2 сентября 2013 г.

Новые разъяснения Роскомнадзора – теперь про биометрические персональные данные

В обстановке «строгой конспирации и секретности», конечно же, поздним вечером пятницы, на сайте Роскомнадзора опубликован второй документ, подготовленный уполномоченным органом с участием экспертной группы, куда вхожу и я. На этот раз разъяснения касаются вопросов отнесения фото- и видео- изображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки.
Судя по количеству прочтений, тема биометрии – самая популярная среди читателей моего блога. На персональной страничке прямых заходов на пост «Биометрические персональные данные: что это?» – более 7200, на портале Security Lab, где есть зеркало блога, – без малого 3000 прочтений. Если к ним добавить те посты, где я так или иначе писал про проблемы обработки биометрических персональных данных (здесь и здесь, например), общее число посещений страниц только с этой тематикой уже превысило 20 тысяч.
Поскольку в написании текста разъяснений я принимал самое непосредственное участие, позволю себе выделить главное, что в них отражено.
С самого начала я настаивал на формулировке «биометрические персональные данные, обработка которых регламентируется 152-ФЗ», но поддержки у коллег не нашел. Тем не менее, крайне важным представляется, что в разъяснении четко указаны три признака, при которых на работу с этой категорий сведений распространяются ограничения, определенные ст.11 152-ФЗ. Это сведения, которые:
·         характеризуют физиологические и биологические особенности человека;
·         на основании которых можно установить его личность;
·         которые используются оператором для установления личности субъекта персональных данных.
Все три признака должны присутствовать одновременно! Из чего следует логичный вывод, что «отнесение сведений персонального характера к биометрическим персональным данным и их последующая обработка должны рассматриваться в рамках проводимых оператором мероприятий, направленных на установление личности конкретного лица». Нет идентификации – нет биометрии в понимании Федерального закона «О персональных данных».
Поэтому рентгеновские снимки или результаты биохимического анализа крови в поликлинике – не биометрические персональные данные. Как и результаты видеосъемки в офисе или фотография в личном деле работника. Все они не используются для идентификации субъекта медицинским учреждением, кадровым органом или службой безопасности. Но как только они попадут в органы следствия, дознания или исполнения судебных актов для розыска или установления личности, они становятся именно биометрическими персональными данными. А оператором в отношении этих биометрических данных будут как раз следственные и исполнительные органы.
Исходя их этих же соображений, цифровое фото, зашитое в чип загранпаспорта или пропуска, используемого в СКУД, – биометрия, поскольку используется оно как раз при установлении личности владельца пропуска, предъявившего его на входе, паче чаяния у охранника возникнут сомнения, что молодой человек, проходящий через трипод, похож на пожилую даму, чей портрет в этот момент появился на экране монитора.
К чему это я? А к тому, что в соответствии с законом, организации, поставившие у себя СКУД, использующие фотографии и уж тем более дактилоскопическую систему идентификации, должны получить у владельцев пропусков или лиц, прислоняющих свои пальчики к считывателю, согласие на обработку персональных данных в письменной форме, предусмотренной частью 4 ст.9 Федерального закона. И никак по-другому. А вот ФМС, выдающей биометрические загранпаспорта, никаких согласий получать не надо. Часть 2 ст.11: «Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных… в случаях, предусмотренных законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию».
Можно, наконец, вздохнуть с облегчением банкам, которых Управление Роскомнадзора по Краснодарскому краю и республике Адыгея и некоторые его коллеги-единомышленники постоянно штрафуют за ксерокопирование паспортов без письменного согласия клиентов. Теперь всем будет ясно, что «В иных случаях, когда сканирование паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных и ст. 11 Федерального закона «О персональных данных» не регулируются. Соответственно, обработка сведений, в данных случаях, осуществляется в соответствии с общими требованиями, установленными Федеральным законом «О персональных данных». Аналогичный подход следует применять при осуществлении ксерокопирования документа, удостоверяющего личность».
Конечно, всех сложных проблем, связанных с биометрией, данное разъяснение решить не может. Остается, например, просто неприличное несоответствие оснований для обработки биометрических данных без согласия субъектов в федеральных законах «О персональных данных» и «О геномной регистрации». Но все равно такие разъяснения представляются крайне важными для создания единой практики правоприменения. И не надо в очередной раз писать, что толкование законов – вне компетенции Роскомнадзора. Оно уж тем более не в компетенции авторов таких высказываний.
Считаю, что надо радикально менять определение биометрии в 152-ФЗ. В рамках рабочей группы, созданной при Совете Федерации, я предложил следующее: «Биометрические персональные данные – это зафиксированные по определенным правилам параметры, характеризующие биологические особенности человека и используемые в системах автоматической идентификации (распознавания), такие, как изображения папиллярных узоров пальцев, сетчатки глаза и т.п. Само по себе фотографическое изображение человека, в том числе и в цифровой форме, к биометрическим данным не относится, если не используется для его автоматической идентификации».
С обратной связью пока трудно, но можно обсудить и усовершенствовать это определение прямо на блоге. При случае передам заинтересованным и компетентным.

