Обзор основных пунктов закона о биометрии: сбор, хранение и передача данных в России
29.12.2022 года был принят Федеральный закон №572-ФЗ, который в СМИ называют просто — закон о биометрии. Действовать данный закон начал уже с момента его официального опубликования, то есть с 09.01.2023 года. Хотя для отдельных положений этого закона предусмотрены другие сроки вступления в силу (01.06.2023, 01.01.2024 и 01.01.2027 годы).
Закон о биометрии весьма интересный. Поэтому попробуем разобраться, как он касается обычных российских граждан.
Показать содержание
- Цель законодательного регулирования вопроса о сборе и использовании биометрических персональных данных в России в 2023 году
- Что регулирует
Основные понятия Размещение сведений в ЕБС Уполномоченные органы для регулирования и их полномочия Кто попадает под понятие «оператор биометрической системы» Процесс осуществления идентификации и аутентификации с использованием ЕБС Взимание платы за использование системы Обработка вне единой биометрической системы Аккредитация организаций, осуществляющих аутентификацию Применение шифрования- Ответственность за нарушения законодательства
Цель законодательного регулирования вопроса о сборе и использовании биометрических персональных данных в России в 2023 году
Для простоты также будем называть принятый закон законом о биометрии. По мнению депутатов данный документ необходим для повышения безопасности обработки биометрических персональных данных россиян.
Чтобы понять важность этого документа, весьма интересно проследить движение этого закона на официальном сайте Госдумы от проекта до принятия.
Законопроект был внесен на рассмотрение в Госдуму 12 октября 2022 года. Готовый ФЗ в России был принят 29 декабря 2022 года. А официальное опубликование состоялось уже 9 января 2023 года. Как видим, на рассмотрение и принятие данного документа у законодателей ушло чуть больше двух месяцев. Хотя первоначальный текст законопроекта состоял из 116 страниц.
Все это наводит на мысль о том, что законодатели очень старались к концу 2022 года принять этот закон. А с учетом того, что в пояснительной записке к законопроекту указано, что единая биометрическая система (ЕБС) уже создана и функционирует, появляется некая уверенность в том, что государство захотело зафиксировать юридически работу уже имеющейся системы.
С одной стороны это неплохо. А с другой? Что дает узаконивание ЕБС для граждан?
Что регулирует
Основные понятия
Начнем с основ. Изначально предполагается, что сбор и использование биометрических персональных данных должны производиться с согласия гражданина. В частности, часть 11 статьи 3 утверждает, что:
«Предоставление физическими лицами своих биометрических персональных данных в целях, предусмотренных настоящим Федеральным законом, не может быть обязательным».То есть любой гражданин вправе не сдавать свое изображение лица и голос в ЕБС (часть 4 статьи 3). Однако это не распространяется на (статья 1):
- оперативно-розыскную, контрразведывательную или разведывательную деятельности;
- оборону страны, обеспечение безопасности государства и охраны правопорядка;
- системы миграционного и регистрационного учета;
- обеспечение санитарно-эпидемиологического благополучия.
Другими словами, во всех перечисленных случаях биометрия будет снята и использована в Единой биометрической системе без согласия человека.
Другой случай, когда закон не распространяется на снятие и использование биометрии — когда проверка биометрических данных производится не автоматически, а «с участием уполномоченного должностного лица». Не очень, правда, понятно, кто является этим «уполномоченным должностным лицом» (может сотрудник силовых структур?). Но основная мысль понятна — если проверка лица и голоса производится человеком, то данный закон не действует.
Как уже отметили ранее, в ЕБС будет помещено изображение лица, а также записан голос человека. По этим биометрическим данным будет определяться, что человек, имеющий это лицо и этот голос, является именно тем, за кого себя выдает. В связи с этим следует разобрать следующие понятия, использующиеся в законе.
Понятие первое: идентификация. Это — совокупность мероприятий по установлению сведений о человеке, их проверке и сопоставлению с идентификатором. Идентификатор, в свою очередь, — это уникальное обозначение сведений о человеке, необходимое для его определения.Например, простым идентификатором является фамилия, имя и отчество человека, а также его паспортные данные. Однако войти в систему только по ФИО и паспортным данным нельзя. Нужно подтвердить, что человек, который называется условным Иваном Ивановичем Ивановым, является тем, за кого себя выдает. Иначе, например, банковским счетом может воспользоваться любой от имени Ивана.
