Комментарии 216
И дальше вы в любой момент можете отозвать свое согласие на госуслугах или в приложении оператара биометрической системы ростелекома с уничтоженим этой самой биометрии play.google.com/store/apps/details?id=ru.rtlabs.mobile.ebs.android
Там вон даже есть фраза:
Защита по требованиям законодательства
Ваш цифровой образ защищен в соответствии с требованиями Федерального закона №152-ФЗ «О персональных данных».
Кстати, я тоже могу рассказать историю. Я почти сразу дал согласие, когда оно появилось в приложении сб. онлайн. И с меня даже попытались снять биометрию, когда я позвонил на 900. Но потом прислали смс, что ваше согласие из-за их ошибки оказалось недействительным. И потом мне опять пришлось его подписывать))
И вообще, чтобы проверить подписали вы или нет, достаточно зайти в мобильное приложение Сб. Онлайн, слева «Соглашения и договоры» и «Согласие на обработку биометрических персональных данных», там есть и информация о том, как отозвать это согласие. Так что это вы слишком паритесь.
Вы бы лучше задумались, попадают ли куда-нибудь ваше пальчики, когда вы после 2015 делаете загран. паспорт по новому образцу? Правильный ответ нет, так как пальчики никуда не попадают кроме чипа, а проверяются им же. До чего техника дошла, да?
На самом деле, здесь основной вопрос, как Сбербанк аффилирован с Ростелекомовской системой. Так как мне кажется, что они не связаны, так как судя по карте map.gosuslugi.ru/co?filter=rbi нет там сбербанка. Ну тогда это ж странно, разве Оператор БС это не Ростелеком и только?
Письменное согласие значит именно подпись от руки для возможности проведения почерковедческой экспертизы в случае чего.
Сбербанк ни как не афилирован с Ростелекомом в плане биометрии, более того Сбербанк изначально делает свою отдельную систему, конкурентную Ростелекомовской.
И нет Оператор БС не только Ростелекомом.
Вообще про биометрию много разговоров, но конкретики порой нехватает.
А то все пишут «биометрия», а конкретики нет. Вот написали бы, что она может представлять образец записи речи клиента, отпечатков пальцев или фотографию в анфас (по которой составляется «цифровой отпечаток).
Если банкомат может проверить биометрию лица то он же наверно может её и снять. Образцы голоса могут брать при обращении в поддержку по телефону или при общении с сотрудниками. У них то наверно более продвинутые программисты. Вроде сберу больше ничего не пригодится.
Не обязательно всё делать за один раз. Банкомат же может при каждом подходе снимать. Ну и операторы то могут проверить кто в паспорте и кого банкомат наснимал.
Аналогично и с голосом. При каждом обращении новый образец. До тех пор пока не будет достаточно для заданной точности распознавания.
операторы то могут проверить кто в паспорте и кого банкомат наснимал.
Если у операторов есть фото достаточного качества, чтобы аутентифицировать клиента, зачем его вообще снимать из банкомата?)
При каждом обращении новый образец.
И все разные. Кто-то охрип, кто-то со стройки звонил, у кого-то связь постоянно рвалась. А кто-то вообще редко ходит к банкомату/звонит сам.
Банкоматы конечно меняют. С биометрией толстенные и понатыканы камерами и возможно вспышками в инфракрасном диапазоне. Проверять то её тоже будут не в идеальных условиях.
И все разные. Кто-то охрип, кто-то со стройки звонил, у кого-то связь постоянно рвалась.
Я предполагаю так:
Один человек оставляет несколько образцов с разных звонков и записей разного времени и качества. С этих образцов вычисляют особенности голоса и манеры которые не меняются или меняются предсказуемо. По ним и идентифицируют. Если человек не пользуется такими услугами то и собирать образцы незачем.
Кстати, Гугл ассистент прекрасно отвечает на мои обращения на телефоне жены, когда его никто и не спрашивал. :)
Непонятно зачем скрытно собирать согласие на обработку и в принципе отрывать этот процесс от реальной сдачи БО.
