Как Сбербанк собирает согласие на обработку биометрии

    TL;DR: Сбербанк собирает согласие на сбор и обработку биометрических данных без нормального информирования своих клиентов об этом.

    Вступление


    Если говорить о биометрических данных, то пока самым интересным сектором для их применения в частном бизнесе является банкинг. Суть простая — биометрия может добавить дополнительный слой безопасности в отношения между банком и клиентом, тем самым отрезав ряд совсем глупых мошенников.

    Однако, законодательное регулирование отрасли пока слегка пробуксовывает — из-за величины Сбербанка, складывается ситуация, похожая на рынок переводов между картами: то есть, есть Сбербанк, который держит 80% рынка, и есть система от ЦБ РФ, присоединяться к которой Сбербанк не торопится без должной мотивации.

    С биометрией дело обстоит так: есть Единая биометрическая система (ЕБС), ей управляет Ростелеком. Сбербанк против ЕБС, потому что у него есть своя система, в которой сбор данных — проще и уже «миллионы» клиентов.

    Но минуточку...


    Да, внезапно возникает вопрос — а что, действительно миллионы клиентов Сбербанка в России дали осознанное согласие на предоставление своих биометрических данных?

    А что, действительно миллионы знают, что они его дали?

    Поскольку я его недавно «дал» (разумеется, не осознанно), давайте я расскажу, как это выглядело.

    Процедура


    Началось все с того, что приложение «Сбербанк.Онлайн» стало предлагать ту самую биометрию предоставить. Я нажимал кнопочку «Не сейчас», но я не отказывался совсем. Я хотел больше узнать, что будет собираться и как.

    Потом я пришел в отделение банка, прямиком в кассу, снять денег с карточки. И дальше произошло чудесное.

    Кассир попросила вставить карту для подтверждения операции снятия. Я посмотрел на экран терминала, а там мелким шрифтом было написано что-то про биометрию.

    Это и было мое мотивированное и осознанное согласие: кассир говорит «вставьте карточку».

    То есть, еще раз: в замечательной системе Сбербанка («блокчейн», «бигдата», «машин лернинг») просто зажглась галочка «Пусть подпишет согласие». Информация об этом появилась у кассира, а та, не объясняя ничего, просто говорит: оставьте карту, введите ПИН-код и согласитесь.

    Для снятия денег окошко терминала выглядит, разумеется, иначе.

    Мог ли я полностью прочитать то, на что я соглашаюсь, с экрана терминала? Нет, конечно. Это маленький экран, а согласие, думаю, достаточно длинное. Можно ли вообще так собирать согласие? Конечно, нет. Это не может быть мотивированное и осведомленное согласие.

    Обращение в Сбербанк


    «Блокчейн», «бигдата», «машин лернинг» не помогли ассистенту в чате банка узнать, давал ли я согласие на обработку биометрии. Меня отправили звонить на горячую линию.


    На горячей линии подтвердили, что я действительно дал согласие, но как конкретно и когда — такой информации у них нет. Еще бы.

    Выводы


    1. Сбербанк собирает согласие на обработку биометрических данных при помощи терминала и Вашей карты с вводом ПИН-кода.
    2. Не надейтесь, что Вы сможете прочитать это согласие целиком в таком случае. Максимум 2-3 строчки текста.
    3. Разумеется, что сама кассир не объясняет (и не факт, что знает) о том, что Вы подписываете.
    4. Именно поэтому Сбербанк обладает биометрией миллионов клиентов.

    Подробнее


    Статья от The Bell про ситуацию с биометрией и Сбербанком
    Интервью Германа Грефа (там про биометрию совсем чуть-чуть)
    Поделиться публикацией

    Комментарии 216

      +1
      Насколько я понял: Сбербанк набрал базу с согласиями клиентов на сбор биометрии, но не с самой биометрией?
        –2
        У них есть сканы паспортов. Это не всё, но уже что-то.
          +18
          Дальше для сбора уже самой биометрии — то есть, записывать мой голос или изображения с камер, уже ничего у меня спрашивать не нужно.
            0
            А не знаете случайно, если я в приложение вхожу по отпечатку пальца, а не ввожу пароль, мои данные тоже собирают или только пальчик для входа в их ж… у приложение используют?
              +3
              Пальцы с телефона никому никуда «уйти» не могут. Они локально хранятся в самом чипе сканера.
                0
                Большое спасибо.
                  +1
                  В зависимости от платформы, в каких-то случаях данные пальца хранятся в самом сканере, в каком-то в памяти телефона.
                  Но в любом случае вы правы, приложения узнают лишь факт того, что кто-то приложил палец, который телефон уже знает.
                  0
                  Могу сказать на счет TouchID. Грубо говоря, приложение может узнать только ты это или не ты, true or false. Никаких хэшей, строк, чисел оно от биометрии не получает, да и скорее всего, у всех производителей свои форматы хранения таких данных.
                    0
                    Реализация разная, где то, на хабре вроде, была статья про реверс датчика отпечатков — на выходе было не true false а чуть ли не bmp картинка отпечатка, которая потом уже обрабатывалась вышестоящим драйвером.
                      0
                      Сами считыватели достаточно часто тупые. Там просто камера или какой-нибудь емкостной сенсор. Даже шифрование в считыватель не всегда суют из-за слабости железа. Обычно картинка и валится наружу.

                      А распознавание и хранение биометрической информации идет уже на отдельной железке.
                    0
                    Вы можете в любой момент отозвать свое согласие. И по записям с камер невозможно сделать биометрию, т.к. камеры не проверены ФСБ. Вам нужно поехать в любой банк на bio.rt.ru/citizens, дальше значок о сдаче биометрии появляется на esia.gosuslugi.ru/profile/user/settings
                    И дальше вы в любой момент можете отозвать свое согласие на госуслугах или в приложении оператара биометрической системы ростелекома с уничтоженим этой самой биометрии play.google.com/store/apps/details?id=ru.rtlabs.mobile.ebs.android

                    Там вон даже есть фраза:
                    Защита по требованиям законодательства
                    Ваш цифровой образ защищен в соответствии с требованиями Федерального закона №152-ФЗ «О персональных данных».

                    Кстати, я тоже могу рассказать историю. Я почти сразу дал согласие, когда оно появилось в приложении сб. онлайн. И с меня даже попытались снять биометрию, когда я позвонил на 900. Но потом прислали смс, что ваше согласие из-за их ошибки оказалось недействительным. И потом мне опять пришлось его подписывать))

                    И вообще, чтобы проверить подписали вы или нет, достаточно зайти в мобильное приложение Сб. Онлайн, слева «Соглашения и договоры» и «Согласие на обработку биометрических персональных данных», там есть и информация о том, как отозвать это согласие. Так что это вы слишком паритесь.

                    Вы бы лучше задумались, попадают ли куда-нибудь ваше пальчики, когда вы после 2015 делаете загран. паспорт по новому образцу? Правильный ответ нет, так как пальчики никуда не попадают кроме чипа, а проверяются им же. До чего техника дошла, да?
                      0
                      Я еще не попадал на такое «согласие» (не приходилось бывать в банке). И у меня нет пункта в приложении «Согласие на обработку биометрических данных». Зато есть в персональных данных «Биометрические данные». Захожу туда и там написано для его это нужно и что нужно сделать, чтобы создать шаблон для сбора данных. Первым пунктом написано «Подписать соглашение о сборе биометрических данных». Я не рискнул там кнопки нажимать пока))) Так и живу еще без согласия.
                      0
                      Ну а при общении с горячей линией, вы попросили отменить ранее данное согласие или это раз и навсегда?
                        +2
                        Пока нет. Я хочу для начала узреть, как я его дал — оно же должно быть в письменном виде, вот и посмеемся. Отменить согласие, конечно же, всегда успею :)
                          0
                          Большое спасибо, зашел в приложение, оказывается, я уже дал такое согласие, да неужели?
                          Поучаствую в этом цирке, пускай покажут мне мое согласие.
                            0
                            Нет, не должно. Ваше согласие удостоверено простой электронной подписью, коей является карта + пин код. Как вы думаете, зачем в сбере просят всегда карту дать, а? Без неё даже в Филиал не зайдешь. (Это их программа такая.)
                              +2
                              Ваше согласие удостоверено простой электронной подписью, коей является карта + пин код.
                              Вы ведь перепутали биометрию с остальными персональными данными.