В связи с этим появляется второе понятие — аутентификация. Если говорить просто, а не непонятным языком, который приведен в законе, то аутентификация— совокупность мероприятий, в результате которых устанавливается правомерность владения идентификаторами (например, владение ФИО, паспортными данными и другими сведениями).
Применительно к нашему Ивану Ивановичу это означает, что он проходит специальную процедуру аутентификации, в результате чего считается, что он именно тот Иван Иванович Иванов со своими паспортными данными, который имеет право на доступ к какой-либо системе. А происходит это потому, что именно Иванову принадлежит лицо и голос, имеющиеся в ЕБС.
6 лет проработала помощником юриста в юридической компанииСами биометрические данные человека, находящиеся в ЕБС, называются вектором единой биометрической системы. Другими словами, такой вектор — это и есть снятая биометрия человека, которая математически преобразована с использованием информационных технологий и технических средств.И еще два важных понятия: Единая биометрическая система (ЕБС) и Единая система идентификации и аутентификации.
ЕБС — это непосредственно государственная информационная система, где хранятся биометрические данные граждан. А вот Единая система идентификации и аутентификации — это федеральная система, с помощью которой производится доступ к информации, содержащейся в информсистемах.
Все вышеперечисленные понятия разъясняются в статье 2 закона о биометрии.
Ну, а теперь мы дошли до главного вопроса: для чего все это нужно? Это нужно для широкого применения ЕБС государственными и муниципальными органами, а также Центробанком, банками и другими финансовыми организациями. Пока никаких иных причин в законе не обозначено. Хотя также ЕБС смогут применять различные организации, индивидуальные предприниматели и нотариусы.
Размещение сведений в ЕБС
Теперь рассмотрим, как по закону производится размещение сведений в ЕБС. Этому посвящена статья 4 закона о биометрии.
С согласия человека после проведения идентификации при его личном присутствии банки и многофункциональные центры (а в некоторых случаях и другие уполномоченные организации) могут бесплатно разместить в ЕБС его биометрические данные.Однако этого недостаточно. Также вносятся сведения об этом человеке и в Единую систему идентификации и аутентификации.
Внесенные в базы сведения подписываются электронной подписью организации, снимающей биометрию.
Сама форма согласия на снятие биометрии утверждается Правительством России. Причем гражданин может подписать это согласие электронной подписью, которая признается равнозначной обычной собственноручной подписи.
Согласно закону при размещении биометрии все действия должны фиксироваться. Более того, Правительством устанавливаются обязательные требования к проведению идентификации физического лица.
Также внести свою биометрию в ЕБС человек может с помощью специального мобильного приложения. Но только если на оборудовании пользователя имеется специальный идентификационный модуль.
Также можно разместить свою биометрию с применением специально разработанного для этой цели российского программного обеспечения для персональных компьютеров. Однако такие компьютеры также должны иметь идентификационный модуль. При этом программа для снятия биометрии должна быть бесплатной и разрабатывается оператором ЕБС.
Интересно, что если у человека имеется заграничный паспорт с чипом NFC, то подтвердить свою личность при загрузке биометрии можно удаленно. В этом случае информацию из загранпаспорта можно считать мобильным телефоном.
А вообще, общий порядок регистрации человека в информационных системах и все, что с этим связано, устанавливается Правительством России.
Весьма интересна часть 14 статьи 4 закона о биометрии. Она, в частности, утверждает, что если в информационных системах госорганов, банков и других организаций собраны биометрические персональные данные человека, то эти организации обязаны разместить биометрию человека в ЕБС без получения согласия самого человека.
Однако эти организации также обязаны не позднее чем за 30 дней до планируемого размещения биометрии в ЕБС уведомить человека об этом в любой форме, позволяющей подтвердить факт получения уведомления. И если человек выразит возражение до истечения 30-дневного срока, то размещение данных в ЕБС не производится.