Ну вот человек утверждает что и сбор происходит в банкомате.
#comment_20327212
Я пару месяцев назад подошёл к банкомату, вставил карту — и на экране отобразилось предложение собрать биометрию. Нажал «Да», посмотрел секунд 10 в камеру. Всё.
Никаких тёмных паттернов.
2. Если так, то грош цена ИБ в банке (не верю я в такую глупость команды Германа).
защита от «показать фотографию» есть, но лицензируется отдельно (т.е. вопрос, купил ли её сбер).
> При этом были требования «без очков»
Желающим хоть немного уменьшить возможности банка по тайному сбору биометрии можно подходить к банкомату в чёрных очках. В них к нему никто подходить не запретит. Чулок на голову вызвал бы, конечно, удивление не только у охраны (если банкомат в банке), но даже у граждан, но от тайного сбора биометрии защитил бы сильнее. :-)
Здрасти, приехали.
Большинство солнцезащитных очков, независимо от ценового сегмента, — неполяризованые.
В ряде случаев поляризация — несомненный плюс, однако в остальных (которых в жизни большинство) даёт раздражающие артефакты.
Oakley достаточно хорошие ?
https://www.oakley.com/en-us/category/men/sunglasses
234 модели всего
из них 92 с поляризацией
Причем бренд как бы спортивный, где поляризация часто в тему
Раньше тоже пользовался только поляризационными, пока внезапно не обнаружил, что без поляризации при повседневном использовании комфортней
В ряде случаев поляризация — несомненный плюс, однако в остальных (которых в жизни большинство) даёт раздражающие артефакты.А можете рассказать, что вас раздражает? Я смог заметить, что иногда на LCD экраны смотреть в поляризационные очки нужно под углом. Больше никаких неудобств не заметил. Плюсов по качеству картинки и четкости изображения, особенно в пасмурный день значительно больше.
Помимо жк экранов, с которыми может быть совсем плохо (ips экран смартфона в ландшафте будет черным, как будто выключен) куча менее очевидных вещей зависит от наклона головы: цвет ясного неба, любые бликующие поверхности. Это утомляет.
Ps: главный смысл поляризации уменьшение бликов от окологоризонтальных поверхностей в ясную солнечную погоду: неполяризованый солнечный свет, отразившись под углом приобретает поляризацию, что режется очками. В пасмурную погоду от поляризации толку немного
Может, есть какая-то разница в степени поляризации у разных производителей? Отсюда и могут различия в восприятии поляризованной картинки вырастать.
бликующие поверхности перестают бликовать
В этом основной смысл поляризации. Но эффект зависит от комбинации угла поляризации отраженного света с углом поляризации светофильтра очков (читай — положением головы). И естественные движения головы вызывают нетипичное изменение в изображении предметов, за которые цепляется мозг.
На рыбалке, или при спуске по ярко освещенному снежному склону ценность убранных бликов существенно выше этого мельтешения. А вот при повседневной городской носке — как-то неочевидно.
закалённые стёкла хорошо видны «разводами»
Вы говорите об этом, как о плюсе.
в пасмурную погоду выше контрастность картинки и ярче краски получаются
В пасмурную погоду, при рассеянном освещении это врядли заслуга поляризации, скорее правильно подобранных светофильтров.
В мультфильме вольт, есть прекрасное описание решения по вынимания головы из забора (поворачиваем на 90 градусов)
А в принципе обычно плёнку наоборот делают, так чтобы очкам не мешало (у некоторых тёмные диоптрийные), как примеры — телефоны в нормальном положении экран видно в очках, а в landscape чёрный экран, судя по всему есть негласная договорённость на рынке.
В банкомате даже если поставить 2-3 камеры (а они итак там есть), то большая часть снимков будет фронтальной (может быть, если человек перед камерами не крутится). Если долго пользоваться услугами банка, то они смогут насобирать достаточно снимков для тренировки своего распознавателя. Т.е. то, что банкомат может не распознать с первого захода, совсем не факт, что это невозможно при длительной эксплуатации карты. И наоборот, не имея истории общения с банком, не факт, что банкомат не распознает.
