Как работать с биометрическими персональными данными / forpes.ru

Главная
Как работать с биометрическими персональными данными

Как работать с биометрическими персональными данными +15

23.06.2025 08:06

tretiakovaas 1 606 Источник

К концу 2024 года количество зарегистрированных биометрических образцов достигло 1,8 миллионов. Компании прибегают к использованию биометрических данных для упрощения работы с клиентами. Например, благодаря биометрической идентификации пользователю не нужно запоминать пароль — вместо него можно использовать, скажем, отпечаток пальца. А активно внедряемый способ оплаты улыбкой помогает клиентам совершать покупки, не имея при себе наличных или банковской карты. Но, конечно, все не так просто.

Привет, Хабр! Меня зовут Алена Третьякова, я аналитик по ИБ в Selectel. Компании часто сталкиваются с различными вопросами взаимодействия с биометрией. В этой статье мы поговорим, что такое биометрические персональные данные, как законодательно регулируется порядок их обработки и как компаниям работать с ними.

Источник.

Используйте навигацию, если не хотите читать текст целиком:
→ Что такое биометрия
→ Юридические аспекты обработки биометрических персональных данных
→ Технические аспекты обработки биометрических персональных данных
→ Биометрия и сферы деятельности
→ Взаимодействие с Единой биометрической системой

Что такое биометрия

Биометрические данные — одна из категорий персональных данных, поэтому их определение дано в ФЗ №152.

Биометрические персональные данные (БДн) — это сведения, которые характеризуют физиологические и биологические особенности человека. Их можно использовать для установления личности. К биометрическим персональным данным обычно относят фото и видеоизображения человека, голос, отпечатки пальцев и, например, снимок радужной оболочки глаза или рентгенологические снимки челюсти.

Но не всегда те или иные, на первый взгляд, биометрические данные являются таковыми. Данные следует назвать биометрическими, если соблюдены два условия. Во-первых, они используются для идентификации. Во-вторых, для работы с ними нужны специальные технологии.

Чаще всего вопрос возникает относительно фотографии человека. В каких случаях ее можно отнести к БДн? Роскомнадзор в своем письме от 29.08.2022 № 08-78032 напоминает, что некоторые фото являются БДн по закону — например, фото в загранпаспорте. Кроме того, фотографии, относящееся к биометрическим персональным данным, должны соответствовать требованиям ГОСТ Р ИСО/МЭК 19794-5-2013. Иначе фото не получится использовать для корректной идентификации.

Таким образом, не любое фото относится к биометрии. Зачастую для отнесения фотографии к биометрии необходим положительный ответ на следующие вопросы.

По фотографии можно идентифицировать человека, т. е. она достаточно четкая и человек на ней один?
Фотография используется для установления личности, в том числе ее подтверждения?
Установление личности происходит с использованием технологий / системы / оборудования, используется математический шаблон?

Юридические аспекты обработки биометрических персональных данных

Согласно статье 152-ФЗ, для обработки биометрических персональных данных клиентов или работников компании нужно получить согласие в письменной форме. Его отсутствие может обойтись компании в копеечку — штраф до 700 тысяч рублей.

Впрочем, иногда закон допускает обработку БДн без согласия. Обычно речь идет об исполнении судебных актов или отдельных законов. Например, о транспортной безопасности, оперативно-разыскной деятельности, о порядке въезда и выезда из РФ и о гражданстве РФ и т. д.

Как и в случае с обычными персональными данными, человек может отказаться от их предоставления или от согласия на их обработку. При этом оператор не вправе в ответ отказывать ему в обслуживании.

Многие компании перешли на современные охранные системы, где вместо пропуска используется отпечаток пальца или снимок лица человека. При этом нельзя обязать всех работников и иных посетителей предоставлять свои биометрические персональные данные. Таким образом, необходимо предусмотреть альтернативу. Например, производить идентификацию по паспорту, при этом не использовать сканеры или камеры для идентификации, а также не вносить фото в базы данных.

Отдельно хочу обратить внимание на п. 1  статьи 9 152-ФЗ. Он устанавливает, что согласие на обработку персональных данных должно быть конкретным, предметным и однозначным. Таким образом, если вы обрабатываете биометрические персональные данные клиентов, то в форме согласия должно быть явно обозначено, какие именно данные вам понадобятся и для какой цели.

За нарушение порядка обработки БДн статья 13.11 КоАП РФ предусматривает штраф до миллиона рублей. За незаконную передачу биометрических персональных данных штраф по указанной статье составляет уже до 20 миллионов рублей.

Если в процессе обработки биометрических персональных данных вы планируете привлекать третьих лиц, необходимо учесть все требования 152-ФЗ, в том числе заключить соглашение (поручение) об обработке персональных данных и указать третье лицо в согласии на обработку.

Технические аспекты обработки биометрических персональных данных

Закон № 572-ФЗ от 29  декабря  2022  г. внес кардинальные изменения в процесс обработки биометрических данных. Он дал старт поэтапному внедрению Единой биометрической системы.

Теперь биометрические персональные данные сосредоточены в едином защищенном месте, поскольку количество и масштаб киберпреступлений постоянно растут, как и ценность данных. Одной из ключевых особенностей, вводимых 572-ФЗ, является раздельное хранение данных: биометрические — в единой биометрической системе (ЕБС), данные о физическом лице — в единой системе идентификации и аутентификации.

Таким образом, чтобы провести идентификацию или аутентификацию человека по биометрическим персональным данным, необходимо иметь доступ к обеим системам. Аналогично и злоумышленнику необходимо взломать обе системы, чтобы использовать данные для своих целей. Значит, ему придется приложить для этого в два раза больше усилий.

