Биометрия все чаще становятся частью нашей повседневной жизни, от разблокировки наших телефонов с помощью отпечатков пальцев или лиц, до распознавания радужной оболочки в аэропорте, до распознавания голоса, когда мы разговариваем с Алекса и Сири. И тут возникает вопрос - как защитить свои данные от утечки среди столь развитых технологий.
Биометрическая идентификация в финансовом секторе
Для сектора финансовых услуг биометрия является ключевой частью будущих нормативных требований.
Введение строгих требований к аутентификации клиентов (SCA) во второй Директиве о платежных услугах (PSD2) ставит биометрические данные в центр аутентификации личности клиента.
Преимущества биометрии, как для компаний, так и для пользователей, очевидны. Тем не менее, ни один разговор о биометрии не будет полным без рассмотрения проблем, связанных с Общим правилом защиты данных 2016 года (GDPR).
Биометрические данные - это «особая категория» персональных данных в рамках GDPR, что означает, что им предоставляется более высокий уровень защиты. Организации, предоставляющие финансовые услуги, должны четко знать о последствиях обработки биометрических данных для избежания крупных штрафов и ущерба репутации. Финансовые компании должны знать как защитить данные своих клиентов.
Что такое биометрия
Упоминание о биометрии сразу же ассоциируется с отпечатками пальцев и сканированием лица в толпе. Распознавание лиц и отпечатков пальцев, безусловно, являются яркими примерами биометрических технологий на работе, но концепция биометрии простирается гораздо дальше.
Определение GDPR биометрических данных относится как к «физическим, так и к физиологическим характеристикам», включая традиционные примеры отпечатков пальцев и изображений лица, а также, например, сканирование радужной оболочки глаза и сетчатки, распознавание голоса и ДНК и «поведенческие характеристики». GDPR не определяет эту концепцию, но мнение Европейского банковского управления (ЕБА) о SCA, опубликованное в июне 2019 года, дает представление о том, насколько широко это может быть истолковано. При рассмотрении того, что могло бы представлять собой «неотъемлемость», EBA ссылается на «поведенческую биометрию» как включающую поведенческие процессы, созданные организмом. В неисчерпывающем списке характеристик, которые могут входить в понятие «неотъемлемости», EBA определяет, среди прочего, частоту сердечных сокращений, динамику нажатия клавиш (способ, которым пользователь вводит) и даже угол, под которым пользователь держит свое устройство.
Использование биометрии в финансовых услугах
Строгая идентификация клиента (SCA) является очевидным примером того, где биометрия уже начинает играть роль в банковских и финансовых услугах.
Но потенциал биометрии на этой арене огромен. В мире, где безопасность является ключевым фактором, нельзя недооценивать ценность использования части себя в качестве подтверждения пароля. В конце концов, вы не можете забыть или потерять свой отпечаток пальца. В октябре 2019 года NatWest стал первым банком, выпустившим биометрическую кредитную карту с использованием распознавания отпечатков пальцев для подтверждения личности и осуществления платежей. Китай продвинулся на шаг вперед с «Smile-to-Pay», который позволяет пользователям оплачивать товары, просто (как вы уже догадались), улыбаясь на торговых точках.
Биометрия также легко поддается обнаружению и предотвращению мошенничества.
Возьмите шаблоны нажатия клавиш; если мой банк может обнаружить, что я всегда делаю паузу на микросекунду перед звездочкой в своем пароле онлайн-банкинга, чтобы найти правильный ключ, любой сбой этого может вызвать дальнейшие методы аутентификации, чтобы убедиться, что никакой мошенник не пытается войти в мой личный кабинет. В отделе обслуживания клиентов также есть место для биометрии. Клиенты все чаще ожидают более гладкого и технологического сервиса от организаций, с которыми они взаимодействуют. Не исключено, что распознавание голоса используется в линиях обслуживания клиентов как для идентификации клиента без необходимости запрашивать информацию для аутентификации, так и потенциально для информирования о том, как с этим клиентом поступают, исходя из тона и восприятия клиента.