С уверенностью можно сказать, что в долгосроке распознает 100%, а в краткосроке — 50/50.
У меня тоже сотрудник Сбербанка пытался получить согласие обманным путём — предложил поучаствовать в опросе на тему биометрии. Я подумал, что выскажусь против, но вместо опроса на терминале появилось согласие с единственной кнопкой принятия. Спасла кнопка отмены.
зачем 3 экрана показывать?
Усыпление бдительности.
Нет, по факту будет происходить аутентификация по двум факторам, кроме выявленных паттернов в вашем голосе, будет проверятся адекватность.
Т.е. вас будут аутентифицировать в то время, когда оператор задаст какой-либо вопрос, или вы будете расказывать о том, что заставило вас позвонить на ГЛ сегодня.
так или иначе, сотрудники пользуются методичками, правилами, т.е. существует определенный набор вопросов, которые злоумышленник может узнать.
Представьте ситуацию:
Звонит злоумышленник и говорит: «хочу узнать баланс счёта» — вполне скриптовая фраза.
В ответ ему:
- Как я могу к вам обращаться?
- Из какого города вы звоните?
- Вы хотите узнать о новом продукте?
- и так далее
Представьте, что у оператора в этот момент горит флаг — недостаточно данных для аутентификации — аутентификация не пройдена. Задайте дополнительный вопрос.
Так вот этих вопросов может быть море, любых, хоть про погоду.
! Не знаю как на самом деле, это моё виденье.
Набор вопросов не ограничен, если нет уверенности оператор с лёгкостью к кодовому слову может спросить номер паспорта и дату рождения ребёнка/жены (так себе кейс, я номер паспорта, к примеру, не помню, на мой взгляд, т.к. не все помнят, но по ответу могут оценить, а могут завершить разговор словами о том что нужно в отделение)
Да/Нет
Второй — перестали ли вы пить коньяк по утрам ?
udp: Нормальный вопрос. Насторожило бы «Я считаю, что я употребляю слишком мало алкоголя. Да/Нет»
Еще на каком-то медосмотре подсунули вариант: «Мне кажется, что мне надо меньше пить спиртного». Тоже как ни отвечай — алкаш.
Но у меня нет никаких гарантий, что ПД будут действительно удалены. И нет вариантов это проверить.
Конечно, можно пофантазировать на тему централизованной БД с доступом по типу госуслуг, чтобы любой юзер мог проверить, с какими организациями ассоциированы его ПД (можно даже без указания ПД, просто: «ПД такого-то юзера имеются в таких-то организациях»). Но боюсь, что это получится даже еще хуже.
После запроса на прекращение обработки можно написать письмо с требованием предоставить те ПДн, что хранятся у них. Если что-то внезапно найдется — ну, сами себе злые буратины.
Обмануть тут конечно можно, но вряд ли кто-то будет заниматься этим специально, а по рукам для профилактики можно будет дать.
Да, отозвать можно, но определен перечень случаев, в каковых обработка продолжится даже после отзыва. Ради интереса я дочитал его. Длинный-длинный, а в конце, разумеется "… и иных случаев, когда обработка ПД необходима для достижения целей этой обработки."
А потом самое жёсткое. Пишем в РКН просьбу проверить, не остались ли ваши данные после отзыва в архивных, dev и прочих копиях баз. А то я слышал, как кто-то кому-то говорил, что архивы от таких данных они не очищают.
Большинство граждан не видит ничего плохого в сборе биометрии и даже не знает — что это такое. Со временем это большинство будет считать биометрию ещё одним типом разрешения на пользование услугами банка.
> в любой момент отозвать согласие
> на обработку персональных данных
Банки не выполняют этот закон. Гражданин пишет в банк письмо с отзывом своего согласия. Банк игнорирует этот отзыв. Гражданин может, конечно, судиться с банком из-за этого, но у обычного гражданина на это нет времени. Да и у банков юристы получают зарплату за то, что занимаются судебными делами с гражданами, а граждане даже в случае победы в судах получают в основном лишь моральное удовлетворение, которое на хлеб не намажешь.
