Биометрические данные это персональные данные: для тех, кому нужно быстро разобраться

для тех, кому нужно быстро разобраться

Никакого строгого списка или перечня персональных данных нет. Обычно получается, что для того, чтобы данные можно было считать персональными, нужно их с чем-то сочетать, например, с ФИО или паспортными данными.

Какие бывают виды персональных данных

В Постановлении правительства №1119 перечислены категории персональных данных. Всего их четыре: общие (или общедоступные), специальные, биометрические и иные.

Общие персональные данные

К ним законодательство о персональных данных относит базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, email. Обычно эти данные и так известны некоторым другим людям, могут быть опубликованы в общедоступных источниках. Например, о месте работы человека могут знать его друзья в социальных сетях.

Специальные персональные данные

Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.

Специальные категории персональных данных отличаются от общих тем, что обычно находятся в закрытом доступе. Их можно узнать только лично у человека, либо сделав официальный запрос в больницу, полицию или суд. Чаще всего сообщать эти данные человек не обязан, они — его личное дело.

Биометрические персональные данные

Это физиологические или биологические особенности человека, которые используют для установления его личности. К ним могут относиться фотографии, отпечатки пальцев, группа крови, генетическая информация.

Однако все эти данные не всегда являются биометрическими. Согласно разъяснению правительства, они становятся такими, только если вы храните их с целью идентификации личности. Например, если на проходной стоит камера с распознаванием лиц, фотографии сотрудников будут биометрическими данными — именно по ним вы определяете личность человека.

А если к личному делу сотрудника или профилю клиента прикреплена его фотография — эти данные не биометрические. Вы не используете их для идентификации, а уже знаете, кому принадлежит фото, и просто дополняете им информацию.

То же самое касается других подобных данных, в том числе медицинских. Если их используют просто для сбора информации о пациенте, они не биометрические, а общие или специальные.

Иные персональные данные

В эту категорию ПДн относят всё, что нельзя отнести к общедоступным, специальным или биометрическим данным: принадлежность к определенной социальной группе, к примеру, членство в клубе, или корпоративные данные, например, то, что хранится в бухгалтерии: зарплата, периоды отпусков, стаж и так далее.

Иные данные сложнее всего отличить от специальных. Разница следующая:

1. Специальные данные характеризуют человека как личность, часто человеку важно, чтобы посторонние их не знали.
2. Иные данные — это просто дополнительная информация, они часто могут меняться.

Кто такие оператор и субъект персональных данных

В законе о защите персональных данных упоминаются оператор и субъект ПДн.

Разберемся, кто это такие.

Оператор ПДн — компания, которая собирает, хранит, обрабатывает и распространяет персональные данные. Чтобы понять, является ли компания оператором, нужно разобраться, что такое хранение и обработка персональных данных:

1. Хранение персональных данных по 152-ФЗ — это когда вы держите данные у себя, например, записали на свой сервер или в базу данных в облаке. Кстати, если данные на бумаге, и вы держите их в папках и архивах, то тоже занимаетесь хранением персональных данных.
2. Обработка персональных данных — любые действия с ними: запись, извлечение, анализ, изменение, передача и даже удаление. Даже если вы просто собираете данные, вы их уже обрабатываете.

Субъект персональных данных — это любой человек, персональные данные которого получил оператор. Например, вы заполнили в магазине анкету на карточку постоянного покупателя — вы стали субъектом ПДн, а магазин — оператором ваших персональных данных.

В компаниях данные разных субъектов ПДн обрабатывают по-разному. Например, доступ к данным сотрудников имеют одни люди, а к данным клиентов — другие. Поэтому при составлении правил работы с данными в компании выделяют разные категории субъектов персональных данных, например: сотрудники, клиенты, стажеры, представители клиентов, родственники сотрудников.

Кратко: Кто является оператором персональных данных? Тот, кто собирает ПДн, хранит их у себя на серверах, анализирует, изменяет и передает.

Кто является субъектом персональных данных? Тот, чьи данные хранит или обрабатывает оператор ПДн.

Как оператор обязан защищать персональные данные

Согласно 152-ФЗ оператор должен обеспечить защиту персональных данных. Степень защиты зависит от типа данных:

1. Общедоступные нуждаются в самой слабой защите — их довольно легко получить, обычно их не скрывают.
2. Иные данные нужно защищать чуть сильнее — они известны меньшему кругу лиц.
3. Биометрические данные защищают еще серьезнее, поскольку их можно использовать для идентификации человека.
4. В самой серьезной защите нуждаются специальные данные — их часто можно использовать, чтобы навредить человеку.

Для защиты персональных данных по 152-ФЗ оператор должен построить защищенную IT-инфраструктуру и следить, чтобы ПДн всегда были доступны, не потерялись и не попали в руки посторонних.

Кроме защиты данных, оператор обязан собирать, обрабатывать и передавать данные куда-либо только с согласия их владельца, а также отчитываться о сборе данных и мерах защиты перед государством.

То, какую защиту нужно обеспечить персональным данным, зависит от уровня защищенности (УЗ), установленного законом. Его определяют с учетом того, какие данные вы храните и что может им угрожать. Всего уровней защищенности четыре: данные с УЗ-3 и УЗ-4 можно без проблем хранить в публичном облаке, аттестованном по 152-ФЗ, для УЗ-2 и УЗ-1 нужны особые условия, не все провайдеры могут их предоставить.

В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS. При построении гибридной инфраструктуры для хранения персональных данных на платформе Mail.ru Cloud Solutions вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты MCS, что позволит быстрее пройти необходимые процедуры.

Биометрия. Разъясняет Роскомнадзор | BIS-Expert

На сайте Роскомнадзора появились разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных к биометрическим персональным данным и особенностям их обработки. Что теперь ясно?

А то, что к биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта.

Т.е. для того, чтобы персональные данные считались биометрическими, должны быть соблюдены 3 условия:

• Данные должны содержать физиологические или биологические характеристики человека.
• Данные должны позволять установить личность человека.
• Данные должны использоваться оператором для установления личности субъекта.

Для более наглядного разъяснения вопроса касательно опубликования результатов фото- и видеосъемки авторы разъяснений сослались на ст.152.1 ГК РФ. Исходя из текста статьи, согласие на обнародование и дальнейшее использование фотографий и видеозаписей не требуется в трех случаях: 

• Использование изображения осуществляется в государственных, общественных или иных публичных интересах.
• Изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования.
• Гражданин позировал за плату.

Также касательно фотографий авторы сослались на «Перечень персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию«, от 4 марта 2010 г. № 125.  Пункт 6 гласит:

Цветное цифровое фотографическое изображение лица владельца документа (биометрические персональные данные владельца документа)

Однако разъяснения четко говорят о том, что в любом случае должны учитываться цели обработки данных. И исходя из целей персональные данные могут быть отнесены к биометрическим или не могут.

Исходя из вышесказанного, а также из разъяснений, можно заключить следующее:

• Фотографии, содержащиеся в СКУД, являются биометрическими персональными данными и,следовательно, сама СКУД будет ИСПДн-Б.
• Если СКУД использует иные биологические особенности человека (отпечатки пальцев, сетчатка глаза и пр.), то она также является ИСПДн-Б.
• Также к биометрическим ПДн относятся ксерокопии документов с фотографиями, которые делаются на проходных, так как фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина.
• Если же сканирование или ксерокопирование документа осуществляется не для установления личности, а для подтверждения осуществления определенных действий (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.), то в данном случае ксерокопии и сканкопии биометрическими данными не являются
• Не являются биометрическими персональными данными и фотография в личном деле, и подпись в договоре, т.к. они не используются для установления личности.
• Не являются биометрическими персональными данными различные рентгеновские снимики, результаты анализов, отпечатки пальцев и даже ДНК, т. к. они не используются оператором для идентификации субъекта. Но как только эти данные начинают использоваться для установления личности конкретного лица, то эти данные сразу становятся биометрическими.
• Не являются биометрическими персональными данными и  материалы фото- и видеосъемки на охраняемых территориях и в публичных местах. Но, опять же, как только эти материалы начинают использоваться для установления личности конкретного лица, они сразу становятся биометрическими.

Мнение.

С одной стороны наконец-то получены ответы на вопросы касательно ксерококопий документов и фотографий в СКУД. Все четко и ясно.

С другой стороны хочу заметить, что результаты анализов, ДНК и прочих экспертиз, которые могут храниться в соответствующих лабораториях, теперь свободно могут быть отнесены к иным персональным данным и защищаться соответствующим образом. К специальным их можно не относить, т.к. они характеризуют не состояние здоровья, а именно физиологические и биологические особенности. Несколько нелогично, на мой взгляд.

 

Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации (с изменениями на 4 июля 2019 года)

Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к …

(с изменениями на 4 июля 2019 года)

____________________________________________________________________
Документ с изменениями, внесенными:
приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369 (Официальный интернет-портал правовой информации www. pravo.gov.ru, 26.09.2019, N 0001201909260016).
____________________________________________________________________

В соответствии с пунктом 1 части 13 статьи 14.1 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст.3448; 2010, N 31, ст.4196; 2011, N 15, ст.2038; N 30, ст.4600; 2012, N 31, ст.4328; 2013, N 14, ст.1658; N 23, ст.2870; N 27, ст.3479; N 52, ст.6961, ст.6963; 2014, N 19, ст.2302; N 30, ст.4223, ст.4243; N 48, ст.6645; 2015, N 1, ст.84; N 27, ст.3979; N 29, ст.4389, ст.4390; 2016, N 26, ст.3877; N 28, ст.4558; N 52, ст.7491; 2017, N 18, ст.2664; N 24, ст.3478; N 25, ст.3596; N 27, ст.3953; N 31, ст.4790, ст.4825, ст.4827; N 48, ст.7051; 2018, N 1, ст.66; N 18, ст.2572; N 27, ст.3956; N 30, ст.4546; N 52, ст.8101; 2019, N 12, ст.1220, ст.1221)
(Преамбула в редакции, введенной в действие с 7 октября 2019 года приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369.

