Биометрия все чаще становятся частью нашей повседневной жизни, от разблокировки наших телефонов с помощью отпечатков пальцев или лиц, до распознавания радужной оболочки в аэропорте, до распознавания голоса, когда мы разговариваем с Алекса и Сири. И тут возникает вопрос - как защитить свои данные от утечки среди столь развитых технологий.
Биометрическая идентификация в финансовом секторе
Для сектора финансовых услуг биометрия является ключевой частью будущих нормативных требований.Введение строгих требований к аутентификации клиентов (SCA) во второй Директиве о платежных услугах (PSD2) ставит биометрические данные в центр аутентификации личности клиента.
Преимущества биометрии, как для компаний, так и для пользователей, очевидны. Тем не менее, ни один разговор о биометрии не будет полным без рассмотрения проблем, связанных с Общим правилом защиты данных 2016 года (GDPR).Биометрические данные - это «особая категория» персональных данных в рамках GDPR, что означает, что им предоставляется более высокий уровень защиты. Организации, предоставляющие финансовые услуги, должны четко знать о последствиях обработки биометрических данных для избежания крупных штрафов и ущерба репутации. Финансовые компании должны знать как защитить данные своих клиентов.
Что такое биометрия
Упоминание о биометрии сразу же ассоциируется с отпечатками пальцев и сканированием лица в толпе. Распознавание лиц и отпечатков пальцев, безусловно, являются яркими примерами биометрических технологий на работе, но концепция биометрии простирается гораздо дальше.Определение GDPR биометрических данных относится как к «физическим, так и к физиологическим характеристикам», включая традиционные примеры отпечатков пальцев и изображений лица, а также, например, сканирование радужной оболочки глаза и сетчатки, распознавание голоса и ДНК и «поведенческие характеристики». GDPR не определяет эту концепцию, но мнение Европейского банковского управления (ЕБА) о SCA, опубликованное в июне 2019 года, дает представление о том, насколько широко это может быть истолковано. При рассмотрении того, что могло бы представлять собой «неотъемлемость», EBA ссылается на «поведенческую биометрию» как включающую поведенческие процессы, созданные организмом. В неисчерпывающем списке характеристик, которые могут входить в понятие «неотъемлемости», EBA определяет, среди прочего, частоту сердечных сокращений, динамику нажатия клавиш (способ, которым пользователь вводит) и даже угол, под которым пользователь держит свое устройство.
Использование биометрии в финансовых услугах
Строгая идентификация клиента (SCA) является очевидным примером того, где биометрия уже начинает играть роль в банковских и финансовых услугах.Но потенциал биометрии на этой арене огромен. В мире, где безопасность является ключевым фактором, нельзя недооценивать ценность использования части себя в качестве подтверждения пароля. В конце концов, вы не можете забыть или потерять свой отпечаток пальца. В октябре 2019 года NatWest стал первым банком, выпустившим биометрическую кредитную карту с использованием распознавания отпечатков пальцев для подтверждения личности и осуществления платежей. Китай продвинулся на шаг вперед с «Smile-to-Pay», который позволяет пользователям оплачивать товары, просто (как вы уже догадались), улыбаясь на торговых точках.
Биометрия также легко поддается обнаружению и предотвращению мошенничества.Возьмите шаблоны нажатия клавиш; если мой банк может обнаружить, что я всегда делаю паузу на микросекунду перед звездочкой в своем пароле онлайн-банкинга, чтобы найти правильный ключ, любой сбой этого может вызвать дальнейшие методы аутентификации, чтобы убедиться, что никакой мошенник не пытается войти в мой личный кабинет. В отделе обслуживания клиентов также есть место для биометрии. Клиенты все чаще ожидают более гладкого и технологического сервиса от организаций, с которыми они взаимодействуют. Не исключено, что распознавание голоса используется в линиях обслуживания клиентов как для идентификации клиента без необходимости запрашивать информацию для аутентификации, так и потенциально для информирования о том, как с этим клиентом поступают, исходя из тона и восприятия клиента.