С 30 сентября 2023 года организации должны обеспечить размещение биометрических данных в ЕБС. Для этого необходимо выполнить следующие действия.

Подключиться к ЕБС (об этом расскажем далее).
Конвертировать имеющиеся биометрические персональные данные в требуемый формат.
Загрузить их в ЕБС.
Уничтожить оставшиеся артефакты или то, что не удалось конвертировать.

Если вы не хотите взаимодействовать с ЕБС, по закону вам следует прекратить обработку биометрических персональных данных на внутренних ресурсах компании. Для этого нужно пройти следующие шаги.

Прекращение сбора и обработки биометрии.
Настройка очной идентификации и аутентификации. Если требуется подтверждение личности человека, необходимо провести с ним очную встречу.
Уничтожение или архивирование биометрии. Следует уничтожить все хранящиеся биометрические данные или передать их в архив. При этом важно убедиться, что данные не используются даже для внутренних целей вроде пропуска на территорию.
Уведомление Роскомнадзора. Сообщите о прекращении использования биометрических данных и об уничтожении или архивации ранее собранных данных.

Биометрия и сферы деятельности

На данный момент законодательно утверждены следующие случаи использования идентификации по биометрическим персональным данным с использованием ЕБС:

осуществление ипотечных сделок и получение других банковских услуг,
регистрация бизнеса,
заселение в гостиницу,
биоэквайринг (оплата взглядом),
посещение бизнес-зала,
оформление карты болельщика,
получение квалифицированной электронной подписи,
заключение договоров на услуги связи,
доступ на объекты.

Если какие-то из указанных процессов происходят в вашей компании, значит вам понадобится подключение к ЕБС.

Взаимодействие с Единой биометрической системой

Чтобы подключить компанию к ЕБС, необходимо выполнить следующие действия.

1. Выбор решения по информационной безопасности. Можете выбрать готовое или создать и сертифицировать собственное. Оно должно отвечать требованиям по информационной безопасности в части обеспечения целостности, конфиденциальности достоверности биометрических персональных данных при обработке,.

2. Получение сертификата ключа электронной подписи для вашей информационной системы. Финансовые организации обращаются в удостоверяющий центр Банка России, государственные органы — в удостоверяющий центр Федерального казначейства, ИП и юридические лица — в удостоверяющий центр ФНС России. Сертификат должен взаимодействовать с алгоритмами формирования электронной подписи ГОСТ Р 34.10-2012 и криптографического хэширования ГОСТ Р 34.11-2012.

3. Регистрация организации в ЕСИА. Для этого у руководителя или его представителя, уполномоченного действовать от имени организации без доверенности, должна быть подтвержденная учетная запись на Госуслугах.

4. Регистрация информационной системы в ЕСИА. Сначала происходит подключение к тестовой среде и уже после успешной проверки — к промышленной среде. Подключение происходит по заявке в Минкомсвязи России, заявка направляется по электронной почте. В процессе подключения потребуется зарегистрировать оператора информационной системы в ЕСИА — подключить одного из работников к учетной записи организации.

5. Регистрация ИС в тестовой среде ЕБС. Для этого нужно отправить оператору ЕБС заявку по электронной почте или в личном кабинете. После одобрения необходимо провести тестовую проверку биометрических образцов.

6. Организация защищенного канала связи до ЕСИА и ЕБС. Защищенный канал обеспечивает безопасную передачу биометрических персональных данных. В рамках этого процесса происходит подключение к защищенной сети ПАО «Ростелеком» через заключение договора. Для подключения необходимо приобрести или арендовать криптошлюз класса КС3 (далее — СКЗИ).

7. Оценка соответствия принятых мер требованиям по защите информации. В ходе указанной оценки нужно подтвердить отсутствие влияния среды функционирования СКЗИ на выполнение предъявляемых к ней требований. Для этого может потребоваться дополнительная установка модуля доверенной загрузки на серверы или рабочие места, где размещается ваша информационная система.

8. Заключение соглашения на удаленную идентификацию в продуктивной среде ЕБС. Это нужно сделать в личном кабинете, к которому уже получен доступ путем выбора и акцептации необходимых оферт.

9. Направление заявки на регистрацию системы в продуктивной среде ЕБС. На этом этапе будет проверено выполнение всех предыдущих шагов. Далее вы получите право на использование ЕБС для идентификации физических лиц по биометрии.

Использование биометрических персональных данных позволяет компаниям упростить процесс подтверждения личности физлица и в том числе производить его удаленно. Поскольку биометрические данные представляют особую ценность, государство приняло решение о хранении таких данных в Единой биометрической системе. Если вы хотите внедрить в своей компании идентификацию по биометрии, необходимо обеспечить взаимодействие внутренней информационной системы с ЕБС.

Инфраструктуру Selectel можно использовать для размещения такой информационной системы. Она отвечает всем требованиям к защите информации по первому уровню защищенности. Описание мер защиты и определение зон ответственности Selectel и клиента для разных услуг можно посмотреть в актах оценки для этих услуг. Кроме того, в рамках комплексных проектов мы можем предоставить в аренду средства защиты информации для виртуальных машин, в том числе средства доверенной загрузки.

Комментарии (1)

slavik27
23.06.2025 13:09
#28475380
Подскажите пожалуйста насколько законно сейчас банки используют биометрию

Допустим в ебс они её не выложили но продолжают пользоваться биометрией которая хранится локально у них на серверах