                              N 152-ФЗ

                              Статья 11. Биометрические персональные данные
                               (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
                               
                              1. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

                              2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации.
                              (в ред. Федеральных законов от 04.06.2014 N 142-ФЗ, от 31.12.2017 N 498-ФЗ)
                                –2
                                Знаете, это какой-то бред. Что значит письменное согласие? Это же не значит, что все от руки написано, там максимум подпись. А её можно заменять эквивалентом. Ну как по мне.

                                На самом деле, здесь основной вопрос, как Сбербанк аффилирован с Ростелекомовской системой. Так как мне кажется, что они не связаны, так как судя по карте map.gosuslugi.ru/co?filter=rbi нет там сбербанка. Ну тогда это ж странно, разве Оператор БС это не Ростелеком и только?
                                  0

                                  Письменное согласие значит именно подпись от руки для возможности проведения почерковедческой экспертизы в случае чего.


                                  Сбербанк ни как не афилирован с Ростелекомом в плане биометрии, более того Сбербанк изначально делает свою отдельную систему, конкурентную Ростелекомовской.


                                  И нет Оператор БС не только Ростелекомом.

                                    0
                                    Вау, спасибо за инфу)) Тогда я пожалуй отзову свое согласие… Это ж надо.

                                    Но тогда получается Сбербанк реально нарушает закон. Так как у меня подпись не просили, а просто sms пароль я ввел))
                        0
                        Возможно.
                          +1
                          Сдавал биометрию в Совкомбанк и был удевлен тем, что оказывается она уже у меня подключена Сбером, но при этом в лк на госуслугах ее не видно. 3 раза еще пришлось ходить в Совкомбанк, пока они смогли аннулировать регистрацию от Сбера и провести ее по новой, после чего она успешно подключилась к госуслугам. При этом, в Совкомбанке говорили, что биометрия УЖЕ СОБРАНА И ЗАГРУЖЕНА В СИСТЕМУ Сбером, но не подключена к госулугам.
                          +1
                          Конкретно у ЕБС (ЕСИА) авторизация представляла необходимость сидеть и смотря в веб-камеру прочитать несколько цифр. При этом были требования «без очков», с белым фоном и т.д. Сама система в тот момент (лето 2018) отрабатывала только в одной трети запросов.
                          Вообще про биометрию много разговоров, но конкретики порой нехватает.
                          А то все пишут «биометрия», а конкретики нет. Вот написали бы, что она может представлять образец записи речи клиента, отпечатков пальцев или фотографию в анфас (по которой составляется «цифровой отпечаток).
                            +6
                            Я бы для начала разделял два понятия: «согласие» на обработку, то есть вообще мое согласие, что образцы меня (голоса, внешнего вида, ткани моего тела) могут быть собраны кем-то, и дальше, уже конкретные собранные образцы.
                              –1

                              Если банкомат может проверить биометрию лица то он же наверно может её и снять. Образцы голоса могут брать при обращении в поддержку по телефону или при общении с сотрудниками. У них то наверно более продвинутые программисты. Вроде сберу больше ничего не пригодится.

                                0
                                Как банкомат отличит вас от, скажем, вашей жены с вашей картой? Качество голоса в трубке может быть слишком низким для создания отпечатка.
                                  –1

                                  Не обязательно всё делать за один раз. Банкомат же может при каждом подходе снимать. Ну и операторы то могут проверить кто в паспорте и кого банкомат наснимал.


                                  Аналогично и с голосом. При каждом обращении новый образец. До тех пор пока не будет достаточно для заданной точности распознавания.

                                    0
                                    Возрастают требования как к оборудованию банкоматов, так и к месту их установки. Это же не фотобудка с идеальным освещением, где клиент заинтересован в качественном фото.

                                    операторы то могут проверить кто в паспорте и кого банкомат наснимал.

                                    Если у операторов есть фото достаточного качества, чтобы аутентифицировать клиента, зачем его вообще снимать из банкомата?)

                                    При каждом обращении новый образец.

                                    И все разные. Кто-то охрип, кто-то со стройки звонил, у кого-то связь постоянно рвалась. А кто-то вообще редко ходит к банкомату/звонит сам.
                                      0

                                      Банкоматы конечно меняют. С биометрией толстенные и понатыканы камерами и возможно вспышками в инфракрасном диапазоне. Проверять то её тоже будут не в идеальных условиях.


                                      И все разные. Кто-то охрип, кто-то со стройки звонил, у кого-то связь постоянно рвалась.

                                      Я предполагаю так:
                                      Один человек оставляет несколько образцов с разных звонков и записей разного времени и качества. С этих образцов вычисляют особенности голоса и манеры которые не меняются или меняются предсказуемо. По ним и идентифицируют. Если человек не пользуется такими услугами то и собирать образцы незачем.

                                  +1

                                  Кстати, Гугл ассистент прекрасно отвечает на мои обращения на телефоне жены, когда его никто и не спрашивал. :)

                                    +1
                                    Верификацию по биометрии можно доверить банкомату/роботу горячей линии, но не регистрацию в системе. Иначе БО человека будут скомпрометированы, поэтому в ЕБС и необходимо первый раз прийти лично в отделение банка, чтобы операционист сверил паспортные данные и фотку паспорта с живым человеком.
                                    Непонятно зачем скрытно собирать согласие на обработку и в принципе отрывать этот процесс от реальной сдачи БО.
                                      0

                                      Ну вот человек утверждает что и сбор происходит в банкомате.
                                      #comment_20327212


                                      Я пару месяцев назад подошёл к банкомату, вставил карту — и на экране отобразилось предложение собрать биометрию. Нажал «Да», посмотрел секунд 10 в камеру. Всё.
                                      Никаких тёмных паттернов.
                                        0
                                        1. Почему сдать БО таким образом предлагают только избранным? (сам частенько пользуюсь зеленым ящиком).
                                        2. Если так, то грош цена ИБ в банке (не верю я в такую глупость команды Германа).
                                          0
                                          Потому что не каждый банкомат это поддерживает. Можете поехать на арбат, там точно все работает.
                                            0
                                            С верификацией согласен, она только внедряется, поэтому работает не везде, на том же арбате уже вроде как есть. Но не регистрация через банкомат.
                                          0
                                          Потом кто-то подойдет к банкомату с его фотографией и даже без карты снимет деньги?
                                            +1
                                            Такое происходить не должно, конечно, но кто знает, какое там кочество ПО…
                                              0
                                              там хорошее ПО, одной очень уважаемой компании (без сарказма). Мы тоже используем этот софт в своих решениях по видеоаналитике. Не знаю, является ли эта информация публичной, поэтому имя компании называть не буду.

                                              защита от «показать фотографию» есть, но лицензируется отдельно (т.е. вопрос, купил ли её сбер).
                                      +1
                                      Хорошая подсказка:
                                      > При этом были требования «без очков»

                                      Желающим хоть немного уменьшить возможности банка по тайному сбору биометрии можно подходить к банкомату в чёрных очках. В них к нему никто подходить не запретит. Чулок на голову вызвал бы, конечно, удивление не только у охраны (если банкомат в банке), но даже у граждан, но от тайного сбора биометрии защитил бы сильнее. :-)
                                        0
                                        Не получится. Я как-то раз попробовал. Нет, грабить не собирался, да и биометрию тогда собирать никто не догадывался — просто был очень солнечный летний день, банкомат на улице, а очки снимать лень. Так вот, на экране оказалась какая-то поляризационная пленка, которая конфликтовала с поляризационным напылением на моих очках. Что я увидел на экране, думаю, все поняли…
                                          +1
                                          Плёнка нужна для того, чтобы человек рядом с вами ничего не видел на экране. Неизбежное зло при защите, увы.
                                            0
                                            … и она же блокирует предложенное выше средство защиты от сбора биометрии — черные очки. Или искать самые дешевые китайские на рынке в спальном районе.
                                              +1
                                              Только латексная маска «Красавчик» спасет вас )
                                              Тяжела жизнь современного человека.
                                                +1

                                                Здрасти, приехали.
                                                Большинство солнцезащитных очков, независимо от ценового сегмента, — неполяризованые.
                                                В ряде случаев поляризация — несомненный плюс, однако в остальных (которых в жизни большинство) даёт раздражающие артефакты.