Если же данные в систему были внесены, то человек вправе обратиться к оператору ЕБС с требованием о блокировании или об уничтожении его биометрических данных (часть 15 статьи 4).Уполномоченные органы для регулирования и их полномочия
По закону Правительство должно определить специальный федеральный орган, который будет заниматься регулированием сферы применения биометрии граждан (статья 6). В частности, этот орган будет определять:
- порядок обработки биометрии;
- порядок размещения биометрии в информационных базах;
- случаи и сроки использования биометрических данных;
- порядок уничтожения биометрических данных и векторов ЕБС;
- порядок создания и передачи векторов ЕБС в целях осуществления аутентификации;
- требования к информационным технологиям и техническим средствам для обработки биометрии;
- перечень возможных угроз при обработке биометрии.
Также уполномоченный федеральный орган будет распространять бесплатное шифровальное средство для взаимодействия с ЕБС. А кроме этого — обеспечивать возможность использования биометрии многофункциональными центрами для предоставления государственных услуг.
Еще этот уполномоченный орган будет проводить аккредитацию государственных органов, Центробанка и других организаций, использующих биометрию в своей деятельности.
Ну, и главное — именно этот орган будет организовывать процедуры и следить за соблюдением правил и сроков при направлении запросов от граждан на блокирование, удаление и уничтожение векторов ЕБС. В том числе, с использованием портала Госуслуг.
Однако кроме этого специализированного федерального органа закон предусматривает дополнительно еще четыре органа (статья 7):
- Центробанк;
- орган по защите прав субъектов персональных данных;
- федеральный орган по обеспечению безопасности;
- федеральный орган в области противодействия техническим разведкам и технической защиты информации.
У каждого из этих органов свои полномочия. И, если кратко, то Центробанк занимается вопросами биометрии на финансовых рынках. Это, прежде всего, банки и подобные финансовые организации.
Орган по защите прав субъектов персональных данных следит за тем, чтобы персональная биометрия не попадала в чужие руки. Полномочия этого органа распространяется на многофункциональные центры.А органы по обеспечению безопасности и противодействия техническим разведкам следят за тем, чтобы соблюдались все меры безопасности при обработке биометрических данных. Однако их полномочия не распространяются на финансовый рынок, потому что там этими вопросами занимается Центробанк.
Кто попадает под понятие «оператор биометрической системы»
Нужно понимать еще один важный нюанс: сама Единая биометрическая система представляет собой программно-аппаратный комплекс, который необходимо обслуживать и поддерживать в работоспособном состоянии. Другими словами, ЕБС — это специальное программное обеспечение, установленное на электронные вычислительные машины большой мощности.
А вот та организация, которой принадлежит весь этот вычислительный комплекс, является оператором ЕБС. По крайней мере, именно такие требования устанавливает закон для оператора биометрической системы в статье 8 закона о биометрии.
Основные направления деятельности оператора ЕБС заключаются в следующем:
- передает информацию о биометрии граждан подключенным к ЕБС организациям;
- по запросу передает информацию из ЕБС в МВД и другие силовые структуры;
- по запросу из МВД и силовых структур блокирует, удаляет, уничтожает биометрические данные граждан, а также вносит изменения в сведения, содержащиеся в ЕБС;
- по запросу уполномоченного органа по защите прав субъектов персональных данных уточняет, блокирует, прекращает обработку и уничтожает персональные данные из ЕБС;
- ведет перечень аккредитованных государственных органов, Центробанка и иных организаций;
- ведет перечень всех организаций, использующих ЕБС.
Полный перечень направлений работы оператора приведен в законе.
Процесс осуществления идентификации и аутентификации с использованием ЕБС
Если говорить очень упрощенно, то согласно статье 9 идентификация производится путем сравнения предоставленной биометрии человека и векторов ЕБС, содержащихся в биометрической системе. Также сверяются сведения о человеке, размещенные в Единой системе идентификации и аутентификации. Причем идентификация может производиться и без личного присутствия гражданина.
Для идентификации нужно дать согласие на обработку биометрии. Такое согласие можно подписать электронной подписью.Для совершения определенных действий человек вправе использовать ЕБС для аутентификации (статья 10). При этом гражданин дает свое согласие на обработку биометрических данных для проведения его аутентификации.
