Вправе ли банки передавать биометрию государству без согласия клиентов
Банки, которые собирают биометрические данные россиян, обязаны передать их в ГИС "Единая биометрическая система" (ЕБС). Власти и кредитные организации уверяют: информация в ней будет храниться в зашифрованном виде, а коммерческие структуры смогут получать доступ к ней лишь в виде кодов.
Однако не все россияне оказались готовы доверить государству на хранение слепок своего лица и голоса. В таком случае российское законодательство позволяет им отказаться как от первоначальной сдачи биометрии, так и запретить банку, уже сделавшему цифровой слепок лица и голоса клиента при его идентификации, передавать ее государству. Однако в российских законах прописаны и положения, которые позволяют банкам не получать согласие клиентов на отправку данных или превратить это в формальность, и банки этими лазейками пользуются, указывают опрошенные Forbes юристы
Что случилось
С 1 января россияне получили возможность полностью контролировать свои биометрические профили, которые размещены в Единой биометрической системе (ЕБС) — государственной информационной системе (ГИС), оператором которой является "Центр биометрических технологий", а учредителями — Банк России, Минцифры и "Ростелеком". Теперь в личном кабинете на "Госуслугах" пользователь может проверить, есть ли у него "биометрический профиль" в ЕБС, узнать, какие согласия на обработку биометрических данных он ранее давал частным организациям, и управлять доступом к своей биометрии в режиме онлайн. Например, запретить отдельным компаниям получать слепок своего лица или голоса или вовсе удалить их из государственной системы.
Ранее биометрические данные россиян, которые собирали частные компании в целях идентификации клиентов и последующего предоставления им услуг, хранились исключительно в их системах. К 30 сентября 2023 года законодатели обязали всех операторов биометрических данных передать собранную биометрию в единое государственное хранилище — ЕБС, либо удалить ее, если клиент написал отказ от передачи. Доступ к информации о собранной биометрии через "Госуслуги" — новый этап реформы управления биометрией в России. До сих пор отказаться от передачи слепка лица и голоса россияне могли либо через МФЦ, либо у самого оператора, если он предоставлял такую возможность.
Информация, которая в январе отобразилась в "Госуслугах", для некоторых россиян стала неожиданной. Так, Telegram-канал "Осторожно, новости" написал о многочисленных жалобах клиентов "Тинькофф" на не санкционированную ими передачу биометрии в ЕБС. Клиенты утверждали, что банк собрал их согласия в мобильном приложении или в банкомате. Причем подтверждением согласия был клик на соответствующий баннер или ввод пин-кода в банкомате. Клиенты "Тинькофф" жаловались, что были введены в заблуждение, так как факт передачи согласия таким способом не был четко и однозначно сформулирован банком и фактически "вшит" в стандартный клиентский путь.
Например, клиент Алексей в отзыве на VC.ru рассказывает о своем опыте: "Я являюсь противником незаконного сбора биометрии любого гражданина (а разве может быть иначе?), поэтому поспешил обратиться в поддержку "Тинькофф", чтобы уточнить, не оказался ли и я в такой ситуации. Каково же было мое удивление, когда в поддержке мне ответили, что мои биометрические данные действительно были собраны банком, и я якобы дал на это согласие 25 декабря 2023 года". В сообщении он приводит скриншот переписки с сотрудником банка, откуда узнал, что во время той сессии в окне банкомата появился баннер, информирующий, что ввод пин-кода является подтверждением согласия на передачу биометрии. Клиент утверждает, что был введен в заблуждение, так как ему необходимо было ввести пин-код, чтобы снять деньги с карты.
В блоге на Habr.com пользователь denis-19 делится впечатлениями о том, как реализован сбор согласий в мобильном приложении "Тинькофф". "В ноябре Тинькофф Банк начал собирать согласие на обработку биометрии клиентов при вводе пин-кода в новом мобильном приложении для Android или через активацию клиентской сессии в процессе использования фирменного банкомата. Возможность отказа от этой услуги есть, но она скрыта от клиента, так как кнопка "Отказаться" выглядит неактивной", — сообщил он, приложив скриншоты своей переписки со службой поддержки клиентов банка.
