Вступление
Если говорить о биометрических данных, то пока самым интересным сектором для их применения в частном бизнесе является банкинг. Суть простая — биометрия может добавить дополнительный слой безопасности в отношения между банком и клиентом, тем самым отрезав ряд совсем глупых мошенников.
Однако, законодательное регулирование отрасли пока слегка пробуксовывает — из-за величины Сбербанка, складывается ситуация, похожая на рынок переводов между картами: то есть, есть Сбербанк, который держит 80% рынка, и есть система от ЦБ РФ, присоединяться к которой Сбербанк не торопится без должной мотивации.
С биометрией дело обстоит так: есть Единая биометрическая система (ЕБС), ей управляет Ростелеком. Сбербанк против ЕБС, потому что у него есть своя система, в которой сбор данных — проще и уже «миллионы» клиентов.
Но минуточку...
Да, внезапно возникает вопрос — а что, действительно миллионы клиентов Сбербанка в России дали осознанное согласие на предоставление своих биометрических данных?
А что, действительно миллионы знают, что они его дали?
Поскольку я его недавно «дал» (разумеется, не осознанно), давайте я расскажу, как это выглядело.
Процедура
Началось все с того, что приложение «Сбербанк.Онлайн» стало предлагать ту самую биометрию предоставить. Я нажимал кнопочку «Не сейчас», но я не отказывался совсем. Я хотел больше узнать, что будет собираться и как.
Потом я пришел в отделение банка, прямиком в кассу, снять денег с карточки. И дальше произошло чудесное.
Кассир попросила вставить карту для подтверждения операции снятия. Я посмотрел на экран терминала, а там мелким шрифтом было написано что-то про биометрию.
Это и было мое мотивированное и осознанное согласие: кассир говорит «вставьте карточку».
То есть, еще раз: в замечательной системе Сбербанка («блокчейн», «бигдата», «машин лернинг») просто зажглась галочка «Пусть подпишет согласие». Информация об этом появилась у кассира, а та, не объясняя ничего, просто говорит: оставьте карту, введите ПИН-код и согласитесь.
Для снятия денег окошко терминала выглядит, разумеется, иначе.
Мог ли я полностью прочитать то, на что я соглашаюсь, с экрана терминала? Нет, конечно. Это маленький экран, а согласие, думаю, достаточно длинное. Можно ли вообще так собирать согласие? Конечно, нет. Это не может быть мотивированное и осведомленное согласие.
Обращение в Сбербанк
«Блокчейн», «бигдата», «машин лернинг» не помогли ассистенту в чате банка узнать, давал ли я согласие на обработку биометрии. Меня отправили звонить на горячую линию.
На горячей линии подтвердили, что я действительно дал согласие, но как конкретно и когда — такой информации у них нет. Еще бы.
Выводы
- Сбербанк собирает согласие на обработку биометрических данных при помощи терминала и Вашей карты с вводом ПИН-кода.
- Не надейтесь, что Вы сможете прочитать это согласие целиком в таком случае. Максимум 2-3 строчки текста.
- Разумеется, что сама кассир не объясняет (и не факт, что знает) о том, что Вы подписываете.
- Именно поэтому Сбербанк обладает биометрией миллионов клиентов.
Подробнее
> Статья от The Bell про ситуацию с биометрией и Сбербанком
> Интервью Германа Грефа (там про биометрию совсем чуть-чуть)
Комментарии (186)
Ommonick
26.06.2019 12:20-1Конкретно у ЕБС (ЕСИА) авторизация представляла необходимость сидеть и смотря в веб-камеру прочитать несколько цифр. При этом были требования «без очков», с белым фоном и т.д. Сама система в тот момент (лето 2018) отрабатывала только в одной трети запросов.
Вообще про биометрию много разговоров, но конкретики порой нехватает.
А то все пишут «биометрия», а конкретики нет. Вот написали бы, что она может представлять образец записи речи клиента, отпечатков пальцев или фотографию в анфас (по которой составляется «цифровой отпечаток).
prometheus_ru Автор
26.06.2019 12:21Я бы для начала разделял два понятия: «согласие» на обработку, то есть вообще мое согласие, что образцы меня (голоса, внешнего вида, ткани моего тела) могут быть собраны кем-то, и дальше, уже конкретные собранные образцы.
ivan386
26.06.2019 12:41Если банкомат может проверить биометрию лица то он же наверно может её и снять. Образцы голоса могут брать при обращении в поддержку по телефону или при общении с сотрудниками. У них то наверно более продвинутые программисты. Вроде сберу больше ничего не пригодится.
Free_ze
26.06.2019 23:50Как банкомат отличит вас от, скажем, вашей жены с вашей картой? Качество голоса в трубке может быть слишком низким для создания отпечатка.
ivan386
27.06.2019 00:00Не обязательно всё делать за один раз. Банкомат же может при каждом подходе снимать. Ну и операторы то могут проверить кто в паспорте и кого банкомат наснимал.
Аналогично и с голосом. При каждом обращении новый образец. До тех пор пока не будет достаточно для заданной точности распознавания.
Free_ze
27.06.2019 12:21Возрастают требования как к оборудованию банкоматов, так и к месту их установки. Это же не фотобудка с идеальным освещением, где клиент заинтересован в качественном фото.
операторы то могут проверить кто в паспорте и кого банкомат наснимал.
Если у операторов есть фото достаточного качества, чтобы аутентифицировать клиента, зачем его вообще снимать из банкомата?)
При каждом обращении новый образец.
И все разные. Кто-то охрип, кто-то со стройки звонил, у кого-то связь постоянно рвалась. А кто-то вообще редко ходит к банкомату/звонит сам.ivan386
27.06.2019 12:44Банкоматы конечно меняют. С биометрией толстенные и понатыканы камерами и возможно вспышками в инфракрасном диапазоне. Проверять то её тоже будут не в идеальных условиях.
И все разные. Кто-то охрип, кто-то со стройки звонил, у кого-то связь постоянно рвалась.
Я предполагаю так:
Один человек оставляет несколько образцов с разных звонков и записей разного времени и качества. С этих образцов вычисляют особенности голоса и манеры которые не меняются или меняются предсказуемо. По ним и идентифицируют. Если человек не пользуется такими услугами то и собирать образцы незачем.
Vinitski
27.06.2019 11:46Кстати, Гугл ассистент прекрасно отвечает на мои обращения на телефоне жены, когда его никто и не спрашивал. :)
Todesengel
27.06.2019 15:09Верификацию по биометрии можно доверить банкомату/роботу горячей линии, но не регистрацию в системе. Иначе БО человека будут скомпрометированы, поэтому в ЕБС и необходимо первый раз прийти лично в отделение банка, чтобы операционист сверил паспортные данные и фотку паспорта с живым человеком.