                                                  0
                                                  Я в сторону неполяризованных очков никогда не смотрел и, честно говоря, никогда не замечал, что есть хорошие и дорогие неполяризованные очки.
                                                    0

                                                    Oakley достаточно хорошие ?


                                                    https://www.oakley.com/en-us/category/men/sunglasses
                                                    234 модели всего
                                                    из них 92 с поляризацией
                                                    Причем бренд как бы спортивный, где поляризация часто в тему


                                                    Раньше тоже пользовался только поляризационными, пока внезапно не обнаружил, что без поляризации при повседневном использовании комфортней

                                                    0
                                                    В ряде случаев поляризация — несомненный плюс, однако в остальных (которых в жизни большинство) даёт раздражающие артефакты.
                                                    А можете рассказать, что вас раздражает? Я смог заметить, что иногда на LCD экраны смотреть в поляризационные очки нужно под углом. Больше никаких неудобств не заметил. Плюсов по качеству картинки и четкости изображения, особенно в пасмурный день значительно больше.
                                                      +1

                                                      Помимо жк экранов, с которыми может быть совсем плохо (ips экран смартфона в ландшафте будет черным, как будто выключен) куча менее очевидных вещей зависит от наклона головы: цвет ясного неба, любые бликующие поверхности. Это утомляет.


                                                      Ps: главный смысл поляризации уменьшение бликов от окологоризонтальных поверхностей в ясную солнечную погоду: неполяризованый солнечный свет, отразившись под углом приобретает поляризацию, что режется очками. В пасмурную погоду от поляризации толку немного

                                                        0
                                                        Благодарю. У меня сложился несколько иной опыт: бликующие поверхности перестают бликовать; закалённые стёкла хорошо видны «разводами»; в пасмурную погоду выше контрастность картинки и ярче краски получаются. О цвете ясного неба судить не берусь — ощущения цветовые сильно индивидуальны. Но тут еще сказывается детское увлечение фотографией и игра с поляризационными фильтрами на оптике. Один-в-один, как в очках с поправкой на затенение.

                                                        Может, есть какая-то разница в степени поляризации у разных производителей? Отсюда и могут различия в восприятии поляризованной картинки вырастать.
                                                          0
                                                          Не должно быть. Во-первых, физика одинакова для всех, во-вторых, в Европе была тема делать определенный угол для поляризаторов на стеклах очков и фар, чтобы свои фары было видно, а фары со встречки светили перпендикулярно плоскости поляризации очков и не слепили.
                                                            0
                                                            Если перпендикулярно, то вообще машину видно не будет встречную. Скорее на 45 градусов.
                                                              0
                                                              Плоскость поляризации фар и очков повернута на 45 ° относительно плоскости дороги. Получается, что плоскости поляризации фар двух машин, едущих навстречу друг другу, перпендикулярны — фары не видны. Габаритные огни не поляризируются, поэтому встечную машину опознать можно.
                                                            0
                                                            бликующие поверхности перестают бликовать

                                                            В этом основной смысл поляризации. Но эффект зависит от комбинации угла поляризации отраженного света с углом поляризации светофильтра очков (читай — положением головы). И естественные движения головы вызывают нетипичное изменение в изображении предметов, за которые цепляется мозг.
                                                            На рыбалке, или при спуске по ярко освещенному снежному склону ценность убранных бликов существенно выше этого мельтешения. А вот при повседневной городской носке — как-то неочевидно.


                                                            закалённые стёкла хорошо видны «разводами»

                                                            Вы говорите об этом, как о плюсе.


                                                            в пасмурную погоду выше контрастность картинки и ярче краски получаются

                                                            В пасмурную погоду, при рассеянном освещении это врядли заслуга поляризации, скорее правильно подобранных светофильтров.

                                                      0
                                                      Есть ещё очки с непрозрачными поверхностями с перфорацией (множественные дырочки). Что-то там для снятия напряжения с глаз, вроде. Вдруг подойдут.
                                                        0
                                                        Где-то читал, что такие очки — конец глазам, а якобы лечебный эффект от применения — выдумка продавцов-мошенников.
                                                          0
                                                          Ну для кратковременного-то применения в целях защиты своих биометрических данных от несанкционированного сканирования — мб и сойдёт)
                                                            +1
                                                            Я писал) Лажа полная. По сути — это имитация очень узкой диафрагмы. В итоге растет ГРИП и не нужно сильно целиться с фокусировкой.
                                                          +1
                                                          Нет, черные очки блокируются самим ЖК экраном поляризующим проходящий свет. Пленка уменьшающая угол обзора тут не при чем. То есть надо либо взять очки без поляризационных фильтров в стеклах, либо просто наклонить голову и все удастся прочитать.
                                                        0
                                                        Если задаться конкретной целью не светиться, думаю, достать очки без поляризации вообще не проблема. Главное без нужды их не одевать, чтобы потом по окулистам не бегать.
                                                          0

                                                          А вот окулисты тут вообще не причём. Вы, наверное, с защитой от ультрафиолета спутали...

                                                          0

                                                          В мультфильме вольт, есть прекрасное описание решения по вынимания головы из забора (поворачиваем на 90 градусов)
                                                          А в принципе обычно плёнку наоборот делают, так чтобы очкам не мешало (у некоторых тёмные диоптрийные), как примеры — телефоны в нормальном положении экран видно в очках, а в landscape чёрный экран, судя по всему есть негласная договорённость на рынке.

                                                          0
                                                          не спасут очки. Решение, которое использует сбер, опознает вас и в очках и с бородой. И даже измазанных сажей (проверяли это ПО для использования в сценарии учёта горных рабочих, выходящих из забоя).
                                                            0
                                                            Обычно учетные распознавалки «натаскиваются» на конкретных людей и за счет этого очень четко их идентифицируют. Плюс, для учета устанавливается минимум 2, а часто 3-5 камер, снимающих зону контроля из разных точек. И распознавание проводится не по единичному снимку и не только в анфас.
                                                            В банкомате даже если поставить 2-3 камеры (а они итак там есть), то большая часть снимков будет фронтальной (может быть, если человек перед камерами не крутится). Если долго пользоваться услугами банка, то они смогут насобирать достаточно снимков для тренировки своего распознавателя. Т.е. то, что банкомат может не распознать с первого захода, совсем не факт, что это невозможно при длительной эксплуатации карты. И наоборот, не имея истории общения с банком, не факт, что банкомат не распознает.
                                                            С уверенностью можно сказать, что в долгосроке распознает 100%, а в краткосроке — 50/50.
                                                        +23
                                                        котобой Сбербанк не торопится без должной мотивации
                                                        Сбербанк, не бей котов — они милые!
                                                          0
                                                          Спасибо. Исправил.
                                                          +19

                                                          У меня тоже сотрудник Сбербанка пытался получить согласие обманным путём — предложил поучаствовать в опросе на тему биометрии. Я подумал, что выскажусь против, но вместо опроса на терминале появилось согласие с единственной кнопкой принятия. Спасла кнопка отмены.

                                                            +36
                                                            Спасла кнопка отмены.
                                                            В следующий раз вам подсунут кнопку отмены несогласия обработки данных.)
                                                              +4
                                                              А в третий раз у вас не будет кнопки отмены. Как вам такой ход?
                                                                +2
                                                                На пин-клавиатуре?
                                                                  +6
                                                                  Отключат обработчик события нажатия.
                                                                  +8
                                                                  Обновление на Windows 10, ты что ли?
                                                                    0
                                                                    Ну, как бы, они бы уже так сделали, если б могли, зачем 3 экрана показывать?
                                                                    Могли б по тихой, не спрашивать да и сделать все как им нужно. Но тут нет вашего согласия, а когда оно есть, то в случае чего, вам скажут, что вы сами на все согласились.)

                                                                    UPD: Интересно, а можно ли записать голос человека по телефону, а потом воспроизвести, и обойти, таким образом, систему распознавания?
                                                                      0
                                                                      зачем 3 экрана показывать?

                                                                      Усыпление бдительности.

