В свете скорого вступления в действие закона о биометрической идентификации клиентов банков хотелось бы вернуться немного назад и вспомнить, а чем собственно являются биометрические персональные данные. Что по этому поводу нам говорит Роскомнадзор и как нам быть, если придется с ними работать.


Согласно Федеральному закону от 27.07.2006 N 152-ФЗ «О персональных данных», ст. 11:
«Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.»
Для детей у Роскомнадзора есть упрощенное объяснение:
Биометрические персональные данные представляют собой сведения о наших биологических особенностях. Эти данные уникальны, принадлежат только одному человеку и никогда не повторяются.

Биометрические данные заложены в нас от рождения самой природой, они никем не присваиваются, это просто закодированная информация о человеке, которую люди научились считывать. К таким данным относятся:

отпечаток пальца, рисунок радужной оболочки глаза, код ДНК, слепок голоса и пр.

О стандартах


В соответствии с приказом Федерального агентства по техническому регулированию и метрологии от 6 марта 2017 года №448 была организована деятельность технического комитета по стандартизации ТК 098 «Биометрия и биомониторинг».


Согласно Приложению N 3 к приказу Федерального агентства по техническому регулированию и метрологии от 6 марта 2017 г. N 448 (Положение о техническом комитете по стандартизации «Биометрия и биомониторинг») ТК призван решать следующие задачи:


  • формирование программы национальной стандартизации по закрепленной за ТК 098 областью деятельностью и контроль за реализацией этой программы;
  • рассмотрение предложений по применению международных и региональных стандартов на национальном и межгосударственном уровнях в закрепленной за ТК 098 области деятельности;
  • проведение экспертизы проектов национальных и межгосударственных стандартов и проектов изменений к действующим стандартам, а также представление их на утверждение (принятие) в Росстандарт;
  • участие в работе межгосударственного технического комитета по стандартизации (МТК) и международных технических комитетах (ИСО/ТК), которые имеют общую с ним область деятельности;
  • регулярная проверка действующих в Российской Федерации и закрепленных за ТК 098 национальных и межгосударственных стандартов с целью выявления необходимости их обновления или отмены;
  • оценка целесообразности утверждения закрепленных за ТК 098 предварительных национальных стандартов в качестве национальных стандартов Российской Федерации по результатам мониторинга их применения;
  • рассмотрение проектов международных стандартов в закрепленной за ТК 098 области деятельности и подготовка позиции Российской Федерации при голосовании по данным проектам;
  • рассмотрение предложений по разработке международных стандартов, в том числе на основе национальных и межгосударственных стандартов, закрепленных за ТК 098;
  • проведение экспертизы официальных переводов на русский язык международных и региональных стандартов, национальных стандартов и сводов правил иностранных государств в закрепленной за ТК 098 области деятельности и пр.

В данном ТК, по состоянию на 31.10.2017 г., отражен перечень действующих национальных стандартов в области биометрических технологий. Данный перечень сведен в таблицу, представленную ниже.


Обозначение национального стандарта

Наименование национального стандарта


1.


ГОСТ ISO/IEC 2382-37-2016*


Информационные технологии. Словарь. Часть 37. Биометрия (принят протоколом МГС №93-П от 22 ноября 2016 г.)


2.


ГОСТ ISO/IEC 19794-1-2015*


Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 1. Структура


3.


ГОСТ Р ИСО/МЭК 19794-2-2013


Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 2. Данные изображения отпечатка пальца — контрольные точки


4.


ГОСТ Р ИСО/МЭК 19794-3-2009


Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 3. Спектральные данные изображения отпечатка пальца


5.


ГОСТ Р ИСО/МЭК 19794-4-2014


Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 4. Данные изображения отпечатка пальца


6.


ГОСТ Р ИСО/МЭК 19794-5-2013


Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 5. Данные изображения лица


7.


ГОСТ Р ИСО/МЭК 19794-6-2014


Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 6. Данные изображения радужной оболочки глаза


8.


ГОСТ Р ИСО/МЭК 19794-7-2009


Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 7. Данные дина­мики подписи


9.


ГОСТ Р ИСО/МЭК 19794-8-2015


Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 8. Данные изображения отпечатка пальца — остов


10.


ГОСТ Р ИСО/МЭК 19794-9-2015


Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 9. Данные изображения сосудистого русла


11.


ГОСТ Р ИСО/МЭК 19794-10-2010


Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 10. Данные гео­метрии контура кисти руки


12.


ГОСТ Р ИСО/МЭК 19794-11-2015


Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 11. Обрабатываемые данные динамики под­писи


13.