Непонятно зачем скрытно собирать согласие на обработку и в принципе отрывать этот процесс от реальной сдачи БО.ivan386
27.06.2019 15:25Ну вот человек утверждает что и сбор происходит в банкомате.
#comment_20327212
Я пару месяцев назад подошёл к банкомату, вставил карту — и на экране отобразилось предложение собрать биометрию. Нажал «Да», посмотрел секунд 10 в камеру. Всё.
Никаких тёмных паттернов.Todesengel
27.06.2019 15:301. Почему сдать БО таким образом предлагают только избранным? (сам частенько пользуюсь зеленым ящиком).
2. Если так, то грош цена ИБ в банке (не верю я в такую глупость команды Германа).
Balling
28.06.2019 00:31Потому что не каждый банкомат это поддерживает. Можете поехать на арбат, там точно все работает.
Todesengel
28.06.2019 10:59С верификацией согласен, она только внедряется, поэтому работает не везде, на том же арбате уже вроде как есть. Но не регистрация через банкомат.
3aBulon
28.06.2019 14:50Потом кто-то подойдет к банкомату с его фотографией и даже без карты снимет деньги?
SvyatoslavMC
28.06.2019 15:06Такое происходить не должно, конечно, но кто знает, какое там кочество ПО…
rvs2016
26.06.2019 22:57Хорошая подсказка:
> При этом были требования «без очков»
Желающим хоть немного уменьшить возможности банка по тайному сбору биометрии можно подходить к банкомату в чёрных очках. В них к нему никто подходить не запретит. Чулок на голову вызвал бы, конечно, удивление не только у охраны (если банкомат в банке), но даже у граждан, но от тайного сбора биометрии защитил бы сильнее. :-)
salnicoff
27.06.2019 08:47Не получится. Я как-то раз попробовал. Нет, грабить не собирался, да и биометрию тогда собирать никто не догадывался — просто был очень солнечный летний день, банкомат на улице, а очки снимать лень. Так вот, на экране оказалась какая-то поляризационная пленка, которая конфликтовала с поляризационным напылением на моих очках. Что я увидел на экране, думаю, все поняли…
DaemonGloom
27.06.2019 09:21Плёнка нужна для того, чтобы человек рядом с вами ничего не видел на экране. Неизбежное зло при защите, увы.
salnicoff
27.06.2019 10:22… и она же блокирует предложенное выше средство защиты от сбора биометрии — черные очки. Или искать самые дешевые китайские на рынке в спальном районе.
MaxVetrov
27.06.2019 10:24Только латексная маска «Красавчик» спасет вас )
Тяжела жизнь современного человека.
Zolg
27.06.2019 10:52Здрасти, приехали.
Большинство солнцезащитных очков, независимо от ценового сегмента, — неполяризованые.
В ряде случаев поляризация — несомненный плюс, однако в остальных (которых в жизни большинство) даёт раздражающие артефакты.salnicoff
27.06.2019 11:10Я в сторону неполяризованных очков никогда не смотрел и, честно говоря, никогда не замечал, что есть хорошие и дорогие неполяризованные очки.
Zolg
27.06.2019 11:40Oakley достаточно хорошие ?
https://www.oakley.com/en-us/category/men/sunglasses
234 модели всего
из них 92 с поляризацией
Причем бренд как бы спортивный, где поляризация часто в тему
Раньше тоже пользовался только поляризационными, пока внезапно не обнаружил, что без поляризации при повседневном использовании комфортней
Zoomerman
27.06.2019 21:02В ряде случаев поляризация — несомненный плюс, однако в остальных (которых в жизни большинство) даёт раздражающие артефакты.
А можете рассказать, что вас раздражает? Я смог заметить, что иногда на LCD экраны смотреть в поляризационные очки нужно под углом. Больше никаких неудобств не заметил. Плюсов по качеству картинки и четкости изображения, особенно в пасмурный день значительно больше.Zolg
29.06.2019 18:13+1Помимо жк экранов, с которыми может быть совсем плохо (ips экран смартфона в ландшафте будет черным, как будто выключен) куча менее очевидных вещей зависит от наклона головы: цвет ясного неба, любые бликующие поверхности. Это утомляет.
Ps: главный смысл поляризации уменьшение бликов от окологоризонтальных поверхностей в ясную солнечную погоду: неполяризованый солнечный свет, отразившись под углом приобретает поляризацию, что режется очками. В пасмурную погоду от поляризации толку немного
Zoomerman
29.06.2019 23:35Благодарю. У меня сложился несколько иной опыт: бликующие поверхности перестают бликовать; закалённые стёкла хорошо видны «разводами»; в пасмурную погоду выше контрастность картинки и ярче краски получаются. О цвете ясного неба судить не берусь — ощущения цветовые сильно индивидуальны. Но тут еще сказывается детское увлечение фотографией и игра с поляризационными фильтрами на оптике. Один-в-один, как в очках с поправкой на затенение.
Может, есть какая-то разница в степени поляризации у разных производителей? Отсюда и могут различия в восприятии поляризованной картинки вырастать.salnicoff
30.06.2019 14:00Не должно быть. Во-первых, физика одинакова для всех, во-вторых, в Европе была тема делать определенный угол для поляризаторов на стеклах очков и фар, чтобы свои фары было видно, а фары со встречки светили перпендикулярно плоскости поляризации очков и не слепили.
KodyWiremane
27.06.2019 11:56Есть ещё очки с непрозрачными поверхностями с перфорацией (множественные дырочки). Что-то там для снятия напряжения с глаз, вроде. Вдруг подойдут.
salnicoff
27.06.2019 12:27Где-то читал, что такие очки — конец глазам, а якобы лечебный эффект от применения — выдумка продавцов-мошенников.
KodyWiremane
27.06.2019 12:33Ну для кратковременного-то применения в целях защиты своих биометрических данных от несанкционированного сканирования — мб и сойдёт)
Meklon
28.06.2019 09:08Я писал) Лажа полная. По сути — это имитация очень узкой диафрагмы. В итоге растет ГРИП и не нужно сильно целиться с фокусировкой.
sappience
27.06.2019 15:10Нет, черные очки блокируются самим ЖК экраном поляризующим проходящий свет. Пленка уменьшающая угол обзора тут не при чем. То есть надо либо взять очки без поляризационных фильтров в стеклах, либо просто наклонить голову и все удастся прочитать.
Child_Of_Flowers
27.06.2019 15:10Если задаться конкретной целью не светиться, думаю, достать очки без поляризации вообще не проблема. Главное без нужды их не одевать, чтобы потом по окулистам не бегать.
