Биометрические данные: что это такое и где хранится биометрия
А ещё — вредит ли сдача биометрии здоровью, кому позволено собирать эти данные и могут ли близнецы обмануть системы распознавания лиц.
Иллюстрация: Оля Ежак для Skillbox Media
«Усы, лапы, хвост — вот мои документы!» — помните эти слова Кота Матроскина? Ещё совсем недавно мы даже не думали о том, что для подтверждения личности будет достаточно приложить палец, сказать какое-нибудь слово или просто улыбнуться в камеру. Но сегодня это реальность. Биометрические способы подтверждения личности используются в гаджетах, общественном транспорте, банках и других учреждениях.
В декабре 2022 года в российском законодательстве появился федеральный закон, регулирующий работу с биометрией. Он определяет, кому можно собирать биометрические данные россиян, как они должны храниться и кому можно их передавать. Но вопросы о том, насколько безопасно сдавать биометрические данные и не воспользуются ли ими мошенники, всё ещё остаются.
- Что такое биометрия
- Что к ней относится
- Кто может собирать эти данные
- Как работает биометрия
- Где хранят и кому передают данные
- Для чего они используются
- Ответы на самые часто задаваемые вопросы про биометрию
Что такое биометрия
Биометрия — это система идентификации человека по его физическим характеристикам или поведенческим факторам. Такими характеристиками могут быть отпечатки пальцев, узор сетчатки глаза или голос.
Впервые биометрические данные для подписания документов и договоров в 1859 году использовал Уильям Гершель, служащий одной из британских колониальных компаний. На его взгляд, все индийские рабочие выглядели одинаково, а запомнить их имена не было «никакой возможности».
Чтобы различать рабочих хотя бы документально, Гершель решил использовать метод идентификации, основанный на отпечатках пальцев и ладоней. Сперва он определял владельца только по размеру и форме отпечатка. Потом заметил, что рисунок на отпечатках различается у разных людей, при этом даже по прошествии времени линии не меняются.
Следующий шаг в развитии биометрии сделал криминалист из Франции Альфонс Бертильон. Он взял за основу своей системы учёта и каталогизации преступников существовавший тогда реестр со словесными портретами людей и добавил к нему точные измерения тела преступников, отпечатки пальцев и ладоней.
Постепенно количество биометрических данных увеличивалось. Сейчас к ним относят не только отпечатки пальцев, но и рисунок вен на ладонях, геометрию кисти, сетчатку и радужную оболочку глаз, форму ушей и голос. Кроме этого есть и уникальные для каждого человека поведенческие характеристики: походка, подпись, ритм набора текста на клавиатуре, движения рукой при использовании компьютерной мышки и так далее.
Виды биометрии: что входит в понятие «биометрические данные»
Чтобы отнести какую-то характеристику к биометрическим данным, необходимо, чтобы она соответствовала правилу трёх «У»:
- универсальная — присутствовала у всех людей;
- уникальная — была неповторимой для каждого человека;
- устойчивая — сохранялась у человека на протяжении всей жизни.
Все биометрические данные делятся на два вида: статические и динамические.
Статические
Это постоянные особенности организма, не меняющиеся на всём протяжении жизни. К ним относят, например, отпечатки пальцев. Из-за высокой надёжности и простоты использования это один из самых распространённых видов биометрических данных.
Кроме отпечатков пальцев, к статическим биометрическим данным относят следующие характеристики человека:
- узор радужки глаза;
- рисунок сетчатки;
- черты и термограмму лица;
- расположение венозных сосудов;
- ДНК;
- геометрию кисти рук;
- трёхмерную модель лица.
Динамические
Некоторые характеристики могут меняться на протяжении жизни из-за возраста, заболеваний или других событий. В основном это поведенческие биометрические данные. Например:
- походка;
- характерные жесты;
- почерк;
- голос;
- ЭКГ;
- особенности набора текста.
Кто может собирать биометрию
В декабре 2022 года вступил в силу закон №572-ФЗ о биометрических данных россиян. Он регулирует их сбор, хранение и применение. Самое главное в законе то, что он наделяет самих граждан правом управлять своими биометрическими данными: их первичным сбором, обновлением или удалением.
Сдать и зарегистрировать биометрические данные можно на «Госуслугах», с помощью приложения «Биометрия», в российских банках, прошедших аккредитацию, и в МФЦ. Там же можно и отказаться от использования биометрических данных и удалить их.