Проблемы конфиденциальности биометрии
Несмотря на явные преимущества биометрии, организации должны проявлять осторожность при использовании биометрических технологий в своем бизнесе. Как упоминалось выше, биометрические данные - это «особая категория» персональных данных в определении GDPR, что означает, что с ними следует обращаться даже более осторожно, чем со «стандартными» персональными данными и точно иметь представление того, как защитить конфиденциальную информацию в случае сбоя или утечки. Вот лишь некоторые из последствий использования биометрических технологий для конфиденциальности:
- Прозрачность. Любая обработка персональных данных требует от организаций информировать людей о том, как обрабатываются персональные данные в банке или в финансовом секторе целом, в понятной и легко доступной форме. Биометрические технологии часто не имеют типичного пользовательского интерфейса, который обычно используется для предоставления доступа к уведомлению о конфиденциальности; например, распознавание голоса на линии обслуживания клиентов. Компании должны будут подумать о том, как они предоставляют клиентам доступ к соответствующей информации о конфиденциальности в рамках этих ограничений и как они могут убедиться, что пользователи понимают предоставленную им информацию.
- Законная основа. Предприятия должны определить соответствующую правовую основу для обработки биометрических данных. Поскольку биометрические данные относятся к персональным данным особой категории, также потребуется условие обработки. Для некоторых случаев использования это будет просто; там, где есть юридическое обязательство обрабатывать данные такого типа, как в примере SCA, организации будут иметь четкую основу для такой обработки. В других случаях это может быть сложнее продемонстрировать. Как правило, бизнес должен быть в состоянии продемонстрировать, что обработка биометрических данных необходима для конкретной цели, и можно было бы обсудить вопрос о том, будет ли когда-либо использование биометрических данных «необходимым», когда обычно существуют другие способы достижения этого процесса. Согласие на использование биометрических данных в финансовом секторе вполне может потребоваться, и в этом случае предприятия должны быть осторожны, чтобы предоставить пользователям надлежащий выбор, а не предоставлять услугу при условии согласия на использование биометрических данных.
- Точность и уклон. Риски предвзятости в технологии распознавания лиц хорошо документированы, но вся обработка биометрических данных подчиняется обязательствам по обеспечению точности данных, включая решения, принятые с использованием этих данных. Предприятиям необходимо подумать о том, какие процессы можно внедрить, чтобы можно было оспаривать точность данных (например, если человек ошибочно определен как мошенник по шаблонам нажатия клавиш), и должен постоянно тестировать и проверять биометрические технологии, чтобы гарантировать неточность решения не принимаются постоянно.
- Автоматизированное принятие решений. Полностью автоматизированные решения, которые имеют юридическое или существенное влияние на человека, не могут основываться на биометрических данных, кроме как в очень ограниченных обстоятельствах или с согласия человека. Предприятия должны встроить механизмы в свои биометрические технологии, чтобы гарантировать, что решение принимается человеком; например, использование технологии для обозначения подозрительной активности, которая затем проверяется вручную, чтобы определить, нужно ли предпринимать какие-либо действия, а не немедленно блокировать учетные записи.
- Безопасность. Вы не можете забыть свои биометрические данные, вы также не можете их изменить, в отличие от пароля или платежной карты. После того, как это окажется под угрозой, пользователь может сделать ограниченное количество попыток для восстановления защиты и контроля над этими данными. Поэтому меры безопасности должны соответствовать самым высоким стандартам, а предприятиям необходимо обеспечить, чтобы сторонние поставщики технологий, участвующие в обработке биометрических данных, внедряли и контролировали эквивалентные меры безопасности.
Вывод
Каким бы ни был сценарий, обработка биометрических данных всегда должна быть пропорциональной, справедливой и обоснованной. Предприятия должны думать о целях, которые они намерены достичь - можно ли достичь этих целей менее навязчивыми средствами. Если ответ «да», будет непросто продемонстрировать, что использование биометрических данных для достижения этих целей является пропорциональным.
Этические соображения должны также приниматься во внимание в процессе проектирования и реализации, чтобы обеспечить соблюдение всеобъемлющего требования GDPR, чтобы обработка была справедливой, а защита персональных данных клиентов в финансовых предприятиях была соблюдена надлежащим образом. Обработка биометрических данных не всегда вступает в противоречие с правовой базой конфиденциальности, но неспособность учитывать последствия может привести к тому, что предприятия окажутся неспособным соблюдать правила GDPR. Продумывание рисков для конфиденциальности с самого начала может помочь организациям разработать эффективные биометрические решения, которые уважают частную жизнь людей и соответствуют действующим законодательным требованиям. Вы можете заказать консультацию международного юриста компании IncFine для того, чтобы прояснить для себя вопросы того, как защитить персональные данные от утечки.