приказываю:

1. Утвердить прилагаемые:

Защита персональных биометрических данных в Европе, Великобритании, США и России

Защита персональных данных влечет за собой целый ряд этических и социальных проблем. Неужели все последние технологические достижения в области искусственного интеллекта и распознавания лиц представляют угрозу нашей свободе и праву на анонимность?
Рассказываем, как обстоят дела с защитой персональных биометрических данных в разных странах.

Защита биометрических данных в Европе и Великобритании

В мае прошлого года в Европе и Великобритании вступил в силу законодательный акт General Data Protection Regulation (GDPR).

Это постановление обеспечивает основу для применения мер по защите персональных биометрических данных на практике: любое вторжение в частную жизнь граждан, например расследование деталей личной жизни или деловых поездок, влечет за собой суровые наказания.

Правила GDPR основаны на принципах свободы прав человека о предоставления каких-либо данных о себе. Например, в акте на законодательном уровне прописано право «быть забытым» и право на сбор персональных данных только с согласия пользователя.

К персональным данным относится любая информация, по которой можно определить человека прямо или косвенно: имя, адрес, сведения о состоянии здоровья, логин, электронная почта, ip-адрес, религиозная принадлежность, финансовое состояние, психическое здоровье и многое другое. Даже подписка на e-mail рассылку подпадает под действие GDPR, поскольку компания-владелец сайта собирает персональные данные пользователей (e-mail адреса) для последующей рассылки.

GDPR обязателен для исполнения во всех 28 странах Европейского союза и компаниях, занимающихся сбором данных в Европе. Регламент касается и российских компаний, которые взаимодействуют с иностранными гражданами и получают доступ к их персональным данным.

Защита биометрических данных в США

Штат Вашингтон стал третьим штатом США (после Иллинойса и Техаса), который официально закрепил правила сбора биометрических данных с помощью нового закона, введенного в июне 2017 года.

Калифорнийский закон о конфиденциальности потребителей (CCPA = California Consumer Privacy Act), принятый в июне 2018 года и вступивший в силу с 1 января 2020 года, серьезно повлиял на права на конфиденциальность и защиту прав потребителей не только для жителей Калифорнии, но и для всей страны. CCPA часто представляется в качестве модели для федерального закона о конфиденциальности данных и имеет все шансы стать столь же основополагающим законодательным актом, последовательно регулирующим правила сбора и обработки персональных данных, как и GDPR в Европе.

В июле 2018 года Брэдфорд Л. Смит, президент Microsoft, сравнил технологию распознавания лиц с лекарствами, поскольку рынок лекарственных средств тоже строго регулируется. Он призвал Конгресс изучить эту практику и использовать ее для контроля за использованием технологии распознавания лиц. А в мае 2019 года представитель США Александрия Окасио-Кортес на недавнем слушании Комитета по технологии распознавания лиц выразила озабоченность тем, как распознавание лиц влияет на гражданские права и свободы.

Защита биометрических данных в России

В России с июля прошлого года в некоторых банках начала работать Единая биометрическая система (ЕБС), разработанная «Ростелекомом» по инициативе Министерства цифрового развития, связи и массовых коммуникаций и Центрального банка РФ.

Основная задача ЕБС — сделать более доступными услуги, которые требуют юридически значимого подтверждения личности. В первую очередь система предназначена для жителей отдаленных регионов и маломобильных граждан. Сервис удаленной идентификации, в основе которого лежит Единая биометрическая система, позволяет получать банковские услуги удаленно с помощью смартфона или компьютера с интернетом.

Пока система используется только для банковского обслуживания, планируется расширение и внедрение ЕБС в другие сферы. Если удаленная идентификация по лицу и голосу продемонстрирует хорошие результаты и не вызовет масштабных проблем, можно ожидать ее распространения и на другие задачи, в первую очередь на ресурсы «электронного правительства». А затем и в других областях.

Заключение

В каждом государстве свои законы о защите персональных данных, однако, независимо от географического положения и политической системы, наблюдаются общие признаки: заинтересованность властей, финансовых и транспортных бизнес-структур в сборе биометрических данных населения и сотрудничество и обмен информацией бизнес-структур и государства в делах обеспечения безопасности. Принимая во внимание эти факторы, несложно понять, что государственные биометрические базы данных естественным образом прирастают при поддержке коммерции. Поэтому наращивание баз персональных данных будет стремительно происходить по самым разным направлениям.

Биометрия: «подводные камни»

{«id»:130174,»url»:»https:\/\/vc.ru\/newtechaudit\/130174-biometriya-podvodnye-kamni»,»title»:»\u0411\u0438\u043e\u043c\u0435\u0442\u0440\u0438\u044f: \u00ab\u043f\u043e\u0434\u0432\u043e\u0434\u043d\u044b\u0435 \u043a\u0430\u043c\u043d\u0438\u00bb»,»services»:{«facebook»:{«url»:»https:\/\/www. facebook.com\/sharer\/sharer.php?u=https:\/\/vc.ru\/newtechaudit\/130174-biometriya-podvodnye-kamni»,»short_name»:»FB»,»title»:»Facebook»,»width»:600,»height»:450},»vkontakte»:{«url»:»https:\/\/vk.com\/share.php?url=https:\/\/vc.ru\/newtechaudit\/130174-biometriya-podvodnye-kamni&title=\u0411\u0438\u043e\u043c\u0435\u0442\u0440\u0438\u044f: \u00ab\u043f\u043e\u0434\u0432\u043e\u0434\u043d\u044b\u0435 \u043a\u0430\u043c\u043d\u0438\u00bb»,»short_name»:»VK»,»title»:»\u0412\u041a\u043e\u043d\u0442\u0430\u043a\u0442\u0435″,»width»:600,»height»:450},»twitter»:{«url»:»https:\/\/twitter.com\/intent\/tweet?url=https:\/\/vc.ru\/newtechaudit\/130174-biometriya-podvodnye-kamni&text=\u0411\u0438\u043e\u043c\u0435\u0442\u0440\u0438\u044f: \u00ab\u043f\u043e\u0434\u0432\u043e\u0434\u043d\u044b\u0435 \u043a\u0430\u043c\u043d\u0438\u00bb»,»short_name»:»TW»,»title»:»Twitter»,»width»:600,»height»:450},»telegram»:{«url»:»tg:\/\/msg_url?url=https:\/\/vc.ru\/newtechaudit\/130174-biometriya-podvodnye-kamni&text=\u0411\u0438\u043e\u043c\u0435\u0442\u0440\u0438\u044f: \u00ab\u043f\u043e\u0434\u0432\u043e\u0434\u043d\u044b\u0435 \u043a\u0430\u043c\u043d\u0438\u00bb»,»short_name»:»TG»,»title»:»Telegram»,»width»:600,»height»:450},»odnoklassniki»:{«url»:»http:\/\/connect. ok.ru\/dk?st.cmd=WidgetSharePreview&service=odnoklassniki&st.shareUrl=https:\/\/vc.ru\/newtechaudit\/130174-biometriya-podvodnye-kamni»,»short_name»:»OK»,»title»:»\u041e\u0434\u043d\u043e\u043a\u043b\u0430\u0441\u0441\u043d\u0438\u043a\u0438″,»width»:600,»height»:450},»email»:{«url»:»mailto:?subject=\u0411\u0438\u043e\u043c\u0435\u0442\u0440\u0438\u044f: \u00ab\u043f\u043e\u0434\u0432\u043e\u0434\u043d\u044b\u0435 \u043a\u0430\u043c\u043d\u0438\u00bb&body=https:\/\/vc.ru\/newtechaudit\/130174-biometriya-podvodnye-kamni»,»short_name»:»Email»,»title»:»\u041e\u0442\u043f\u0440\u0430\u0432\u0438\u0442\u044c \u043d\u0430 \u043f\u043e\u0447\u0442\u0443″,»width»:600,»height»:450}},»isFavorited»:false}

Эпоха биометрии: как защитить персональные данные

«Национальный банковский журнал», № 8 (174), август, 2018
Интервью Алексея Сабанова, к.т.н., заместителя генерального директора компании «Аладдин Р.Д.»

А. САБАНОВ: «При выборе инструмента защиты следует исходить не только из оценки его доступности или недоступности по ценовому параметру, а из того, какую цену оператор может заплатить в случае реализации рисков»

Защита персональных данных – это та тема, которая сейчас в контексте ужесточения регулирования в сфере ИБ наиболее актуальна для банковских организаций. Какие ИБ-системы оптимально использовать для решения этой задачи? Чем объясняется то, что банки пока еще предпочитают организационные меры шифрованию данных? На эти и другие вопросы ответил в интервью NBJ заместитель генерального директора компании «Аладдин Р.Д.» Алексей САБАНОВ.

NBJ: Алексей, первый вопрос, который хотелось бы вам задать, следующий. Как вы оцениваете ситуацию с защитой персональных данных (ПДн) клиентов и иной конфиденциальной информации в финансовом секторе?

А. САБАНОВ: Казалось бы, здесь все очень просто. Есть 152-ФЗ, в соответствии с которым персональные данные подлежат защите, а оператор ПДн несет ответственность за разглашение этих сведений без согласия субъекта персональных данных или его представителя, за невыполнение требований об уточнении, блокировке, уничтожении данных, а также в ряде других случаев. Но так гладко все выглядит только на бумаге…

NBJ: А на самом деле?

А. САБАНОВ: А на самом деле банки и другие финансовые организации по-разному решают эти задачи, а некоторые этого вообще не делают. Речь идет о малых финансово-кредитных организациях, у которых нет средств для содержания специалистов по защите информации. В лучшем случае такие банки привлекают аутсорсеров для решения подобных задач, в худшем вообще игнорируют это, надеясь, что ничего страшного не произойдет. Они также могут формировать и согласовывать такие модели угроз и нарушителей, которые маскируют реальные угрозы безопасности.

NBJ: Но таких банков наверняка меньшинство, не так ли?

А. САБАНОВ: Их немного, но все же они есть. Конечно, в крупных банках дело обстоит иначе. У них есть целый штат сотрудников, которые отвечают за выполнение требований регулятора в части работы с персональными данными, за соответствие деятельности банка в этой сфере российскому законодательству. Но при этом подходы различаются. В некоторых банках господствует точка зрения, что для обеспечения защиты персональных данных и конфиденциальной информации достаточно исключительно организационных мер. Есть другое мнение – что данные ни в коем случае нельзя шифровать, потому что есть риск потери ключа, с помощью которого проводилось шифрование, и они могут пропасть. 