""Тинькофф" обеспечивал передачу биометрических персональных данных в ЕБС только при условии обязательного уведомления клиента о данной процедуре за один месяц до их размещения в соответствии с требованиями закона № 572-ФЗ. Также в рамках закона до передачи данных в ЕБС клиентам предоставлялась возможность отзыва согласия на осуществление указанных действий через широкий набор коммуникационных каналов с банком, включая мобильное приложение и колл-центр. Одновременно, в случае, если данные уже были размещены в ЕБС, то клиенты в любое время имеют возможность их самостоятельного удаления в соответствующем разделе личного кабинета на портале "Госуслуг"", — сообщил представитель банка в ответ на запрос Forbes.
В ответах клиентам на специализированных порталах и сайтах, где были размещены отзывы, банк указывает, что закон не запрещает ему вести электронное оформление согласий — через простую электронную подпись. "Простая электронная подпись — это аналог собственноручной подписи. Поэтому нам не нужно ваше дополнительное письменное согласие от руки. Согласие на подписание таким способом вы дали при первичном подписании договора. В пунктах 2.16.1 — 2.16.7 условий обслуживания описали, как и в каких случаях эта подпись применима... Законодательство не запрещает заключать договоры подобным образом", — пишет сотрудник. В обоих упомянутых случаях "Тинькофф" в итоге проинформировал клиентов об отзыве их согласия.
На форумах и сайтах появляются отзывы и на передачу биометрии в ЕБС другими банками. Например, один из пользователей на форуме Banki.ru пожаловался на Сбербанк. Менеджер банка сообщил клиенту, что согласие было оформлено в приложении еще в 2020 году и предложил отозвать его через приложение.
Почему спорные ситуации стали возможными
Дело в том, что российское законодательство, хотя и запрещает передачу биометрии без согласия клиентов, имеет ряд лазеек, которыми банки могут воспользоваться, объясняют опрошенные Forbes юристы. По закону 572-ФЗ "Об осуществлении идентификации и аутентификации физлиц с помощью биометрии" предоставление физическими лицами своих биометрических персональных данных — это право граждан, а не их обязанность, говорит юрист Comply Элина Муханова. Этот же закон обязывает банки передать уже собранную биометрию из своих внутренних систем в ЕБС, предварительно уведомив клиента, либо удалить собранные слепки в случае получения отказа. При этом из части 14 статьи 4 того же закона следует, что если банки законным способом уже собрали биометрию с граждан, то они вправе передать ее "без получения ими согласия соответствующего субъекта персональных данных на это размещение, а также на их обработку оператором единой биометрической системы". Однако в следующей части 15 той же статьи законодатели прописали необходимость уведомления клиента за 30 дней до отправки.
"Таким образом, банк может передать биометрические данные, которые у него уже есть, уведомив клиента. Однако, при первоначальном сборе биометрических данных, банк должен получить письменное согласие на обработку биометрии", — заключает юрист Digital & Analogue Partners Анна Ботвинкина.
Еще одно спорное место можно найти в законе "О персональных данных" № 152-ФЗ — оно касается согласия на обработку персональных данных (к ним относится и биометрия. — Forbes). Согласие должно быть "конкретным, предметным, информированным, сознательным и однозначным", говорится в законе. Вместе с тем тот же закон гласит, что "согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом". "Следовательно, клика в приложении, смс-сообщения может быть достаточно для уведомления", — объясняет Анна Ботвинкина логику банков.