                                                                        0
                                                                        Для усыпления бдительности лучше использовать 24 экрана, а на 25-ом — предложить оформить кредит. )
                                                                          0
                                                                          Зачем столько экранов? Хватит десяти, где рассказать что такое кредит. С типа примерами ставок и суммы кредита. причем, сумму кредита можно самому менять))) А на одиннадцатом показать вопрос «Все поняли? Согласны?». И кредит оформлен)))
                                                                            0
                                                                            Ну если рефакторить, то рефакторить по полной) Что мешает оставить только один?

                                                                            Хватит десяти, где рассказать что такое кредит. С типа примерами ставок и суммы кредита. причем, сумму кредита можно самому менять
                                                                            Ну это слишком гуманно)) Банку нужно впарить вам кредит)
                                                                        0
                                                                        Ответ на UPD:
                                                                        Нет, по факту будет происходить аутентификация по двум факторам, кроме выявленных паттернов в вашем голосе, будет проверятся адекватность.

                                                                        Т.е. вас будут аутентифицировать в то время, когда оператор задаст какой-либо вопрос, или вы будете расказывать о том, что заставило вас позвонить на ГЛ сегодня.
                                                                          0
                                                                          кроме выявленных паттернов в вашем голосе

                                                                          Я подозреваю, что существуют программы для преобразования голоса.

                                                                          Отсюда:
                                                                          В основе биометрии лежат статистические методы, поэтому алгоритмы способны ошибаться, признает Дырмовский из ЦРТ. Типов ошибки два: система пропускает «чужого» и отказывает в доступе «своему». Чувствительность системы (вероятность ошибки в ту или иную сторону) настраивает ее владелец. Система с высоким порогом пустит владельца в квартиру в лучшем случае с пятого раза, но не даст войти злоумышленникам, а менее строгая, например в call-центре банка, всегда будет узнавать владельца голоса, но и ошибаться будет чаще, разъясняет Дырмовский.

                                                                          Вероятность ошибок второго рода для голоса согласно вики — 1%.

                                                                          будет проверятся адекватность.
                                                                          Так или иначе, сотрудники пользуются методичками, правилами, т.е. существует определенный набор вопросов, которые злоумышленник может узнать.
                                                                            0
                                                                            так или иначе, сотрудники пользуются методичками, правилами, т.е. существует определенный набор вопросов, которые злоумышленник может узнать.


                                                                            Представьте ситуацию:
                                                                            Звонит злоумышленник и говорит: «хочу узнать баланс счёта» — вполне скриптовая фраза.
                                                                            В ответ ему:
                                                                            • Как я могу к вам обращаться?
                                                                            • Из какого города вы звоните?
                                                                            • Вы хотите узнать о новом продукте?
                                                                            • и так далее

                                                                            Представьте, что у оператора в этот момент горит флаг — недостаточно данных для аутентификации — аутентификация не пройдена. Задайте дополнительный вопрос.
                                                                            Так вот этих вопросов может быть море, любых, хоть про погоду.
                                                                            ! Не знаю как на самом деле, это моё виденье.
                                                                              0
                                                                              ! Не знаю как на самом деле, это моё виденье.
                                                                              Я не знаю тоже, предполагаю.

                                                                              Представьте, что у оператора в этот момент горит флаг — недостаточно данных для аутентификации — аутентификация не пройдена. Задайте дополнительный вопрос.

                                                                              Вот эти вопросы злоумышленник и может получить позвонив несколько раз.

                                                                              Так вот этих вопросов может быть море, любых, хоть про погоду.
                                                                              Вопросов может быть много, но круг ответов на эти вопросы можно ограничить. Да и спрашивать, по-любому, оператор может только те вопросы которые есть в определенном списке. Много вопросов оператор задать не может — ему нужно обслужить еще клиентов. Кроме того, если программа синтеза речи производится в реальном режиме, что мешает злоумышленнику отвечать как угодно?

                                                                              Интересно, можно ли вообще отказаться от услуги обслуживания по голосу? Они ж даже не спрашивают можно ли обслуживать вас по телефону.
                                                                                0

                                                                                Набор вопросов не ограничен, если нет уверенности оператор с лёгкостью к кодовому слову может спросить номер паспорта и дату рождения ребёнка/жены (так себе кейс, я номер паспорта, к примеру, не помню, на мой взгляд, т.к. не все помнят, но по ответу могут оценить, а могут завершить разговор словами о том что нужно в отделение)

                                                                      +7

                                                                      Заходит клиент в Сбербанк, а ему на ухо шепчут: "Своим слушанием моей речи вы принимаете условия обработки персональных данных"


                                                                      Комментарий имеет сугубо юмористический характер

                                                                        0
                                                                        Не надо им подсказывать!
                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                            +3
                                                                            Как же задолбали такие комментарии под каждым комментарием :)
                                                                          0
                                                                          «Cвоим слуховым аппаратом(он фильтрует) я подтверждаю, что я слышу только нужные мне функции банка.)»
                                                                        +3
                                                                        на терминале появилось согласие с единственной кнопкой принятия

                                                                        В следующий раз будет две кнопки:
                                                                        «Да, я разрешаю сбор биометрических данных» и «Нет, я не против сбора биометрических данных».
                                                                          0
                                                                          Можно подумать, что это одно и то же, но не совсем.
                                                                          Второй вариант можно трактовать как будто вам предлагают пособирать биометрические данные, ну а вы — не против. )
                                                                            +1
                                                                            Или две кнопки с «да, разрешаю» и «да, все равно, разрешаю» :)
                                                                              +1
                                                                              А не согласитесь ли вы на сбор биометрии?
                                                                              Да/Нет
                                                                                +1
                                                                                В том году получал справку на «права» в наркологичке. Вместо нормального осмотра дали анкету. Первый вопрос: «Я считаю, что я употребляю слишком много алкоголя. — [Да]/[Нет]»
                                                                                  0

                                                                                  Второй — перестали ли вы пить коньяк по утрам ?

                                                                                    0
                                                                                    А тут-то что не так?

                                                                                    udp: Нормальный вопрос. Насторожило бы «Я считаю, что я употребляю слишком мало алкоголя. Да/Нет»
                                                                                      +1
                                                                                      Если человек отвечает «да» — значит, он сам понимает, что алкоголик (много пьет). Если человек отвечает «нет» — значит, он уже вконец спился, потому что не считает проблемой употребление алкоголя в больших объемах.

                                                                                      Еще на каком-то медосмотре подсунули вариант: «Мне кажется, что мне надо меньше пить спиртного». Тоже как ни отвечай — алкаш.
                                                                                        +1
                                                                                        Это проблема интерпретации ответа (точнее, интерпретатора). Формально, ответ «Нет» на исходный вопрос так же покрывает случаи, когда опрашиваемый не употребляет алкоголь вообще, так что тут всё в порядке. Мой вариант заковыристее, но, в целом, оба они ни о чём не говорят, если нет вопросов, собственно, употребляете ли вы алкоголь и в каких объёмах.
                                                                                          0
                                                                                          В таких местах интерпретаторы еще те сидят. :-(
                                                                              +6
                                                                              В законах прописана процедура отзыва согласия на сбор/обработку биометрических данных и собственно на удаление собранных данных?
                                                                                +9
                                                                                Это интересный вопрос, любое согласие, однажды даденое, теоретически можно взять обратно. Собираюсь проверить, как у Сбера с этим.
                                                                                  0
                                                                                  Я бы сказал, что это очень интересный вопрос. У меня есть дурацкая привычка писать заявление на прекращение обработки моих ПД и удалени их организациями, которым они больше не понадобятся.

                                                                                  Но у меня нет никаких гарантий, что ПД будут действительно удалены. И нет вариантов это проверить.