Гражданин может, конечно, судиться с банком из-за этого, но у обычного гражданина на это нет времени.
Гражданину и не надо судиться. Если права гражданина нарушены, то судиться за него обязаны соответствующие госорганы, куда достаточно сообщить о нарушении.
Ворон ворону…
биометрия может добавить дополнительный слой безопасности в отношения между банком и клиентом
Вероятнее всего, она может добавить слой опасности, а не безопасности.
Вообще-то это прямой повод для серьезного разбирательства.
Извините, я тоже чуть не понял. То есть у Алисы есть номер 123, она звонит Бобу, но определитель номера у Боба изображает номер, например, 456, верно?
Я пару месяцев назад подошёл к банкомату, вставил карту — и на экране отобразилось предложение собрать биометрию. Нажал «Да», посмотрел секунд 10 в камеру. Всё.
Никаких тёмных паттернов.
Далее девочка выудила мой телефон, мотивируя это необходимостью процедуры активации.
Затем попросила согласиться с SMS-информированием, но я вежливо отказался, узнав, что услуга платная, 60 рублей в месяц. После попросила дать согласие на сбор биометрии. Напомнила, что это пока только согласие. И да, это не только фото сетчатки глаза, а ещё и хэш голоса. Так что если хэши «утекут», то в случае с классическим паролем, ты его поменяешь. А голос — нет. Так что я не согласился.
Так и не понял, зачем девочка помогала мне с активацией. Кроме как для сбора согласия со сбором биометрии, весьма вряд ли.
это не только фото сетчатки глаза
Радужной оболочки.
Это и в банке, как в теме поста, это и у сотового оператора («да-да, вы подписались на доступ к развлекательному контенту у нашего партнера, только ни когда, ни где, ни каким способом — ничего этого мы не знаем, но деньги со счета оплаты мобильной связи снимаем»), да и много еще где. Те же карточки лояльности в оффлайновых магазинах, они потенциально часто означают, что клиент подписался на получение СМС рассылок, только по сути карточки такие мы часто берем (с точки зрения магаза — оформляем и со всем соглашаемся) не глядя, и в момент получения карты нас уверяют, что никаких рассылок у них не делается, «и вообще она только для скидок».
Как ни крути, актуальной темой становится некая единая точка сбора такого рода согласий, на уровне гос-ва. Правда, гос-ву оно не надо, так что реализовано не будет, но без этого обман и введение в заблуждение будут встречаться нам на каждом шагу. Где-то программист конкретного банка или сотовой компании накосячит (потому что программисты — это не дизайнеры и не спецы по UI, и они самый заурядный диалог согласия могут сделать столь малоудобным, что юзеры не осилят его прочесть/понять), а где-то и предзаданный «скрипт» общения с клиентом таков, что, натурально, сотрудники сознательно юзерам диктуют «вот здесь согласитесь, вот где написано, что вы свою кожу, кости и мозги завещаете нашему коллекторскому отделу». «Ага,» — так и подмывает добавить, — «после смерти, но не позднее 3 месяцев с момента подписания этого согласия.»
Вообще-то лучше чтоб управление шло на уровне пользователя и с управлением типа как для апи по OAuth. Конторка которой нужны мои данные реквестирует запрос на доступ с перечнем скоупа нужных данных, описанием — для чего, на какой срок, домен или подсеть с которой будут запросы… — им генерируется токен для использования на заданный период действия и ключ для дешифровки. (При желании, можно отозвать доступ досрочно). Данные соответственно передаются не в открытом виде, и ориентированы на скриптовую обработку, а не вручную. Сохранять данные, как минимум более существенные чем фио-мыло — типа паспортных, снилсов, тех же биометрий и т.п. или передавать ключ третьим лицам должно быть запрещено под административную ответственность. (В идеале должны использоваться только сертифицированные либы — как минимум — на использование всякой биометрии и т.п. И наружу должен быть только публичный PersonalDataId) Конечно есть риски, что все равно насохраняют и напередают, но как минимум это должно быть сложнее чем просто зафотать, или скопировать эксельку.