Аутентификация происходит следующим образом:
- Перед использованием ЕБС организация предоставляет в Единую систему идентификации и аутентификации сведения о гражданах, содержащиеся в их информационных системах персональных данных, включая идентификаторы таких сведений.Данные идентификаторы и сведения сопоставляются со сведениями о физических лицах, содержащихся в Единой системе идентификации и аутентификации. После такого сопоставления данные идентификаторы передаются из Единой системы идентификации и аутентификации в ЕБС.
- Сама аутентификация производится одним из следующих способов путем проверки принадлежности этому человеку идентификаторов посредством сопоставления их:
- со сведениями, размещенными в Единой системе идентификации и аутентификации, а также на основании информации о степени соответствия предоставленной биометрии векторам ЕБС, содержащимся в Единой биометрической системе, по указанным идентификаторам;
- со сведениями, размещенными в информационной системе персональных данных организации, а также на основании информации о степени соответствия предоставленной биометрии векторам ЕБС, содержащимся в Единой биометрической системе, по указанным идентификаторам.
Взимание платы за использование системы
Закон предусматривает взимание с организаций платы за пользование ЕБС (статья 12). Размер и порядок взимания платы определяются договорами между оператором ЕБС и организациями. Однако государственные и муниципальные органы, а также Центробанк по закону будут использовать ЕБС бесплатно.
Обработка вне единой биометрической системы
По общему правилу обработка биометрии (сбор и хранение) в целях идентификации вне ЕБС запрещена (статья 15). Единственным исключением может быть сбор биометрических данных для размещения в ЕБС.
Запрещена и обработка биометрии вне ЕБС в целях аутентификации за исключением обработки для подтверждения соответствия предоставленной биометрии человека соответствующим векторам ЕБС.
Также в информационных системах организаций, подключенных к ЕБС, не допускается хранение биометрической информации. Однако при возникновении спорных ситуаций, когда предположительно имело место неправомерная обработка биометрических персональных данных человека при аутентификации, хранение все же возможно. Но после разбирательств биометрия должна быть удалена.
Аккредитация организаций, осуществляющих аутентификацию
Для того чтобы иметь возможность работать с биометрией, организация должна пройти аккредитацию. Для этого организация должна соответствовать определенным требованиям (статья 17).
Во-первых, это должна быть российская организация с минимальным размером капитала не менее 500 млн рублей.
Во-вторых, у организации должно быть не менее 100 млн рублей для покрытия возможных убытков, причиненных в результате некачественно проведенной биометрической аутентификации.
В-третьих, работа с биометрией будет проходить исключительно на территории России.В-четвертых, наличие соответствующих лицензий и права собственности на аппаратные шифровальные средства, используемые для оказания организацией услуг по аутентификации.
И, в пятых, наличие в штате не менее 2 работников, непосредственно осуществляющих деятельность по аутентификации на основе биометрических данных, имеющих высшее образование в области информационных технологий или информационной безопасности. Однако это далеко не полный перечень требований к организации.
Применение шифрования
По закону при обработке биометрической информации должны использоваться криптографические средства (статья 19). Или по-простому — средства шифрования. Они должны защитить передаваемые данные от утечек и хакерских атак. Причем использоваться могут только те шифровальные средства, которые прошли процедуру оценки в области информационной безопасности.
Ответственность за нарушения законодательства
Закон также предусматривает ответственность за нарушения при сборе, обработке и хранении биометрических персональных данных (статья 20). В частности, закон устанавливает для нарушителей административную, гражданскую и уголовную ответственность. Это относится как к тем, кто занимается снятием и размещением биометрии в информационных системах (МФЦ, банки и т. д.), так и непосредственно к сотрудникам оператора Единой биометрической системы.
Кроме того, лица, размещающие в ЕБС сведения о человеке, несут ответственность за достоверность размещаемых сведений.Если выяснится, что были нарушены права граждан из-за недостоверности сведений, размещенных в информационных системах, то такие граждане вправе обратиться в уполномоченный орган по защите прав субъектов персональных данных. Или пострадавшие граждане могут обратиться в суд, в том числе за возмещением убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации.
