Минцифры предлагает собирать биометрию без согласия граждан

Минцифры предлагает собирать биометрию без согласия граждан

Минцифры предлагает собирать биометрию без согласия граждан

Минцифры предлагает отказаться от необходимости получать согласие гражданина на передачу его биометрии в ЕБС. Поправки к закону уже готовы. Чиновники видят в них укрепление защищенности данных, эксперты прогнозируют хаотичность сбора и фатальность в случае утечки.

О поправках в приказ Минцифры пишет сегодня “Ъ”. Речь о порядке сбора и хранения биометрических данных в ”Единой биометрической системе” (ЕБС). В Аналитический центр при правительстве бумаги отправили 2 августа.

В документе уточняется, что согласия субъекта данных на сбор и актуализацию биометрии в ЕБС и “иных информационных системах, обеспечивающих идентификацию и/или аутентификацию с использованием биометрических персональных данных” не требуется.

В пояснительной записке авторы ссылаются на то, что размещение биометрии в ЕБС из иных информационных систем без согласия субъекта закреплено в поправках к закону “Об информации”, принятых в июле.

Документ также упрощает передачу в ЕБС данных из любых информационных систем (например, организаций финансового рынка).

Если раньше требовалось, чтобы “слепок” содержал лицо и голос, то теперь, если биометрические данные содержат только изображение лица или голоса, они все равно окажутся в государственной системе, но использовать их сможет только разместившая организация.

Статус ГИС ЕБС (оператором выступает “Ростелеком”) получила в конце прошлого года. Минцифры планировало ускорить сбор биометрических данных, рассчитывая увеличить число ”слепков” до 70 млн. Но к началу 2022 года удалось собрать не более 240 тысяч.

Из десятков миллионов образцов, собранных банками, стандартам ЕБС соответствуют только 10% — это около 5 млн уникальных “слепков”. Остальные по действующим нормам должны быть уничтожены.

Передача данных из КБС (коммерческих биометрических систем) в ГИС ЕБС повысит безопасность обработки и хранения биометрических персональных данных, отметили в Минцифры.

Чтобы обязать КБС передавать данные в ЕБС, требуется только одно — наличие голоса или изображения лица, от образцов больше не потребуется соответствовать всем стандартам качества ЕБС, отмечает юрист фирмы DRC Никита Истомин.

Отказ от получения согласия гражданина на сбор и актуализацию биометрии в ЕБС может привести к тому, что биометрия будет собираться непрерывно из любых возможных источников, считает главный юрисконсульт практики интеллектуальной собственности “ЭБР” Кирилл Ляхманов.

С учетом требований к биометрическим образцам, такими источниками могут быть камеры наблюдения на входе в метро, камеры в банках и финансовых организациях, камеры на входе в МФЦ и другие, пояснил он.

Кроме того, сбором и обновлением биометрии для передачи в ЕБС смогут заниматься “иные организации”, перечень которых в документе не определен.

“Оператор КБС, разместивший биометрические данные в ЕБС, не вправе давать их использовать другим операторам КБС, — объясняет Ляхманов. — Это значит, что в ЕБС слепки одних и тех же людей, сдавших биометрию в различные организации, будут дублироваться”.

Хранение такого объема данных о человеке в единой системе, отмечает эксперт, делает последствия утечки катастрофическими.

Каждая пятая утечка уже связана с теневым использованием ИИ

Сотрудники всё чаще отправляют рабочие данные в нейросети быстрее, чем службы ИБ успевают понять, что вообще происходит. По данным «Информзащиты», в июле 2026 года уже 20% организаций, столкнувшихся с утечками, хотя бы частично связали инциденты с несанкционированным использованием ИИ. Годом ранее таких случаев было около 12%.

И это не безобидное попросил чат-бота поправить письмо. В публичные ИИ-сервисы загружают договоры, исходный код, внутреннюю переписку, клиентские обращения и техническую документацию.

На веб-интерфейсы нейросетей приходится около 42% подобных инцидентов. Ещё 24% утечек связаны с браузерными расширениями и ИИ-помощниками.

Они получают доступ к вкладкам, истории сессий и cookie, а потом тихо делают то, на что им когда-то нажали «Разрешить». Самостоятельно подключённые API и библиотеки дают ещё 19%, инструменты для программирования — 15%.

Проблема в том, что классические средства защиты часто не видят ничего подозрительного. Домен легитимный, TLS работает, вредоносной сигнатуры нет. Только конфиденциальный документ уже уехал во внешний сервис.

Почти у трети компаний, использующих ИИ, находят хотя бы один API-ключ или секрет в небезопасном месте: конфигурациях, тестовых скриптах, рабочих станциях и Git-репозиториях. Получив такой ключ, атакующий может не только потратить чужой бюджет, но и добраться до подключённых баз данных и RAG-хранилищ.

Дороже всего здесь обходится позднее обнаружение. Инциденты с теневым ИИ в среднем увеличивают ущерб примерно на $670 тыс.

Эксперты советуют начинать не с тотальных запретов, а с инвентаризации сервисов, поиска ключей, контроля расширений и классификации данных. Потому что запретить ChatGPT приказом легко. Гораздо сложнее заметить, что сотрудник уже загрузил туда половину проекта.

RSS: Новости на портале Anti-Malware.ru