MaxVetrov
26.06.2019 12:22котобой Сбербанк не торопится без должной мотивации
Сбербанк, не бей котов — они милые!
pishchin
26.06.2019 12:27+2У меня тоже сотрудник Сбербанка пытался получить согласие обманным путём — предложил поучаствовать в опросе на тему биометрии. Я подумал, что выскажусь против, но вместо опроса на терминале появилось согласие с единственной кнопкой принятия. Спасла кнопка отмены.
MaxVetrov
26.06.2019 12:57+2Спасла кнопка отмены.
В следующий раз вам подсунут кнопку отмены несогласия обработки данных.)Tufed
26.06.2019 16:17+1А в третий раз у вас не будет кнопки отмены. Как вам такой ход?
MaxVetrov
26.06.2019 17:53Ну, как бы, они бы уже так сделали, если б могли, зачем 3 экрана показывать?
Могли б по тихой, не спрашивать да и сделать все как им нужно. Но тут нет вашего согласия, а когда оно есть, то в случае чего, вам скажут, что вы сами на все согласились.)
UPD: Интересно, а можно ли записать голос человека по телефону, а потом воспроизвести, и обойти, таким образом, систему распознавания?slavashock
28.06.2019 07:16Ответ на UPD:
Нет, по факту будет происходить аутентификация по двум факторам, кроме выявленных паттернов в вашем голосе, будет проверятся адекватность.
Т.е. вас будут аутентифицировать в то время, когда оператор задаст какой-либо вопрос, или вы будете расказывать о том, что заставило вас позвонить на ГЛ сегодня.MaxVetrov
28.06.2019 10:02кроме выявленных паттернов в вашем голосе
Я подозреваю, что существуют программы для преобразования голоса.
Отсюда:
В основе биометрии лежат статистические методы, поэтому алгоритмы способны ошибаться, признает Дырмовский из ЦРТ. Типов ошибки два: система пропускает «чужого» и отказывает в доступе «своему». Чувствительность системы (вероятность ошибки в ту или иную сторону) настраивает ее владелец. Система с высоким порогом пустит владельца в квартиру в лучшем случае с пятого раза, но не даст войти злоумышленникам, а менее строгая, например в call-центре банка, всегда будет узнавать владельца голоса, но и ошибаться будет чаще, разъясняет Дырмовский.
Вероятность ошибок второго рода для голоса согласно вики — 1%.
будет проверятся адекватность.
Так или иначе, сотрудники пользуются методичками, правилами, т.е. существует определенный набор вопросов, которые злоумышленник может узнать.slavashock
28.06.2019 12:21так или иначе, сотрудники пользуются методичками, правилами, т.е. существует определенный набор вопросов, которые злоумышленник может узнать.
Представьте ситуацию:
Звонит злоумышленник и говорит: «хочу узнать баланс счёта» — вполне скриптовая фраза.
В ответ ему:
- Как я могу к вам обращаться?
- Из какого города вы звоните?
- Вы хотите узнать о новом продукте?
- и так далее
Представьте, что у оператора в этот момент горит флаг — недостаточно данных для аутентификации — аутентификация не пройдена. Задайте дополнительный вопрос.
Так вот этих вопросов может быть море, любых, хоть про погоду.
! Не знаю как на самом деле, это моё виденье.MaxVetrov
28.06.2019 12:39! Не знаю как на самом деле, это моё виденье.
Я не знаю тоже, предполагаю.
Представьте, что у оператора в этот момент горит флаг — недостаточно данных для аутентификации — аутентификация не пройдена. Задайте дополнительный вопрос.
Вот эти вопросы злоумышленник и может получить позвонив несколько раз.
Так вот этих вопросов может быть море, любых, хоть про погоду.
Вопросов может быть много, но круг ответов на эти вопросы можно ограничить. Да и спрашивать, по-любому, оператор может только те вопросы которые есть в определенном списке. Много вопросов оператор задать не может — ему нужно обслужить еще клиентов. Кроме того, если программа синтеза речи производится в реальном режиме, что мешает злоумышленнику отвечать как угодно?
Интересно, можно ли вообще отказаться от услуги обслуживания по голосу? Они ж даже не спрашивают можно ли обслуживать вас по телефону.
GBK
26.06.2019 19:36+3Заходит клиент в Сбербанк, а ему на ухо шепчут: "Своим слушанием моей речи вы принимаете условия обработки персональных данных"
Комментарий имеет сугубо юмористический характер
MaxVetrov
27.06.2019 14:24«Cвоим слуховым аппаратом(он фильтрует) я подтверждаю, что я слышу только нужные мне функции банка.)»
tvr
26.06.2019 18:44+1на терминале появилось согласие с единственной кнопкой принятия
В следующий раз будет две кнопки:
«Да, я разрешаю сбор биометрических данных» и «Нет, я не против сбора биометрических данных».MaxVetrov
26.06.2019 20:08+1Можно подумать, что это одно и то же, но не совсем.
Второй вариант можно трактовать как будто вам предлагают пособирать биометрические данные, ну а вы — не против. )
vlivyur
27.06.2019 09:56А не согласитесь ли вы на сбор биометрии?
Да/Нетsalnicoff
27.06.2019 10:19В том году получал справку на «права» в наркологичке. Вместо нормального осмотра дали анкету. Первый вопрос: «Я считаю, что я употребляю слишком много алкоголя. — [Да]/[Нет]»
KodyWiremane
27.06.2019 12:01А тут-то что не так?
udp: Нормальный вопрос. Насторожило бы «Я считаю, что я употребляю слишком мало алкоголя. Да/Нет»salnicoff
27.06.2019 12:34Если человек отвечает «да» — значит, он сам понимает, что алкоголик (много пьет). Если человек отвечает «нет» — значит, он уже вконец спился, потому что не считает проблемой употребление алкоголя в больших объемах.
Еще на каком-то медосмотре подсунули вариант: «Мне кажется, что мне надо меньше пить спиртного». Тоже как ни отвечай — алкаш.KodyWiremane
27.06.2019 12:43Это проблема интерпретации ответа (точнее, интерпретатора). Формально, ответ «Нет» на исходный вопрос так же покрывает случаи, когда опрашиваемый не употребляет алкоголь вообще, так что тут всё в порядке. Мой вариант заковыристее, но, в целом, оба они ни о чём не говорят, если нет вопросов, собственно, употребляете ли вы алкоголь и в каких объёмах.
JohnDoe_71Rus
26.06.2019 12:38+1В законах прописана процедура отзыва согласия на сбор/обработку биометрических данных и собственно на удаление собранных данных?
prometheus_ru Автор
26.06.2019 12:43+1Это интересный вопрос, любое согласие, однажды даденое, теоретически можно взять обратно. Собираюсь проверить, как у Сбера с этим.
spc
27.06.2019 15:39Я бы сказал, что это очень интересный вопрос. У меня есть дурацкая привычка писать заявление на прекращение обработки моих ПД и удалени их организациями, которым они больше не понадобятся.