ГОСТ Р ИСО/МЭК 19794-14-2017


Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 14. Данные ДНК


14.


ГОСТ Р ИСО/МЭК 19795-1-2007


Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 1. Принципы и структура


15.


ГОСТ Р ИСО/МЭК 19795-2-2008


Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии.


Часть 2. Методы проведения технологического и сценарного испыта­ний


16.


ГОСТ Р ИСО/МЭК


ТО 19795-3-2009


Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 3. Особенности проведения испытаний при различных биомет­рических модальностях


17.


ГОСТ Р ИСО/МЭК 19795-4-2011


Информационные технологии. Биометрия. Эксплуатационные испыта­ния и протоколы испытаний в биометрии. Часть 4. Испытания на сов­местимость


18.


ГОСТ Р ИСО/МЭК 19795-6-2015


Информационные технологии. Биометрия. Эксплуатационные испыта­ния и протоколы испытаний в биометрии. Часть 6. Методология про­ведения оперативных испытаний


19.


ГОСТ Р ИСО/МЭК 19784-1-2007


Автоматическая идентификация. Идентификация биометрическая. Биометрический программный интерфейс. Часть 1. Спецификация биометрического программного интерфейса


20.


ГОСТ Р ИСО/МЭК 19784-2-2010


Автоматическая идентификация. Идентификация биометрическая. Биометрический программный интерфейс. Часть 2. Интерфейс постав­щика биометрической функции архива


21.


ГОСТ Р ИСО/МЭК 19784-4-2014


Информационные технологии. Биометрия. Биометрический программ­ный интерфейс. Часть 4. Интерфейс поставщика функции биометриче­ского датчика


22.


ГОСТ Р ИСО/МЭК 19785-1-2008


Автоматическая идентификация. Идентификация биометрическая. Единая структура форматов обмена биометрическими данными. Часть


1. Спецификация элементов данных


23.


ГОСТ Р ИСО/МЭК 19785-2-2008


Автоматическая идентификация. Идентификация биометрическая. Единая структура форматов обмена биометрическими данными. Часть 2. Процедуры действий регистрационного органа в области биометрии


24.


ГОСТ Р ИСО/МЭК 19785-4-2012


Информационные технологии. Биометрия. Единая структура форматов обмена биометрическими данными. Часть 4. Спецификация формата блока защиты информации


25.


ГОСТ Р ИСО/МЭК 24708-2013


Информационные технологии. Биометрия. Протокол межсетевого об­мена БиоАПИ


26.


ГОСТ Р ИСО/МЭК 24709-1-2009


Автоматическая идентификация. Идентификация биометрическая. Ис­пытания на соответствие биометрическому программному интерфейсу (БиоАПИ). Часть 1. Методы и процедуры


27.


ГОСТ Р ИСО/МЭК 24709-2-2011


Информационные технологии. Биометрия. Испытания на соответствие биометрическому программному интерфейсу (БиоАПИ). Часть 2. Те­стовые утверждения для поставщиков биометрических услуг


28.


ГОСТ Р ИСО/МЭК 24709-3-2013


Информационные технологии. Биометрия. Испытания на соответствие биометрическому программному интерфейсу (БиоАПИ). Часть 3. Те­стовые утверждения для инфраструктур БиоАПИ


29.


ГОСТ ISO/IEC 24713-1-2013*


Информационные технологии. Биометрические профили для взаимо­действия и обмена данными. Часть 1. Общая архитектура биометриче­ской системы и биометрические профили


30.


ГОСТ Р ИСО/МЭК 24713-2-2011


Информационные технологии. Биометрия. Биометрические профили для взаимодействия и обмена данными. Часть 2. Физический контроль доступа сотрудников аэропорта


31.


ГОСТ Р ИСО/МЭК 24713-3-2016


Информационные технологии. Биометрия. Биометрические профили для взаимодействия и обмена данными. Часть 3. Биометрическая вери­фикация и идентификация моряков


32.


ГОСТ Р ИСО/МЭК 29109-1-2012


Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 1. Обобщен­ная методология испытаний на соответствие


33.


ГОСТ Р ИСО/МЭК 29109-4-2015


Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 4. Данные изображения отпечатка пальца


34.


ГОСТ Р ИСО/МЭК 29109-5-2013


Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 5. Данные изображения лица


35.


ГОСТ Р ИСО/МЭК 29109-6-2016


Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 6. Данные изображения радужной оболочки глаза


36.


ГОСТ Р ИСО/МЭК 29109-7-2016


Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 7. Данные ди­намики подписи


37.


ГОСТ Р ИСО/МЭК 29109-8-2016


Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 8. Данные изображения отпечатка пальца — остов


38.


