должна проводиться только внутри Единой государственной биометрической системы. Например, банк для оформления кредита новому клиенту без посещения офиса будет проводить идентификацию через ЕБС. Вероятно, через какое-то время только единая система и останется, а все коммерческие тихо уйдут с рынка.

Поможет ли это снизить число утечек биометрических данных? Мнение гендиректора Phishman, эксперта по информационной безопасности Алексея Горелкина:

Алексей Горелкин эксперт по информационной безопасности, гендиректор Phishman «Есть требования к организациям, если они работают с биометрией: чему должны соответствовать, как они должны это защищать, как использовать фотографии. Но не уверен, что можно сказать, что утечек не будет, потому что всегда есть человеческий фактор. Это могут быть как намеренные, так и непреднамеренные утечки. Это могут быть какие-то навороченные таргетированные атаки на саму ЕБС. Но при этом такая вероятность невелика, потому что ты должен охранять не кучу различных разрозненных мест хранения, а ты охраняешь ограниченное число серверов, организаций. Понятен периметр: что охранять, от чего охранять и кто должен подключаться».

Есть один нюанс, который остается не до конца понятным и на который в свое время обращала внимание глава InfoWatch Наталья Касперская. Когда человек сдает биометрические данные конкретному банку, он точно знает, откуда эти данные могли утечь — если такое, увы, произошло. Но когда собранные банком образцы хранятся и обрабатываются на стороне, то есть в единой системе, однозначного ответа на вопрос, кто виноват в утечке, наверное, уже не будет.