Зачем банк «Тинькофф» собирает биометрию без разрешения? Вы уже сдали голос и лицо

Привет.

Тема биометрии пугает людей, им кажется, что можно украсть голос или лицо, а затем сделать с ними что-то плохое, например, переписать квартиру на другого человека. Конечно же, эти страхи надуманны, под ними нет никаких оснований. Мы много раз обсуждали этот момент, в конце концов, вашу биометрию может получить любой человек, который сделает вашу фотографию на улице.

То, что государство создало единую биометрическую систему (ЕБС), вскрыло множество проделок различных организаций, которые такую информацию собирали в неявном виде и никак не предупреждали об этом клиентов. Пожалуй, «Тинькофф банк» является отличным примером такого поведения. Любой, кто получал карту от «Тинькофф», знает, что к вам приезжает курьер, он привозит документы, фотографирует вас, и затем вы начинаете пользоваться картой. Курьеры могут быть разными, у них различаются телефоны, а в каком приложении они делают снимок, вы можете только догадываться. Фактически такой курьер получает доступ к вашим паспортным данным, а также к фотографии. Контроль над тем, что сделает с вашими данными курьер, отсутствует, вам остается только верить, что данные никуда не утекут. И это первое отличие от обычных банков, где все действия сотрудников происходят под камерами, они вышколены в плане безопасности данных своих клиентов.

В банке «Тинькофф» одними из первых решили использовать биометрию для дополнительной проверки безопасности, записывают все разговоры с клиентами, оцифровывают голоса, чтобы получить их слепки. И никакого разрешения на это банк никогда не спрашивал, просто собирал эти биометрические данные. Ровно так же в банке оцифровывали фотографии клиентов, чтобы получить биометрию (не очень продвинутую, так как качество фотографий менялось в широких пределах, но все равно биометрию).

В «Тинькофф» объясняют, почему они это делают, найти объяснения можно вот на этой странице.

Изображение или голос человека можно использовать для защиты счетов от мошенников.

Например, если мы подозреваем, что кто-то получил несанкционированный доступ к вашему телефону или данным в Тинькофф, то попросим вас сделать в приложении селфи — как при разблокировке некоторых телефонов. Так мы можем достоверно определить, кто пользуется устройством.

А если мы сомневаемся, что по телефону разговариваем именно с вами, а не с мошенником, то для подтверждения сверяем голоса. Если подозрения подтвердятся, банк вовремя закроет мошеннику доступ к счету.

В отличие от пароля, изображение лица или голос нельзя украсть или сообщить мошенникам. Цифровые алгоритмы не получится обмануть при помощи старой фотографии, видео или других способов имитации внешности или голоса. Даже если ваша внешность изменилась — например, вы отрастили усы или изменили стрижку,— алгоритмы вас распознают.

Если у мошенников окажутся ваши изображения, записи вашего голоса, персональные данные или документы, у них не получится обмануть систему защиты.

Чтобы этот механизм защиты работал, банку необходим доступ к биометрическим данным клиента.

Звучит здраво, и, в принципе, это дополнительный уровень защиты. Другое дело, что знание пароля и наличие телефона, на который вы получаете SMS-сообщения, обычно гарантируют достаточный уровень безопасности. Но будем считать, что безопасности много не бывает, биометрия позволяет улучшить этот показатель.

Согласно закону ФЗ-572, в «Тинькофф» должны передавать данные в ЕБС, они не могут от этого отказаться. И в этот момент вскрывается практика, которую банк вел многие годы, собирая данные клиентов без их разрешения. То есть после действий государства банк впервые рассказал, что у него есть эти данные, они тайно собирались и использовались. И это самая плохая часть истории. Но дальше еще веселее.

Банк указывает, какие данные и как собирает, а также ссылается на пункты договора, согласно которым он это делает. Условия комплексного банковского обслуживания физических лиц (УКБО), пункты 2.24 и 3.4.4. Давайте посмотрим, что там написано.

Юридическая формулировка почти совпадает с тем, что банк рассказывал ранее, вот только сбор этих данных не требует отдельного разрешения, что является нарушением закона. Более того, сбор данных происходит для всех клиентов без разбора, хотя такие данные не могут собираться для тех же военнослужащих и ряда других категорий граждан. В банке эти моменты просто игнорируют.