Но у меня нет никаких гарантий, что ПД будут действительно удалены. И нет вариантов это проверить.
Конечно, можно пофантазировать на тему централизованной БД с доступом по типу госуслуг, чтобы любой юзер мог проверить, с какими организациями ассоциированы его ПД (можно даже без указания ПД, просто: «ПД такого-то юзера имеются в таких-то организациях»). Но боюсь, что это получится даже еще хуже.
kotandvla
27.06.2019 16:21>Но у меня нет никаких гарантий, что ПД будут действительно удалены. И нет вариантов это проверить.
После запроса на прекращение обработки можно написать письмо с требованием предоставить те ПДн, что хранятся у них. Если что-то внезапно найдется — ну, сами себе злые буратины.
Обмануть тут конечно можно, но вряд ли кто-то будет заниматься этим специально, а по рукам для профилактики можно будет дать.
Whuthering
27.06.2019 18:15После запроса на прекращение обработки можно написать письмо с требованием предоставить те ПДн, что хранятся у них. Если что-то внезапно найдется — ну, сами себе злые буратины.
А что им мешает действовать в ключе «А, он нам в прошлом писал заявление о прекращении обработки его персданных, значит сразу ответим ему, что никаких его данных у нас нет, и всё»?
То есть тот факт, что данные реально есть и хранятся, таким образом проверить видимо не получится.
sumanai
27.06.2019 18:59Обычное разгильдяйство и то, что правая рука не знает, что творится с левыми.
slavashock
28.06.2019 07:26Точно!
Знаю как в одном большом ритейле это устроено.
Есть кнопка «Удаление ПДн», но нет кнопки «получили обращение на удаление ПДн», т.е. если кто-то по требованию не удалит ПДн, то следующий и не узнает о том, что требование было.
Diam77
27.06.2019 16:37Может быть где-то, но, например, не у нас на работе.
Да, отозвать можно, но определен перечень случаев, в каковых обработка продолжится даже после отзыва. Ради интереса я дочитал его. Длинный-длинный, а в конце, разумеется "… и иных случаев, когда обработка ПД необходима для достижения целей этой обработки."slavashock
28.06.2019 07:27Вполне разумно, в законе что-то похоже, если хранение и обработка ПДн нужны во исполнение обязательств, они могут храниться без дополнительных соглашений.
Materializator
26.06.2019 12:54ФЗ-152 (о персональных данных) позволяет человеку в любой момент отозвать согласие на обработку персональных данных. Если биометрия является ПДн (по здравому смыслу — безусловно, но надо читать дурацкие формулировки, комментарии и правоприменительную практику), то этот же отзыв поможет.
А потом самое жёсткое. Пишем в РКН просьбу проверить, не остались ли ваши данные после отзыва в архивных, dev и прочих копиях баз. А то я слышал, как кто-то кому-то говорил, что архивы от таких данных они не очищают.
AbstractGaze
26.06.2019 13:26+1А вы 152фз читали? На вашу фразу «если биометрия является пдн» есть целая статья 11.Биометрические персональные данные.
В которой к тому же четко прописано — согласие должно быть в письменной форме, а не по телефону или электронном виде с эцп.
Так что уже можете жаловаться в РКН.Materializator
26.06.2019 13:41Читал. Давно, до биометрии. Помню определение — «ПДн — это… и прочие».
Balling
28.06.2019 00:38Ну там еще смс приходит, «Код для подтверждения согласия на обработку биометрических персональных данных — xxxxx»
Это считается?
tmin10
26.06.2019 16:37Как бы не получилось, что отзывая все ПД у Сбербанка ты соглашаешься вообще перестать с ним вести дела и закрыть все карты и счета…
Materializator
26.06.2019 16:45Блефовать они могут, разово сделать и распиарить — тоже. Массово — никогда.
rvs2016
27.06.2019 00:42Со временем именно так и будет.
Большинство граждан не видит ничего плохого в сборе биометрии и даже не знает — что это такое. Со временем это большинство будет считать биометрию ещё одним типом разрешения на пользование услугами банка.
rvs2016
27.06.2019 00:35+1> ФЗ-152 (о персональных данных) позволяет человеку
> в любой момент отозвать согласие
> на обработку персональных данных
Банки не выполняют этот закон. Гражданин пишет в банк письмо с отзывом своего согласия. Банк игнорирует этот отзыв. Гражданин может, конечно, судиться с банком из-за этого, но у обычного гражданина на это нет времени. Да и у банков юристы получают зарплату за то, что занимаются судебными делами с гражданами, а граждане даже в случае победы в судах получают в основном лишь моральное удовлетворение, которое на хлеб не намажешь.Druu
27.06.2019 08:19+1Гражданин может, конечно, судиться с банком из-за этого, но у обычного гражданина на это нет времени.
Гражданину и не надо судиться. Если права гражданина нарушены, то судиться за него обязаны соответствующие госорганы, куда достаточно сообщить о нарушении.
Diam77
27.06.2019 16:43Это значит — предоставить еще одному госоргану (кроме того, на который жалуемся) свои ПД. Без какой-либо уверенности в том, что у одного госа будет мотивация ссориться с другим госом.
Ворон ворону…
pewpew
27.06.2019 18:15Так у вас уже есть паспорт, который выписал вам госорган. А в нём все эти ваши ПД прописаны.
Diam77
27.06.2019 18:24Это да. Но этих данных нет много где. Иначе бы эти «много кто» не требовали копию паспорта по каждому чиху. Не просто показать, а именно оставить им копию.
И вот каждый раз, оставляя где-либо копию, я спрашиваю себя: не могу ли я обойтись без этого? Так ли мне нужно то, ради чего я ее оставляю?
eksamind
26.06.2019 13:13На что вы должны согласится в приложении Сбербанка, чтоб узнать свой кредитный потенциал:
скрины
SnowLoKu
27.06.2019 09:54Не, ну что удобно, а вдруг будет амнезия? Сделал запрос в сбер и всю инфу восстановил)
KodyWiremane
27.06.2019 12:16Выглядит как спагетти-код, в котором не совсем очевидно, какие утверждения связаны с какими другими.