                                                                                  Конечно, можно пофантазировать на тему централизованной БД с доступом по типу госуслуг, чтобы любой юзер мог проверить, с какими организациями ассоциированы его ПД (можно даже без указания ПД, просто: «ПД такого-то юзера имеются в таких-то организациях»). Но боюсь, что это получится даже еще хуже.
                                                                                    0
                                                                                    >Но у меня нет никаких гарантий, что ПД будут действительно удалены. И нет вариантов это проверить.
                                                                                    После запроса на прекращение обработки можно написать письмо с требованием предоставить те ПДн, что хранятся у них. Если что-то внезапно найдется — ну, сами себе злые буратины.
                                                                                    Обмануть тут конечно можно, но вряд ли кто-то будет заниматься этим специально, а по рукам для профилактики можно будет дать.
                                                                                      0
                                                                                      После запроса на прекращение обработки можно написать письмо с требованием предоставить те ПДн, что хранятся у них. Если что-то внезапно найдется — ну, сами себе злые буратины.
                                                                                      А что им мешает действовать в ключе «А, он нам в прошлом писал заявление о прекращении обработки его персданных, значит сразу ответим ему, что никаких его данных у нас нет, и всё»?
                                                                                      То есть тот факт, что данные реально есть и хранятся, таким образом проверить видимо не получится.
                                                                                        +1
                                                                                        Обычное разгильдяйство и то, что правая рука не знает, что творится с левыми.
                                                                                          0
                                                                                          Точно!
                                                                                          Знаю как в одном большом ритейле это устроено.
                                                                                          Есть кнопка «Удаление ПДн», но нет кнопки «получили обращение на удаление ПДн», т.е. если кто-то по требованию не удалит ПДн, то следующий и не узнает о том, что требование было.
                                                                                    0
                                                                                    Может быть где-то, но, например, не у нас на работе.
                                                                                    Да, отозвать можно, но определен перечень случаев, в каковых обработка продолжится даже после отзыва. Ради интереса я дочитал его. Длинный-длинный, а в конце, разумеется "… и иных случаев, когда обработка ПД необходима для достижения целей этой обработки."
                                                                                      0
                                                                                      Вполне разумно, в законе что-то похоже, если хранение и обработка ПДн нужны во исполнение обязательств, они могут храниться без дополнительных соглашений.
                                                                                      0
                                                                                      Будет ли отдельный пост по отмене согласия в случае успеха?
                                                                                      +3
                                                                                      ФЗ-152 (о персональных данных) позволяет человеку в любой момент отозвать согласие на обработку персональных данных. Если биометрия является ПДн (по здравому смыслу — безусловно, но надо читать дурацкие формулировки, комментарии и правоприменительную практику), то этот же отзыв поможет.

                                                                                      А потом самое жёсткое. Пишем в РКН просьбу проверить, не остались ли ваши данные после отзыва в архивных, dev и прочих копиях баз. А то я слышал, как кто-то кому-то говорил, что архивы от таких данных они не очищают.
                                                                                        +5
                                                                                        А вы 152фз читали? На вашу фразу «если биометрия является пдн» есть целая статья 11.Биометрические персональные данные.
                                                                                        В которой к тому же четко прописано — согласие должно быть в письменной форме, а не по телефону или электронном виде с эцп.
                                                                                        Так что уже можете жаловаться в РКН.
                                                                                          +3
                                                                                          Читал. Давно, до биометрии. Помню определение — «ПДн — это… и прочие».
                                                                                            0
                                                                                            Ну там еще смс приходит, «Код для подтверждения согласия на обработку биометрических персональных данных — xxxxx»

                                                                                            Это считается?
                                                                                            0
                                                                                            Как бы не получилось, что отзывая все ПД у Сбербанка ты соглашаешься вообще перестать с ним вести дела и закрыть все карты и счета…
                                                                                              0
                                                                                              Блефовать они могут, разово сделать и распиарить — тоже. Массово — никогда.
                                                                                                +2
                                                                                                Давно пора так делать, все закрыть, банков очень много у нас!
                                                                                                  +2
                                                                                                  ЦБ с этой проблемой года с 2012 активно борется.
                                                                                                    0
                                                                                                    Мелкие банки да, уходят. Но есть еще НКО даже. Теже ЯНдекс-Деньги (я знаю что они сберу пренадлежат) или Вебмани.
                                                                                                      0
                                                                                                      Ну это не те организации, которые следует использовать для хранения/инвестирования денег, максимум — среднего размера переводы же.
                                                                                                  0
                                                                                                  Со временем именно так и будет.
                                                                                                  Большинство граждан не видит ничего плохого в сборе биометрии и даже не знает — что это такое. Со временем это большинство будет считать биометрию ещё одним типом разрешения на пользование услугами банка.
                                                                                                  +1
                                                                                                  > ФЗ-152 (о персональных данных) позволяет человеку
                                                                                                  > в любой момент отозвать согласие
                                                                                                  > на обработку персональных данных

                                                                                                  Банки не выполняют этот закон. Гражданин пишет в банк письмо с отзывом своего согласия. Банк игнорирует этот отзыв. Гражданин может, конечно, судиться с банком из-за этого, но у обычного гражданина на это нет времени. Да и у банков юристы получают зарплату за то, что занимаются судебными делами с гражданами, а граждане даже в случае победы в судах получают в основном лишь моральное удовлетворение, которое на хлеб не намажешь.
                                                                                                    +1
                                                                                                    Гражданин может, конечно, судиться с банком из-за этого, но у обычного гражданина на это нет времени.

                                                                                                    Гражданину и не надо судиться. Если права гражданина нарушены, то судиться за него обязаны соответствующие госорганы, куда достаточно сообщить о нарушении.

                                                                                                      0
                                                                                                      Это значит — предоставить еще одному госоргану (кроме того, на который жалуемся) свои ПД. Без какой-либо уверенности в том, что у одного госа будет мотивация ссориться с другим госом.
                                                                                                      Ворон ворону…
                                                                                                        0
                                                                                                        Так у вас уже есть паспорт, который выписал вам госорган. А в нём все эти ваши ПД прописаны.
                                                                                                          0
                                                                                                          Это да. Но этих данных нет много где. Иначе бы эти «много кто» не требовали копию паспорта по каждому чиху. Не просто показать, а именно оставить им копию.
                                                                                                          И вот каждый раз, оставляя где-либо копию, я спрашиваю себя: не могу ли я обойтись без этого? Так ли мне нужно то, ради чего я ее оставляю?
                                                                                                    0
                                                                                                    Напишите для начала в Роскомнадзор про это. На каких основаниях закрытые ресурсы, внесенные в черный список сайтов РКН, предоставляются как коммерческие сервисы Мегафон.
                                                                                                  +13
                                                                                                  На что вы должны согласится в приложении Сбербанка, чтоб узнать свой кредитный потенциал:
                                                                                                  скрины
                                                                                                  image
                                                                                                  image
                                                                                                  image
                                                                                                  image
                                                                                                  image
                                                                                                  image
                                                                                                  image
                                                                                                  image
                                                                                                  image
                                                                                                    +14
                                                                                                    Охренеть!
                                                                                                    Простите за мой французский )
                                                                                                      +1
                                                                                                      Контракт с дьяволом
                                                                                                        0
                                                                                                        Не, ну что удобно, а вдруг будет амнезия? Сделал запрос в сбер и всю инфу восстановил)
                                                                                                          0

                                                                                                          По-моему, они все такие

                                                                                                            +2
                                                                                                            Выглядит как спагетти-код, в котором не совсем очевидно, какие утверждения связаны с какими другими.
                                                                                                            +22
                                                                                                            биометрия может добавить дополнительный слой безопасности в отношения между банком и клиентом

                                                                                                            Вероятнее всего, она может добавить слой опасности, а не безопасности.
                                                                                                              +1
                                                                                                              Была одна весёлая история с другим банком: стало интересно, как у них реализована авторизация в колл-центре, звоню туда с подменой номера на свой, сначала спрашиваю баланс, его говорят без авторизации, потом использую достаточно публичные данные для смены кодового слова, которого достаточно для полного доступа к деньгам. Потом спрашиваю у безопасников, как это вообще работает. Про кодовое слово мне сказали, что этих данных достаточно для авторизации (ага, теперь ещё и за чеками следить, чтобы их не стащили для кражи денег), а про информацию о балансе без авторизации сказали достаточно сказочную вещь: «Мы опознали вас по голосу». При этом я раньше не звонил в поддержу, в отдалениях не авторизовывался. Кажется, что есть два варианта: либо они где-то купили базу голосов (ух, сторонники безопасного хранения биометрии за 7 замками), либо решили действовать по принципу «Кто первый встал, того и тапки»: я позвонил в первый раз, значит надо взять образец голоса и тут же авторизовать по нему. Либо кто-то жестко врет, но этого не может быть, мы же верим банковским безопасникам.
                                                                                                                +1
                                                                                                                А что за банк такой?
                                                                                                                  +2

                                                                                                                  Вообще-то это прямой повод для серьезного разбирательства.

