Единая биометрическая система была разработана в рамках программы «Цифровая экономика РФ». Целью создания ЕБС стало повышение доступности услуг для граждан. Биометрия относится персональным данным, а, значит, ее безопасность и конфиденциальность становятся объектом пристального внимания контролирующих органов. Задачей операторов и владельцев ИС, работающих с биометрией, становится строгое исполнение всех нормативных актов.
С момента принятия №572-ФЗ ЕБС становится единственным источником биометрической информации о гражданах России. Любой оператор / сервис / организация, тем или иным образом использующие биометрические ПДн, обязаны взаимодействовать именно с ЕБС. Законодатели уверены, что такой централизованный подход позволяет обеспечить более надежную защиту биометрии.
Какие основные моменты устанавливает закон:
Чтобы получить доступ к ЕБС, организация должна пройти аккредитацию в Минцифры и подтвердить свое соответствие законодательным требованиям;
ЕБС обрабатывает биометрическую информацию двух типов – лицо и голос;
Обработка биометрии осуществляется исключительно посредством вектора ЕБС;
Передача данных в ЕБС – это обязанность всех организаций, занимающихся обработкой биометрической ПДн;
Обрабатывать биометрические ПДн вне ЕБС категорически запрещено.
Также важно помнить, что физические лица не обязаны предоставлять свои биометрические данные или давать согласие на их обработку. Отказ от обработки биометрии не является основанием для того, чтобы ограничивать доступ гражданина к каким-либо услугам.
Физические лица и государственные органы пользуются возможностями ЕБС на безвозмездной основе, тогда как для юридических лиц устанавливается плата за использование системы. При этом фиксированных ставок нет. Предусмотрен алгоритм расчета, согласно которого размер платы будет зависеть от того, идет ли речь о единичном запросе или «подписке» (на день, месяц или год), региона, в котором работает организация и отраслевого коэффициента. Алгоритм будет действовать до 1 июня 2029 года.
Регулирование работы с биометрическими данными предусмотрено в 152-ФЗ. Так в ст.11 закона прописано, что биометрические сведения собираются только с письменного согласия субъекта персональных данных, за исключением некоторых случаев в п.2 статьи.
Учитывая, что биометрия – вид персональных данных, то на ее распространение и использование на операторов возлагается также ответственность, прописанная в ст. 10.1 закона.
Последние изменения в регулировании биометрии
Законодатели уделяют пристальное внимание обработке персональных данных и работе с ЕБС. Требования к владельцам ИС и операторам, занимающимся аутентификацией граждан, постоянно дорабатываются и совершенствуются, а ответственность за нарушения и несоответствия только ужесточается.
За нарушения, допущенные при работе с биометрическими данными, предусмотрена административная ответственность. Закон о внесении соответствующих изменений в КоАП вступил в силу в декабре 2023 года. Теперь за нарушения в области обработки биометрии юридическое лицо ждет штраф до 1 миллиона рублей, а за повторное нарушение придется заплатить до 1,5 миллионов рублей.
Если оператор или владелец ИС осуществляет аутентификацию граждан, используя биометрию, к нему предъявляется целый комплекс дополнительных требований согласно № 152-ФЗ «О персональных данных» и Постановления Правительства от 22.05.2023 № 810. Перечень требований обширный и регламентирует широкий спектр важных деталей – от штатного расписания и используемого ПО до обязанности взаимодействовать с ГосСОПКА и наличие лицензии на работу со средствами криптографии. Вот некоторые из них:
организация не должна быть иностранным юридическим лицом, а также юридическим лицом, в уставном (складочном) капитале которого доля участия иностранных юридических лиц превышает 49 %;
минимальный размер собственных средств (капитала) должен составлять не менее чем 500 миллионов рублей;
необходимо наличие финансового обеспечения ответственности за убытки, причинённые третьим лицам вследствие их доверия к результату аутентификации на основе биометрических персональных данных, в сумме не менее чем 100 миллионов рублей;
для обработки биометрических персональных данных и векторов единой биометрической системы должны использоваться базы данных, находящиеся исключительно на территории Российской Федерации;
организация должна быть подключена к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;
документы, подтверждающие наличие права собственности или иного вещного права, а также права использования на аппаратные шифровальные (криптографические) средства, применяемые для оказания заявителем услуг по аутентификации на основе биометрических персональных данных, имеющие подтверждение соответствия требованиям;
в штате организации должно быть не менее двух работников, непосредственно осуществляющих деятельность по аутентификации на основе биометрических персональных данных, имеющих высшее образование в области информационных технологий или информационной безопасности.
в ЕБС теперь подлежат размещению, в том числе: страховой номер индивидуального лицевого счёта физлица (СНИЛС), представившего в МФЦ отказ от сбора и размещения биометрических ПДн в целях проведения идентификации и (или) аутентификации (в случае отсутствия отзыва такого отказа), информация о виде электронной подписи, которой подписано согласие на размещение и обработку персональных данных в ЕБС;
предусмотрен перечень сведений, размещаемых в региональных сегментах единой биометрической системы, действующий до 31.12.2026 года;
уточнена форма согласия физического лица на размещение его биометрических данных в региональном сегменте единой биометрической системы;
отменены правила контроля за безопасностью персональных данных при использовании единой биометрической системы, а также перечень случаев, в которых разрешена идентификация по биометрии.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
Компания «Рубикон» — IT-предприятие, основное направление деятельности которого – информационная безопасность. Мы занимаемся решением задач по аудиту, созданию и оптимизации IT-инфраструктур.