Узнать, зарегистрированы ли ваши биометрические данные и, если нужно, удалить их можно на портале «Госуслуг».
Коммерческие организации, колл-центры и другие организации не могут собирать информацию подобного типа. Также сбор биометрических данных без согласия человека невозможен.
Исключение — сбор таких данных сотрудниками МВД в случаях, когда человек подозревается в преступлении. В таком случае фотографии, отпечатки пальцев и другие биометрические данные собираются без согласия подозреваемого и хранятся в отдельной картотеке МВД.
Как работает биометрия
Чтобы подтвердить личность человека по биометрическим данным, используют нейросетевые алгоритмы. Их первостепенная задача — определить, что перед ними живой человек, а не его фотография или трёхмерный слепок головы, распечатанный на 3D-принтере. Этот процесс называется liveness detection, то есть распознавание живого присутствия.
Как работает подтверждение личности? Допустим, клиент банка пришёл в отделение и хочет снять деньги со счёта в кассе, но забыл паспорт. Если он разрешил банку обрабатывать свои биометрические данные, то ему не придётся возвращаться домой за паспортом. Произойдёт вот что:
- Камера в кассе сфотографирует лицо и переведёт его в векторный формат с помощью свёрточных нейросетей. Вектор — это набор чисел, кодирующий уникальные характеристики. В данном случае это геометрические особенности лица.
- Вектор отправится на сервер в информационную систему Единой биометрической системы, которая хранит уникальные векторы клиентов, сдавших биометрические данные. Система будет искать вектор в своей базе и, если найдёт, идентифицирует клиента в Единой системе идентификации и аутентификации.
- Информация о подтверждении или отказе с сервера отправится в банк, и кассир поймёт, выдавать деньги или нет.
Все три этапа занимают пару секунд, и клиент может снять наличные со счёта без паспорта.
Читайте также:
Точность биометрических данных высока — например, они позволяют идентифицировать близнецов, не путая их между собой. Нейросети лучше человеческого глаза ищут различия в фотографиях, находя уникальные характеристики лица каждого человека. Но иногда случаются проблемы и близнецы оказываются одним и тем же человеком.
Где хранят и кому передают биометрические данные
Для хранения и обработки биометрические данные поступают в Единую биометрическую систему (ЕБС), запущенную в 2018 году. В ней в зашифрованном виде хранится фотография и запись голоса человека. При этом информация не имеет непосредственной привязки к Единой системе идентификации и аутентификации (ЕСИА), где находятся персональные данные людей, например Ф. И. О., год рождения и другая информация.
Это повышает безопасность всей системы. Даже если мошенники каким-либо образом получат сведения о биометрических данных из ЕБС, они не смогут их использовать. Чтобы это сделать, им потребуется одновременно получить идентификатор из ЕСИА и правильно сопоставить его с характеристиками человека: отпечатками пальцев, голосом и так далее.
Коммерческие компании, например банки, заключившие договор с Единой биометрической системой, получают из её базы требующиеся им сведения. Но это будут не сами биометрические данные, а их вектор, то есть математическое отображение. Само распознавание личности будет осуществляться через ГИС ЕБС. Такая векторная модель работы делает безопасным хранение информации, обеспечивает удобство её использования заинтересованными организациями, не требуя от них дополнительных мощностей для обработки информации. Всю работу на себя берёт ЕБС.
Где и для чего используют биометрические данные
Согласно закону №572-ФЗ, биометрию можно использовать как в государственных структурах, так и в частных компаниях, оказывающих различные услуги.
В банковских организациях
Различные банки, например «Сбер», ВТБ и «Альфа-Банк», начали пользоваться биометрией для идентификации клиентов в 2018 году — с момента запуска ЕБС. Это повысило скорость и безопасность выполнения банковских операций и улучшило обслуживание клиентов за счёт быстрого подтверждения их личности. Сегодня с помощью биометрических данных можно дистанционно открыть счёт или вклад, оформить кредит или снять деньги в банкомате.
При расследовании преступлений
Первые биометрические данные использовали именно для поиска преступников. Сначала это были отпечатки пальцев, оставленные на месте происшествия. Потом носители ДНК, например волосы.