33 комментария:

  1. У нас есть пропуска - биометрия, вопрос, когда именно пропуск становится биометрией!
    Принес работник фото - фото нужно для того чтобы изготовить пропуск, пропуск не используется для идентификации до тех пор, пока не будет передан работнику...? вот такие мысли!

    ОтветитьУдалить
  2. Биометрия - не пропуск, а зашитое в нем цифровое фото или шаблон папиллярных узоров. Само фото до ввода его в СКУД и запись в пропуск таковым не является. НО! Обработка - это сбор, запись и т.д. до уничтожения. Вот с этого момента цифровое фото или шаблон и становятся биометрией.

    ОтветитьУдалить
  3. Слава богу и карточка выдачи индивидуальных средств защиты теперь не биометрия. А просто документ содержащий персональные данные.

    ОтветитьУдалить
  4. Для полного понимания, новое определение надо дополнить определением "автоматической идентификации".
    Или это уже есть в каком-то НД?

    ОтветитьУдалить
    Ответы
    1. Я такого НД (закона, НПА) не знаю. Автоматическая - выполняемая автоматом (машиной). Надо ли это писать в законе о персданных - боооольшой вопрос

      Удалить
    2. Акцент не на слове "автоматическая", а на слове "идентификация"

      Уже предвижу будущие сомнения - если по отпечатку пальца идентифицируется некий login (не субъект). Подходит ли это под биометрию. Или система должна устанавливать личность субъекта?

      Удалить
    3. Идентификация - присвоение субъектам и объектам идентификатора и/или сравнение идентификатора с перечнем присвоенных идентификаторов (РД-92 ГТК, Термины и определения). Но проще - как в 152-ФЗ в данном случае: "установление личности субъекта персональных данных". Поэтому В ДАННОМ СЛУЧАЕ (ключевое) идентификация логина, а не субъекта не катит

      Удалить
  5. Добрый день, Михаил! Вопрос по предлагаемому определению про автоматическое распознавание.
    Например, СКУД в которой при прислонении пропуска на мониторе охранника отображается фото и охранник сличает фото с предъявителем пропуска.
    Цель идентификации есть, но автоматического распознавания нет. По текущему определению - есть биометрические ПДн, а по предлагаемому Вами - выходит нет?

    ОтветитьУдалить
  6. 2Анонимный. В порядке исключения - я анонимные комменты вообще-то не публикую - см.дисклаймер на блоге.
    Да, Вы поняли все правильно. Я считаю определение в законе некорректным и нуждающимся в изменении. Кстати, тогда и фото в биометрическом загранпаспорте тоже будет не биометрией в понимании 152-ФЗ, что не соответствует определению в ПП-125. Я честно об этом в пояснительной записки к предложением писал. Но выявленные ошибки надо рано или поздно устранять.

    ОтветитьУдалить
  7. Анатолий Скородумов2 сентября 2013 г., 13:00

    С точки зрения исполнения требований законодательства - это, конечно послабление, но с точки зрения теории информационной безопасности - полная ерунда. Не все ли равно конечному субъекту ПДн, окуда утекут его данные? Не все ли равно, используются ли они оператором для идентификации субъекта ПДн, важно, могут ли они быть использованы для идентификации в случае утечки.

    ОтветитьУдалить
  8. 2Анатолий Скородумов Уважаемый Анатолий, а где Вы увидели послабления в случае утечек? И теорию информационной безопасности? Речь идет исключительно о необходимости получать письменное согласие субъекта на обработку, ну, и в не которых случаях - классификации ИСПДн

    ОтветитьУдалить
    Ответы
    1. Анатолий Скородумов2 сентября 2013 г., 13:24

      Послабление в части исполнения требований законодательства хотя бы в части взятия согласий. По поводу "некоторых случаев классификации ИСПДн":если организация использует несертифицированное по НДВ системное ПО при обработке в ИСПДн биометрических данных формально попадаем на 1-й уровень защищенности. С точки зрения теории ИБ: одни и те же данные должны иметь одинаковый уровень защиты независимо от того, как их использует оператор ПДн.

