Как банки и провайдеры тайно собирают с пользователей биометрию
Банки, интернет-провайдеры и торговые организации могут тайно собирать биометрические данные пользователей. Для этого они встраивают уведомления о сборе персональной информации в неочевидные места: например, в пользовательские соглашения, которые обычно никто не читает. Или приравнивают к согласию факт, что пользователь просто остается на сайте. По словам экспертов, скоро это может стать большой проблемой, а пока что выход у людей один: внимательнее читать договоры и не пропускать всплывающие окна.
Опасность мелкого шрифта
Поводом для этого материала стал странный случай, произошедший на днях с одной из журналисток «Парламентской газеты». По ее словам, она собиралась снять деньги в банкомате одного из крупных российских банков. Вставила карту, начала вводить пин-код, и тут… на экране на несколько секунд всплыло уведомление, что, продолжая операцию, она дает банку согласие на получение и обработку биометрических данных. Хорошо, что как раз в этот момент она оторвала взгляд от клавиатуры, а то не заметила бы этого предупреждения. Очевидно, расчет у тех, кто такую функцию внедрил, был именно таким: набирая код, человек, как правило, смотрит на кнопки и всплывающую на мгновение плашку и пропустит — и сам того не подозревая даст согласие на сбор биометрии.
Как вскоре выяснилось, история эта далеко не единичная. В соцсетях люди десятками жалуются, что компании, особенно крупные, встраивают уведомления о сборе биометрии в максимально неочевидные места. Например, согласиться на передачу в банк образцов своего голоса и фотографий порой можно, просто зайдя в пользовательское приложение.
Как рассказал «Парламентской газете» член Академии криптографии РФ, доктор физико-математических наук Александр Баранов, такой тайный сбор биометрии — явление довольно широко распространенное: «Зачастую банки включают пункт о праве собирать и накапливать у себя биометрические данные пользователей, например, в договоры об открытии счетов или оформлении дебетовых и кредитных карт. Причем эта информация представлена мелким шрифтом где-нибудь на последней странице, и пользователь ее, конечно, не видит».
Грешат этим, по словам Баранова, и торговые организации, и интернет-провайдеры — одним словом, если компания так или иначе связана с предоставлением цифровых услуг, будь то обеспечение доступа ко всемирной паутине или интернет-торговля, она потенциально может заниматься негласным сбором биометрии — и даже скорее всего занимается, по крайней мере до первого крупного скандала.
Есть ли вред?
Другое дело — зачем таким компаниям биометрические данные. Тут мнения специалистов, опрошенных «Парламентской газетой», разделились.
«Декларируется, что это нужно для улучшения качества обслуживания: чтобы максимально сократить время предоставления человеку интересующей его услуги, — сказал Александр Баранов. — С другой стороны, я помню, как на одной конференции демонстрировали макеты человеческих голов, которые были способы разговаривать и при этом обладали очень выраженной и детальной артикуляцией. Сегодня, если у вас есть фотография человека или образец его голоса, вам не составит большого труда создать его полноценного цифрового двойника, чтобы, к примеру, получить доступ к счетам и картам или личным данным «оригинала».
Замдиректора некоммерческого партнерства «Русское биометрическое общество» и экс-заместитель директора Научно-исследовательского и испытательного центра биометрической техники МГТУ имени Баумана Василий Мамаев полагает, что возможности биометрии — равно как и ее потенциальная опасность — сегодня сильно преувеличены: «Если мы с вами, к примеру, говорим по телефону, вам ничего не стоит записать наш разговор и получить образец моего голоса — причем так, что я об этом даже не узнаю. Если мы созваниваемся в каком-нибудь «Зуме» или «Скайпе», вы можете сделать скриншот и получить мою фотографию. Если бы биометрия на самом деле открывала любые двери, а ее попадание не в те руки грозило бы какими-то катастрофическими последствиями, поверьте, мы бы регулярно сталкивались с их проявлениями. Однако этого пока что не происходит. На мой взгляд, скрытый сбор биометрических данных продиктован скорее тем, что банки в свое время много сил, времени и денег вложили в создание собственных баз. А сейчас владеть такими базами им нельзя. А поскольку ресурсы уже потрачены, с них хочется хоть что-то получить взамен, чтобы оправдать годы работы. Реальной же пользы биометрия клиентов банкам не приносит, — а самим клиентам, соответственно, не приносит вреда».
А договор кто читать будет?
В Госдуме, между тем, заявили, что собирать биометрические данные тайком, конечно, нельзя — любые взаимодействия пользователя с компанией, в том числе согласие или не согласие на передачу образцов голоса и фотографий, должны строиться на основании договора.
«Если человек решает воспользоваться теми или иными услугами, компания обязана заключить с ним договор, который будет содержать всестороннее описание условий и специфики их предоставления, — пояснил «Парламентской газете» первый заместитель председателя комитета по информационной политике, информационным технологиям и связи Антон Ткачев. — И если в этом договоре нет ни слова о биометрии — соответственно, и собирать ее любыми способами после того, как договор подписан, компания не имеет право. Если же ситуация меняется — скажем, возникает вопрос о переносе данных из одной базы данных в другую — компания обязана выслать пользователю уведомление и перезаключить с ним договор, добавив в него требуемые пункты. Или не перезаключить, если он от них откажется. Только так и никак иначе».
При этом, по словам Ткачева, с самих пользователей совсем уж снимать ответственность тоже не нужно: каким бы мелким шрифтом ни был напечатан этот самый договор, изучить его, вникнуть и отыскать все тщательно запрятанные подводные камни — прямая обязанность человека: «При подписании любого договора он берет на себя ответственность за его изучение. Ни одна коммерческая или тем более государственная компания не будет принуждать человека к подписанию чего-либо, так что он всегда делает это добровольно. И если он при этом не читает то, что подписывает — это уже вопрос к нему самому».
Тем временем
Проблема скрытого сбора биометрии между тем не укрылась от Совета Федерации: так, еще в середине декабря прошлого года в своем телеграм-канале первый зампредседателя Комитета по конституционному законодательству и государственному строительству Ирина Рукавишникова сообщала, что сенаторы подготовили отдельный законопроект, направленный на совершенствование механизмов предотвращения избыточной обработки персональных данных граждан в сети. «В настоящее время распространенной практикой среди владельцев информационных ресурсов стало включение положений о согласии на обработку персональных данных в пользовательские соглашения. При этом зачастую пользователь принимает данное соглашение, просто оставаясь на сайте, — отметила Рукавишникова. — Это означает, что пользователи автоматически предоставляют владельцам сайтов доступ к своей личной информации, которая в последующем может быть передана третьим лицам, в том числе в маркетинговых целях. Такая практика многократно увеличивает риск утечек и противоправного использования персональных данных граждан».
По словам сенатора, законопроектом предлагается закрепить требование к владельцам сайтов отделять согласие на обработку персональных данных от пользовательского соглашения. «Уверена, что это будет способствовать реализации принципов конкретности и сознательности, предъявляемых к согласию на обработку персданных», — подчеркнула Рукавишникова.