С 1 марта 2023 г. законодательство ограничивает использование информационных систем (ИС) для идентификации и/или аутентификации с использованием биометрии. Как говорил Сенека: «Закон должен быть краток, чтобы его легко могли запомнить и люди несведущие». В этой статье буду придерживаться этого правила, и кратко расскажу, кому и на каких условиях разрешат использовать такие системы.

Важно. Есть 3 варианта использования систем:

  1. Идентификация;

  2. Идентификация и аутентификация;

  3. Аутентификация.

К первым двум вариантам закон предъявляет одинаковые требования, поэтому оба буду называть едино – «идентификация».

Уже в ближайшем будущем законотворцы допускают проведение идентификации и/или аутентификации по биометрии исключительно с использованием трех вариантов ИС: государственная ИС (далее – ГИС) «Единая биометрическая система» (далее – ЕБС), иные ГИС и иные (коммерческие) ИС. Рассмотрим каждый вариант.

Единая биометрическая система

Здесь размещаются данные изображения лица и голоса человека.

  • Обработку биометрии в целях идентификации с использованием ЕБС можно осуществлять в случаях, установленных ФЗ, актами Правительства РФ и др. нормативными правовыми актами. Сейчас использовать ее разрешено банкам, удостоверяющим центрам, органам, предоставляющим государственные/муниципальные услуги, многофункциональным центрам, нотариусам, операторам связи и ВУЗам (последним пока лишь в 2021/2022гг., но планируют разрешить на постоянной основе).

Ожидается, что этот перечень будет пополняться после проведения экспериментов по идентификации с использованием ЕБС в различных сферах деятельности.

Для проведения идентификации ЕБС работает в связке с Единой системой идентификации и аутентификации (ЕСИА).

Схема 1. Обработка биометрии в целях Идентификации с использованием ЕБС
Схема 1. Обработка биометрии в целях Идентификации с использованием ЕБС

При этом случаи обработки биометрии в целях аутентификации не ограничиваются нормативкой, и использовать ЕБС можно для аутентификации физического лица, согласного на ее проведение.

ЕБС для аутентификации может быть использована как в связке с ЕСИА, так и иными ИС, содержащими персональные данные.

Схема 2. Обработка биометрии в целях Аутентификации с использованием ЕБС
Схема 2. Обработка биометрии в целях Аутентификации с использованием ЕБС

Иные ГИС

Обработка биометрии для работы госорганов, муниципалитета и организаций, осуществляющих отдельные публичные полномочия, проводится с применением ЕБС. Если же потребуется обработка видов биометрии, которые не соответствуют условиям ЕБС, госорганы, аккредитованные на право владения и/или осуществления функций оператора, смогут применять иные ГИС. Требования к прохождению аккредитации уже разработаны и вступят в силу с 1 марта 2023 года.

Для их применения потребуется выполнить ряд условий:

  • применять меры по обеспечению безопасности персональных данных;

  • нейтрализовать актуальные угрозы безопасности информации;

  • соблюдать порядок обработки параметров биометрии;

  • соблюдать порядок размещения и обновления биометрии в системе;

  • выполнять требования, предъявляемые к информационным технологиям и техническим средствам, предназначенным для обработки биометрии.

Предполагается, что перечень актуальных угроз, порядок обработки, размещения и обновления биометрии, требования к информационным технологиям и техническим средствам будут подготавливаться законотворцами при создании иных ГИС по аналогии с ЕБС. Сегодня же таких требований нет.

Иные ИС

В первую очередь упомяну, что использовать иные ИС в целях идентификации не могут госорганы, муниципалитет и финансовые организации. Перечень возможных случаев применения иных ИС здесь строго ограничен, а также имеет исключения, которые связаны с видом деятельности организации или предпринимателя. Для таких “исключительных” выбора нет – только ЕБС.   

Схема 3. Обработка биометрии в целях Идентификации с использованием иных ИС
Схема 3. Обработка биометрии в целях Идентификации с использованием иных ИС

Примечательно, что здесь потребуется выполнить требования, предъявляемые к субъектам критической информационной инфраструктуры, а также к защите информации, содержащейся в ГИС.

  • В случае, если организации владеют такими системами или оказывают услуги по идентификации и/или аутентификации, им потребуется пройти соответствующую аккредитацию в Минцифры России.

Государственным и муниципальным органам использовать иные ИС для аутентификации нельзя. Но всех остальных нормативка не ограничивает.

Схема 4. Обработка биометрии в целях Аутентификации с использованием иных ИС
Схема 4. Обработка биометрии в целях Аутентификации с использованием иных ИС

В указанной на схемах нормативке речь идет о данных изображения лица и голоса, и возникает вопрос: «Что делать тем, в чьих системах используются другие виды биометрии (например, рисунок вен ладони)?». Что же, перечень нормативки продолжает пополняться – и, возможно, Минцифры России однажды разработает правила для использования других видов биометрии. Но сейчас можно предположить, что применение в иных ИС других видов биометрии помимо лица и голоса все же не допускается.

  • Также стоит отметить, что параметры биометрии должны храниться в ЕБС, а в иных ИС хранение параметров биометрии не допускается.

Немного выводов, или Что делать с вышерассказанным

Организации, в которых описанные в статье процедуры осуществляются не ИС персональных данных, а с непосредственным участием человека, могут выдохнуть: новые требования на них не распространяются.

На конференции по ИИ в ноябре 2021 года президент отметил, что биометрия граждан должна храниться в единой государственной системе, и государство должно взять на себя ответственность за хранение биометрических ПДн населения России. При этом слова были подкреплены законом – ранее собранную в соответствии с ФЗ биометрию (голос или изображение лица) операторы обязаны разместить в ЕБС.

Что имеем? Курс на централизацию взят (наверняка, с благородными целями). Биометрия (голос/изображение лица) все равно попадет в ЕБС, даже если будет собрана с использованием иных ИС, о чем каждый сдавший ее пользователь будет уведомлен тем или иным образом (будем надеяться, хотя бы имэйл отправят?).

У банков с универсальной лицензией нет выбора, но тем, кто только вправе использовать системы биометрии, следует ознакомиться с нормативкой, указанной мною в блок-схемах, оценить ресурсы организации и задать себе вопрос: «А действительно ли мне нужно использовать такие системы?».

Комментарии (1)


  1. Moskus
    07.10.2022 19:21
    -1

    Если есть возможность, стоит избегать самостоятельной работы с биометрией вообще. Впрочем, если задача предполагает ситуацию, когда клиент сам может использовать биометрическую систему аутентификации, ему можно это позволить.