      Удалить
  9. А какое же это послабление? Согласие в письменной форме либо нужно, либо нет. Зачем его требовать там, где это необоснованно и чаще всего права субъекта не затрагивает (ксерокопирование паспорта в банке, например)? А Ваш вывод про классификацию просто ошибочен и не соответствует ПП-1119. Если оператор признал актуальными угрозы только 3-го типа (а никто его пока принять иное решение заставить не может), то в ИСПД-Б надо обеспечить всего лишь третий уровень защищенности. И сертификация по НДВ здесь абсолютно ни при чем.

    ОтветитьУдалить
    Ответы
    1. Анатолий Скородумов2 сентября 2013 г., 14:09

      Уважаемый Михаил! Естественно, можно не признавать актуальность угроз 1-го типа (все так и делают, кто вообще хоть что-то делает), т.е. фактически заявить, например, что никакие уязвимости в используемом ПО Windows Server 2008 не позволят получить несанкционированный доступ к ПДн, которые обрабатываются на этом сервере. С точки зрания теории ИБ (если, конечно, данные не шифруются) - это опять-таки полная ерунда. Еще раз обращаю внимание на суть моего замечания:одни и те же данные должны иметь одинаковый уровень защиты независимо от того, как их использует оператор ПДн. Т.к. параметр отнесения данных к разряду биометрических влияет на определение требуемого уровня защищенности - на данный момент это не так. Я понимаю, почему так получилось, и не утверждаю, что это хуже, чем было. Просто обращаю внимание, что в выбранном подходе есть концептуальная ошибка.

      Удалить
    2. Михаил, по поводу копий паспорта в банке - большой вопрос в ее необходимости вообще.
      На banki.ru был спор на эту тему, так ничем и не закончившийся.
      Инструкция 28-И от 2008 года гласит
      "1.8. Банк обязан располагать копиями документов (либо сведениями об их реквизитах), удостоверяющих личность клиента или лица, личность которого необходимо установить при открытии банковского счета, счета по вкладу (депозиту)."

      Удалить
    3. Да, Алексей, я в курсе, читал. Есть даже мнение, что необходимость копирования ограничивает конкуренцию, поскольку требует приобретения необязательного для основной деятельности, но дорогостоящего оборудования. Но толкаться приходится от практики. Я всегда считал, что копия странички с маленькой фотографией не может быть биометрией. Но банки (и не только) за это штрафовали.

      Удалить
    4. Просто не надо ксерокопии делать, банкам они не нужны, или закрывать чистым листом место фотографии.
      Кроме этого, наверняка, ни один банк не задумался над тем, чтобы налагать светопрозрачный фильтр с именем банка на ксерокопию для исключения использования данных в иных целях.

      Так что лучше бы их штрафовали бы, безопасности больше, банкам практически ничего не стоит изменить свои процедуры на более безопасные именно в смысле ксерокопирования.

      Удалить
  10. По поводу полной ерунды и теории согласиться никак не могу. Если потенциальный нарушитель не может использовать уязвимости ОС и ПО(а в большинстве случаев именно так), никакого противоречия с теорией (основанной на риск-менеджменте) нет. И речь не идет об одних и тех же данных. Речь идет о том, относятся данные к этой категории и или нет. Полной ерундой является как раз хранилище визуализированных объектов в поликлинике (рентгеновских снимком на сервере, например) по требованиям 1-го уровня. Вот это и есть бред. Ну, а концептуальных (и не только) ошибок и в законе, и в ПП полно. Бороться с этим можно двумя путями: менять законы и НПА и минимизировать отрицательные последствия этих ошибок в практике правоприменения. Мы занимаемся в меру сил и возможностей и тем, и другим.

    ОтветитьУдалить
    Ответы
    1. Анатолий Скородумов2 сентября 2013 г., 14:48

      За что вам большое спасибо!

      Удалить
    2. Михаил, а что значит, что в большинстве случаев нарушитель не может использовать уязвимости ПО и ОС?

      Ведь если ИС подключена к сети общего пользования, так или иначе она принимает данные, а значит, через эти данные уже может попасть бяка, если возможно переполнение буфера, атака с помощью встроенных объектов xml, инъекция кода или ещё что-нибудь в этом роде, вплоть до загрузки агнетом злоумышленника вредоносного кода.
      От этого никто гарантировать не может.