NBJ: Разве такие прецеденты бывали?

А. САБАНОВ: Крайне редко, но тем не менее такой риск действительно существует. Другое дело, что он реализуется не в силу независящих от банка обстоятельств, а потому, что не выполняются инструкции по предписанным регламентам шифрования. Но давайте от этих частных случаев перейдем к общей картине и сравним российский и западный подходы к защите персональных данных на примере международной организации ISO, экспертом которой я являюсь. Соответствующая рабочая группа сформулировала целый пул задач по идентификации, аутентификации, управлению доступом и шифрованию информации, по применению биометрии в части обеспечения защиты конфиденциальных данных. Понятно, что далеко не все из них на сегодняшний день решены, и очевидно, что здесь, безусловно, должна быть связь и с рисками, и с ИТ-архитектурой. Эти задачи актуальны и для наших банков, еще необходимо отметить, что  и западные, и наши стандарты в сфере ИБ меняются в последние годы в одном и том же направлении.

NBJ: В каком именно?

А. САБАНОВ: Все большего «закручивания гаек», то есть ужесточения требований, когда речь идет о сборе, использовании, хранении и защите ПДн. С 25 мая текущего года в странах ЕС стали работать новые требования GDPR (General Data Protection Regulation, общий регламент по защите данных. – Прим. ред.), и при их изучении становится очевидным, что требования к ответственности операторов ПДн серьезно выросли.  

NBJ: Наши банки обязаны соблюдать положения GDPR?

А. САБАНОВ: Они должны соблюдать российское законодательство, и де факто они не выполняют требования GDPR. Мало кто обращает внимание на тот факт, что клиенты могут обращаться в Международный суд по правам человека с исками о нарушении операторами их прав при обработке, использовании и хранении ПДн. Пока таких прецедентов нет, но это не означает, что их не будет в дальнейшем. 

NBJ: И все же в чем главные различия в нашей и международной практике защиты ПДн?

А. САБАНОВ: У нас строго регулируется сам процесс защиты персональных данных, и если вы, как банк, строго классифицировали свою систему по определенному классу защищенности, то вам не надо думать, какие средства защиты информации использовать, поскольку вам их «подскажут» методические указания ФСТЭК и ФСБ России. У европейцев иной подход. Там все построено на оценке рисков, и оператор сам делает это и может самостоятельно выбирать средства защиты информации. 

NBJ: На что банкам необходимо смотреть в первую очередь, когда речь идет о защите ПДн, и почему, по вашему мнению, сама по себе эта тема приобрела в последнее время такую актуальность?

А. САБАНОВ: В первую очередь банки должны следовать стандарту СТО БР ИББС и приказам Банка России, поскольку в таких случаях отраслевые стандарты принципиально важны. И тут я должен отметить, что эти предписания и указания достаточно понятны и прозрачны для финансово-кредитных организаций, но, к сожалению, не все банки выполняют их.

NBJ: Это странно, если учесть, что регулятор не просто рекомендует своим поднадзорным субъектам совершать те или иные действия по защите ПДн, а требует проведения внутреннего и внешнего аудита систем защиты ПДн и даже говорит о том, что недалек тот день, когда киберриски начнут учитываться при расчете капиталов банков и при формировании резервов. 

А. САБАНОВ: Все это верно, но давайте не забывать о том, что на практике защита ПДн – очень сложная задача для банковских организаций, в том числе и для тех, которые занимают ведущие позиции в России. Причина проста: у крупных банков 
за годы их деятельности накопилось большое количество информационных баз, в которых содержатся ПДн юридических и физических лиц. Это система клиент-банк, интернет-банкинг, кредитные досье юридических и физических лиц и т. д. Какую из этих баз и в какой степени надо защищать – именно эту задачу банкам и приходится решать. И трудно было бы ожидать при таком разнообразии баз и накопленного объема информации другого решения данного вопроса.
Это один момент. Второй – в большинстве банков до сих пор используются преимущественно импортные системы управления базами данных (СУБД). Импортное производство подразумевает наличие недекларируемых возможностей в системном ПО. Обойтись тут только организационными мерами и встроенными системами защиты не получится. Это упрощенный подход, который не даст желаемого результата. Но следует признать, что именно его придерживается, по моим наблюдениям, большинство банков. 

NBJ: Какие риски у банков возникают в связи с этим?

А. САБАНОВ: Во-первых, возможен сговор между сотрудником банка и неким лицом или лицами «на стороне». Сотрудник банка, имеющий права администратора системы, может изменить персональные данные или частично уничтожить их, а замести после этого следы ему не составит особого труда. Есть средства, которые могут исключить этот риск, например, КРИПТО БД – система предотвращения утечек информации из основных промышленных СУБД. Она построена таким образом, что привилегированные пользователи, в частности администраторы, видят данные только в зашифрованном виде. Конечно, можно попробовать подобрать ключ шифрования, но на это уйдут многие годы. К тому же в системе отражается, кто и когда вносил или пытался внести изменения в персональные данные, и, что принципиально важно, аудит системы производится наложенными средствами, то есть извне. Соответственно, повлиять на его результаты сотрудники банка не могут. 

NBJ: КРИПТО БД – известный на рынке продукт, который используется многими организациями уже не первый год. За время, прошедшее с его запуска, он существенно изменился?

А. САБАНОВ: Безусловно, он менялся. Продукт был выпущен 12 лет назад, при этом сам по себе этот проект был начат 15 лет назад. С чем связано это различие в сроках? С тем, что прежде чем создавать наложенные средства защиты, почти три года велось углубленное изучение встроенных в СУБД методов защиты. И вы понимаете, что тогда, то есть 15 лет назад, были совершенно иными и законодательство по защите персональных данных, и регулирование киберрисков, и объемы персональных данных, которыми оперировали банки, и действия злоумышленников. Нам приходится все это учитывать, тем более что мы убеждены в том, что у КРИПТО БД очень хорошие перспективы в будущем, поскольку на сегодняшний день эта система шифрования в СУБД является единственной сертифицированной по требованиям ФСБ к средствам криптографической защиты информации (СКЗИ). 

NBJ: То есть в этом вопросе ваша компания фактически является первопроходцем?

А. САБАНОВ: Да. Мы надеемся, что со временем появятся конкурентные решения, поскольку конкуренция, бесспорно, способствует дальнейшему развитию продуктов и проектов. Но пока мы видим, что предлагаемые решения других производителей имеют несколько иную направленность и в любом случае не поднимаются по качеству защиты и системности до уровня КРИПТО БД.  

NBJ: Во многих ли банках работает эта система?

А. САБАНОВ: Вы, наверное, не поверите, но как раз в банках ее до сих пор ни разу не внедряли. У нас есть реализованные и очень успешные проекты по ее внедрению и использованию в самых различных отраслях – связи, здравоохранении, в юридической и пенсионной. А вот в банках нет, и, как мне представляется, они очень многое теряют, по тем или иным причинам отказываясь от внедрения КРИПТО БД, тем более что пилотный проект является бесплатным. Иными словами, у банков есть 
возможность, не неся дополнительных финансовых расходов, «обкатать» эту систему на практике, посмотреть, как она работает и какую минимизацию рисков она обеспечивает в сфере обработки и хранения ПДн. 

NBJ: Вы наверняка как-то объясняете сами себе это нежелание.

А. САБАНОВ: Честно говоря, для меня это непонятно. Есть банки, которые объясняют свое нежелание внедрять КРИПТО БД опасением, что работа с зашифрованными данными приведет к фатальной потере производительности имеющихся у банков информационных систем. Но этот аргумент не выдерживает критики: если и есть потери в производительности систем, то они, как правило, наблюдаются очень недолго и исчисляются небольшими процентами, а то и долями процента. Это связано с тем, что КРИПТО БД позволяет защитить информацию адресно, из многих терабайтов данных будут зашифрованы только те, без которых остальная часть не имеет ценности. Мне представляется, что по крайней мере сейчас более важную роль в поведении банков играет дань моде.

NBJ: Что вы имеете в виду?

А. САБАНОВ: Очевидно, что все увлеклись биометрической идентификацией и склонны рассматривать ее как панацею от всех бед и защиту от всех угроз. Хотя на самом деле это не так, использовать биометрические данные небезопасно, а применяться они могут только как подтверждение владения традиционными идентификаторами с определенным (не таким высоким, как бы хотелось) порогом вероятности. Но в этом адептам биометрии еще только предстоит убедиться на собственном опыте. Что же касается шифрования, то здесь уже накоплен определенный опыт применения этого инструмента, и он наглядно демонстрирует, что шифрование данных действительно повышает общий уровень защищенности операторов и субъектов ПДн, тем более что предлагаемое нами решение дополнено функциями современного управления доступом к чувствительным данным.

NBJ: И тем не менее биометрия вызывает сейчас больший интерес.

А. САБАНОВ: Тут, скорее всего, «включается», с одной стороны, стремление к чему-то новому, к инструменту, который объявляется сейчас наиболее прогрессивным. А с другой стороны, срабатывают необоснованные страхи – а вдруг будут утеряны ключи шифрования, и, соответственно, станут недоступными данные, которые были зашифрованы с помощью этих ключей, и т.д. Я думаю, что достаточно будет появиться одному смелому банку, который сумеет преодолеть эти страхи, и тогда настроения в банковском секторе, а также отношение участников рынка к системе КРИПТО БД изменятся. Рано или поздно это произойдет, но, по-видимому, банковской сфере еще предстоит «дозреть» до этого. К тому же всем тем, кто собирает биометрические данные, стоит задуматься и об их сохранности, т.е. целостности и конфиденциальности. Кроме того, насколько я знаю текущую ситуацию, пока не решен вопрос о том, кто и как будет отвечать за их утечки: банк, который их собирает, оператор Единой биометрической системы или тот, кто защищает каналы передачи. Вопросов здесь больше, чем ответов. Опыт других стран показывает, что сложностей при управлении цифровыми идентификационными данными в национальном масштабе очень много и они увеличиваются по мере роста накопленных баз. Поэтому в мире уровень охвата населения подобными проектами невысок, во всяком случае не выявлено ни одной страны со стопроцентным охватом населения.

