Вправе ли банки передавать биометрию государству без согласия клиентов
Что случилось
С 1 января россияне получили возможность полностью контролировать свои биометрические профили, которые размещены в Единой биометрической системе (ЕБС) — государственной информационной системе (ГИС), оператором которой является «Центр биометрических технологий», а учредителями — Банк России, Минцифры и «Ростелеком». Теперь в личном кабинете на «Госуслугах» пользователь может проверить, есть ли у него «биометрический профиль» в ЕБС, узнать, какие согласия на обработку биометрических данных он ранее давал частным организациям, и управлять доступом к своей биометрии в режиме онлайн. Например, запретить отдельным компаниям получать слепок своего лица или голоса или вовсе удалить их из государственной системы.
Ранее биометрические данные россиян, которые собирали частные компании в целях идентификации клиентов и последующего предоставления им услуг, хранились исключительно в их системах. К 30 сентября 2023 года законодатели обязали всех операторов биометрических данных передать собранную биометрию в единое государственное хранилище — ЕБС, либо удалить ее, если клиент написал отказ от передачи. Доступ к информации о собранной биометрии через «Госуслуги» — новый этап реформы управления биометрией в России. До сих пор отказаться от передачи слепка лица и голоса россияне могли либо через МФЦ, либо у самого оператора, если он предоставлял такую возможность.
Информация, которая в январе отобразилась в «Госуслугах», для некоторых россиян стала неожиданной. Так, Telegram-канал «Осторожно, новости» написал о многочисленных жалобах клиентов «Тинькофф» на не санкционированную ими передачу биометрии в ЕБС. Клиенты утверждали, что банк собрал их согласия в мобильном приложении или в банкомате. Причем подтверждением согласия был клик на соответствующий баннер или ввод пин-кода в банкомате. Клиенты «Тинькофф» жаловались, что были введены в заблуждение, так как факт передачи согласия таким способом не был четко и однозначно сформулирован банком и фактически «вшит» в стандартный клиентский путь.
Например, клиент Алексей в отзыве на VC.ru рассказывает о своем опыте: «Я являюсь противником незаконного сбора биометрии любого гражданина (а разве может быть иначе?), поэтому поспешил обратиться в поддержку «Тинькофф», чтобы уточнить, не оказался ли и я в такой ситуации. Каково же было мое удивление, когда в поддержке мне ответили, что мои биометрические данные действительно были собраны банком, и я якобы дал на это согласие 25 декабря 2023 года». В сообщении он приводит скриншот переписки с сотрудником банка, откуда узнал, что во время той сессии в окне банкомата появился баннер, информирующий, что ввод пин-кода является подтверждением согласия на передачу биометрии. Клиент утверждает, что был введен в заблуждение, так как ему необходимо было ввести пин-код, чтобы снять деньги с карты.
В блоге на Habr.com пользователь denis-19 делится впечатлениями о том, как реализован сбор согласий в мобильном приложении «Тинькофф». «В ноябре Тинькофф Банк начал собирать согласие на обработку биометрии клиентов при вводе пин-кода в новом мобильном приложении для Android или через активацию клиентской сессии в процессе использования фирменного банкомата. Возможность отказа от этой услуги есть, но она скрыта от клиента, так как кнопка «Отказаться» выглядит неактивной», — сообщил он, приложив скриншоты своей переписки со службой поддержки клиентов банка.
««Тинькофф» обеспечивал передачу биометрических персональных данных в ЕБС только при условии обязательного уведомления клиента о данной процедуре за один месяц до их размещения в соответствии с требованиями закона № 572-ФЗ. Также в рамках закона до передачи данных в ЕБС клиентам предоставлялась возможность отзыва согласия на осуществление указанных действий через широкий набор коммуникационных каналов с банком, включая мобильное приложение и колл-центр. Одновременно, в случае, если данные уже были размещены в ЕБС, то клиенты в любое время имеют возможность их самостоятельного удаления в соответствующем разделе личного кабинета на портале «Госуслуг»», — сообщил представитель банка в ответ на запрос Forbes.
В ответах клиентам на специализированных порталах и сайтах, где были размещены отзывы, банк указывает, что закон не запрещает ему вести электронное оформление согласий — через простую электронную подпись. «Простая электронная подпись — это аналог собственноручной подписи. Поэтому нам не нужно ваше дополнительное письменное согласие от руки. Согласие на подписание таким способом вы дали при первичном подписании договора. В пунктах 2.16.1 — 2.16.7 условий обслуживания описали, как и в каких случаях эта подпись применима… Законодательство не запрещает заключать договоры подобным образом», — пишет сотрудник. В обоих упомянутых случаях «Тинькофф» в итоге проинформировал клиентов об отзыве их согласия.
На форумах и сайтах появляются отзывы и на передачу биометрии в ЕБС другими банками. Например, один из пользователей на форуме Banki.ru пожаловался на Сбербанк. Менеджер банка сообщил клиенту, что согласие было оформлено в приложении еще в 2020 году и предложил отозвать его через приложение.
Почему спорные ситуации стали возможными
Дело в том, что российское законодательство, хотя и запрещает передачу биометрии без согласия клиентов, имеет ряд лазеек, которыми банки могут воспользоваться, объясняют опрошенные Forbes юристы. По закону 572-ФЗ «Об осуществлении идентификации и аутентификации физлиц с помощью биометрии» предоставление физическими лицами своих биометрических персональных данных — это право граждан, а не их обязанность, говорит юрист Comply Элина Муханова. Этот же закон обязывает банки передать уже собранную биометрию из своих внутренних систем в ЕБС, предварительно уведомив клиента, либо удалить собранные слепки в случае получения отказа. При этом из части 14 статьи 4 того же закона следует, что если банки законным способом уже собрали биометрию с граждан, то они вправе передать ее «без получения ими согласия соответствующего субъекта персональных данных на это размещение, а также на их обработку оператором единой биометрической системы». Однако в следующей части 15 той же статьи законодатели прописали необходимость уведомления клиента за 30 дней до отправки.
