«Этично / нормально ли проводить аутентификацию пользователя с помощью биометрических средств, поскольку биометрическая информация должна храниться на сервере?»
Ненужные. TouchID + FaceID реализован с использованием «безопасного анклава» iPhone : биометрические данные никогда не предоставляются приложению пользователя. Таким образом, вы не можете захватить биометрию самостоятельно. Лучшее, что вы можете сделать, это сфотографировать лицо пользователя, для чего требуется разрешение пользователя на использование камеры в любом случае. На Android то же самое: приложения просто спрашивают ОС «пожалуйста, аутентифицируйте пользователя», и ОС отвечает простым ответом «да / нет»: в iOS или Android нет API для чтения необработанных отпечатков пальцев, модели лица или данных радужной оболочки.
Вне iOS, предположим, что вы пишете традиционное приложение, которое использует аппаратное обеспечение для сбора этой информации без использования предоставляемой ОС функции аутентификации пользователя, тогда это юридический и бизнес-вопрос, а не вопрос разработки программного обеспечения, и это должно быть ответил выше в вашей организации. Однако, если вам дали указание создать программное обеспечение, которое собирает такую информацию, и вы знаете, что в этом нет необходимости, и это делается без информированного согласия пользователя, тогда это становится вопросом инженерной этики, а затем вы разговариваете со своим собственным юристом и рассматриваете отклонить запрос вашего босса и / или стать осведомителем. (IANAL, но я считаю, что это будет очень незаконным в ЕС в соответствии с различными законами о защите данных, датируемыми как минимум 1998 годом, потому что вы не можете легально собирать и хранить личные данные, которые у вас нет законной цели сохранить, особенно без согласия пользователя - и вам не нужны необработанные отпечатки пальцев или другие биометрические данные для аутентификации пользователя)