      Значит, в большинстве случаев, наоборот, может.
      Что вы имели в виду?

      Удалить
    3. Речь идет в данном случае исключительно об уязвимостях, связанных с наличием недекларированных возможностей в системном и прикладном программном обеспечении (угрозы 1-го и 2-го типа для персональных данных), а не об уязвимостях вообще. НДВ надо выявить и уметь ими воспользоваться, что доступно далеко не всем.

      Удалить
    4. "Недокументированные (недекларированные) возможности ПО (ТС) – функциональные возможности ПО (ТС), не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение характеристик безопасности защищаемой информации."

      То есть любая ошибка в ПО также подпадает под описание НДВ. В том числе, перечисленные мною атаки используют именно НДВ, не предусмотренные ТЗ на ИС.

      При этом ежегодно выявляются большое количество НДВ, в том числе, недавно специалист Google публиковал неисправленную уязвимость в Microsoft Windows, таким образом для использования НДВ не обязательно её выявлять.
      Конечно, такое редкость, но бывает не так уж и редко. К тому же, есть ещё прикладное ПО, в том числе со своими доморощенными функциями безопасности, а там выявить бреши иногда может буквально любой программист, хоть что-то понимающий в ИБ.

      Использование же НДВ только высококлассными профессионалами так же можно оспорить. Иногда НДВ используют даже школьники, хотя обычно это связано с атаками на необновлённые компьютеры, конечно. Другой вопрос, что период от опубликования уязвимости до её закрытия обычно отрицательный.

      Мне кажется, в данном случае вы просто хотите защитить ваших клиентов от излишнего напряга по защите ИС. Понятно, что вряд ли кто-либо будет взламывать медицинскую организацию, чтобы утащить результаты УЗИ кого-либо или школу, чтобы узнать оценки ученика.
      Но использовать уязвимости ПО и ОС нарушитель, всё-таки, может.

      Удалить
    5. Ну, для того чтобы любой программист использовал НДВ, надо получить доступ к исходному коду доморощенного ПО. Кроме того, наличие уязвимости и актуальность угрозы - вещи совершенно разные. Если Вы читали книгу Билла Гейтса, то наверное, помните его фразу: "Если бы я пытался исправить все ошибки в своих программах, до сегодняшнего дня я бы не продал ни одной". Это вовсе не повод во всех ИСПДн, например, в тех, где печатаются приказы по личному составу, бороться с угрозами, связанными с НДВ. И, наконец, бороться с ними или нет, учитывать их или нет - риски оператора. Пока никто его заставить это делать не может. Практически все наши утечки связаны отнюдь не с наличием НДВ, а совсем с другими причинами. Тратить колоссальные деньги (а борьба с НДВ этого требует) просто экономически нецелесообразно. Да и методы борьбы предлагаются сомнительные.

      Удалить
    6. > надо получить доступ к исходному коду доморощенного ПО.

      Совершенно не обязательно. Я не специалист по проникновению, но без какого-либо знания об исходном коде, в одном случае не имея вообще ничего, кроме доступа к системе, в другом, имея её спецификацию программных интерфейсов и доступ к локальной сети, смог получить доступ к иным аккаунтам.
      Это, ещё раз повторюсь, при том, что я не специалист по взлому систем. Мимоходом сделал, буквально минут за 15-ть.

      Те же sql-инъекции и xss-атаки тоже являются, по большому счёту, следствием использования НДВ, для их использования так же не нужно иметь исходные коды атакуемых приложений.

      > наличие уязвимости и актуальность угрозы

      Согласен, но вы указали именно на техническую невозможность использования, поэтому я и решил уточнить, что вы имеете в виду.
      Что касается Билла Гейтса, то его Windows многие годы славится плохой безопасностью, так что - не авторитет. Вот денег он заработал дофига - этому у него можно поучиться.

      > И, наконец, бороться с ними или нет, учитывать их или нет - риски оператора.

      С этим я бы тоже не согласился, т.к. это риски не оператора, субъекта персональных данных, однако оператор лишает возможности субъекта даже просто ознакомиться с наличием этих рисков, не говоря уж про определение значимости этих рисков.

      > Да и методы борьбы предлагаются сомнительные.

      Согласен. Та же сертификация на отсутствие НДВ может даже повысить вероятность использования НДВ, я уж молчу про 4-ый и 3-ий уровни сертификации.