                                                                                                                    0
                                                                                                                    Возможно. Я когда-то собираюсь скомпоновать информацию по атакам на call-центры банков и опубликовать, но пока особо времени нет.
                                                                                                                    0
                                                                                                                    Поясните, пожалуйста, что такое «звоню туда с подменой номера на свой»? Вы звонили со своего номера по поводу чужого счёта или с чужого номера по поводу своего счёта? Или что-то третье?
                                                                                                                      0
                                                                                                                      Обычно важный инструмент в атаках на call-центры и автоматизированные голосовые меню (IVR) — звонки с подменой номера (Caller ID spoofing). В этом случае я воспользовался специальным сервисом, чтобы сделать через него звонок со своим номером, чтобы изобразить злоумышленника, который хочет получить мои данные. Остальные способы (подмена номера на чужой, подмена на случайные) вызывают вопросы с точки зрения легальности.
                                                                                                                        0

                                                                                                                        Извините, я тоже чуть не понял. То есть у Алисы есть номер 123, она звонит Бобу, но определитель номера у Боба изображает номер, например, 456, верно?

                                                                                                                          +1
                                                                                                                          Наоборот.
                                                                                                                          У Алисы есть номер 123 (её) и доступ к SIP-гейту.
                                                                                                                          Алиса выключает свой телефон и звонит Бобу с SIP-гейта, используя подмену номера на «123». У Боба отображается номер 123, хотя сам телефон выключен и при попытке позвонить на него будет «The line you are calling is out of network».
                                                                                                                            0
                                                                                                                            Благодарю.
                                                                                                                              +4
                                                                                                                              При этом, что довольно важно, звонить с SIP-гейта может и не Алиса, но у Боба будет отображено, что это Алиса.
                                                                                                                      0
                                                                                                                      Смотря для кого.
                                                                                                                      –6
                                                                                                                      Ну всё же не всегда сбор происходит так)
                                                                                                                      Я пару месяцев назад подошёл к банкомату, вставил карту — и на экране отобразилось предложение собрать биометрию. Нажал «Да», посмотрел секунд 10 в камеру. Всё.
                                                                                                                      Никаких тёмных паттернов.
                                                                                                                        +2
                                                                                                                        Вот мы и дошли до того момента, когда радуемся тому, что у банков есть не только темные паттерны…
                                                                                                                        +3
                                                                                                                        В этом месяце оформлял карту «Мир» (да, осознанно). Самую простую, неэмбоссированную, momentum. После оформления меня попросили пройти её активировать при помощи девочки-консультанта. Уже чувствуя подвох я согласился.
                                                                                                                        Далее девочка выудила мой телефон, мотивируя это необходимостью процедуры активации.
                                                                                                                        Затем попросила согласиться с SMS-информированием, но я вежливо отказался, узнав, что услуга платная, 60 рублей в месяц. После попросила дать согласие на сбор биометрии. Напомнила, что это пока только согласие. И да, это не только фото сетчатки глаза, а ещё и хэш голоса. Так что если хэши «утекут», то в случае с классическим паролем, ты его поменяешь. А голос — нет. Так что я не согласился.
                                                                                                                        Так и не понял, зачем девочка помогала мне с активацией. Кроме как для сбора согласия со сбором биометрии, весьма вряд ли.
                                                                                                                          +5
                                                                                                                          у девочек KPI на количество переведённых на онлайн-обслуживание клиентов. Чтобы девочек можно было поскорее сократить. А мега-ачивка для девочки — если она вам установит app и поможет в нём оформить «автоплатежи».
                                                                                                                            +2
                                                                                                                            На банковских форумах форумах их обычно называют «маринками» )
                                                                                                                              +3
                                                                                                                              Нееее..., маринки сидят за конторкой (операционистки), а это именно зальные девочки с планшетиками.
                                                                                                                              +1
                                                                                                                              У этих же девочек есть KPI по количеству старушек, которых они отрывают от традиционной кассы и тащат к терминалу платить наличными с помощью девочки, потому что сама старушка ничего в этих терминалах не понимает и карточку заводить не хочет. В общем, там две руки перетягивают одно туловище между тотальным он-лайном будущего и тотальным офф-лайном прошлого.
                                                                                                                              0
                                                                                                                              это не только фото сетчатки глаза

                                                                                                                              Радужной оболочки.
                                                                                                                                0
                                                                                                                                Есть и то и другое. Но да, у меня в плашете именно радужка, например.
                                                                                                                              +9
                                                                                                                              Вообще крупные компании очень любят делать вид, что клиент все сделал сам (согласился, купил, предоставил, подписался), добровольно, что, мол, это зафиксировано и четко известно — но вот на вопрос «когда, где, при каких обстоятельствах, как и при помощи чего» — вот тут возникает ответ «маленького сотрудника», что, мол, у него про это почему-то «нет информации». Как это вяжется с утверждением, что компания уверена в факте согласия/покупки/подписки — я не могу понять.

                                                                                                                              Это и в банке, как в теме поста, это и у сотового оператора («да-да, вы подписались на доступ к развлекательному контенту у нашего партнера, только ни когда, ни где, ни каким способом — ничего этого мы не знаем, но деньги со счета оплаты мобильной связи снимаем»), да и много еще где. Те же карточки лояльности в оффлайновых магазинах, они потенциально часто означают, что клиент подписался на получение СМС рассылок, только по сути карточки такие мы часто берем (с точки зрения магаза — оформляем и со всем соглашаемся) не глядя, и в момент получения карты нас уверяют, что никаких рассылок у них не делается, «и вообще она только для скидок».

                                                                                                                              Как ни крути, актуальной темой становится некая единая точка сбора такого рода согласий, на уровне гос-ва. Правда, гос-ву оно не надо, так что реализовано не будет, но без этого обман и введение в заблуждение будут встречаться нам на каждом шагу. Где-то программист конкретного банка или сотовой компании накосячит (потому что программисты — это не дизайнеры и не спецы по UI, и они самый заурядный диалог согласия могут сделать столь малоудобным, что юзеры не осилят его прочесть/понять), а где-то и предзаданный «скрипт» общения с клиентом таков, что, натурально, сотрудники сознательно юзерам диктуют «вот здесь согласитесь, вот где написано, что вы свою кожу, кости и мозги завещаете нашему коллекторскому отделу». «Ага,» — так и подмывает добавить, — «после смерти, но не позднее 3 месяцев с момента подписания этого согласия.»
                                                                                                                                +1

                                                                                                                                Вообще-то лучше чтоб управление шло на уровне пользователя и с управлением типа как для апи по OAuth. Конторка которой нужны мои данные реквестирует запрос на доступ с перечнем скоупа нужных данных, описанием — для чего, на какой срок, домен или подсеть с которой будут запросы… — им генерируется токен для использования на заданный период действия и ключ для дешифровки. (При желании, можно отозвать доступ досрочно). Данные соответственно передаются не в открытом виде, и ориентированы на скриптовую обработку, а не вручную. Сохранять данные, как минимум более существенные чем фио-мыло — типа паспортных, снилсов, тех же биометрий и т.п. или передавать ключ третьим лицам должно быть запрещено под административную ответственность. (В идеале должны использоваться только сертифицированные либы — как минимум — на использование всякой биометрии и т.п. И наружу должен быть только публичный PersonalDataId) Конечно есть риски, что все равно насохраняют и напередают, но как минимум это должно быть сложнее чем просто зафотать, или скопировать эксельку.
                                                                                                                                Функции отправки мыла/смс при разрешении можно реализовать засчет оператора хранения персональных данных — т.е. бизнес-клиенты шлют только текст сообщения на апи, и если у них одобрен доступ на отправку — я получаю инфу. (Соответственно доступ к апи для бизнеса вероятее всего будет платным… хотя все равно за рассылки и так платят)
                                                                                                                                Начнут спамить реквестами — должен быть игнор и абуз-репорт
                                                                                                                                Биометрию соответственно тоже верифицировать можно на стороне оператора перс.данных присылая им образец для сравнения
                                                                                                                                Ну и наличие данных у кого-то без наличия одобренного реквеста в моем менеджере — повод для судебного разбирательства о неправомерном доступе и обработке.
                                                                                                                                [Концепт пришёл в голову только что, и серьёзно не продумывался]
                                                                                                                                Хотя конечно для большинства такое будет гемороно и сложно, и ткнуть кнопку "на все согласен" гораздо проще, особенно если за это предлагают скидку или кешбек

                                                                                                                                  +3

                                                                                                                                  Хоть одну причину, зачем это им, можете назвать?


