Правовое сопровождение проекта по внедрению биометрической оплаты в Казанском метрополитене
С августа 2024 года в Казанском метрополитене можно расплачиваться при помощи системы FacePay — для этого достаточно взглянуть на камеру и дождаться совершения транзакции. В этом кейсе мы расскажем, как мы сопровождали это событие в юридическом контексте.
Контекст
Организация «Социальная карта», специализирующаяся на разработке и внедрении информационных технологий, обратилась к нам за юридической поддержкой в реализации проекта по внедрению системы биометрической оплаты в метрополитене города Казани.
В рамках проекта будет использоваться система биометрической аутентификации Face2, которая позволяет производить оплату проезда с помощью распознавания лица. Обработка биометрических данных для оплаты в метро будет осуществляться ПАО «Ак Барс» Банком.
Цель проекта звучала примерно так: запустить соответствующую Закону №572-ФЗ систему биоэквайринга в Казанском метро.
Чтобы достичь этой цели, нам пришлось решить множество задач:
В частности, мы разработали маршрут пользователя для будущих клиентов метрополитена, который включает в себя все этапы: от предоставления биометрических данных до подписания межбанковского соглашения для оплаты с помощью технологии распознавания лиц.
Также мы оформили правовые отношения между нашим заказчиком и партнёрами проекта, учтя интересы и обязанности каждой стороны.
Мы описали роли участников процесса оплаты с помощью биометрии и определили требования к участникам проекта: каналы связи для передачи информации; распределение ответственности между участниками.
Кроме того, мы рассмотрели и другие специфические вопросы.
Таким образом, нам нужно было интегрировать систему распознавания лиц, идентификацию по биометрическим данным и классические платёжные инструменты.
На момент нашего подключения к проекту только девять банков были аккредитованы для работы с биометрией. Федеральный закон № 572-ФЗ, регулирующий эту сферу, был принят недавно, и практика его применения ещё не сформировалась.
В общем, нас ждал огромный проект…
Почему заказчик выбрал нас
Мы уже пять лет занимается проектами в сфере информационных технологий. За это время мы оказали экспертную юридическую поддержку различным продуктам. Среди них:
Финтех-сервисы для проведения массовых расчётов с физическими лицами. Мы погрузились в правовые аспекты банковских переводов, изучили работу Системы быстрых платежей (СБП) и взаимодействие субъектов банковской системы.
Сервисы для электронного документооборота. Мы активно работали с применением электронных подписей (ПЭП, ПЭП ЕСИА, УНЭП, УКЭП) и передачей данных третьим лицам.
Работа с технической документацией для реализации механизма «многофакторной аутентификации» (МЧД). Мы изучили технические и юридические особенности легитимной работы xml-схем, обязанности интернет-сервиса электронного документооборота (ЭДО) в связи с использованием МЧД и методы проверки этих данных.
Сервис идентификации по фотографии и создания электронной подписи работал до появления изменений в законе об информации и отдельного закона №572-ФЗ. Благодаря нашему опыту в анализе использования биометрических данных и квалификации отношений по использованию фото, мы быстро разобрались в новом регулировании и предоставили качественные консультации клиенту.
Мы сталкиваемся с большим объёмом нового и сложного законодательства, которое написано на техническом языке. Чтобы разобраться в этом, мы углублённо изучаем технические детали и активно взаимодействуем с разработчиками, продакт-менеджерами и другими представителями заказчиков.
Когда мы только начинали проект по биометрии, нам нужно было разработать всю юридическую схему с нуля. Эту схему должны были утвердить и принять несколько участников, включая НСПК и ЦБТ.
Какие документы мы подготовили
В начале нашей работы мы разработали дорожную карту, которая стала основой для дальнейшей деятельности. Эта карта представляла собой схему взаимодействия между участниками системы оплаты и включала в себя основные условия и документы, необходимые для её успешного функционирования.
Однако в процессе реализации проекта карта неоднократно менялась, что требовало от нас быстрой адаптации и поиска новых решений. Мы должны были оперативно реагировать на изменения и находить новые подходы, чтобы продолжать двигаться в правильном направлении.
Разбираемся с законами о биометрии
Прежде чем погружаться в мир правовых взаимоотношений между нашим заказчиком и его партнерами, нам предстояла большая и крайне интересная задача — разобраться в №572-ФЗ, который регулирует идентификацию и аутентификацию физических лиц с использованием биометрии и сопутствующих ему правовых актах. Спойлер: было непросто, но мы справились и сейчас попробуем на пальцах объяснить, как всё работает. Что еще за векторы? Это же юридический кейс, откуда взялась геометрия?!