      Просто не мешало бы это более ясно выражать, а то я уж думал, что придумали какие-то эффективные меры для исключения использования НДВ в целях получения НСД.
      :)

      Удалить
    7. Вопрос, что такое НДВ, что такое уязвимость, всегда ли уязвимость - результат НДВ, это отдельная песня. Можно отдельную конференцию проводить. Я говорил не о технической возможности использовать, а о том, что, я, как оператор, моделируя нарушителя, считаю, что он использовать НДВ не сможет. Мое право. Чем бы не славился MS, абсолютное большинство пользователей пользуются именно их продуктами, и с этим надо жить. Риски субъекта начинаются тогда, когда он доверяет свои ПДн оператору, и рассчитывать на то, что ему все расскажут, нельзя нигде - ни у нас, ни в Европе, ни в Штатах. Крупнейший мировой банк использовал ДБО с колоссальной дырой (из личного кабинета можно попасть к любому счету, откорректировав URL), и ничего, живет. Деньги не забрали. А насчет ясности - пост был совсем не о том :-). Эта дискуссия - побочный продукт. Поэтому и формулировки приблизительные. Спасибо за интерес.

      Удалить
  11. Как вариант обхода письменного согласия для финансовых организаций, использующих скуд с фотографиями. Можно не брать письменное согласие через механизм "идентификации для целей против отмывания денежных средств". В этом случае оператором является государство, а не банки и банковские платёжные агенты, к которым, кстати, могут относиться обычные ип и ооо. Конечно, нужно ещё доказать, что система доступа относится к системе идентфикации именно против отмывания, но и обратные цели обработки доказать тоже не слишком просто.

    ОтветитьУдалить
  12. В СКУД основная часть данных принадлежит работникам, за исключением редких случаев посетителям выдаются обезличенные пропуска, так что вряд ли этот путь походит. Ну, и идентификация по 115-ФЗ - это не запись фото в разовый пропуск посетителя. Тем более что посетители большинство своих проблем решают в операционном зале, вход в который не ограничен.

    ОтветитьУдалить
  13. Моя лепта в длинный поток слов, сделанный во многих блогах и РКН.
    Биометрия - это когда нужно после каждого факта установления личности на основе биометрии дать ПРАВА, ДОСТУП, АВТОРИЗОВАТЬ. После каждого!
    А если вы просто общаетесь, лучше продаёте, используются фотки, чтобы вашему брэнду в целом доверяли лучше, подтверждаете факт выполнения процедуры, то это НЕ БИОМЕТРИЯ.

    Сравните уровень доверия данным!?
    То же касается паспорта: по закону его экземпляр ОДИН. Ему мы доверяем!!! А ксерокопия - это запись в системе банка, о том, что идентификация была проведена успешно один раз при предъявлении паспорта. Её никуда больше не предъявишь, это не документ, это запись.

    Коллеги, разбирайтесь в бизнес-процессах и их целях. Нельзя уподоблять и погружать в процесс безопасности всё происходящее.

    Мой комментарий здесь: http://crisisidea.livejournal.com/11085.html

    С уважением, CI.

    ОтветитьУдалить
  14. Если нет СКУД, а используются обычные пропуска с фото (корочки), которые сотрудники предъявляют на вахте. Есть ли здесь обработка биометрических данных?

    ОтветитьУдалить
  15. Есть, но обработка персданных без использования средств автоматизации регулируется 152-ФЗ только когда обработка "соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным". А в действиях вахтера я таких признаков не усматриваю

    ОтветитьУдалить
  16. Добрый день. В разъяснениях мне не понятна одна вещь. Вы утверждаете, что фото в личном деле это не биометрия, и я с этим полностью согласен. Но какая тогда вообще цель обработки фотографии в личном деле? Само наличие фото в личном деле это уже нарушение статьи 5 ФЗ-152. Получается что я вообще не могу хранить фото работников в личном деле?

    ОтветитьУдалить
  17. Убираем ФИО с чиповоных карт доступа и оставляем только фото. В самой СКУД видим только ФИО по чипу карты.
    Далее на рецепции сотрудник сверяет фото на карте и фото во внутреннем ПО компании. Является ли это обработкой биометрических персональных данных и нужно ли брать с огромного количества человек согласие в письменном виде?
    P.S.: СКУД отдельная ИСПДН с отдельной базой без физического доступа к интернету.

    ОтветитьУдалить