                                                                                                                                  Вы вот прикола ради зайдите в любой соседний магаз, где получали карту клиента, и напишите заявление на прекращение обработки персональных данных. Уверяю — развлечетесь!

                                                                                                                                    0
                                                                                                                                    Горячо поддерживаю: имхо, действительно адекватная работа с персональными данными возможна только тогда, когда компании уважают клиентов. А пользователи сейчас не заслуживают уважения, так как ничего для этого не делают. Можно продалбывать данные, сливать их на сторону, довольно нагло обманывать в лицо, но пользователи это проглотят и скажут «Ну блин, не повезло, пойду поною в Твиттере, о, мороженое по скидке». Когда у нас будет существовать сообщество пользователей, которое может влиять на компании (как минимум, своим уходом, если компания обозрела), тогда и можно говорить об уважении, а не о нынешнем пофигизме. Компаниям это не нужно, пока им перед лицом не показывают большой кулак и не говорят «Наглеешь? Получаешь.»
                                                                                                                                      –7
                                                                                                                                      Компаниям это не нужно, пока им перед лицом не показывают большой кулак
                                                                                                                                      Шутку понял — смешно :). Ваш кулак настолько мизерный, что трясти им вы можете сколько угодно — фашистам на это наплевать. Фашисты будут и дальше строить для вас концлагерь и ничего вы с этим сделать не сможете. Пока не поймете, что фашизм (неравенство) — это плохо, а коммунизм (равенство) — хорошо.
                                                                                                                                        0
                                                                                                                                        Ох...

                                                                                                                                        0
                                                                                                                                        Будьте осторожными с такими взглядами на жизнь. Обвинение жертвы не решает проблему насилия
                                                                                                                                    0
                                                                                                                                    Как это вяжется с утверждением, что компания уверена в факте согласия/покупки/подписки — я не могу понять.


                                                                                                                                    Завуалированное мошенничество? К теме призываются юристы, возможно есть специалисты по данным вопросам
                                                                                                                                      0
                                                                                                                                      вообще-то именно со стороны государства это делается. «цифровой профиль».
                                                                                                                                      +5
                                                                                                                                      Еще сбер при смене карты давит на несознанных личностей, что обязательно нужны биометрические данные, иначе карты вам не видать.
                                                                                                                                        0

                                                                                                                                        Буквально на днях менял карту сбера, про биометрию даже не заикнулись, и согласие втихаря не пропихивали. Странно

                                                                                                                                          +10

                                                                                                                                          Значит оно уже давно есть. :))

                                                                                                                                            +1
                                                                                                                                            Тут был случай очень инициативного отделения с такими же сотрудниками, которые отказывались выдавать карту. После звонка на горячую линию сразу стушевались.
                                                                                                                                          +2
                                                                                                                                          Кто силен в законах, разве нет такого понятия как отзыв согласия на сбор персональных данных? Если 1 раз дал, значит это навсегда?
                                                                                                                                            0
                                                                                                                                            Более того, можно потребовать уничтожить уже собранное. Но это вам никак не поможет, если банк докажет, что в целях заботы о вашей безопасности (конечно же) сбор ПД является обязательным условием обслуживания.
                                                                                                                                              –2
                                                                                                                                              А тут и доказывать ничего не надо. ПД — это информация, позволяющая вас идентифицировать, а счета банк открывает только клиентам, которых может идентифицировать. Одного без другого быть не может.

                                                                                                                                              И разумеется, отказ от сбора ПД подразумевает и отказ от обслуживания.
                                                                                                                                                +3
                                                                                                                                                Думаю, есть разница: идентифицировать меня или вас для целей обслуживания, или иметь право раздавать мою информацию всем вокруг в т.ч. «с коммерческими целями». И вот от второго бы как-то отказаться.

                                                                                                                                                Ах да, забыл, есть тонкий момент и в фактическом использовании ПД. Формально я могу спросить, как они использовались, но что будет, если мне соврут? А по факту так и будет, поскольку иметь данные хотят все, а вот играть в них по правилам — никто. Это же бюрократия, режимы хранения, логирование, так что проще сказать «никак не использовали, ни-ни!»

                                                                                                                                                Да, ещё раз: я говорю именно про то, что коммерция часто запрашивает прав больше, чем им нужно для прямой своей работы. Если мы ругаемся на приложения на телефоне, когда игра просит право отправлять смс, то почему соглашение о ПД должно приниматься некритично, если в нем написано «очень не очень»?
                                                                                                                                                  0
                                                                                                                                                  Это уже детали. Для целей обслуживания понадобятся, так или иначе, ваши ПД.
                                                                                                                                                    0
                                                                                                                                                    Вот конкретно в банках, и в Сбере в частности для авторизации операций идентификация не нужна, по соглашению с банком, идентифицированный ранее по предъявлению паспорта клиент авторизует операции пин-кодом или кодом из смс.
                                                                                                                                                      0
                                                                                                                                                      идентифицированный ранее по предъявлению паспорта

                                                                                                                                                      Именно. Идентифицированный ранее. Т.е. ваши ПД уже у них.
                                                                                                                                                    +2
                                                                                                                                                    > Да, ещё раз: я говорю именно про то, что
                                                                                                                                                    > коммерция часто запрашивает прав больше,
                                                                                                                                                    > чем им нужно для прямой своей работы.

                                                                                                                                                    Вот именно. Для расчёта кредитного потенциала они требуют биометрию лица, как будто мы живём в фашистском государстве, в котором форма лица влияет на набор прав гражданина.
                                                                                                                                                +5
                                                                                                                                                Скорей всего, да. Для того чтобы отозвать согласие на сбор персональных данных вам нужно предоставить… персональные данные. И информация с персональными данными об отзыве персональных данных будет хранится в архиве.)
                                                                                                                                                0
                                                                                                                                                Расслабьтесь и постарайтесь получить удовольствие.
                                                                                                                                                  +2

                                                                                                                                                  То маленькие сайтики блокируют за отсутствие политики конфиденциальности, а тут наоборот.

                                                                                                                                                    +2

                                                                                                                                                    ну так это классика "Все животные равны, но некоторые более равны, чем другие"

                                                                                                                                                      0

                                                                                                                                                      — Джордж Оруэлл, Скотный двор

                                                                                                                                                    –3

                                                                                                                                                    Как сбербанк собирает биометрические данные: "Берем сначал картошку, потом кошачью...". Ну вы поняли.
                                                                                                                                                    Комментарий имеет сугубо юмористический характер.

                                                                                                                                                      0
                                                                                                                                                      Не картошку, а пучок укропу.
                                                                                                                                                      –17
                                                                                                                                                      Сбербанк уже повсеместно устанавливает в своих отделения банкоматы с функцией чипирования ДНК пользователя (штрих-кодирования или проставления метки Антихриста в терминологии Апокалипсиса Иоанна Богослова) и считывания этого кода со лба человека. Фотки, к сожалению, сюда не зальешь — посмотрите, кому интересно, на Youtube (там над клавиатурой для вводу ПИН-кода расположен чипирующи лазерный проектор, а сверху, помимо камеры, несколько датчиков, ориентированные на лоб). Лично видел такие банкоматы в отделении в Марьино. Наверняка биометрические данные собираются для дальнейшего чипирования владельцев счетов и крат (если уже не чипируются), поэтому надо однозначно отказаться от всех сервисов этого сатанинского банка.
                                                                                                                                                        +21
                                                                                                                                                        Два галоперидола двойных этому господину за счёт заведения!
                                                                                                                                                          +2
                                                                                                                                                          Думаю что это просто так толсто, что уже тонко.
                                                                                                                                                          Хотя у него всего один комментарий на Хабре всего, что в целом говорит против моей версии.
                                                                                                                                                            +1
                                                                                                                                                            Судя по всему, толщина жира тролля хранится в однобайтовой беззнаковой переменной, и переполнение даёт о себе знать.
                                                                                                                                                              +1
                                                                                                                                                              Хотя у него всего один комментарий на Хабре всего