NBJ: Возможно, определенным «стоп-фактором» для банков является цена вашего продукта? Не секрет, что ведущие представители банковской сферы предпочитают разрабатывать собственные решения, в том числе и в ИБ. Насколько доступно по ценовым параметрам решение КРИПТО БД для тех, кто относится к числу малых и средних кредитных организаций?

А. САБАНОВ: Оно вполне доступно и им. К тому же, когда мы говорим о доступности или недоступности того или иного решения по ценовому параметру, надо иметь в виду не только финансовые возможности потенциального покупателя, но и то, какую цену он может заплатить при реализации рисков. В данном случае речь, конечно же, идет об опасности потери и/или компрометации персональных данных клиентов. Как я уже говорил, и наше, и международное законодательство и регулирование в этом вопросе ужесточаются.

NBJ: И скупой может заплатить дважды?

А. САБАНОВ: Да. Но в любом случае наша ценовая политика выстраивается таким образом, что мы можем предложить банкам со сравнительно небольшим количеством обслуживаемых физических и юридических лиц приемлемые для них условия внедрения с помощью наших многочисленных партнеров. Кроме того, есть еще один момент, который, как мне кажется, будет подталкивать банки, независимо от их размеров, к внедрению КРИПТО БД. 

Вступает в действие 189-ФЗ о критической информационной инфраструктуре, и в этом контексте наличие средств защиты такого класса и уровня, как КРИПТО БД, становится для банков, как операторов персональных данных, не прихотью, а необходимостью. Мы, со своей стороны, также готовимся к этому: у нас проводится целая кампания по улучшению качества наших продуктов и повышению уровня ответственности за них. Поэтому я считаю, что перспективы здесь очень хорошие, и я приглашаю те банки, которые хотят попробовать КРИПТО БД для решения своих задач, сделать это как можно скорее.    

Как защитить биометрические данные пользователей от криминального использования

Биометрия — единственный метод идентификации, который «привязывает» цифровые учетные записи к конкретному человеку. Из-за этих уникальных свойств биометрические данные стали ценным товаром для мошенников.

---

О том, что могут сделать компании, чтобы защитить биометрические данные своих клиентов и в целом повысить доверие к биометрической идентификации, рассказывает Александр Горшков, директор по развитию Iris Devices (резидента «Сколково»).

Кража биометрических данных

Когда злоумышленники копируют электронный пропуск, подбирают пароль или применяют скимминг пластиковой карты, все эти вещи можно заменить и таким образом предотвратить возможное мошенничество. 

С появлением биометрических технологий процесс идентификации упростился. Но проблема в том, что, в случае кражи, изменить биометрические признаки не получится.  

Первые существенные хищения были выявлены три-четыре года назад:

2016	В Гане похищены биометрические данные избирателей.
2017	Украдены биометрические данные филиппинских избирателей. У американской компании Avanti Markets, похищены отпечатки пальцев покупателей.  Утечка данных из индийской биометрической системы Aadhaar.
2018	В Зимбабве похитили отпечатки пальцев и фотографии избирателей.Компрометация биометрических данных миллиарда граждан Индии.
2019	В открытый доступ попала многомиллионная база отпечатков пальцев из южнокорейской компании Suprema. Похищены записи голоса клиентов Сбербанка.

К сожалению, даже самая лучшая многоуровневая защита от взлома имеет уязвимости, и возникновение подобных инцидентов неизбежно.
 

Как сделать биометрическую идентификацию безопасной

Чтобы исключить или минимизировать возможный ущерб, нужно своевременно выявлять попытки имитации чужой биометрии — обнаруживать подделку в реальном времени и подтверждать или опровергать, что данные представлены истинным обладателем. 

Проверка на живой/неживой с использованием многофакторной идентификации значительно повышает безопасность и делает кражу любого элемента персональных данных несущественной.  

Уже есть концепции, которые объединяют биометрические данные с другими элементами безопасности. Такие решения создают более надежные цифровые учетные записи, и самих по себе украденных биометрических признаков становится недостаточно для совершения противоправных действий. 

Мультиспектральная проверка на живой/неживой

В основе одного из эффективных подходов к обнаружению подделки биометрических признаков лежит мультиспектральная регистрация, что значительно усложняет применение поддельных биометрических данных для идентификации. 

При этом методе сравниваются невидимые в обычных условиях оптические характеристики исследуемого материала с известными характеристиками живого объекта. Используются несколько источников света различных спектров для получения информации с поверхности и из глубины живой ткани, вплоть до капиллярных сосудов. 

Для своевременного реагирования применяются нейросетевые алгоритмы машинного зрения, которые можно оперативно адаптировать при выявлении новых типов угроз и подделок.

Многофакторная идентификация

Обеспечить качественную и надежную идентификацию пользователей можно, реализовав многофакторное решение, когда регистрируются несколько биометрических и не биометрических признаков личности.

Строгая идентификация с помощью двух или более факторов принципиально безопасней.

Важно использовать сочетание нескольких надежных способов идентификации, чтобы пользователь сам мог выбрать наиболее приемлемые и удобные для него.

Отменяемая биометрия

Мы не можем изменить свои биометрические данные, но можем поменять алгоритм хранения и работы с ними. Для этого разрабатываются специальные решения под общим названием «отменяемая биометрия». 

Эта технология основана на преднамеренном повторяемом искажении биометрических данных на основе предварительно выбранного преобразования. Биометрический сигнал одинаково искажается как при регистрации, так и при каждой идентификации.

Такой подход позволяет использовать для каждой записи свой метод, что препятствует перекрестному сопоставлению. 

Кроме того, если экземпляр преобразованной биометрии скомпрометирован, достаточно изменить алгоритм конвертации, чтобы сгенерировать новый вариант для повторной регистрации. 

Для обеспечения безопасности используются необратимые функции. Таким образом, даже если алгоритм конвертирования известен и имеются преобразованные биометрические данные, то восстановить по ним исходную (не искаженную) биометрию не получится.

Преобразования могут применяться как в области сигнала, так и в области признаков. То есть либо биометрический сигнал преобразуется непосредственно после его получения, либо обрабатывается обычным образом, после чего преобразуются извлеченные признаки. 

Алгоритм преобразования допускает расширение шаблона, что позволяет увеличить надежность системы.

Примеры преобразований на уровне сигнала включают в себя морфизацию сеткиили перестановку блоков. Измененное изображение не может быть успешно сопоставлено с исходным образом или с аналогичными изображениями, полученных с другими параметрами преобразования.

Преобразование изображения на основе морфинга изображения. 

Источник: «Enhancing Security and Privacy in Biometrics-Based Authentication Systems» by N. K. Ratha, J. H. Connell, R. M. Bolle

На рисунке представлена оригинальная фотография с наложенной сеткой, выровненной по лицевым признакам. Рядом с ней — фотография с измененной сеткой и результирующее искажение лица. 

Преобразование изображения на основе скремблирования блоков

Источник: «Enhancing Security and Privacy in Biometrics-Based Authentication Systems» by N. K. Ratha, J. H. Connell, R. M. Bolle

На рисунке на модель нанесена блочная структура, выровненная по характерным точкам. Полученные блоки затем скремблируются случайным, но повторяемым образом.

Разработаны решения, генерирующие стабильный и повторяемый биометрический код для создания так называемого истинного биометрического хеширования. Алгоритм позволяет генерировать стабильный биометрический код при различных условиях окружающей среды и естественного шума датчиков во время биометрического сканирования. Это ограничивает ошибки регистрации. В результате система работает с высокой производительностью и надежностью. 

Энтропия, генерируемая системой, ограничивает риски появления разных людей с некоторыми сходствами и создание одинаковых стабильных кодов.

Таким образом, использование только стабильных битов из биометрического сканирования создает стабильный код, который не требует сохраненный биометрический шаблон для аутентификации. 

Процесс регистрации выглядит так:

• Биометрическое сканирование захватывает изображение;
• Алгоритм извлекает из изображения стабильные и воспроизводимые векторы;
• Генерируется открытый и закрытый код. Закрытый код хешируется;
• Симметричные или асимметричные криптографические ключи выдаются из сгенерированного биометрического хэш-кода;
• В случае асимметричных криптографических ключей — открытый ключ сохраняется, закрытый ключ стирается из системы. Никаких биометрических данных не хранится ни в одном случае.

Верификация осуществляется следующим образом:

• Биометрическое сканирование захватывает изображение;
• Алгоритм извлекает те же стабильные функции, что и при регистрации;
• Публичный код сообщит системе «где находятся функции» для поиска частного кода;
• Создается один и тот же закрытый код, для аутентификации выдаются одни и те же хэш и криптографические ключи.

Блок-схема с симметричными криптографическими ключами

Блок-схема с асимметричными криптографическими ключами

Чтобы преобразование было повторяемым, перед его началом биометрический сигнал должен быть надлежащим образом зарегистрирован. Эта проблема частично решена с помощью ряда методов, описанных в научной литературе.

Как достичь максимума и обеспечить доверие к биометрической идентификации

К сожалению, необходимо принять тот факт, что любые персональные данные, в том числе и биометрические, не могут быть полностью защищены от хищения.

Максимум, что можно сделать — это проектировать системы, которые обесценивают украденные данные.

Ряд биометрических характеристик являются публичными. Например, наше лицо можно сфотографировать, а голос — записать на диктофон. Для обеспечения доверия пользователей к биометрической идентификации необходимо обеспечить надежность и безопасность используемых систем за счет:

• Шифрования данных на биометрических терминалах для защиты от взлома;
• Биометрической идентификации в режиме реального времени с проверкой на живой/неживой;
• Использования мультиспектральных и мультимодальных решений;
• Быстрой адаптации алгоритмов к появлению новых уязвимостей;
• Применения алгоритмов, которые обесценивают украденные биометрические данные.

Чтобы отношение пользователей к системам биометрической идентификации стало доверительным, лучше предлагать  решения, в которых для подтверждения личности надо, например, посмотреть непосредственно в объектив камеры или на определенную метку. Это устранит опасения на счет скрытой слежки и несанкционированного контроля.