Сегодня в крупных городах, таких как Москва, повсеместно используются камеры видеонаблюдения — на улицах, в офисах и торговых центрах, в аэропортах и других общественных местах. Это часть системы распознавания лиц. Она помогает МВД обнаруживать на улицах и в общественных местах преступников, сверяя полученные данные с видеокамер со своей внутренней базой биометрических данных. Кроме того, эта система с 2023 года используется в Москве для определения места жительства призывников.
В биометрических загранпаспортах
Первые заграничные паспорта с биометрическими данными начали выдавать в 2010 году. В документ внедрён электронный носитель, содержащий фото владельца, отпечатки пальцев и другие сведения о нём.
При подаче заявления на получение загранпаспорта человек может выбрать, какой документ он хочет получить — классический или биометрический. Некоторые страны, например США, Канада, Великобритания, Германия, сегодня принимают туристов только с биометрическим паспортом.
Доступ к мобильным гаджетам, приложениям и сервисам
Все современные смартфоны имеют функцию распознавания лица или отпечатка пальца. Это реализовано и в отдельных приложениях для них — например, на iOS многие программы позволяют использовать для идентификации Face ID. А в Android-смартфонах, помимо распознавания владельца по лицу, есть функция считывания отпечатка пальца.
Самые частые вопросы про биометрические данные
Могут ли государственные учреждения или частные компании собирать биометрические данные без согласия человека?
Согласно федеральному закону №572-ФЗ, никакая организация, будь то частный банк или государственная структура, не может собирать и использовать биометрические данные без согласия человека. То есть необходимо прямое согласие на сохранение биометрических данных в базе ЕБС.
Однако есть исключения. Как было сказано выше, если человек подозревается или обвиняется в совершении преступления, то МВД может собирать данные без его согласия. Кроме того, известно, что в Москве использовались системы распознавания лиц для определения места жительства призывников.
Что делать, если изменилось лицо или отпечатки пальцев?
Геометрия лица или отпечатки пальцев могут поменяться. Например, после травм или пластических операций. В этом случае можно сдать биометрию повторно, обновив её в базе Единой биометрической системы с помощью приложения «Биометрия», в российских банках, прошедших аккредитацию, или в МФЦ.
Могут ли подделать биометрические данные?
Теоретически подделать биометрию возможно, но на практике эта задача настолько сложна, что злоумышленники выбирают другие векторы атаки. Кроме самих биометрических данных, которые хранятся в Единой биометрической системе, злоумышленникам будет необходимо получить доступ к Единой системе идентификации и аутентификации, где хранится информация о человеке — его Ф. И. О., возраст и так далее.
Взлом двух систем одновременно практически невозможен. Поэтому у преступников может оказаться только набор зашифрованных векторов, то есть числа без привязки к конкретному человеку, которые ещё предстоит расшифровать. Для взлома личных кабинетов и получения конфиденциальной информации злоумышленникам проще использовать методы фишинга.
Читайте также:
Возможно ли использование биометрии другими людьми?
Биометрические данные — это не просто фотография лица или подушечки пальца, а математическая модель на их основе, учитывающая множество признаков. Например, при оценке геометрии лица модель определяет несколько параметров: точки расположения углов глаз, расстояние между ними, геометрию губ, носа и так далее. Пройти идентификацию или аутентификацию с помощью фотографии или статичной 3D-модели не получится, так как распознавание живого присутствия будет провалено.
Важно, что мошенники могут сделать запись голоса человека. Обычно это короткий фрагмент в 5–10 секунд. Но системы, использующие голос для аутентификации, не просто слушают речь человека, а ещё и общаются с ним — задают вопросы, контролируют тональность и другие параметры. Банки подчёркивают, что снять деньги со счёта или взять кредит с помощью биометрии у преступников не получится.
Вредит ли сдача биометрии здоровью?
Нет. Для сбора и проверки биометрических данных в учреждениях и транспорте используют сканеры, терминалы и другие устройства, которые проходят проверку безопасности.
Может ли информация в социальных сетях стать источником биометрических данных?
Да, главным источником своих биометрических данных в свободном доступе является сам человек. Многие люди выкладывают в социальные сети свои фотографии, видео с мимикой, голосом и походкой. Идентифицировать их при этом несложно, так как все эти данные привязаны к личному аккаунту, в котором указаны имя и город проживания.
Больше интересного про код — в нашем телеграм-канале. Подписывайтесь!