Функции отправки мыла/смс при разрешении можно реализовать засчет оператора хранения персональных данных — т.е. бизнес-клиенты шлют только текст сообщения на апи, и если у них одобрен доступ на отправку — я получаю инфу. (Соответственно доступ к апи для бизнеса вероятее всего будет платным… хотя все равно за рассылки и так платят)
Начнут спамить реквестами — должен быть игнор и абуз-репорт
Биометрию соответственно тоже верифицировать можно на стороне оператора перс.данных присылая им образец для сравнения
Ну и наличие данных у кого-то без наличия одобренного реквеста в моем менеджере — повод для судебного разбирательства о неправомерном доступе и обработке.
[Концепт пришёл в голову только что, и серьёзно не продумывался]
Хотя конечно для большинства такое будет гемороно и сложно, и ткнуть кнопку "на все согласен" гораздо проще, особенно если за это предлагают скидку или кешбек
Хоть одну причину, зачем это им, можете назвать?
Вы вот прикола ради зайдите в любой соседний магаз, где получали карту клиента, и напишите заявление на прекращение обработки персональных данных. Уверяю — развлечетесь!
Компаниям это не нужно, пока им перед лицом не показывают большой кулакШутку понял — смешно :). Ваш кулак настолько мизерный, что трясти им вы можете сколько угодно — фашистам на это наплевать. Фашисты будут и дальше строить для вас концлагерь и ничего вы с этим сделать не сможете. Пока не поймете, что фашизм (неравенство) — это плохо, а коммунизм (равенство) — хорошо.
Как это вяжется с утверждением, что компания уверена в факте согласия/покупки/подписки — я не могу понять.
Завуалированное мошенничество? К теме призываются юристы, возможно есть специалисты по данным вопросам
И разумеется, отказ от сбора ПД подразумевает и отказ от обслуживания.
Ах да, забыл, есть тонкий момент и в фактическом использовании ПД. Формально я могу спросить, как они использовались, но что будет, если мне соврут? А по факту так и будет, поскольку иметь данные хотят все, а вот играть в них по правилам — никто. Это же бюрократия, режимы хранения, логирование, так что проще сказать «никак не использовали, ни-ни!»
Да, ещё раз: я говорю именно про то, что коммерция часто запрашивает прав больше, чем им нужно для прямой своей работы. Если мы ругаемся на приложения на телефоне, когда игра просит право отправлять смс, то почему соглашение о ПД должно приниматься некритично, если в нем написано «очень не очень»?
> коммерция часто запрашивает прав больше,
> чем им нужно для прямой своей работы.
Вот именно. Для расчёта кредитного потенциала они требуют биометрию лица, как будто мы живём в фашистском государстве, в котором форма лица влияет на набор прав гражданина.
Когда я начал замечать рекламу биометрии в банкоматах Сбера («попробуйте», «подключите»), я подумал, глядя в бесстрастный глазок камеры: а что мешает уже сейчас, безо всякого согласия, ее собирать? Камеры нас снимают во всех банкоматах, а обработанное нейросетью лицо — это тупо набор цифр, который не надо хранить в виде твоего фото или видео. Так что собрать — уже наверняка давно все собрано, надо только где-то как-то попросить разрешения использовать. А теперь последний кусок пазла нашелся.
Опять же с детскими картами. Я не знаю на кого они оформляются, но если на родителей, то опять же будет некорректное сопоставление.
Первичный сбор биометрии должен проводиться в тепличных условиях, чтобы эталонный образец был идеальным, иначе полезут ошибки идентификации.
P.s. Я не говорю, что Сбер так не делает, но с точки зрения работы с биометрией — это совершенно некорректно.
Зачем Сбербанк так настойчиво собирает согласия и биометрические данные? Не уже ли заботится об удобстве и безопасности клиентов?
2. Отработка алгоритмов распознавания, чем больше массив данных тем больше можно выявить ошибок соответственно в будущем повысить качество распознавания.