   

Источник: rb.ru

Обработка биометрических данных? Будьте осторожны, согласно GDPR

Недавний запуск функции Face ID в iPhone X вызвал бурную дискуссию среди потребителей и основных комментаторов, озабоченных тем, как Apple будет защищать конфиденциальность таких конфиденциальных биометрических данных. Однако даже помимо iPhone X, сбор биометрических данных людей увеличивается, а способы их обработки продолжают совершенствоваться.

Учитывая эти тенденции, неудивительно, что регулирующие органы обратили на это внимание.Общий регламент по защите данных является прекрасным примером этого, представляя более активный подход в отношении конфиденциальности биометрических данных. В отличие от своей предшественницы, Директивы о защите данных, GDPR специально выделяет биометрические данные как «конфиденциальную» категорию личной информации, что гарантирует надежную защиту. GDPR определяет биометрические данные в широком смысле, во многих случаях требует оценки воздействия на конфиденциальность при их обработке и дает государствам-членам право применять различные меры защиты биометрических данных.Таким образом, контролеры данных, которые обрабатывают или могут обрабатывать биометрические данные, должны принять это к сведению.

Определение биометрических данных в соответствии с GDPR

Как упоминалось выше, в отличие от Директивы о защите данных GDPR специально признает биометрические данные как подмножество конфиденциальных личных данных, которые считаются «конфиденциальной категорией личных данных». В частности, GDPR определяет биометрические данные как «персональные данные, полученные в результате специальной технической обработки, относящейся к физическим, физиологическим или поведенческим характеристикам физического лица, которые позволяют или подтверждают уникальную идентификацию этого физического лица, такую ​​как изображения лица или дактилоскопические ( отпечаток пальца) данные. ”

При определении биометрических данных в таких общих терминах GDPR, по-видимому, неявно признает, что биометрические технологии относительно зарождаются и будут продолжать развиваться. Таким образом, это определение хорошо подходит для охвата типов биометрических данных, которые могут возникнуть в результате развития технологий будущего.

В определении признаются две категории информации, которая может считаться биометрическими данными. Первый — это информация, относящаяся к характеристикам тела, т. Е.е., физические или физиологические особенности человека. Эта категория довольно проста и согласуется с тем, что большинство людей считают биометрическими данными, такими как данные о лице, отпечатки пальцев, сканирование радужной оболочки глаза и т. Д.

Вторая категория биометрических данных, поведенческая информация, является более широкой. Логично, что любые поведенческие характеристики, позволяющие однозначно идентифицировать человека, будут считаться биометрическими данными. Однако неясно, насколько узко регулирующие органы будут интерпретировать эту категорию или какие ограничивающие принципы, если таковые имеются, будут определять их анализ.Вероятно, информация, относящаяся к чьим-либо привычкам, действиям или личности, может считаться поведенческой информацией в рамках определения. Это потенциально широкая категория, поскольку она не связана с той телесной информацией, которую обычно считают биометрическими данными. Из-за этой неотъемлемой неопределенности специалисты по конфиденциальности должны внимательно следить за рекомендациями, определяющими типы поведенческой информации, считающейся биометрическими данными. Кроме того, специалисты по конфиденциальности должны заранее выявлять любые поведенческие данные, которые их организации уже обрабатывают.

Биометрические данные как «конфиденциальные» данные

Поскольку GDPR рассматривает биометрические данные как особую категорию конфиденциальных личных данных, их обработка и защита должны осуществляться в рамках, зарезервированных для конфиденциальных личных данных в целом. Хотя GDPR в целом запрещает обработку конфиденциальных персональных данных, он признает определенные основания для оправдания их обработки, в основном явное согласие субъекта данных, выполнение определенных контрактов или обработку для определенных конкретных целей.

Однако простого наличия правовой основы для обработки биометрических данных недостаточно, поскольку GDPR вводит новое требование, согласно которому контроллеры данных должны проводить оценку воздействия на конфиденциальность, если обработка может привести к высокому риску для прав и свобод человека. Субъекты данных. Это особенно актуально, когда обработка предполагает использование новых технологий. Оценка воздействия на конфиденциальность является обязательной в случае автоматизированной обработки, крупномасштабной обработки или когда контроллеры данных систематически контролируют общедоступную область в крупном масштабе.Кроме того, GDPR требует, чтобы контроллеры данных проконсультировались с надзорными органами перед обработкой, когда оценка воздействия на конфиденциальность указывает на то, что обработка может привести к высокому риску для людей, и что Контроллер данных не принимает мер для снижения такого риска. С практической точки зрения, этого требования о консультациях можно избежать, определив соответствующие риски и приняв меры, направленные на их снижение.

Практическое влияние GDPR: оценки воздействия на конфиденциальность и расхождения между государствами-членами

Одним из критических последствий обращения GDPR с биометрическими данными как с конфиденциальными личными данными является то, что контролерам данных необходимо будет проводить оценку воздействия на конфиденциальность для многих форм обработки биометрических данных.Основная причина заключается в том, что многие формы обработки биометрических данных обязательно будут включать использование новых технологий — фактор, который, согласно GDPR, имеет весомое значение в пользу проведения оценки воздействия на конфиденциальность.

Более того, многие формы обработки биометрических данных вызывают обязательное требование GDPR по оценке воздействия на конфиденциальность. Это связано с тем, что можно предвидеть, что обработка биометрических данных будет все чаще осуществляться в больших масштабах, с использованием автоматизированной обработки и в некоторых приложениях систематически контролировать общедоступные области (например, с использованием технологии распознавания лиц для наблюдения за людьми в розничных сетях). В таких случаях, когда оценка воздействия на конфиденциальность необходима для обработки биометрических данных, контролерам данных необходимо будет определить риски, которые обработка представляет для субъектов данных, и принять меры, адаптированные для снижения этих рисков. Такие меры по снижению риска важны, поскольку они позволят контролерам данных избегать предварительных консультаций с надзорными органами.

Еще одно важное влияние обработки биометрических данных GDPR состоит в том, что контролеры данных должны ожидать столкновения с различными подходами государств-членов в отношении обработки биометрических данных.Это связано с тем, что GDPR прямо разрешает государствам-членам устанавливать дополнительные условия и ограничения на обработку биометрических данных. Поскольку вполне вероятно, что по крайней мере некоторые государства-члены решат воспользоваться полномочиями, которые предоставляет им GDPR в этой области, контролеры данных должны проявлять бдительность в мониторинге несовпадающего обращения государств-членов с биометрическими данными.

Развитие биометрических технологий, неотъемлемая неопределенность, связанная с обработкой биометрических данных GDPR, и ожидаемое расхождение подходов государств-членов к биометрическим данным — все это требует внимания и осторожности со стороны контролеров данных.Соответственно, контролеры данных, которые обрабатывают биометрические данные или рассматривают их, должны быть в курсе дальнейших событий в этой быстро меняющейся области.

Биометрия и GDPR | Оставайтесь совместимыми с биометрией

09 окт Биометрия и GDPR: почему вы должны внедрять технологию

Отправлено в 13:15 в общих новостях компании CDVI Marketing

Многие считают биометрическую безопасность «будущим безопасности». Возможность идентифицировать человека на основании его уникальных физических и поведенческих характеристик является потенциальным благом для многих компаний, помогая повысить безопасность и обеспечить отслеживание и управление посещаемостью сотрудников.Аналогичным образом, пароли, как сообщается, составляют более 80% нарушений безопасности на рабочем месте; биометрическая безопасность и аутентификация могут оказаться весьма эффективными в борьбе с мошенничеством и неправомерными действиями.

Однако введение GDPR и озабоченность по поводу конфиденциальных данных GDPR увеличили потребность в ясности при использовании биометрических данных в бизнесе. Наиболее частая проблема связана с обеспокоенностью сотрудников хранением и использованием их личных данных. Таким образом, мы обращаем внимание на некоторые распространенные заблуждения о биометрии и соответствии GDPR, а также на то, почему системы ievo и другие устройства чтения могут помочь развеять эти опасения.

Биометрия и GDPR

Биометрическая аутентификация работает, идентифицируя человека на основе его уникальных характеристик. Например, биометрическая система отпечатков пальцев берет изображение вашего отпечатка пальца и сопоставляет его с сохраненными шаблонами в базе данных, чтобы предоставить соответствующий ответ (принят / отклонен) для человека. Считыватель ievo, например, берет изображение отпечатка пальца, передает информацию на плату управления ievo для записи конкретных характеристик отпечатка пальца и измеряет как поверхностные, так и подземные данные, а затем сохраняет данные в виде шаблона, готового для использования. если пользователю потребуется снова войти в здание и т. д.Важно отметить, что фактическое изображение отпечатка пальца не записывается и не сохраняется, поэтому скопировать изображение отпечатка пальца из шаблона невозможно.

В общих чертах GDPR биометрическая безопасность определяется как «персональные данные, полученные в результате специальной технической обработки, относящейся к физическим, физиологическим или поведенческим характеристикам физического лица, которые позволяют или подтверждают уникальную идентификацию этого физического лица». Поскольку биометрические данные относятся к «особой категории» персональных данных, работодатели должны выполнять одно из следующих условий при развертывании технологии.

• Ваш субъект данных (сотрудники) дали явное согласие на использование биометрической аутентификации;
• Биометрическая безопасность необходима для выполнения обязательств и реализации определенных прав контролера данных или субъекта данных (сотрудников) в области занятости, социального обеспечения и законодательства о социальной защите;
• Обработка биометрии имеет решающее значение для защиты жизненно важных интересов субъекта данных;
• Обработка необходима для работы и защиты от исков;
• Биометрия необходима для общественных интересов.

Хотя законодательство запрещает обработку конфиденциальных персональных данных, оно признает достижения в области биометрической аутентификации. Точно так же есть определенные основания для оправдания его обработки, включая явное согласие сотрудников, выполнение определенных контрактов или для определенных целей внутри компании.

Соответствие

GDPR должно соблюдаться на всех этапах внедрения биометрических систем контроля доступа и безопасности, и мы рекомендуем на раннем этапе обратиться за консультацией к кадрам или юристу.

