Правительство РФ приняло новое постановление об аккредитации лиц, использующих Единую биометрическую систему (ЕБС) для аутентификации физических лиц. года приняли взамен утратившего силу.
Несмотря на то, что документ вступил в силу 1 июня 2023 года, уже ведется работа по подготовке дополнений и изменений.
Основные изменения в части работы с ЕБС и биометрическими персональными даннымиВ постановлении регламентирован перечень требований к операторам и владельцам ИС (информационных систем), которые обеспечивают аутентификацию физ.лиц. В список основных требований вошли следующие:
в штатном расписании должно быть предусмотрено 2 и более сотрудника, которые будут заниматься эксплуатацией ИС, обеспечивающих аутентификацию;
для аутентификации разрешено использовать только то ПО, которое включено в соответствующий ;
для обработки биометрических персональных данных допускается использовать только те векторы ЕБС, которые находятся на территории РФ;
– обязательно;
выполнять – обязательно.
Также Постановлением закреплена обязанность владельцев и операторов ИС:
владеть средствами шифрования;
иметь лицензию на деятельность, связанную с шифровальными средствами и средствами криптографии (разработка, производство, распространение).
утверждены Правила, в соответствии с которыми владельцы и операторы ИС, обеспечивающих аутентификацию физ.лиц, будут проходить аккредитацию.
В том числе Правилами определены:
порядок подачи заявления на аккредитацию;
содержание этого заявления;
порядок рассмотрения заявления;
сроки прохождения процедур по аккредитации;
основания для приостановления действия аккредитации и его прекращения;
порядок внесения изменений в списки органов, прошедших аккредитацию;
порядок обжалования решений уполномоченных органов.
Согласно Правил уполномоченным органом, осуществляющим аккредитацию, является Минцифры РФ.
При подаче заявления на аккредитацию заявитель должен подтвердить свое соответствие требованиям Правил, в том числе:
наличие минимального размера собственного капитала (500 миллионов рублей);
наличие финансового обеспечения ответственности (минимум 100 миллионов рублей);
права на аппаратные средства шифрования (криптографии);
соответствие требованиям к деловой репутации, которые утверждены . В частности, единый исполнительный и/или учредитель/участник, имеющий 10% акций/долей уставного капитала не должен иметь непогашенных судимостей, не должен совершать административные правонарушения в течение минимум 1 года до даты подачи, быть привлеченным к ответственности за правонарушения в сферах, связанных с обработкой ПДн и/или неоднократными правонарушениями при банкротстве.
Аккредитация действует бессрочно, но может быть приостановлена или аннулирована.
Новое Постановление и Правила аккредитации будут действовать до 01.06.2029 года.
Как изменился порядок размещения биометрических ПДн в ЕБС через мобильное приложение
Правила, в соответствии с которыми физические лица размещали свои биометрические ПДн в ЕБС через мобильное приложение этой системы ранее были установлены В новой редакции эти правила были утверждены
Актуальная редакция позволяет разместить биометрические ПДн в ЕБС:
при наличии учетной записи в ЕБС с прохождением аутентификации;
с использованием идентификационной информации из иных ИС. В предыдущей редакции такой возможности не было.
В некоторых ситуациях допускается размещать ПДн, не используя заграничный паспорт.
Также документ определяет порядок размещения биометрических ПДн в региональном сегменте системы. При этом пользователь должен использовать региональное мобильное приложение.
Полный перечень случаев и сроков использования биометрических ПДн определяется.
В частности, биометрические ПДн могут использоваться в течение 3 лет с даты размещения. Их обновление должно осуществляться либо по истечении этого срока, либо ранее – по инициативе самого физ.лица. Этот порядок установлен Постановлением
Когда не допускается аутентификация на основе биометрических ПДн физ.лиц
Осуществлять аутентификацию физ.лица на основе биометрии разрешено не всегда. Перечень случаев-исключений утвержден В него вошли следующие случаи:
проведение вступительных экзаменов, промежуточных и итоговых аттестаций в учебных заведениях;
оказание медицинской помощи, в том числе получение добровольного информированного согласия или отказа от вмешательства, проведение медосмотров и отпуск лекарств;
оказание государственных и муниципальных услуг и осуществление функций органами государственного и местного управления.
Также Постановлением определен перечень случаев, когда можно использовать биометрические ПДн, если физ.лицо подписало согласие на их обработку простой электронной подписью. В этот список вошли:
безналичные расчеты на сумму до 5 тысяч рублей с НДС;
обслуживание клиентов при личном присутствии, если ранее клиент проходил процедуру идентификации в установленном порядке, для организаций финансовой сферы;
взаимодействие при помощи телефонной связи через контакт-центр;
проход через КПП на объекты транспортной инфраструктуры, за исключением субъектов КИИ и случаев аутентификации с использованием региональной ЕБС;
проход через КПП на территории организаций (перечень исключений также обозначен в Постановлении);
вручение простых почтовых отправлений ценностью до 2500 рублей.
Конкретной фиксированной ставки за пользование ЕБС нет. Однако методика расчета платы за ее использование уже установлена
Методика предусматривает несколько вариантов расчета платы:
за одно предоставление информации (единичный запрос);
за 1 календарный день;
единовременная за 1 календарный месяц;
ежегодная плата.
Тариф дифференцированный, рассчитывается путем умножения базовой ставки (30 рублей) на ряд коэффициентов, в том числе отраслевой и региональный. Формула вычисления зависит от количества успешных сравнений за отчетный период.
Этот документ также действует в период 01.06.2023 - 01.06.2029 гг.
Какие угрозы безопасности актуальны при работе с биометрическими ПДн и взаимодействии ИС с ЕБС? Их перечень утвержден Приказами Минцифры и . В число основных вошли угрозы нарушения:
целостности биометрических ПДн (подмена, удаление);
конфиденциальности биометрических ПДн (компрометация);
достоверности биометрических ПДн (в том числе внесение фиктивных, ложных сведений). Методика проверки соответствия данных биометрии определена .
Данные угрозы могут реализоваться при сборе, обработке и передаче ПДн, в том числе в результате умышленных целенаправленных действий.
Новое Постановление не определяет порядок привлечения к ответственности за факты незаконного размещения биометрической информации. Однако это не означает, что таковая не будет предусмотрена другими законодательными актами. В настоящее время на рассмотрении в Государственной думе РФ находится в Кодекс об административных правонарушениях, в том числе в .
Документ устанавливает административную ответственность за такие нарушения, как:
обработка персональных данных без согласия субъекта ПД;
размещение биометрических ПД субъекта в ЕБС с нарушением требований действующего законодательства РФ.
Уже предусмотренная НПА ответственность за подобные нарушения в случае принятия законопроекта будет усилена. Речь идет как о первичных, так и о повторных нарушениях.
В частности, законопроектом предусмотрены следующие штрафы за первичное нарушение:
для должностных лиц – 100-300 тысяч рублей (в действующей редакции – 20-40 тысяч рублей);
для юридических лиц – 300-700 тысяч рублей (в действующей редакции 30-155 тысяч рублей).
За повторное нарушение максимальный размер штрафов вырастет с 500 тысяч до 1,5 миллионов рублей.