Без паники. Вектор Единой биометрической системы — математический шаблон, который по своей сути не является биометрией, а лишь описывает ее. Если совсем упрощать, то это как в том меме с капитаном Джеком Воробьем и его рисунком ключа.
Проблемы недетерминированной логики
Начнем с детерминированной логики. Эта логика строится по заранее определенному и предсказуемому пути. Это как идти по дороге, где у каждой развилки висит чёткая инструкция: если хочешь добраться до цели, иди направо. Здесь нет вариантов — каждый раз, приходя к развилке, мы знаем точно, куда идти, и конечный результат всегда будет один и тот же.
По принципу детерминированной логики работает, например, классическая электронная подпись. Электронная подпись использует детерминированный алгоритм, где при одинаковых условиях (один и тот же документ и ключ) результат подписи всегда предсказуем. Нет случайных результатов или различных путей, как в недетерминированной логике: подпись создаётся и проверяется по чётким и неизменным правилам.
С недетерминированной логикой ситуация сложнее. Если возвращаться к примеру с дорогой, то на той же развилке может быть несколько правильных путей. То есть система может выбрать одно из нескольких возможных направлений, и каждый раз это может быть разный выбор. Представь, что стоишь на развилке, и у тебя есть три дороги, ведущие к одной цели, но ты не знаешь, какую выберешь в следующий раз. Каждый выбор может привести к разному пути, даже если конечная цель — одна.
Идентификация по биометрии работает по принципам недетерминированной логики из-за математических принципов, которые в нее заложены. Каждый раз, когда пользователю нужно будет проходить идентификацию по биометрии, будут меняться условия фиксации его биометрии. Например, не получится сделать два идентичных фотоснимка человека — всегда будут отличаться положение головы, освещенность, прическа и бесконечное число параметров. Поэтому в ход идет такая вещь как вероятность: насколько новый вектор похож на тот, что хранится в базе ЕБС. И это значение никогда не может достигнуть 100%.
Право — довольно консервативная сфера, которая не терпит неопределенностей. Поэтому мы, как юристы, должны были четко разграничить условия, при которых биометрическую идентификацию можно будет считать успешной. При этом когда мы начали работать над этим проектом не существовало общепринятых правил, нормативов и общественного понимания, как все это должно работать.
Но в ходе общения с техническими специалистами заказчика, а также экспертами из отрасли нам удалось переложить всю эту математическую модель в юридическую плоскость. Задача была не из простых, но мы справились.
Тернистый путь пользователя для подключения оплаты по биометрии
После того как мы разобрались с тонкостями закона № 572-ФЗ и проблемами недетерминированной логики, нас ждал новый вызов — разработать легитимный пользовательский путь. На первый взгляд задача кажется тривиальной, но не всё так просто.
Вот какой путь нужно будет проделать пользователю, чтобы оплачивать проезд в метро при помощи биометрии:
Первый шаг — сдать биометрию в ГИС ЕБС в приложении «Госуслуги. Биометрия» или обратиться в отделение банка (актуальную карту банков смотрите здесь). Нужно будет сделать фотографию лица, а также записать голос, после чего данные будут переданы в ГИС ЕБС. Отлично, теперь можно распоряжаться своими биометрическими данными.
Второй шаг — зарегистрироваться в системе Face2Pay через ЕСИА, а также дать согласие на обработку биометрических данных. Это важный шаг, так как на станциях метро установлены терминалы от Face2, которые обрабатывают фото пользователей и передают их для обработки в «Ак Барс Банк» — это аккредитованная организация, которая может сравнивать вектор полученной биометрии с биометрией из ГИС ЕБС.
Третий шаг — в приложении СБПэй нужно выбрать счёт, с которого вы хотите оплачивать проезд, подключить к нему биометрию и вновь дать согласие на обработку данных. Если все было выполнено верно, то теперь проезд в казанском метро можно оплачивать взглядом, а деньги за проезд будут списываться с указанного счета.
Наша задача на этом этапе заключалась в том, чтобы формализовать весь пользовательский путь с точки зрения закона.
Что в итоге
30 августа 2024 года система биометрической оплаты в казанском метрополитене была успешно запущена, о чем писали федеральные медиа (например, IZ.ru и RusBase).
Мы гордимся тем, что приняли участие в создании такого значимого проекта.