Биометрические данные и согласие

Согласие было «горячей темой» для конфиденциальных данных GDPR. Согласие — это спорный вопрос, поскольку сотрудники должны иметь возможность свободно пользоваться своими правами и свободами. Например, их право возражать против обработки биометрических данных. Однако использование биометрической аутентификации в вашем бизнесе должно соответствовать одному из вышеперечисленных условий.

Чтобы согласие на биометрическую аутентификацию было законным, вы должны получить разрешение в явной форме, как и в случае с общими маркетинговыми материалами. Точно так же «контролер данных» должен предоставить сотрудникам возможность отозвать свое согласие на использование биометрических данных. Однако важно обратить внимание ваших сотрудников на то, что в случае биометрических сканеров отпечатков пальцев их личная информация не сохраняется на считывателе, и их отпечатки пальцев вряд ли будут воспроизведены.

Одна из основных ценностей выбора биометрии в GDPR заключается в том, что сканеры отпечатков пальцев ievo устраняют многие заблуждения сотрудников относительно биометрических данных.Например, маловероятно, что ваш отпечаток пальца может быть воспроизведен, поскольку считыватель не сохраняет изображение вашего отпечатка пальца. Следовательно, их нельзя использовать для доступа к конфиденциальной информации.

Наши решения ievo также могут поставляться с модулем считывания карт, который, по сути, позволяет биометрическим системам контроля доступа использовать как биометрические данные, так и идентификационные карты. Это может обеспечить большую гибкость для бизнеса, который должен предоставить альтернативу тем сотрудникам, которые возражают против предоставления биометрической аутентификации.Также важно отметить, что система ievo классифицируется как «процессор данных» в соответствии с GDPR. Таким образом, ваша компания потребует проверки GDPR со стороны «контролеров данных», таких как установщики и конечные пользователи.

Биометрия — это решение GDPR?

В эпоху GDPR легко понять многие заблуждения, которые могут возникнуть в отношении биометрической информации. Несколько лет назад ответ на биометрические данные и аутентификацию был в основном «отрицательным».Однако многие отрасли принимают эту технологию из-за простоты обработки, возможностей удаленного управления и, конечно же, повышенной безопасности. Еще одним важным преимуществом биометрии в эпоху GDPR является надежность и удобство, особенно потому, что они предлагают одновременную регистрацию отпечатков пальцев в нескольких местах.

Если вы планируете биометрическую проверку для повышения своей безопасности, убедитесь, что вы открыты для своих сотрудников. Личная информация и изображения отпечатков пальцев не хранятся, и внедрение этой технологии только упростит и обезопасит их работу.Считыватель, такой как считыватель ievo , использует только отсканированное изображение отпечатка пальца для перекрестной ссылки с сохраненными шаблонами на отдельной плате управления ievo (установленной на защищенной стороне точки доступа) для аутентификации личности Пользователь.

Обработка биометрических данных

Биометрические данные предлагают множество преимуществ, включая простую обработку информации, особенно если вы полагаетесь на табели учета рабочего времени в своем бизнесе. Однако перед внедрением биометрии следует учесть следующие полезные моменты:

• Провести оценку воздействия на защиту данных для выявления рисков, связанных с обработкой биометрических данных.
• Инициировать оценку законных интересов.
• Разработать заявления о конфиденциальности, в которых излагаются причины обработки, характер, сбор, текущее использование биометрической информации, хранение, безопасность и передача биометрических данных.
• Определите прозрачные политики хранения и укажите, как долго биометрическая информация будет храниться.
• Принять меры предосторожности для обеспечения конфиденциальности, законности и доступности биометрических систем.

Зачем нужна биометрическая аутентификация?

У компаний есть множество причин использовать биометрическую аутентификацию.Основное преимущество — повышенная безопасность, особенно для предприятий, работающих с конфиденциальной информацией. Риск нарушения безопасности с помощью традиционных ключей-карт и пин-кодов повышается, поскольку вы должны полагаться на способность сотрудника защитить информацию. Однако вы не можете реплицировать отпечаток пальца и, следовательно, вы предоставляете доступ и разрешения правильному человеку.

Точно так же биометрические системы контроля доступа предоставляют большие возможности для отслеживания посещаемости и удаленного управления.

Подробнее о преимуществах биометрической защиты можно прочитать здесь.

В конечном счете, GDPR все еще неизвестен, и возможные последствия еще предстоит определить. Однако действуйте прозрачно, и ваша компания сможет существенно выиграть от внедрения биометрической защиты.

---

Поделиться этой историей:

Может ли обработка биометрических данных быть законной? — Gerrish Legal

После серьезной утечки данных в Великобритании, когда несколько месяцев назад Нидерланды и Швеция предупредили о том, что технология опережает закон, мы спрашиваем: когда обработка биометрических данных оправдана?

Серьезная утечка данных — дело BioStar 2

Исследователи интернет-конфиденциальности в Израиле недавно обнаружили серьезную утечку данных в приложении платформы безопасности BioStar 2.

Платформа безопасности представляет собой биометрическую систему интеллектуального замка , приложение на центральном сервере, которое позволяет администраторам контролировать и контролировать любого, кто получает доступ к защищенным зонам их объектов. Система видеонаблюдения использовала распознавание лиц и отпечатки пальцев или биометрические данные для авторизации доступа пользователей. Пользователи дали согласие на хранение этих данных в системе, и администраторы могли разрешить пользователям переходить в безопасные области, управлять разрешениями пользователей, записывать журналы активности и интегрировать приложение с другими сторонними приложениями безопасности.

BioStar 2 был интегрирован с другой системой контроля доступа под названием AEOS , которая используется 5700 организациями в 83 правительствах, включая правительственные органы и метеорологическую полицию. Однако исследователи обнаружили, что база данных BioStar 2 была незащищенной и незашифрованной. Они могли выполнять поиск по всем данным, доступным в приложении, просто манипулируя URL-адресом.

Нарушение содержало более 27,8 млн записей — данные отпечатков пальцев, данные распознавания лиц, фотографии лиц пользователей, имена пользователей и пароли и другие личные данные.Можно было просматривать данные, загруженные совместными офисами в США и Индонезии, индийскими и шри-ланкийскими сетями спортзалов, финскими предприятиями и британскими медицинскими компаниями. Они могли получить доступ к платформе и наблюдать в режиме реального времени, как любые данные были загружены, изменены или удалены, и даже могли загружать, изменять и удалять свои собственные данные на платформе сами!

Исследователи предупредили, что они могут использовать существующий профиль и изменить биометрические данные в соответствии со своими собственными, чтобы затем они могли легко получить доступ к защищенным объектам.

Информаторы утверждают, что компания в целом отказывалась сотрудничать и не реагировала после того, как была предупреждена о нарушении. Представитель компании признал, что были допущены ошибки, но они верят, что настоящим испытанием будет то, как они справятся со своей ошибкой. Пока мы ждем, будет ли наказание со стороны законодателей и наблюдателей, возникает вопрос: когда законно обрабатывать и хранить биометрические данные?

Что говорится в GDPR?

Биометрические данные — это информация, относящаяся к физическим характеристикам человека, например данные отпечатков пальцев и данные распознавания лиц.

В соответствии с Общим регламентом по защите данных (2016/679) («GDPR») биометрические данные относятся к специальной категории персональных данных, которая требует:

• специальной правовой основы для обработки специальной категории персональных данных. данные; и

• выполнение оценки воздействия на защиту данных, чтобы подтвердить, что обработка абсолютно необходима.

Согласно статье 9 GDPR GDPR прямо запрещается обработка особых категорий персональных данных без особой правовой основы или за исключением случаев, когда применяется исключение.

Биометрические данные можно обрабатывать на основании согласия от субъекта данных, однако с ужесточенными правилами GDPR это может быть непредсказуемо. Статья 9 (2) GDPR предоставляет другие основания, на которые компании могут полагаться при обработке особых категорий данных, включая биометрические данные, но такие основания толкуются очень узко.

Статья 9 (2) (a) — (i) излагает обстоятельства, которые, помимо явного согласия, включают случаи, когда такая обработка необходима по разным причинам, в том числе в сфере занятости и законодательства о социальном обеспечении и социальной защите. , для защиты жизненно важных интересов субъекта данных (или другого физического лица), который физически или юридически неспособен дать согласие, на создание, осуществление или защиту юридических требований, по причинам общественного интереса и по определенным причинам, касающимся использования данные здравоохранения.

Кроме того, он также охватывает случаи, когда обработка выполняется фондом, ассоциацией или любой другой некоммерческой организацией с политической, философской, религиозной или профсоюзной целью (при соблюдении строгих условий) и когда данные явно публикуются. субъектом данных.

Эти основания всегда следует рассматривать вместе с применимым национальным законодательством, например, Закон Великобритании о защите данных 2018 года, который вводит GDPR в законодательство Великобритании, в некоторых случаях предусматривает дополнительные условия.

Голландское руководство

Вскоре после утечки данных в Великобритании суд Амстердама выпустил руководство по биометрическим данным, когда его спросили, законно ли требовать от сотрудников использовать биометрическую проверку в целях безопасности.

Ожидалось, что сотрудники будут использовать свои отпечатки пальцев на кассовом аппарате, чтобы подтвердить свою личность, прежде чем можно будет получить доступ к деньгам. Не было получено согласия на использование таких персональных данных — это было требованием компании.

Голландская версия GDPR позволяет использовать биометрические данные без согласия, если обработка составляет , необходимую для аутентификации или безопасности (UAVG, статья 29), которая реализует статью 9 (2) (g), за исключением GDPR о том, что особые категории персональных данных могут обрабатываться по причинам, необходимым для существенного общественного интереса.

Голландский суд постановил, что работодатель недостаточно задокументировал причины использования биометрических данных или не провел надлежащую оценку воздействия на защиту данных, как того требует статья 35 GDPR. Принимая во внимание, что GDPR в целом запрещает обработку биометрических данных , если соображений общественного интереса не преобладают, Суд счел, что ответственность за документирование того, почему альтернативные меры безопасности не были бы подходящими и почему достаточно биометрических данных, лежит на работодателе.