                                                                                                                                                              Зато пользователей с ником Dmitry0x несколько. И что.самое странное — все они в бане. Совпадение?
                                                                                                                                                          +3
                                                                                                                                                          Не Уверен
                                                                                                                                                            +2
                                                                                                                                                            А, вот оно. Спасибо, я буду знать.
                                                                                                                                                            Когда я начал замечать рекламу биометрии в банкоматах Сбера («попробуйте», «подключите»), я подумал, глядя в бесстрастный глазок камеры: а что мешает уже сейчас, безо всякого согласия, ее собирать? Камеры нас снимают во всех банкоматах, а обработанное нейросетью лицо — это тупо набор цифр, который не надо хранить в виде твоего фото или видео. Так что собрать — уже наверняка давно все собрано, надо только где-то как-то попросить разрешения использовать. А теперь последний кусок пазла нашелся.
                                                                                                                                                              +1
                                                                                                                                                              Если собирать лица в обычной обстановке есть проблема первоначального сопоставления биометрии и конкретной личности. Кто-то может воспользоваться картой супруга (да я знаю, что это не разрешено, но все же). Или банально мошенник вставит вашу карту и оппа — его лицо — это ваше лицо.
                                                                                                                                                              Опять же с детскими картами. Я не знаю на кого они оформляются, но если на родителей, то опять же будет некорректное сопоставление.

                                                                                                                                                              Первичный сбор биометрии должен проводиться в тепличных условиях, чтобы эталонный образец был идеальным, иначе полезут ошибки идентификации.

                                                                                                                                                              P.s. Я не говорю, что Сбер так не делает, но с точки зрения работы с биометрией — это совершенно некорректно.
                                                                                                                                                                0
                                                                                                                                                                Уже обученная на толпе сетка отличит человека, регулярно ходившего к банкомату последние полгода, от его жены или брата. Дело за простейшим алгоритмом исключения разовой несовпадающей личности. Не будет работать разве что на какой-нибудь пожилой боббушке, которая плохо ходит, и пенсию ей снимает дочь. Ну и невелика потеря.
                                                                                                                                                                  0
                                                                                                                                                                  У разных алгоритмов по-разному, но в целом, если база отпечатков или лиц некачественная, то будет много ошибок при распознавании.
                                                                                                                                                              0

                                                                                                                                                              Зачем Сбербанк так настойчиво собирает согласия и биометрические данные? Не уже ли заботится об удобстве и безопасности клиентов?

                                                                                                                                                                +4
                                                                                                                                                                1. Чем больше данных, тем больше владеешь миром.
                                                                                                                                                                2. Отработка алгоритмов распознавания, чем больше массив данных тем больше можно выявить ошибок соответственно в будущем повысить качество распознавания.
                                                                                                                                                                3. Сокращение штата сотрудников за счет дистанционного обслуживания.
                                                                                                                                                                4. Просыпаетесь утром, а у Вас смс о полученном кредите под под безумный процент, пытаетесь разобраться откуда у вас кредит, но как оказалось вы сами его попросили по телефону, да вы его вернули, но процентик уже капнул.
                                                                                                                                                                  0
                                                                                                                                                                  3. Сокращение штата сотрудников за счет дистанционного обслуживания.
                                                                                                                                                                  Вот это самый главный фактор для банков.
                                                                                                                                                                  Единая биометрическая система позволяет стать клиентом банков и получать услуги без посещения офисов и предъявления паспорта – с помощью биометрии (лица и голоса) через Интернет.
                                                                                                                                                                  Это приведет к тому, что отделения банков будут закрываться… да и не только банков.
                                                                                                                                                                  Сначала эксперементируют на банках, у них и ресурсов много, и безопасники есть, а потом на другие сферы жизни переключатся.
                                                                                                                                                                  В общем, это неизбежность.
                                                                                                                                                                    0
                                                                                                                                                                    т.е. человеку приходится открывать счёт в стольких банках, что он реально устаёт от хождения по офисам?
                                                                                                                                                                    А если банком 2-3 штуки, то довольно странная экономия. Ведь после первого посещения, всё остальное делается онлайн.
                                                                                                                                                                      +2
                                                                                                                                                                      Не все операции можно сделать онлайн. Мне вот перевод отправляли на имя, не на счет, так вот чтоб его забрать нужно было прийти в банк.
                                                                                                                                                                      Возможно еще какие-то операции, кредиты какие-нибудь… Да, та же выдача карты раз в 3 года, все равно нужна. Так вот биометрия ведет к отказу от пластиковых карт.
                                                                                                                                                                      Сбербанк России анонсировал внедрение биометрических технологий еще в мае 2016 года. Тогда Герман Греф объявил о постепенном отказе от пластиковых карт в пользу биометрии.
                                                                                                                                                                      Вот это и приведет к тому, что отделения будут сокращаться, закрываться.

                                                                                                                                                                      А потом будем заходить в инет по биометрическому паспорту )
                                                                                                                                                                –1
                                                                                                                                                                У меня какой-то банк онлайн спрашивал про биометрию
                                                                                                                                                                  0
                                                                                                                                                                  К счастью или к сожалению, но теперь уже однозначно понятно, что биометрия не может быть защитой впринципе. Загран паспорт был? Программы аля сбербанк онлайн собрали отпечатки без спроса? Осталось только чуть-чуть подождать, пока украдут их базы данных (или по какой-либо причине они сами будут в интернете без пароля) и выложат в общий доступ всем и каждому. К чёрту, когда все отпечатки пальцев будут у каждого мошенника. Впрочем хрен с ними, с мошенниками. Берём из базы данных отпечатки неугодного лица. Распечатываем их и делаем слепок. Добавить наркотики. Теперь лишить человека нескольких лет жизни дело пары минут. Есть ещё аутентификация по лицу… Впрочем. Уже поздно. Здесь чем-то ситуация напоминает e-mail. Один раз зарегистрировался где-то. Здравствуй, спам :) Несогласие уже бесполезно. Пальчики к телефону же УЖЕ прикладывали. Остаётся только ждать базы данных в открытом доступе. Ящик Пандоры открыт. И закрыть его невозможно.
                                                                                                                                                                    0
                                                                                                                                                                    Пальчики к телефону же УЖЕ прикладывали.

                                                                                                                                                                    Мой телефон не только никогда не видел приложение какого-либо банка, но даже не имеет соответствующего сканера.
                                                                                                                                                                      0
                                                                                                                                                                      Пальчики в телефоне никуда не передаются. Это в принципе невозможно, по стандарту криптохранилища.
                                                                                                                                                                        0
                                                                                                                                                                        Первые модели таки имели возможность слить отпечатки. Сейчас да, с этим получше.
                                                                                                                                                                    +1

                                                                                                                                                                    Зелёные паттерны по вымогательству биометрии.

                                                                                                                                                                      0
                                                                                                                                                                      Ну согласие допустим получили.

                                                                                                                                                                      А референсную картинку клиента как получают?
                                                                                                                                                                      Она же должна быть:
                                                                                                                                                                      — хорошего качества
                                                                                                                                                                      — подтверждена конкретным менеджером
                                                                                                                                                                        0

                                                                                                                                                                        Я тоже не понял, согласие они получили, а откуда сама биометрия возьмётся?

                                                                                                                                                                          0
                                                                                                                                                                          Когда Вы придете платить за квартиру, или делать перевод, или штраф какой оплачивать, или вторую карту заводить, или первую по сроку годности менять, вы будете говорить с кассиром или менеджером, камера будет Вас снимать, и записывать голос. Все.
                                                                                                                                                                            0

                                                                                                                                                                            Про голос не могу сказать, но для эталонного образца лица картинки просто с камеры недостаточно. Нужно ровное прямое положение. В некоторых случаях еще и повертеть головой определенным образом.


                                                                                                                                                                            Но! Биометрия по лицу, работающая с обычной веб-камеры крайне ненадежна и легко обманывается фоткой. Нормальные лицевые биометрии включают в себя дополнительные средства определения фейков: ИК, 3D и так далее.