3. Сокращение штата сотрудников за счет дистанционного обслуживания.
4. Просыпаетесь утром, а у Вас смс о полученном кредите под под безумный процент, пытаетесь разобраться откуда у вас кредит, но как оказалось вы сами его попросили по телефону, да вы его вернули, но процентик уже капнул.
Зелёные паттерны по вымогательству биометрии.
А референсную картинку клиента как получают?
Она же должна быть:
— хорошего качества
— подтверждена конкретным менеджером
Я тоже не понял, согласие они получили, а откуда сама биометрия возьмётся?
Про голос не могу сказать, но для эталонного образца лица картинки просто с камеры недостаточно. Нужно ровное прямое положение. В некоторых случаях еще и повертеть головой определенным образом.
Но! Биометрия по лицу, работающая с обычной веб-камеры крайне ненадежна и легко обманывается фоткой. Нормальные лицевые биометрии включают в себя дополнительные средства определения фейков: ИК, 3D и так далее.
Они мне так карту кредитную выпустили. Далее описание ситуации:
Звонит мне оператор и говорит дословно:
— Здравствуйте, Анон Аноныч! Ваша кредитная карта такая-то на такую-то сумму ВЫПУЩЕНА. Где удобно забрать?
Я от такого настолько растерялся (точно ничего у них не просил и тем более не давал никаких согласий ни в какой форме), что просто назвал ближайший ко мне адрес.
В итоге, как только карта материализовалась в ЛК, тут же её заблокировал, сходил в отделение и закрыл её даже не забирая.
Потом написал в ТП, но там ответили в стиле «сам виноват, надо было отказаться, когда звонил оператор». На моё резонное замечание о том, что вообще-то в таких случаях надо не объявлять о том, что карта готова и её надо забрать, а сначала это самое согласие спросить, представитель этого, простите за эмоциональное определение, г*внобанка просто съехала с темы.
В общем, написал жалобу в регулятор и на Банкиру. И хоть регулятор тоже отнекался и спустил всё на тормозах, но хоть Банкиру принял ситуацию как обоснованную и зарегистрировал отзыв как обоснованный и отрицательный.
В итоге, Сбер и так для меня был на уровне плинтуса по моим личным рейтингам, а после этого случая уверенно ушёл ещё ниже.
Я пришел забирать перевыпущенную карту. Девочка выдала карту, поворачивает ко мне монитор с какими-то картинками, смотрит гипнотически и говорит (с чёткой побудительной, не предполагающей вопросов интонацией):
— Для улучшения безопасности банковского обслуживания мы собираем биометрическую информацию. Ознакомьтесь с информацией на экране, а потом я сделаю вашу фотографию и запишу образец голоса.
— Ммм. Я могу отказаться?
— Да!
Невозмутимо отворачивает монитор и прощается.
Похоже, что это четко отрепетированная интонация и лексика. Чтоб у клиента создавалось ощущение неизбежности грядущего снятия биометрии.
И, на мой взгляд, это довольно грязные методы.
В мобильном приложении под андроид сбербанк частенько просил включить пуш-уведомления (дабы экономить на смсках :), но интернетом на смартфоне я пользуюсь когда мне это нужно и не оставляю всегда включенным. В очередной раз выскочило предложение включить, я нажал на «закрыть»… Затем пришла смска что пуш-уведомления включены и если нет интернета то уведомления будут приходить по смс. Я в ступоре т.к. только что отказался от этой возможности т.к. она мне не нужна, но мобильное приложение сбера решил за меня иначе. Лезу в настройки, отключаю руками. Fin.
Вот такой вот фокус от сбера, не удивлюсь\не удивлён «согласию» по банковской карте и пин-коду. У сбера и так достаточно данных обо мне, но походу мало.
А биометрия нужна им скорее всего для запуска распознавания клиентов по лицу на банкоматах, на которых уже пол года висит информация что уже «вот-вот наступит будущее».
Как Сбербанк собирает согласие на обработку биометрии