SakuradaJun
26.06.2019 13:24биометрия может добавить дополнительный слой безопасности в отношения между банком и клиентом
Вероятнее всего, она может добавить слой опасности, а не безопасности.pyrk2142
26.06.2019 14:21Была одна весёлая история с другим банком: стало интересно, как у них реализована авторизация в колл-центре, звоню туда с подменой номера на свой, сначала спрашиваю баланс, его говорят без авторизации, потом использую достаточно публичные данные для смены кодового слова, которого достаточно для полного доступа к деньгам. Потом спрашиваю у безопасников, как это вообще работает. Про кодовое слово мне сказали, что этих данных достаточно для авторизации (ага, теперь ещё и за чеками следить, чтобы их не стащили для кражи денег), а про информацию о балансе без авторизации сказали достаточно сказочную вещь: «Мы опознали вас по голосу». При этом я раньше не звонил в поддержу, в отдалениях не авторизовывался. Кажется, что есть два варианта: либо они где-то купили базу голосов (ух, сторонники безопасного хранения биометрии за 7 замками), либо решили действовать по принципу «Кто первый встал, того и тапки»: я позвонил в первый раз, значит надо взять образец голоса и тут же авторизовать по нему. Либо кто-то жестко врет, но этого не может быть, мы же верим банковским безопасникам.
rombell
27.06.2019 08:00Поясните, пожалуйста, что такое «звоню туда с подменой номера на свой»? Вы звонили со своего номера по поводу чужого счёта или с чужого номера по поводу своего счёта? Или что-то третье?
pyrk2142
27.06.2019 08:27Обычно важный инструмент в атаках на call-центры и автоматизированные голосовые меню (IVR) — звонки с подменой номера (Caller ID spoofing). В этом случае я воспользовался специальным сервисом, чтобы сделать через него звонок со своим номером, чтобы изобразить злоумышленника, который хочет получить мои данные. Остальные способы (подмена номера на чужой, подмена на случайные) вызывают вопросы с точки зрения легальности.
Qubc
27.06.2019 11:27Извините, я тоже чуть не понял. То есть у Алисы есть номер 123, она звонит Бобу, но определитель номера у Боба изображает номер, например, 456, верно?
NetBUG
27.06.2019 12:46+1Наоборот.
У Алисы есть номер 123 (её) и доступ к SIP-гейту.
Алиса выключает свой телефон и звонит Бобу с SIP-гейта, используя подмену номера на «123». У Боба отображается номер 123, хотя сам телефон выключен и при попытке позвонить на него будет «The line you are calling is out of network».pyrk2142
27.06.2019 13:04При этом, что довольно важно, звонить с SIP-гейта может и не Алиса, но у Боба будет отображено, что это Алиса.
lostpassword
26.06.2019 14:31Ну всё же не всегда сбор происходит так)
Я пару месяцев назад подошёл к банкомату, вставил карту — и на экране отобразилось предложение собрать биометрию. Нажал «Да», посмотрел секунд 10 в камеру. Всё.
Никаких тёмных паттернов.
pewpew
26.06.2019 14:49В этом месяце оформлял карту «Мир» (да, осознанно). Самую простую, неэмбоссированную, momentum. После оформления меня попросили пройти её активировать при помощи девочки-консультанта. Уже чувствуя подвох я согласился.
Далее девочка выудила мой телефон, мотивируя это необходимостью процедуры активации.
Затем попросила согласиться с SMS-информированием, но я вежливо отказался, узнав, что услуга платная, 60 рублей в месяц. После попросила дать согласие на сбор биометрии. Напомнила, что это пока только согласие. И да, это не только фото сетчатки глаза, а ещё и хэш голоса. Так что если хэши «утекут», то в случае с классическим паролем, ты его поменяешь. А голос — нет. Так что я не согласился.
Так и не понял, зачем девочка помогала мне с активацией. Кроме как для сбора согласия со сбором биометрии, весьма вряд ли.
bougakov
26.06.2019 18:23+1у девочек KPI на количество переведённых на онлайн-обслуживание клиентов. Чтобы девочек можно было поскорее сократить. А мега-ачивка для девочки — если она вам установит app и поможет в нём оформить «автоплатежи».
salnicoff
26.06.2019 22:37У этих же девочек есть KPI по количеству старушек, которых они отрывают от традиционной кассы и тащат к терминалу платить наличными с помощью девочки, потому что сама старушка ничего в этих терминалах не понимает и карточку заводить не хочет. В общем, там две руки перетягивают одно туловище между тотальным он-лайном будущего и тотальным офф-лайном прошлого.
achekalin
26.06.2019 16:31+1Вообще крупные компании очень любят делать вид, что клиент все сделал сам (согласился, купил, предоставил, подписался), добровольно, что, мол, это зафиксировано и четко известно — но вот на вопрос «когда, где, при каких обстоятельствах, как и при помощи чего» — вот тут возникает ответ «маленького сотрудника», что, мол, у него про это почему-то «нет информации». Как это вяжется с утверждением, что компания уверена в факте согласия/покупки/подписки — я не могу понять.
Это и в банке, как в теме поста, это и у сотового оператора («да-да, вы подписались на доступ к развлекательному контенту у нашего партнера, только ни когда, ни где, ни каким способом — ничего этого мы не знаем, но деньги со счета оплаты мобильной связи снимаем»), да и много еще где. Те же карточки лояльности в оффлайновых магазинах, они потенциально часто означают, что клиент подписался на получение СМС рассылок, только по сути карточки такие мы часто берем (с точки зрения магаза — оформляем и со всем соглашаемся) не глядя, и в момент получения карты нас уверяют, что никаких рассылок у них не делается, «и вообще она только для скидок».
Как ни крути, актуальной темой становится некая единая точка сбора такого рода согласий, на уровне гос-ва. Правда, гос-ву оно не надо, так что реализовано не будет, но без этого обман и введение в заблуждение будут встречаться нам на каждом шагу. Где-то программист конкретного банка или сотовой компании накосячит (потому что программисты — это не дизайнеры и не спецы по UI, и они самый заурядный диалог согласия могут сделать столь малоудобным, что юзеры не осилят его прочесть/понять), а где-то и предзаданный «скрипт» общения с клиентом таков, что, натурально, сотрудники сознательно юзерам диктуют «вот здесь согласитесь, вот где написано, что вы свою кожу, кости и мозги завещаете нашему коллекторскому отделу». «Ага,» — так и подмывает добавить, — «после смерти, но не позднее 3 месяцев с момента подписания этого согласия.»
Samouvazhektra
26.06.2019 18:28Вообще-то лучше чтоб управление шло на уровне пользователя и с управлением типа как для апи по OAuth. Конторка которой нужны мои данные реквестирует запрос на доступ с перечнем скоупа нужных данных, описанием — для чего, на какой срок, домен или подсеть с которой будут запросы… — им генерируется токен для использования на заданный период действия и ключ для дешифровки. (При желании, можно отозвать доступ досрочно). Данные соответственно передаются не в открытом виде, и ориентированы на скриптовую обработку, а не вручную. Сохранять данные, как минимум более существенные чем фио-мыло — типа паспортных, снилсов, тех же биометрий и т.п. или передавать ключ третьим лицам должно быть запрещено под административную ответственность. (В идеале должны использоваться только сертифицированные либы — как минимум — на использование всякой биометрии и т.п. И наружу должен быть только публичный PersonalDataId) Конечно есть риски, что все равно насохраняют и напередают, но как минимум это должно быть сложнее чем просто зафотать, или скопировать эксельку.