ГОСТ Р ИСО/МЭК 29109-9-2017


Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 9. Данные изображения сосудистого русла


39.


ГОСТ Р ИСО/МЭК 29109-10-2017


Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 10. Данные геометрии контура кисти руки


40.


ГОСТ Р ИСО/МЭК 29794-1-2012


Информационные технологии. Биометрия. Качество биометрических образцов. Часть 1. Структура


41.


ГОСТ Р ИСО/МЭК 29141-2012


Информационные технологии. Биометрия. Одновременное получение изображений отпечатков десяти пальцев с помощью БиоАПИ


42.


ГОСТ Р 54412-2011/ISO/IEC TR 24741:2007


Информационные технологии. Биометрия. Обучающая программа по биометрии


Как видим, перечень довольно обширный, но и это еще не все. Кроме непосредственно биометрических технологий, так же касаются биометрии и стандарты на машиносчитываемые паспортно-визовые документы, а так же на идентификационные карты с биометрическими данными. Приводить в рамках данной статьи их не будем, при желании ознакомиться с ними, все это можно найти на сайте ТК 098.


О разъяснениях Роскомнадзора


Выпущенные в свет разъяснения Роскомнадзора, которые как раз поднимали «…вопросы отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки.», многими были проигнорированы и зря. До сих пор возникает много вопросов, ответы на которые можно было найти в разъяснениях, не закапываясь в ГОСТы. Поэтому предлагаю еще раз пройти по основным тезисам, а для кого-то ознакомиться с ними впервые.


Исходя из определения, приведенного выше, в контексте Федерального закона «О персональных данных» отнесение сведений персонального характера к биометрическим персональным данным и их последующая обработка должны рассматриваться в рамках проводимых оператором мероприятий, направленных на установление личности конкретного лица, если иное не предусмотрено федеральными законами и принятыми на их основе нормативными правовыми актами.


Т.е., если пользователь, допустим, ставит свою фотографию на какую-нибудь аватарку, то мы не считаем это биометрическими данными, т.к. по аватарке мы не определяем личность пользователя. Тем не менее, есть случаи, когда фотографию прямо относят к биометрическим персональным данным.

«Согласно пункту 6 Перечня персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию, утвержденного постановлением Правительства Российской Федерации 4 марта 2010 г. № 125, цветное цифровое фотографическое изображение лица владельца документа является биометрическими персональными данными владельца документа.»

В случаях, когда сканирование паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом, например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных и ст. 11 Федерального закона «О персональных данных» не регулируются. Соответственно, обработка сведений, в данных случаях, осуществляется в соответствии с общими требованиями, установленными Федеральным законом «О персональных данных».


Не являются биометрическим персональными данными рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека, и находящиеся в истории болезни (медицинской карте) пациента (не имеет значения, бумажной или электронной), поскольку они не используются оператором (медицинским учреждением) для установления личности пациента. Но в случае их передачи по запросу субъектов оперативно-розыскной деятельности, органов следствия и дознания в рамках проводимых ими мероприятий указанные сведения становятся биометрическими персональными данными, поскольку используются операторами — органами следствия и дознания в целях установления личности конкретного лица. Т.е. в органы следствия передаются сведения медицинского характера, а там они уже становятся биометрическими персональными данными.


Аналогичным подходом нужно руководствоваться и при получении иных сведений, которые можно отнести к биометрическим персональным данным. Таким образом, если мы используем полученные сведения характеризующие физиологические и биологические особенности человека для установления личности, то у нас биометрия, если нет – иное.


Главное, что в случае обработки биометрических персональных данных необходимо помнить:

«В соответствии с ч. 1 ст. 11 Федерального закона «О персональных данных» обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных.»

P.S. По ссылке вы можете скачать наш White Paper о Федеральном Законе №152.
Это книга, которая была опубликована с целью помочь устранить путаницу в вопросах обработки персональных данных и ясно описать процесс приведения ИС персональных данных в соответствии с законодательством России. Тема раскрывается «с нуля». Это помогает удовлетворить потребности широкого круга читателей.

Комментарии (18)


  1. VolCh
    12.06.2018 19:33
    +2

    Вот интересно: собственноручная подпись — это биометрика. Считается ли согласие на обработку биометрики подписанное биометрикой достаточным для обработки хотя бы этого согласия?


    1. Protos
      13.06.2018 05:23

      Помнится в том документе ФСТЭК на который в статье дана ссылка, данный случай рассматривается.