Решение показывает, насколько важно убедиться, что вы проводите оценку воздействия на защиту данных и учитываете, являются ли хранимые вами персональные данные абсолютно необходимыми для тех целей, которых вы стремитесь достичь.

Точка зрения Швеции

Вскоре после решения Голландии в обсуждение вступила Швеция! Выпустив свой первый штраф в соответствии с GDPR в августе 2019 года, Datainspektionen отказался от распознавания лиц и биометрических данных, предупреждая, что технология, пока находится в зачаточном состоянии, может выйти из-под контроля.

Средняя школа в Скеллефтео опробовала программное обеспечение для распознавания лиц для отслеживания и записи посещаемости детьми уроков. Испытание длилось 3 недели, и лица 22 учеников были отсканированы, а их личные биометрические данные сохранены и обработаны для контроля посещаемости.

У школы сложилось впечатление, что она получила действительное согласие на обработку биометрических данных, что означает, что их система мониторинга является законной. Однако в справке Datainspektionen указано, что уровень власти средней школы над детьми и уровень зависимости детей от средней школы означают, что согласие не может быть получено на законных основаниях.Программное обеспечение для распознавания лиц означало, что дети постоянно находились под наблюдением и не имели никакой конфиденциальности, которая нарушала бы их повседневную жизнь.

Он издал указание, что, поскольку существовали другие способы, которыми школа могла бы контролировать детей, которые не были бы столь навязчивыми, их обработка данных была незаконной. Биометрические данные — это конфиденциальные персональные данные, которые заслуживают дополнительной защиты, и должны быть явные исключения, которые применяются для законной обработки таких данных.

Использование этой ситуации для наложения первого штрафа явилось четким сигналом от шведского наблюдательного органа GDPR. Он сообщил, что технология распознавания лиц быстро развивается и видит большую потребность в разъяснении того, как правила применяются ко всем.

Уроки, которые нужно усвоить

Из недавних обнаруженных нарушений и своевременных указаний регулирующих органов Нидерландов и Швеции можно извлечь ряд уроков. В конечном итоге обработка биометрических данных может быть законной при условии, что у вас есть для этого соответствующие основания.Кроме того, всегда стоит помнить о следующих моментах:

• Во-первых, выполняет оценку воздействия на защиту данных. Всегда будьте уверены, что ваша обработка абсолютно необходима для выполняемой вами деятельности, и что вам не доступны другие методы, которые не включали бы обработку личных данных, конфиденциальных или общих.

• Во-вторых, задокументируйте свои решения. Если вы решите, что ваша обработка является законной и законной, вы должны записать свое решение и другие варианты, которые вы изучили, чтобы доказать, что вы использовали другие способы и считаете, что ваша обработка является законной.

• И, наконец, используйте соответствующие технические меры и меры безопасности. Очень важно, чтобы, если вы все же решите обрабатывать личные данные, эти данные хранились организованными и безопасными с зашифрованными паролями и удалялись, как только они больше не требуются.

Если у вас есть вопросы по поводу обработки данных, которую вы выполняете, или по каким-либо другим юридическим вопросам, по которым вы хотели бы получить совет, не стесняйтесь обращаться по телефону здесь .

Статья Лили Моррисон и Ребекки Уиллоуби, август 2019 г.

От «общих» личных данных к конфиденциальным »

image ,! такой! в качестве! а! отпечаток пальца! изображение. ! ! формат! результат! из! это! фаза! называется! а!

биометрический! Образец.! 50 !!

!

В! а! второй! сцена,! ! Информация! содержится! в! а! образец! ! извлечено ,! уменьшенный,! и!

Преобразованный

! в! этикетки! или же! числа! через! ан! алгоритм.51! Это! фаза! является! называется! особенность!

добыча.! 52 Только! ! ‘The! выдающийся! дискриминационный! Информация! который! является! существенный! за!

признаю! ! человек! будет! быть! хранится.! 53! извлечено! Особенности! хранятся! в! а! биометрический!

шаблон! Под! ! форма! из! а! Математическое представление! ! оригинал! [биометрический]!

характеристика. ’! 54 !!! Эталонный! Шаблон! Будет сохранен! Для сравнения.! 55 !!

В! Третью! сцена,! а! биометрический! образец! (например, как! кончик пальца)! представлен! а! датчик! будет! будет!

сравнивается с! Ранее записанным! Шаблоном (например, с! Шаблоном! Отпечатка пальца).!

В некоторых случаях вместо этого будет проведено сравнение с другим биометрическим образцом!

шаблонов! A!. ! Сравнение! Между! Образцами! Встречается, однако, реже.! 56 !!

!

Благодаря этим различным техническим шагам и изменению биометрических характеристик!

в! биометрический! Информация,! несколько! обработка! операции ,! в качестве! определенный! в! Статья! 4 (2)!

GDPR ,! может! быть! идентифицировано: 57! в! а! первый! фаза! (зачисление) ,! данные! находятся! собрано ;! в течение! !

секунды! фаза! (особенность! извлечения)! данных! находятся! организованный,! структурированный ,! адаптировано! и! хранится ;!

! финал! фаза! из! сравнение! влечет за собой! конкретно! ! поиск ,! консультация,! использовать! и!

разглашение данных.!!

!

г. Биометрические! Форматы! Результат! Из! Технической! Обработки !!

Два! форматы! результат! из! ! технический! обработка:! биометрический! образец! и! !

биометрический! шаблон.! В качестве! уже! описано ,! образец! является! ! изображение! из! а! биометрический!

характеристика ,! в то время как! а! шаблон! является! а! уменьшенный! и! закодировано! форма! из! Информация!

содержится! В! Образце. ! Некоторые! Авторы, а также! А! Как! A29WP, неправильно! Используют! Фразу! ‘Raw!

(биометрический)! данные’! к! обозначить! а! биометрический! образец.! 58! Сырье! (биометрический)! данные! находятся,! за!

пример ,! а! отпечаток пальца! кончик пальца! Ирис,! голос,! так далее.! В! ! отсутствие! из! любой! технический!

обработка! через! который! ! сырой! данные! находятся! полученный,! эти! Осень! за пределами! ! объем! из!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!

50! ISO / IEC! 2382-37! (N! 24),! Срок! 37.03.21,! Определение! Биометрического! Образца! Как:! ‘Аналоговый! Или! Цифровой!

представление! Биометрических! Характеристик до извлечения! Биометрических! Характеристик.’!!

51! Это очень упрощенная презентация форматов. Дополнительные технические подробности см. В документе Kindt (№ 23)! 43-47.

52! ISO / IEC! 2382-37! (N! 24),! Срок! 37.03.21.!

53! Например! Davide! Maltoni,! Dario! Maio,! Anil! Jain,! И! Salil! Prabhakar,! Handbook% of% Fingerprint% Recognition!

(Springer! 2003)! 26. !

54! Эмм! Воллакотт,! «Защита! Когда! Технология! Получит! Скорее! Личное»,! In! Biometrics% и% Identity% Management,! Le!

Raconteur! (30! Апреля! 2015)! 10.!

55! Энциклопедия% биометрии! (№ 26),! «Биометрический! Шаблон»,! 152;! Энциклопедия%% биометрии! (№ 26), Энди!

Adler! И! Stephan! Schuckers,! «Biometric! Vulnerabilities,! Overview»,! 164.!

56! Добрый день! (№ 23).!

57! Art! 4 (2)! GDPR,! The! обработка! из! личные! данные! определяется! как! «Любая! Операция! или! набор! операций! который! является!

выполнено! на! личное! данные! или же! на! наборы! из! личное! данные,! ли! или же! нет! к! автоматизировано! средства,! такой! а!

сбор, запись, организация, структурирование, хранение, адаптация или изменение, поиск, консультация, использование,

раскрытие! к! коробка передач,! распространение! или же! иначе! изготовление! имеется в наличии,! выравнивание! или же! комбинация!

ограничение,! Стирание! Или! Уничтожение. ‘!!

58! См. Критические замечания! Автор! Kindt! In! Kindt! (N! 23) ,! сноска! 100,! P.43! И! Сноска! 39,! P.98. !!!

Сбор биометрических данных требует тщательного изучения …

ИТ-юрист разбирается в последствиях сбора биометрических данных, почему их нельзя анонимизировать и что с этим делают страны.

Безопасность все больше полагается на наши биометрические данные в целях аутентификации и национальной безопасности. Потребители готовы передавать свои снимки лица, отпечатки пальцев и другие неизменяемые данные, не понимая потенциальных последствий или законодательства о конфиденциальности.

Конфиденциальность оказалась в центре внимания в последние годы. Возьмем, к примеру, FaceApp, приложение со спецэффектами для фотографий, которое прошлым летом попало в заголовки газет, когда его обвиняли в загрузке изображений пользователей в облако и их передаче в Россию. Хотя доказательства не подтверждали это утверждение, многим людям было достаточно обеспокоиться тем, как организации используют их личные данные.

«Одна из замечательных особенностей технологий — это не только удобство, но и то, что мы действительно начали уделять внимание вопросам конфиденциальности, и конфиденциальность выходит на первый план», — сказала Мелисса Уингард, специальный советник юридической фирмы Phillips Ormonde. Фитцпатрик в виртуальном выступлении Black Hat Asia.

Современное общество переходит на бесконтактные технологии и бесконтактные пути до пандемии коронавируса. Теперь COVID-19 увеличил потребность ориентироваться в повседневной жизни с меньшим количеством контактов. Она отметила, что мы ищем новые способы получить доступ к нашим офисам, не дотрагиваясь до лифтов, и оплачивать покупки без использования кредитных карт.

Вингард, специализирующийся на информационных технологиях, кибербезопасности и конфиденциальности, объяснил, как биометрические данные распадаются на две группы. Есть физиологические данные, которые состоят из биологических и морфологических (внешних или связанных с внешним видом) данных; есть также данные о поведении, которые считаются биометрическими данными. Есть несколько повторяемых характеристик, которые можно использовать для идентификации человека: ДНК, запах, форма вашего уха — «очевидно, это уникально для нас» — походка и динамика нажатия клавиш.