«Таким образом, банк может передать биометрические данные, которые у него уже есть, уведомив клиента. Однако, при первоначальном сборе биометрических данных, банк должен получить письменное согласие на обработку биометрии», — заключает юрист Digital & Analogue Partners Анна Ботвинкина.
Еще одно спорное место можно найти в законе «О персональных данных» № 152-ФЗ — оно касается согласия на обработку персональных данных (к ним относится и биометрия. — Forbes). Согласие должно быть «конкретным, предметным, информированным, сознательным и однозначным», говорится в законе. Вместе с тем тот же закон гласит, что «согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом». «Следовательно, клика в приложении, смс-сообщения может быть достаточно для уведомления», — объясняет Анна Ботвинкина логику банков.
«Не все так однозначно, как хотят это представить банки. 152-ФЗ действительно предоставляет гражданину право давать согласие в любой форме, но при этом в ряде случаев согласие должно быть исключительно в письменной форме», — говорит соучредитель юридической компании a.t.Legal Николай Титов. В частности, согласно статье 11 закона «О персональных данных», биометрические персональные данные могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных. По его мнению, избранная некоторыми банками форма получения согласия не является конкретной предметной, однозначной. «Эту ситуацию можно сравнить с установкой одного известного браузера, который в нагрузку устанавливает вам целый набор не нужных вам приложений. При этом согласие берется путем проставления галочки в соответствующем поле, однако она стоит там по умолчанию, и одновременно подтверждает ознакомление гражданина с целым рядом обязательств. Так и здесь, не заметив проставленной галочки или введя ПИН-код вы, как оказывается, согласились с передачей биометрических данных. Честно говоря, я сам только что оказался в подобной ситуации, обнаружив запись на «Госуслугах» о собранных биометрических данных», — признает юрист.
Регулятор и оператор ЕБС настаивают, что передача биометрии должна проходить строго после полученного согласия от клиента, но не описывают, какой должна быть его форма. «Поскольку регистрация в ЕБС и хранение в ней биометрических данных осуществляется исключительно на добровольной основе, клиенты вправе отказаться от нее в момент уведомления со стороны своего банка. Удалить свои данные из ЕБС можно в личном кабинете на портале «Госуслуги» или письменно уведомив оператора ЕБС», — говорится в ответе пресс-службы ЦБ на запрос Forbes. Регулятор предложил россиянам обращаться в интернет-приемную Банка России, если клиент хочет заявить о нарушении банком своих прав.
В «Центре биометрических технологий» подтвердили Forbes, что импорт данных возможен только с согласия клиента, а «любой сбор биометрии без согласия гражданина и принуждение к сдаче запрещены».
Что делать тем, кто не хочет хранить биометрию в ЕБС
Те, кто изначально не хочет сдавать банку и впоследствии передавать в ЕБС свою биометрию, могут оформить отказ от сбора и размещения, говорит Элина Муханова. «Для этого нужно прийти в МФЦ и написать заявление. Из МФЦ такое заявление поступит оператору ЕБС, после чего регистрация биометрии этому гражданину будет недоступна. Если впоследствии физическое лицо передумало, то отозвать отказ также можно в МФЦ», — напоминает она.
По ее словам, те россияне, чья биометрия уже подана в ЕБС, имеют право потребовать ее блокировки и уничтожения. Реализовать его можно через личный кабинет на «Госуслугах» в разделе «Биометрия» или «Согласия», или путем направления отзыва согласия оператору ЕБС — «Центру Биометрических Технологий». Чтобы удостовериться в факте уничтожения данных, можно отправить запрос в ЕБС. «Рекомендуем направить его через месяц после отзыва согласия. Физическое лицо вправе получить информацию о том, какие его персональные данные обрабатываются оператором. Таким образом, если ранее физическое лицо требовало уничтожения биометрии, в ответе оператора ЕБС таких данных быть не должно», — говорит Муханова.
Также все собеседники Forbes посоветовали клиентам внимательно относиться к любым сообщения банка во всех используемых устройствах.
По фактам нарушений клиентам, чьи данные банк передал без их согласия в ЕБС, следует направить жалобу в Роскомнадзор и обратиться в суд, советует Анна Ботвинкина. «В России отсутствуют примеры судебной практики о признании незаконными действий банков по обработке биометрических персональных данных без согласия гражданина. Если спор подобного рода дойдет до суда, то при отсутствии письменного согласия лица, шансы на успех в деле будут хорошими», — предполагает она.
Россияне массово стали получать уведомления о передаче биометрии от банков в конце лета — начале осени 2023 года. В них банки просили дать согласие на обработку биометрии в ЕБС, либо оформить отказ, обратившись в один из дистанционных каналов банка, отправив его через «Почту России» либо через МФЦ. Многие россияне оказались не готовы передавать слепки своего лица и голоса государству. Поэтому осенью МФЦ зафиксировали повышенный спрос на услугу оформления отказа в передаче биометрии, а СМИ написали об очередях, выстроившихся в МФЦ.
Летом 2023 года Всероссийский центр изучения общественного мнения (ВЦИОМ) провел опрос об отношении россиян к биометрии и выяснил, что 32% граждан относятся к нему негативно. В качестве причин для отказа они называли опасения излишнего контроля государства над частной жизнью, риски утечек и мошенничества.