  1. Popadanec
    13.06.2018 00:24

    Надеюсь отпечатки не будут считаться биометрическими данными, их же подделать любой школьник сегодня может.


    1. Protos
      13.06.2018 05:24

      Статью прочитайте, в ней четко написано в каких случаях да, а в каких нет


    1. VolCh
      13.06.2018 09:04

      Модели угроз вашим процедурам идентификации и аутентификации — ваши проблемы в общем случае. Если не используете отпечатки пальцев для них, а просто решили чтобы на аватарках юзеров отпечатки только были, то это не биометрика в контексте поста.


  1. WHATrushka
    13.06.2018 09:23

    У меня вопросов появилось больше, чем ответов. Когда я визу делал, брали отпечатки пальцев. Получается, что у меня взяли эти биометрические данные и кто знает, что они потом с ними там сделали. Знакомого полиция поймала за распитием сидра в парке, в отделении у него взяли отпечатки. Так вот где гарантии, что все это не будет слито и продано мошенникам?


    1. Areso
      13.06.2018 11:02

      А гарантий нет)


    1. Areso
      13.06.2018 11:05
      +1

      На самом деле, многих беспокоит другой вопрос.
      Пример. У вас взяли отпечатки, а потом эти отпечатки нашли на месте преступления. Ну были вы там, за некоторое время до преступления. А вызовут вас, и как знать, как оно повернется дальше.
      Другой пример. Вы сделали ДНК-тест, а потом кто-то где-то снасильничал. Пробы совпали на в значительной мере, и у вас будут большие проблемы. А то, что это ваш отец где-то в молодости нагулял ребенка, про которого он никогда (и вы — никогда) даже не слышали, ну так кого это волнует?


  1. MedicusAmicus
    13.06.2018 10:00

    Если я разблокирую телефон отпечатком пальца кто обрабатывает мою биометрию?
    Я? Вендор аппарата? Сервер нацбезопасности?


    1. VolCh
      13.06.2018 10:02

      Если локально ваши пальцы остаются, то вы и обрабатываете — аппаратные средства ваши, на программные у вас лицензия (по умолчанию).


    1. BigBeaver
      13.06.2018 10:11

      Скорее всего, никто кроме вас. При сбросе телефона разблокировка по отпечатку слетает вместе с фотками и контактами и тд (но, в отличие от них, из облака потом не восстанавливается). По крайней мере, у сяоми.


      1. BigBeaver
        13.06.2018 17:33

        Я даже рискну предположить, что эти данные могут не покидать внутренней памяти сенсора (и быть не доступными из ОС). Но это уже вольные фантазии, как я бы сам делал датчик отпечатков, который не стремно использовать.


  1. MedicusAmicus
    13.06.2018 10:06

    [paranoid mode]Ключевое слово — "если локально"[/paranoid mode]


  1. plin2s
    13.06.2018 10:33

    Следствие получает данные, которые автоматом становятся биометрическими, но письменного согласия на их обработку нет, потому что они не считались биометрическими… Как обычно, дыра в законе для нужд следсьвия?


  1. Ark_V
    13.06.2018 16:49

    Поясните по абзацу

    В случаях, когда сканирование паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом, например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных

    на третьей странице паспорта фотография с фамилией именем отчеством годом и местом рождения, ее сохранение где либо помимо паспорта уже по факту в любом случае является идентификацией (установлением личности), а вы говорите не считается, как так получается?


    1. VolCh
      13.06.2018 20:27

      Идентификацию работник банка, например, проводит обычно у себя в мозгу, сканирование это уже архивация. Но в теории может быть, что после сканирования какой-то софт свереяет фотографию с изображениями из других источников (хоть база мошенников, хоть изображение с камеры, которая мотрит на клиента) и тогда это будет биометрия по идее.


  1. Ark_V
    13.06.2018 17:10

    если мы используем полученные сведения характеризующие физиологические и биологические особенности человека для установления личности, то у нас биометрия, если нет – иное.

    А что такое установление личности?
    Вот если мы храним базу фотографий людей подписанных их паспортными данными, чисто из художественных соображений это установление личности? По вашему получается нет и можно собирать и хранить абы как?
    А когда злоумышленник завладевает этой базой и может выбрать и легко найти понравившуюся ему жертву, то какой смысл в законе?


    1. VolCh
      13.06.2018 20:30

      Не абы как, а как обычные персональные данные, как раз для противодействия злоумышленникам в вашем случае. А биометрические данные означают, что вы используете эти фотографии для установления личности, например, приходит клиент к оператору, а у оператора эта фотография на экране и он должен сравнить, преже чем давать или принимать деньги.