«Я думаю, нам нужно думать не только об отпечатках пальцев [и] распознавании лиц, хотя они, очевидно, являются ключевыми, — сказала она. Поскольку и государственный, и частный секторы внедряют биометрическую аутентификацию, закон должен не отставать, и люди должны балансировать обмен своими данными. Правительство использует технологии, опережая законодательство по защите информации физических лиц.

Биометрия с целью аутентификации требует тщательной проверки. Вы можете изменить свой пароль, если он раскрыт, но что произойдет, если вы используете свое лицо или отпечаток пальца, чтобы доказать, кто вы?

Наши биометрические данные «идентифицируемы по своей природе», — сказал Вингард, и хотя есть некоторые законы о конфиденциальности, которые требуют, чтобы биометрические данные считались конфиденциальными, не все законы находятся на этой стадии. Она также поставила под сомнение способность правительства и бизнеса полностью анонимизировать биометрические данные.

Люди полагаются на законодательство, которое дает им права и рамки для работы. Без законов, защищающих конфиденциальность наших данных, нам остается принимать личные юридические меры, если мы чувствуем, что наши данные используются не по назначению; Она отметила, что у большинства людей нет времени, денег или часто желания пройти этот процесс.

Это глобальная проблема, потому что в каждой стране законы о конфиденциальности действуют по-разному, и в каждой есть свои проблемы и пробелы. Например, многие законы о конфиденциальности в значительной степени полагаются на анонимность.После того как личная информация анонимна, предприятия могут обрабатывать эти данные по своему усмотрению.

Законы о конфиденциальности в Азиатско-Тихоокеанском регионе
Выступая перед виртуальной аудиторией участников Black Hat Asia, Вингард представила общий обзор законов о конфиденциальности различных стран в регионе. Общий регламент ЕС по защите данных (GDPR) получил много прессы; однако это далеко не единственный.

Она начала с Сингапура, в котором есть несколько законодательных актов.Закон о защите личных данных (2012 г.) регулирует порядок сбора, использования, хранения и раскрытия личных данных организациями. Он накладывает ограничения, чтобы знать, что требуется для согласия, и как долго они могут хранить данные после того, как это необходимо. PDPA признает, что биометрические данные являются личными данными, и требует распознавания лиц и ДНК. Люди могут потребовать от организации изменить их данные, но не удалить их. «Право на забвение», как оно описано в GDPR, часто является тем, что люди ищут, — отметила она.

В Сингапуре разные правила для государственного и частного секторов. Закон о государственном секторе (управлении) от 2018 года обязывает государственные учреждения выполнять указания премьер-министра о защите данных. Премьер-министр устанавливает правила; это дело государственных органов, чтобы реализовать их. Если выясняется, что государственное учреждение нарушило свои обязательства по защите личных и биометрических данных, проблемы возникают не у него, а у должностного лица, которое несет личную ответственность за нарушение конфиденциальности.

Не зная, как это применимо на практике, Вингард отметил, что это может повлиять на то, что чиновники будут более тщательно управлять информацией, чем если бы не было никакой личной ответственности.

шагов, которые вы можете предпринять
Вместо того, чтобы полагаться на организации для защиты наших данных или на правительства, регулирующие их использование, Wingard призвал слушателей внимательно подумать о том, как они передают биометрические данные. Подумайте, кто это собирает. Для чего они это будут использовать? Для чего могли использовать ?

Она посоветовала читать политику конфиденциальности следующим образом: «Вам даже не нужно читать ее полностью; просто прочтите раздел, в котором говорится о том, что« мы собираем вашу информацию для любых целей. «Это покажет, как организация будет использовать данные и кому она будет раскрывать эту информацию; в зависимости от характера информации может быть указано, что она не будет раскрыта никому за пределами организации.

Это может помочь вам решить, удобно ли вам делиться информацией с конкретным лицом, и решить, стоят ли услуги, которые вы получаете взамен, стоит, объяснила она.

Wingard также предложил внимательно изучить подход государственных чиновников к конфиденциальности.Что делают ваши избранные представители? Есть ли у них мысли о конфиденциальности? Совпадают ли их взгляды с вашими? По ее словам, хотя в демократическом процессе нет немедленного удовлетворения, официальные лица, поддерживающие права на неприкосновенность частной жизни, могут в конечном итоге сместить баланс в сторону пользователей.

«Нам необходимо уравновесить это несоответствие между правами отдельных лиц и властью организаций, и людьми, которые могут это сделать; люди, которые могут изменить баланс, — это наше правительство», — сказал Вингард.

Келли Шеридан — штатный редактор Dark Reading, специализирующаяся на новостях и анализе кибербезопасности. Она является журналистом, специализирующимся на бизнес-технологиях, ранее писала в журналах InformationWeek, где она освещала Microsoft, и страхование и технологии, где она освещала финансовые вопросы. Полная биография

Рекомендуемая литература:

Дополнительная информация

Управление биометрическими данными: Требования

GDPR

Опубликовано 16 октября 2018 г.

GDPR стремится сбалансировать возможности биометрических данных с ответственностью организаций за тщательный сбор и защиту данных.

Все больше организаций накапливают биометрические данные с помощью сканирования отпечатков пальцев и сетчатки глаза, распознавания лиц и даже аутентификации слухового прохода. Биометрическая аутентификация может стать наиболее точным методом идентификации. Но эти данные, как и любой другой тип данных, не защищены от проблем безопасности. На самом деле ставки для биометрии выше, потому что данные очень личные. В конце концов, вы можете отменить и заменить кредитную или дебетовую карту, если ваша учетная запись взломана, но вы не сможете точно заменить свое лицо, если полагаетесь на распознавание лиц.

Хотя действующего закона о биометрических данных нет, Общий регламент по защите данных (GDPR) подробно описывает биометрию. Согласно GDPR, биометрических данных определяются как «персональные данные, полученные в результате специальной технической обработки, относящейся к физическим, физиологическим или поведенческим характеристикам физического лица, которые позволяют или подтверждают уникальную идентификацию этого физического лица». Биометрия — это одна из «особых категорий личных данных», которая может использоваться только в том случае, если субъект данных дал четкое согласие.

GDPR стремится сбалансировать расширенные возможности биометрии с ответственностью организаций за тщательный сбор и защиту данных.

Биометрия имеет ряд преимуществ перед другими методами аутентификации. Чувствительность данных делает его более надежным. При реализации в составе многоуровневой системы аутентификации биометрия резко снижает возможность взлома хакерами учетных записей авторизованных пользователей.

Некоторые организации используют биометрические данные для прогрессивных инновационных исследований и анализа данных.GDPR не запрещает подобную практику, но организации должны предоставлять предупреждения безопасности. Для обработки персональных данных должны быть законные основания. Организации несут ответственность за использование передовых методов для безопасного хранения и поддержания этих конфиденциальных данных.

Безопасность всегда должна быть приоритетом номер один. Биометрия стимулировала захватывающие технологические инновации, но если биометрические данные более чувствительны, чем данные, к которым вы можете получить доступ, возможно, будет оптимальным использовать менее требовательный метод аутентификации.

GDPR требует, чтобы обработчики данных использовали надлежащие технические и организационные процедуры, такие как одностороннее кодирование, для обеспечения безопасности данных. Одностороннее кодирование предотвращает обратную разработку и реконструкцию биометрических шаблонов. Эти процедуры могут быть сложными, но, четко объяснив свои меры по обеспечению безопасности данных организациям, вы можете вселить уверенность и помочь им понять, почему сбор этих данных необходим и безопасен.

Вопросы конфиденциальности и защиты данных биометрических приложений

В этой книге обсуждаются все важные аспекты конфиденциальности и защиты данных биометрических систем с правовой точки зрения.Он содержит систематический и полный анализ многих проблем, возникающих в связи с этими системами, на основе примеров из разных стран мира и предлагает несколько рекомендаций для транснациональной нормативной базы. Соответствующая правовая база в большинстве стран еще не создана.

Биометрические системы используют изображения лиц, отпечатки пальцев, радужную оболочку глаза и / или голос в автоматическом режиме для идентификации или проверки заявлений (личности) людей. Трактат, основанный на междисциплинарном подходе, начинается с объяснения функционирования биометрических систем в общих чертах для неспециалистов.Далее приводится описание юридической природы биометрических данных и проводится сравнение с ДНК и биологическим материалом и их регулирование. После описания рисков в работе далее рассматриваются мнения органов по защите данных в отношении биометрических систем, а также текущего и будущего законодательства (ЕС). Проведен подробный сравнительный правовой анализ ситуации в Бельгии, Франции и Нидерландах.

В заключение автор дает оценку принципа соразмерности и применения закона о защите данных к операциям обработки биометрических данных, в основном в частном секторе.Призывая к дополнительным гарантиям в законодательстве, автор вносит несколько предложений по нормативно-правовой базе, направленной на снижение рисков биометрических систем. Они включают ограничения на сбор и хранение биометрических данных, а также технические меры, которые могут повлиять на пропорциональность обработки.

Текст сопровождается несколькими рисунками и таблицами, в которых кратко излагаются отдельные моменты обсуждения. В книге также используется биометрический словарь 2012 года, принятый ISO, и содержится обширная библиография и литературные источники.

Являются ли биометрические данные персональными данными являются ли биометрические данные конфиденциальными? Персональные данные Биометрические характеристики Биометрические системы Биометрические данные уязвимы: следы, подделка и кража Биометрические данные Разрешение на идентификацию лиц Обработка биометрических данных Биометрические данные и концепция персональных данных Биометрические данные и основное право на данные Защита биометрических данных и мнение 4/2007 Биометрические данные, защита данных и конфиденциальность Биометрические данные, защита данных и право на конфиденциальность Биометрические данные: этические и социальные вопросы Сравнение ДНК с биометрическими данными Шаблоны ДНК и профили ДНК Функционирование защиты данных биометрической системы Генетическая информация и анализ ДНК Правовой анализ Правовая основа для обработки биометрических данных Принцип соразмерности Защита изображениям лиц Регулирование использования генетических данных Регулирование обработки ДНК, связанной с использованием биометрической системы Чувствительные личные данные Чувствительные личные данные и биометрические данныеПраво на конфиденциальность Риски, связанные с использованием биометрических данных Использование биометрических технологий

.