Функции отправки мыла/смс при разрешении можно реализовать засчет оператора хранения персональных данных — т.е. бизнес-клиенты шлют только текст сообщения на апи, и если у них одобрен доступ на отправку — я получаю инфу. (Соответственно доступ к апи для бизнеса вероятее всего будет платным… хотя все равно за рассылки и так платят)
Начнут спамить реквестами — должен быть игнор и абуз-репорт
Биометрию соответственно тоже верифицировать можно на стороне оператора перс.данных присылая им образец для сравнения
Ну и наличие данных у кого-то без наличия одобренного реквеста в моем менеджере — повод для судебного разбирательства о неправомерном доступе и обработке.
[Концепт пришёл в голову только что, и серьёзно не продумывался]
Хотя конечно для большинства такое будет гемороно и сложно, и ткнуть кнопку "на все согласен" гораздо проще, особенно если за это предлагают скидку или кешбекachekalin
26.06.2019 18:49+2Хоть одну причину, зачем это им, можете назвать?
Вы вот прикола ради зайдите в любой соседний магаз, где получали карту клиента, и напишите заявление на прекращение обработки персональных данных. Уверяю — развлечетесь!
pyrk2142
26.06.2019 19:51Горячо поддерживаю: имхо, действительно адекватная работа с персональными данными возможна только тогда, когда компании уважают клиентов. А пользователи сейчас не заслуживают уважения, так как ничего для этого не делают. Можно продалбывать данные, сливать их на сторону, довольно нагло обманывать в лицо, но пользователи это проглотят и скажут «Ну блин, не повезло, пойду поною в Твиттере, о, мороженое по скидке». Когда у нас будет существовать сообщество пользователей, которое может влиять на компании (как минимум, своим уходом, если компания обозрела), тогда и можно говорить об уважении, а не о нынешнем пофигизме. Компаниям это не нужно, пока им перед лицом не показывают большой кулак и не говорят «Наглеешь? Получаешь.»
sowsow
26.06.2019 23:01-3Компаниям это не нужно, пока им перед лицом не показывают большой кулак
Шутку понял — смешно :). Ваш кулак настолько мизерный, что трясти им вы можете сколько угодно — фашистам на это наплевать. Фашисты будут и дальше строить для вас концлагерь и ничего вы с этим сделать не сможете. Пока не поймете, что фашизм (неравенство) — это плохо, а коммунизм (равенство) — хорошо.
Doctor5772
28.06.2019 06:15Как это вяжется с утверждением, что компания уверена в факте согласия/покупки/подписки — я не могу понять.
Завуалированное мошенничество? К теме призываются юристы, возможно есть специалисты по данным вопросам
VJean
26.06.2019 17:11+3Еще сбер при смене карты давит на несознанных личностей, что обязательно нужны биометрические данные, иначе карты вам не видать.
f66
27.06.2019 08:17Буквально на днях менял карту сбера, про биометрию даже не заикнулись, и согласие втихаря не пропихивали. Странно
VJean
27.06.2019 19:38Тут был случай очень инициативного отделения с такими же сотрудниками, которые отказывались выдавать карту. После звонка на горячую линию сразу стушевались.
armid
26.06.2019 17:25+2Кто силен в законах, разве нет такого понятия как отзыв согласия на сбор персональных данных? Если 1 раз дал, значит это навсегда?
vadimr
26.06.2019 19:08Более того, можно потребовать уничтожить уже собранное. Но это вам никак не поможет, если банк докажет, что в целях заботы о вашей безопасности (конечно же) сбор ПД является обязательным условием обслуживания.
mkll
26.06.2019 19:45-1А тут и доказывать ничего не надо. ПД — это информация, позволяющая вас идентифицировать, а счета банк открывает только клиентам, которых может идентифицировать. Одного без другого быть не может.
И разумеется, отказ от сбора ПД подразумевает и отказ от обслуживания.achekalin
26.06.2019 19:55Думаю, есть разница: идентифицировать меня или вас для целей обслуживания, или иметь право раздавать мою информацию всем вокруг в т.ч. «с коммерческими целями». И вот от второго бы как-то отказаться.
Ах да, забыл, есть тонкий момент и в фактическом использовании ПД. Формально я могу спросить, как они использовались, но что будет, если мне соврут? А по факту так и будет, поскольку иметь данные хотят все, а вот играть в них по правилам — никто. Это же бюрократия, режимы хранения, логирование, так что проще сказать «никак не использовали, ни-ни!»
Да, ещё раз: я говорю именно про то, что коммерция часто запрашивает прав больше, чем им нужно для прямой своей работы. Если мы ругаемся на приложения на телефоне, когда игра просит право отправлять смс, то почему соглашение о ПД должно приниматься некритично, если в нем написано «очень не очень»?rvs2016
27.06.2019 01:29> Да, ещё раз: я говорю именно про то, что
> коммерция часто запрашивает прав больше,
> чем им нужно для прямой своей работы.
Вот именно. Для расчёта кредитного потенциала они требуют биометрию лица, как будто мы живём в фашистском государстве, в котором форма лица влияет на набор прав гражданина.
MaxVetrov
26.06.2019 21:33+3Скорей всего, да. Для того чтобы отозвать согласие на сбор персональных данных вам нужно предоставить… персональные данные. И информация с персональными данными об отзыве персональных данных будет хранится в архиве.)
GBK
26.06.2019 19:28+2То маленькие сайтики блокируют за отсутствие политики конфиденциальности, а тут наоборот.
Samouvazhektra
26.06.2019 20:10+1ну так это классика "Все животные равны, но некоторые более равны, чем другие"
Dmitry05
26.06.2019 22:37-6Сбербанк уже повсеместно устанавливает в своих отделения банкоматы с функцией чипирования ДНК пользователя (штрих-кодирования или проставления метки Антихриста в терминологии Апокалипсиса Иоанна Богослова) и считывания этого кода со лба человека. Фотки, к сожалению, сюда не зальешь — посмотрите, кому интересно, на Youtube (там над клавиатурой для вводу ПИН-кода расположен чипирующи лазерный проектор, а сверху, помимо камеры, несколько датчиков, ориентированные на лоб). Лично видел такие банкоматы в отделении в Марьино. Наверняка биометрические данные собираются для дальнейшего чипирования владельцев счетов и крат (если уже не чипируются), поэтому надо однозначно отказаться от всех сервисов этого сатанинского банка.
KbRadar
27.06.2019 00:04+4Два галоперидола двойных этому господину за счёт заведения!
artoym
27.06.2019 09:10Думаю что это просто так толсто, что уже тонко.
Хотя у него всего один комментарий на Хабре всего, что в целом говорит против моей версии.
