«Тинькофф» снимает биометрию
Данные клиентов банка могут попасть в ЕБС
Тинькофф-банк запросил у клиентов согласие на обработку их фотографий, сделанных при оформлении продуктов, для перевода в формат биометрических данных, в том числе векторов Единой биометрической системы (ЕБС). Число клиентов банка оценивается в 30 млн человек, это значительный массив данных, которые могли бы существенно пополнить ЕБС. Но без согласия информацию придется просто удалить. Пока, по данным “Ъ”, граждане в основном настроены негативно. Однако, чтобы избежать попадания в ЕБС, они должны выразить отказ в явной форме — через обращение в банк.
Рисунок: Виктор Чумачев, Коммерсантъ
Рисунок: Виктор Чумачев, Коммерсантъ
С конца сентября Тинькофф-банк (MOEX: TCSG) начал собирать через мобильное приложение согласия клиентов на обработку фотографий, которые делались при оформлении продуктов, обратил внимание “Ъ”. «Это позволит быстро подтверждать операции и защищать вас от мошенников»,— поясняли в банке. При этом способ коммуникации был выбран не самый ординарный: банк не стал тратиться на СМС, почту или даже push-уведомления, а лишь опубликовал информацию в «сторис» (временные короткие видеоистории) в верхней части своего мобильного приложения.
Суть обращения такова: банк просит клиентов дать согласие на обработку биометрических персональных данных и ее результат, включая векторы ЕБС. Цель — совершение банком действий, «направленных на обеспечение безопасности» операций, выдачи кредита, а также аутентификации при дистанционном обслуживании.
В этом же тексте банк фактически уведомляет клиентов, что в соответствии с 572-ФЗ разместит данные в ЕБС.
В Роскомнадзоре пояснили “Ъ”, что законодательство допускает включение в текст одного материального носителя нескольких согласий на обработку данных при условии соответствия целей обработки.
Больше всего вопросов и возмущения клиентов вызвало то, что в обращении Тинькофф-банк предоставил возможность лишь одного выбора — кнопку «разрешить». Под «сторис» появилось более чем 3,4 тыс. комментариев. Клиенты не поняли, как оформить отказ в обработке данных.
“Ъ” выяснил, что если пройти по ссылке из сообщения и изучить текст согласия, можно увидеть, что «отзывом согласия на обработку биометрических данных» является отказ, направленный посредством «Почты России» или через личное обращение в банк, в том числе посредством сервисов дистанционного обслуживания.
Фотографии, о которых идет речь, традиционно делали курьеры, доставляющие продукты банка.
Как следует из предыдущих разъяснений сотрудников банка, например, на портале Banki.ru, «на встрече представитель обязан сделать фотографии клиента с запечатанным конвертом в руках и отдельно — снимок паспорта, на котором будут видны данные».
Сама по себе фотография не считается биометрией (это подтвердил сотрудник банка в чате клиентской поддержки). Но ситуация меняется, если клиент даст согласие на обработку. Тогда банк на базе фотографии сможет сделать цифровой слепок. «Также фотография может быть из видеозвонка или при использовании Face ID, и прочее»,— уточнил сотрудник банка.
У опрошенных “Ъ” участников рынка вызывает вопросы качество такого рода фотографий.
Впрочем, признают банкиры, при экспорте в ЕБС снимки будут проходить проверку. При этом сам объем данных у банка может быть значительным, говорят источники “Ъ”,— такая «биометрическая база» по сути равна количеству клиентов. По данным самого Тинькофф-банка, на середину 2023 года у него свыше 30 млн розничных клиентов.
Поскольку банк собирает согласия лишь сейчас, вероятно, он до последнего времени не считал эти фотографии биометрией, используя лишь для целей антифрода, отмечают собеседники “Ъ” на финансовом рынке.
«Если согласия собираются с целью изменить категорию ранее собранных персональных данных, чтобы превратить их в биометрические и передать в ЕБС, то это не получится, получать согласие на обработку постфактум неправомерно»,— полагает управляющий партнер Comply Артем Дмитриев. В банке “Ъ” не ответили.
Между тем сейчас формально у банка есть только два варианта действий: получить согласия клиентов и передать данные в ЕБС или же полностью удалить информацию из своей системы. Хранение биометрии теперь допустимо только в ЕБС, а сбор данных для коммерческих систем запрещен.