В объяснениях «Тинькофф» неправильно указан пункт, нам нужен 3.4.3, где говорится про запись данных и их хранение. Причем мы уже знаем, что это биометрия, то есть не просто записи разговоров или фотографии, но данные, которые точно позволяют идентифицировать человека. И потенциально банк может торговать такими данными, например, продавать торговой точке, чтобы последняя точно знала, кто именно вошел в магазин, какими были ваши траты в банке и так далее. Учитывая все, мы просто не знаем и не догадываемся, делает это банк или нет. Никакие уверения тут не могут считаться доказательством, ведь банк изначально собирал данные тайком и каким-то образом их использовал, для каждого клиента без исключения. Вскрылось это благодаря закону, который приняло государство. И возможным штрафам за его нарушение.

В «Тинькофф» нарушают российское законодательство, и вот почему. По законодательству РФ биометрические персональные данные могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных (ч.1 ст.11 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»), предоставление биометрических персональных данных не может быть обязательным (ч.3 ст.11 N 152-ФЗ).

Более того, согласие на обработку персональных данных (а биометрия — это персональные данные) «…должно быть конкретным, предметным, информированным, сознательным и однозначным». То есть нельзя включить в сотню пунктов договора автоматическое согласие на сбор биометрии, человек должен в явном виде знать, что именно он делает, и согласиться с этим. Тут «Тинькофф» грубо нарушает нормы закона и права своих клиентов.

Теперь о юридических моментах, которые также говорят против «Тинькофф». Оборудование, на которое записываются голоса людей, должно иметь сертификацию ФСТЭК, вы не можете писать голоса на что угодно и потом извлекать биометрию. Государство определяет правила игры, и это логично. В «Тинькофф» не имеют сертифицированного оборудования, равно как и при фотографировании клиентов используют обычные телефоны. Это не сдача биометрии, как она выглядит в том же МФЦ. Для «Тинькофф» это дает неоспоримое преимущество, не нужно заморачиваться правильным сбором данных, а заодно и защищать эти данные. Банк вывел себя из-под действия законодательства, придумал для себя свои правила игры. И за это нужно больно бить по рукам, так как законы писаны для всех без исключения.

В социальных сетях некоторое время обсуждаются эти вольности банка, и меня поразило, насколько безграмотными являются ответы сотрудников «Тинькофф». Например, человек поинтересовался что произойдет, если он отзовет свое разрешение на передачу биометрии в ЕБС. Ответ поражает — данные в ЕБС передаваться не будут, но продолжат обрабатываться внутри «Тинькофф». Серьезно? Спишем это все на поддержку в социальных сетях, которая ничего не понимает, но это также нарушение закона, явное и наглядное. Вне ЕБС банк не имеет права обрабатывать и использовать биометрические данные, это нарушение закона.

Сегодня вы можете обратиться в «Тинькофф» об отзыве использования своей биометрии (а она есть для каждого клиента банка по умолчанию, вы уже в системе!), но банк не планирует удалять ваши данные как таковые, он их сохранит. Максимум не передаст в ЕБС, что не решает проблемы незаконного сбора данных своих клиентов, извлечения из фото и записей голоса биометрических данных.

Помните, недавно был скандал, когда «Тинькофф» стащил голос диктора и использовал в AI-алгоритме, создал новые фразы и так далее? Экономия на оплате труда живого человека огромная, для банка это хорошо. Но это показывает отсутствие каких-либо этических норм внутри «Тинькофф», что-то подобное может произойти и с вашим голосом, если он понравится банку. Есть ли ограничение на использование вашего голоса? Отвечу коротко — никаких. В договоре в явном образе не прописана невозможность использования вашей биометрии для чего-то еще, а значит, это трактуется как разрешенная штука. И это неправильно со всех точек зрения.

С другой стороны, приписывать «Тинькофф» все грехи удобно, в конце концов, банк сам создал для этого предпосылки. Но будем считать, что все же в банке работают не настолько отмороженные люди, которые продолжат игнорировать законодательство и собирать биометрические данные как раньше. Хочется верить, что в банке удалят всю незаконно собранную биометрию и не потребуется отдельного отзыва своих данных. Пока же пользователи «Тинькофф» пишут жалобы во все инстанции о том, что без их ведома банк собирал и использовал биометрию. Реакции регулятора на это не было, во всяком случае, публичной. Думаю, что в ближайшее время тема получит более широкую огласку и мы увидим такую реакцию.

[email protected]
наверх