Barbaresk
27.06.2019 17:40+1Судя по всему, толщина жира тролля хранится в однобайтовой беззнаковой переменной, и переполнение даёт о себе знать.
tvr
27.06.2019 18:10Хотя у него всего один комментарий на Хабре всего
Зато пользователей с ником Dmitry0x несколько. И что.самое странное — все они в бане. Совпадение?
Wesha
27.06.2019 00:25Не Уверен
Vsevo10d
27.06.2019 03:19+1А, вот оно. Спасибо, я буду знать.
Когда я начал замечать рекламу биометрии в банкоматах Сбера («попробуйте», «подключите»), я подумал, глядя в бесстрастный глазок камеры: а что мешает уже сейчас, безо всякого согласия, ее собирать? Камеры нас снимают во всех банкоматах, а обработанное нейросетью лицо — это тупо набор цифр, который не надо хранить в виде твоего фото или видео. Так что собрать — уже наверняка давно все собрано, надо только где-то как-то попросить разрешения использовать. А теперь последний кусок пазла нашелся.grondek
27.06.2019 10:02Если собирать лица в обычной обстановке есть проблема первоначального сопоставления биометрии и конкретной личности. Кто-то может воспользоваться картой супруга (да я знаю, что это не разрешено, но все же). Или банально мошенник вставит вашу карту и оппа — его лицо — это ваше лицо.
Опять же с детскими картами. Я не знаю на кого они оформляются, но если на родителей, то опять же будет некорректное сопоставление.
Первичный сбор биометрии должен проводиться в тепличных условиях, чтобы эталонный образец был идеальным, иначе полезут ошибки идентификации.
P.s. Я не говорю, что Сбер так не делает, но с точки зрения работы с биометрией — это совершенно некорректно.Vsevo10d
27.06.2019 22:20Уже обученная на толпе сетка отличит человека, регулярно ходившего к банкомату последние полгода, от его жены или брата. Дело за простейшим алгоритмом исключения разовой несовпадающей личности. Не будет работать разве что на какой-нибудь пожилой боббушке, которая плохо ходит, и пенсию ей снимает дочь. Ну и невелика потеря.
grondek
28.06.2019 06:56У разных алгоритмов по-разному, но в целом, если база отпечатков или лиц некачественная, то будет много ошибок при распознавании.
Finesse
27.06.2019 04:09Зачем Сбербанк так настойчиво собирает согласия и биометрические данные? Не уже ли заботится об удобстве и безопасности клиентов?
EgorZanuda
27.06.2019 04:56+11. Чем больше данных, тем больше владеешь миром.
2. Отработка алгоритмов распознавания, чем больше массив данных тем больше можно выявить ошибок соответственно в будущем повысить качество распознавания.
3. Сокращение штата сотрудников за счет дистанционного обслуживания.
4. Просыпаетесь утром, а у Вас смс о полученном кредите под под безумный процент, пытаетесь разобраться откуда у вас кредит, но как оказалось вы сами его попросили по телефону, да вы его вернули, но процентик уже капнул.MaxVetrov
27.06.2019 11:413. Сокращение штата сотрудников за счет дистанционного обслуживания.
Вот это самый главный фактор для банков.
Единая биометрическая система позволяет стать клиентом банков и получать услуги без посещения офисов и предъявления паспорта – с помощью биометрии (лица и голоса) через Интернет.
Это приведет к тому, что отделения банков будут закрываться… да и не только банков.
Сначала эксперементируют на банках, у них и ресурсов много, и безопасники есть, а потом на другие сферы жизни переключатся.
В общем, это неизбежность.
OZR
27.06.2019 09:38К счастью или к сожалению, но теперь уже однозначно понятно, что биометрия не может быть защитой впринципе. Загран паспорт был? Программы аля сбербанк онлайн собрали отпечатки без спроса? Осталось только чуть-чуть подождать, пока украдут их базы данных (или по какой-либо причине они сами будут в интернете без пароля) и выложат в общий доступ всем и каждому. К чёрту, когда все отпечатки пальцев будут у каждого мошенника. Впрочем хрен с ними, с мошенниками. Берём из базы данных отпечатки неугодного лица. Распечатываем их и делаем слепок. Добавить наркотики. Теперь лишить человека нескольких лет жизни дело пары минут. Есть ещё аутентификация по лицу… Впрочем. Уже поздно. Здесь чем-то ситуация напоминает e-mail. Один раз зарегистрировался где-то. Здравствуй, спам :) Несогласие уже бесполезно. Пальчики к телефону же УЖЕ прикладывали. Остаётся только ждать базы данных в открытом доступе. Ящик Пандоры открыт. И закрыть его невозможно.
sumanai
27.06.2019 18:56Пальчики к телефону же УЖЕ прикладывали.
Мой телефон не только никогда не видел приложение какого-либо банка, но даже не имеет соответствующего сканера.
ggo
27.06.2019 11:03Ну согласие допустим получили.
А референсную картинку клиента как получают?
Она же должна быть:
— хорошего качества
— подтверждена конкретным менеджером
Vinitski
27.06.2019 11:23Я тоже не понял, согласие они получили, а откуда сама биометрия возьмётся?
av220
27.06.2019 15:09Когда Вы придете платить за квартиру, или делать перевод, или штраф какой оплачивать, или вторую карту заводить, или первую по сроку годности менять, вы будете говорить с кассиром или менеджером, камера будет Вас снимать, и записывать голос. Все.
grondek
27.06.2019 16:40Про голос не могу сказать, но для эталонного образца лица картинки просто с камеры недостаточно. Нужно ровное прямое положение. В некоторых случаях еще и повертеть головой определенным образом.
Но! Биометрия по лицу, работающая с обычной веб-камеры крайне ненадежна и легко обманывается фоткой. Нормальные лицевые биометрии включают в себя дополнительные средства определения фейков: ИК, 3D и так далее.
Todesengel
27.06.2019 17:07Биометрия по лицу, работающая с обычной веб-камеры крайне ненадежна и легко обманывается фоткой.
Поэтому в ЕБС используется мультимодальность и liveness (набор рандомных кейсов — повороты/наклоны головы, улыбка и т.д.)
Мне вот интересно, а в Сбере как они защищаются от подобного обмана…
Ktulkhu_Triediniy
27.06.2019 11:32+1Вы как будто впервые со Сбером столкнулись.
Они мне так карту кредитную выпустили. Далее описание ситуации:
Звонит мне оператор и говорит дословно:
— Здравствуйте, Анон Аноныч! Ваша кредитная карта такая-то на такую-то сумму ВЫПУЩЕНА. Где удобно забрать?
Я от такого настолько растерялся (точно ничего у них не просил и тем более не давал никаких согласий ни в какой форме), что просто назвал ближайший ко мне адрес.