Проблемы конфиденциальности биометрии
Несмотря на явные преимущества биометрии, организации должны проявлять осторожность при использовании биометрических технологий в своем бизнесе. Как упоминалось выше, биометрические данные - это «особая категория» персональных данных в определении GDPR, что означает, что с ними следует обращаться даже более осторожно, чем со «стандартными» персональными данными и точно иметь представление того, как защитить конфиденциальную информацию в случае сбоя или утечки. Вот лишь некоторые из последствий использования биометрических технологий для конфиденциальности:- Прозрачность. Любая обработка персональных данных требует от организаций информировать людей о том, как обрабатываются персональные данные в банке или в финансовом секторе целом, в понятной и легко доступной форме. Биометрические технологии часто не имеют типичного пользовательского интерфейса, который обычно используется для предоставления доступа к уведомлению о конфиденциальности; например, распознавание голоса на линии обслуживания клиентов. Компании должны будут подумать о том, как они предоставляют клиентам доступ к соответствующей информации о конфиденциальности в рамках этих ограничений и как они могут убедиться, что пользователи понимают предоставленную им информацию.
- Законная основа. Предприятия должны определить соответствующую правовую основу для обработки биометрических данных. Поскольку биометрические данные относятся к персональным данным особой категории, также потребуется условие обработки. Для некоторых случаев использования это будет просто; там, где есть юридическое обязательство обрабатывать данные такого типа, как в примере SCA, организации будут иметь четкую основу для такой обработки. В других случаях это может быть сложнее продемонстрировать. Как правило, бизнес должен быть в состоянии продемонстрировать, что обработка биометрических данных необходима для конкретной цели, и можно было бы обсудить вопрос о том, будет ли когда-либо использование биометрических данных «необходимым», когда обычно существуют другие способы достижения этого процесса. Согласие на использование биометрических данных в финансовом секторе вполне может потребоваться, и в этом случае предприятия должны быть осторожны, чтобы предоставить пользователям надлежащий выбор, а не предоставлять услугу при условии согласия на использование биометрических данных.
- Точность и уклон. Риски предвзятости в технологии распознавания лиц хорошо документированы, но вся обработка биометрических данных подчиняется обязательствам по обеспечению точности данных, включая решения, принятые с использованием этих данных. Предприятиям необходимо подумать о том, какие процессы можно внедрить, чтобы можно было оспаривать точность данных (например, если человек ошибочно определен как мошенник по шаблонам нажатия клавиш), и должен постоянно тестировать и проверять биометрические технологии, чтобы гарантировать неточность решения не принимаются постоянно.
- Автоматизированное принятие решений. Полностью автоматизированные решения, которые имеют юридическое или существенное влияние на человека, не могут основываться на биометрических данных, кроме как в очень ограниченных обстоятельствах или с согласия человека. Предприятия должны встроить механизмы в свои биометрические технологии, чтобы гарантировать, что решение принимается человеком; например, использование технологии для обозначения подозрительной активности, которая затем проверяется вручную, чтобы определить, нужно ли предпринимать какие-либо действия, а не немедленно блокировать учетные записи.
- Безопасность. Вы не можете забыть свои биометрические данные, вы также не можете их изменить, в отличие от пароля или платежной карты. После того, как это окажется под угрозой, пользователь может сделать ограниченное количество попыток для восстановления защиты и контроля над этими данными. Поэтому меры безопасности должны соответствовать самым высоким стандартам, а предприятиям необходимо обеспечить, чтобы сторонние поставщики технологий, участвующие в обработке биометрических данных, внедряли и контролировали эквивалентные меры безопасности.
Вывод
Каким бы ни был сценарий, обработка биометрических данных всегда должна быть пропорциональной, справедливой и обоснованной. Предприятия должны думать о целях, которые они намерены достичь - можно ли достичь этих целей менее навязчивыми средствами. Если ответ «да», будет непросто продемонстрировать, что использование биометрических данных для достижения этих целей является пропорциональным.Этические соображения должны также приниматься во внимание в процессе проектирования и реализации, чтобы обеспечить соблюдение всеобъемлющего требования GDPR, чтобы обработка была справедливой, а защита персональных данных клиентов в финансовых предприятиях была соблюдена надлежащим образом. Обработка биометрических данных не всегда вступает в противоречие с правовой базой конфиденциальности, но неспособность учитывать последствия может привести к тому, что предприятия окажутся неспособным соблюдать правила GDPR. Продумывание рисков для конфиденциальности с самого начала может помочь организациям разработать эффективные биометрические решения, которые уважают частную жизнь людей и соответствуют действующим законодательным требованиям. Вы можете заказать консультацию международного юриста компании IQ Decision UK для того, чтобы прояснить для себя вопросы того, как защитить персональные данные от утечки.