"Не все так однозначно, как хотят это представить банки. 152-ФЗ действительно предоставляет гражданину право давать согласие в любой форме, но при этом в ряде случаев согласие должно быть исключительно в письменной форме", — говорит соучредитель юридической компании a.t.Legal Николай Титов. В частности, согласно статье 11 закона "О персональных данных", биометрические персональные данные могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных. По его мнению, избранная некоторыми банками форма получения согласия не является конкретной предметной, однозначной. "Эту ситуацию можно сравнить с установкой одного известного браузера, который в нагрузку устанавливает вам целый набор не нужных вам приложений. При этом согласие берется путем проставления галочки в соответствующем поле, однако она стоит там по умолчанию, и одновременно подтверждает ознакомление гражданина с целым рядом обязательств. Так и здесь, не заметив проставленной галочки или введя ПИН-код вы, как оказывается, согласились с передачей биометрических данных. Честно говоря, я сам только что оказался в подобной ситуации, обнаружив запись на "Госуслугах" о собранных биометрических данных", — признает юрист.
Регулятор и оператор ЕБС настаивают, что передача биометрии должна проходить строго после полученного согласия от клиента, но не описывают, какой должна быть его форма. "Поскольку регистрация в ЕБС и хранение в ней биометрических данных осуществляется исключительно на добровольной основе, клиенты вправе отказаться от нее в момент уведомления со стороны своего банка. Удалить свои данные из ЕБС можно в личном кабинете на портале "Госуслуги" или письменно уведомив оператора ЕБС", — говорится в ответе пресс-службы ЦБ на запрос Forbes. Регулятор предложил россиянам обращаться в интернет-приемную Банка России, если клиент хочет заявить о нарушении банком своих прав.
В "Центре биометрических технологий" подтвердили Forbes, что импорт данных возможен только с согласия клиента, а "любой сбор биометрии без согласия гражданина и принуждение к сдаче запрещены".
Что делать тем, кто не хочет хранить биометрию в ЕБС
Те, кто изначально не хочет сдавать банку и впоследствии передавать в ЕБС свою биометрию, могут оформить отказ от сбора и размещения, говорит Элина Муханова. "Для этого нужно прийти в МФЦ и написать заявление. Из МФЦ такое заявление поступит оператору ЕБС, после чего регистрация биометрии этому гражданину будет недоступна. Если впоследствии физическое лицо передумало, то отозвать отказ также можно в МФЦ", — напоминает она.
По ее словам, те россияне, чья биометрия уже подана в ЕБС, имеют право потребовать ее блокировки и уничтожения. Реализовать его можно через личный кабинет на "Госуслугах" в разделе "Биометрия" или "Согласия", или путем направления отзыва согласия оператору ЕБС — "Центру Биометрических Технологий". Чтобы удостовериться в факте уничтожения данных, можно отправить запрос в ЕБС. "Рекомендуем направить его через месяц после отзыва согласия. Физическое лицо вправе получить информацию о том, какие его персональные данные обрабатываются оператором. Таким образом, если ранее физическое лицо требовало уничтожения биометрии, в ответе оператора ЕБС таких данных быть не должно", — говорит Муханова.
Также все собеседники Forbes посоветовали клиентам внимательно относиться к любым сообщения банка во всех используемых устройствах.
По фактам нарушений клиентам, чьи данные банк передал без их согласия в ЕБС, следует направить жалобу в Роскомнадзор и обратиться в суд, советует Анна Ботвинкина. "В России отсутствуют примеры судебной практики о признании незаконными действий банков по обработке биометрических персональных данных без согласия гражданина. Если спор подобного рода дойдет до суда, то при отсутствии письменного согласия лица, шансы на успех в деле будут хорошими", — предполагает она.
Россияне массово стали получать уведомления о передаче биометрии от банков в конце лета — начале осени 2023 года. В них банки просили дать согласие на обработку биометрии в ЕБС, либо оформить отказ, обратившись в один из дистанционных каналов банка, отправив его через "Почту России" либо через МФЦ. Многие россияне оказались не готовы передавать слепки своего лица и голоса государству. Поэтому осенью МФЦ зафиксировали повышенный спрос на услугу оформления отказа в передаче биометрии, а СМИ написали об очередях, выстроившихся в МФЦ.
Летом 2023 года Всероссийский центр изучения общественного мнения (ВЦИОМ) провел опрос об отношении россиян к биометрии и выяснил, что 32% граждан относятся к нему негативно. В качестве причин для отказа они называли опасения излишнего контроля государства над частной жизнью, риски утечек и мошенничества.