В итоге, как только карта материализовалась в ЛК, тут же её заблокировал, сходил в отделение и закрыл её даже не забирая.
Потом написал в ТП, но там ответили в стиле «сам виноват, надо было отказаться, когда звонил оператор». На моё резонное замечание о том, что вообще-то в таких случаях надо не объявлять о том, что карта готова и её надо забрать, а сначала это самое согласие спросить, представитель этого, простите за эмоциональное определение, г*внобанка просто съехала с темы.
В общем, написал жалобу в регулятор и на Банкиру. И хоть регулятор тоже отнекался и спустил всё на тормозах, но хоть Банкиру принял ситуацию как обоснованную и зарегистрировал отзыв как обоснованный и отрицательный.
В итоге, Сбер и так для меня был на уровне плинтуса по моим личным рейтингам, а после этого случая уверенно ушёл ещё ниже.
SobakaRU
27.06.2019 13:54У меня попытка сбора биометрии в Сбере выглядела так:
Я пришел забирать перевыпущенную карту. Девочка выдала карту, поворачивает ко мне монитор с какими-то картинками, смотрит гипнотически и говорит (с чёткой побудительной, не предполагающей вопросов интонацией):
— Для улучшения безопасности банковского обслуживания мы собираем биометрическую информацию. Ознакомьтесь с информацией на экране, а потом я сделаю вашу фотографию и запишу образец голоса.
— Ммм. Я могу отказаться?
— Да!
Невозмутимо отворачивает монитор и прощается.
Похоже, что это четко отрепетированная интонация и лексика. Чтоб у клиента создавлось ощущение неизбежности грядущего снятия биометрии.
И, на мой взгляд, это довольно грязные методы.Barbaresk
27.06.2019 17:45+1У меня такой же был случай при недавнем перевыпуске. Только еще говорили про какой-то закон, номер закона назвать не смогли, в итоге я им рассказал анекдот про «прокатило в счёте» и они от меня отстали.
danghyan
28.06.2019 17:20Мне каждый раз предлагают(настойчиво просят) поставить галочку или подписать про сбор данных, не объясняя для чего и что это…
Vsevo10d
28.06.2019 22:48Кстати, сегодня вгляделся в зеркальце Гезелла по верхней части банкомата в Сбере. А там ПЯТЬ камер. Одна как вебка, дальше сдвоенная в прямоугольник стереокамера и еще две круглые. Так что вся биометрия уже собрана и обсчитана, пока я там щщами торговал, переводя на ЯД.
Accounter
Насколько я понял: Сбербанк набрал базу с согласиями клиентов на сбор биометрии, но не с самой биометрией?
Juster
У них есть сканы паспортов. Это не всё, но уже что-то.
prometheus_ru Автор
Дальше для сбора уже самой биометрии — то есть, записывать мой голос или изображения с камер, уже ничего у меня спрашивать не нужно.
ehots
А не знаете случайно, если я в приложение вхожу по отпечатку пальца, а не ввожу пароль, мои данные тоже собирают или только пальчик для входа в их
ж… уприложение используют?FiLunder7
Пальцы с телефона никому никуда «уйти» не могут. Они локально хранятся в самом чипе сканера.
ehots
Большое спасибо.
slavashock
В зависимости от платформы, в каких-то случаях данные пальца хранятся в самом сканере, в каком-то в памяти телефона.
Но в любом случае вы правы, приложения узнают лишь факт того, что кто-то приложил палец, который телефон уже знает.
candyappl3
Могу сказать на счет TouchID. Грубо говоря, приложение может узнать только ты это или не ты, true or false. Никаких хэшей, строк, чисел оно от биометрии не получает, да и скорее всего, у всех производителей свои форматы хранения таких данных.
Balling
Вы можете в любой момент отозвать свое согласие. И по записям с камер невозможно сделать биометрию, т.к. камеры не проверены ФСБ. Вам нужно поехать в любой банк на bio.rt.ru/citizens, дальше значок о сдаче биометрии появляется на esia.gosuslugi.ru/profile/user/settings
И дальше вы в любой момент можете отозвать свое согласие на госуслугах или в приложении оператара биометрической системы ростелекома с уничтоженим этой самой биометрии play.google.com/store/apps/details?id=ru.rtlabs.mobile.ebs.android
Там вон даже есть фраза:
Защита по требованиям законодательства
Ваш цифровой образ защищен в соответствии с требованиями Федерального закона №152-ФЗ «О персональных данных».
Кстати, я тоже могу рассказать историю. Я почти сразу дал согласие, когда оно появилось в приложении сб. онлайн. И с меня даже попытались снять биометрию, когда я позвонил на 900. Но потом прислали смс, что ваше согласие из-за их ошибки оказалось недействительным. И потом мне опять пришлось его подписывать))
И вообще, чтобы проверить подписали вы или нет, достаточно зайти в мобильное приложение Сб. Онлайн, слева «Соглашения и договоры» и «Согласие на обработку биометрических персональных данных», там есть и информация о том, как отозвать это согласие. Так что это вы слишком паритесь.
Вы бы лучше задумались, попадают ли куда-нибудь ваше пальчики, когда вы после 2015 делаете загран. паспорт по новому образцу? Правильный ответ нет, так как пальчики никуда не попадают кроме чипа, а проверяются им же. До чего техника дошла, да?
aPiks
Ну а при общении с горячей линией, вы попросили отменить ранее данное согласие или это раз и навсегда?
prometheus_ru Автор
Пока нет. Я хочу для начала узреть, как я его дал — оно же должно быть в письменном виде, вот и посмеемся. Отменить согласие, конечно же, всегда успею :)
Samoglas
Большое спасибо, зашел в приложение, оказывается, я уже дал такое согласие, да неужели?
Поучаствую в этом цирке, пускай покажут мне мое согласие.
Balling
Нет, не должно. Ваше согласие удостоверено простой электронной подписью, коей является карта + пин код. Как вы думаете, зачем в сбере просят всегда карту дать, а? Без неё даже в Филиал не зайдешь. (Это их программа такая.)
Samoglas
N 152-ФЗ
Статья 11. Биометрические персональные данные
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
1. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации.
(в ред. Федеральных законов от 04.06.2014 N 142-ФЗ, от 31.12.2017 N 498-ФЗ)
Balling
Знаете, это какой-то бред. Что значит письменное согласие? Это же не значит, что все от руки написано, там максимум подпись. А её можно заменять эквивалентом. Ну как по мне.
На самом деле, здесь основной вопрос, как Сбербанк аффилирован с Ростелекомовской системой. Так как мне кажется, что они не связаны, так как судя по карте map.gosuslugi.ru/co?filter=rbi нет там сбербанка. Ну тогда это ж странно, разве Оператор БС это не Ростелеком и только?