В свете скорого вступления в действие закона о биометрической идентификации клиентов банков хотелось бы вернуться немного назад и вспомнить, а чем собственно являются биометрические персональные данные. Что по этому поводу нам говорит Роскомнадзор и как нам быть, если придется с ними работать.
Согласно Федеральному закону от 27.07.2006 N 152-ФЗ «О персональных данных», ст. 11:
«Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.»Для детей у Роскомнадзора есть упрощенное объяснение:
Биометрические персональные данные представляют собой сведения о наших биологических особенностях. Эти данные уникальны, принадлежат только одному человеку и никогда не повторяются.
Биометрические данные заложены в нас от рождения самой природой, они никем не присваиваются, это просто закодированная информация о человеке, которую люди научились считывать. К таким данным относятся:
отпечаток пальца, рисунок радужной оболочки глаза, код ДНК, слепок голоса и пр.
О стандартах
В соответствии с приказом Федерального агентства по техническому регулированию и метрологии от 6 марта 2017 года №448 была организована деятельность технического комитета по стандартизации ТК 098 «Биометрия и биомониторинг».
Согласно Приложению N 3 к приказу Федерального агентства по техническому регулированию и метрологии от 6 марта 2017 г. N 448 (Положение о техническом комитете по стандартизации «Биометрия и биомониторинг») ТК призван решать следующие задачи:
- формирование программы национальной стандартизации по закрепленной за ТК 098 областью деятельностью и контроль за реализацией этой программы;
- рассмотрение предложений по применению международных и региональных стандартов на национальном и межгосударственном уровнях в закрепленной за ТК 098 области деятельности;
- проведение экспертизы проектов национальных и межгосударственных стандартов и проектов изменений к действующим стандартам, а также представление их на утверждение (принятие) в Росстандарт;
- участие в работе межгосударственного технического комитета по стандартизации (МТК) и международных технических комитетах (ИСО/ТК), которые имеют общую с ним область деятельности;
- регулярная проверка действующих в Российской Федерации и закрепленных за ТК 098 национальных и межгосударственных стандартов с целью выявления необходимости их обновления или отмены;
- оценка целесообразности утверждения закрепленных за ТК 098 предварительных национальных стандартов в качестве национальных стандартов Российской Федерации по результатам мониторинга их применения;
- рассмотрение проектов международных стандартов в закрепленной за ТК 098 области деятельности и подготовка позиции Российской Федерации при голосовании по данным проектам;
- рассмотрение предложений по разработке международных стандартов, в том числе на основе национальных и межгосударственных стандартов, закрепленных за ТК 098;
- проведение экспертизы официальных переводов на русский язык международных и региональных стандартов, национальных стандартов и сводов правил иностранных государств в закрепленной за ТК 098 области деятельности и пр.
В данном ТК, по состоянию на 31.10.2017 г., отражен перечень действующих национальных стандартов в области биометрических технологий. Данный перечень сведен в таблицу, представленную ниже.
№ |
Обозначение национального стандарта |
Наименование национального стандарта |
1. |
ГОСТ ISO/IEC 2382-37-2016* |
Информационные технологии. Словарь. Часть 37. Биометрия (принят протоколом МГС №93-П от 22 ноября 2016 г.) |
2. |
ГОСТ ISO/IEC 19794-1-2015* |
Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 1. Структура |
3. |
ГОСТ Р ИСО/МЭК 19794-2-2013 |
Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 2. Данные изображения отпечатка пальца — контрольные точки |
4. |
ГОСТ Р ИСО/МЭК 19794-3-2009 |
Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 3. Спектральные данные изображения отпечатка пальца |
5. |
ГОСТ Р ИСО/МЭК 19794-4-2014 |
Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 4. Данные изображения отпечатка пальца |
6. |
ГОСТ Р ИСО/МЭК 19794-5-2013 |
Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица |
7. |
ГОСТ Р ИСО/МЭК 19794-6-2014 |
Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 6. Данные изображения радужной оболочки глаза |
8. |
ГОСТ Р ИСО/МЭК 19794-7-2009 |
Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 7. Данные динамики подписи |
9. |
ГОСТ Р ИСО/МЭК 19794-8-2015 |
Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 8. Данные изображения отпечатка пальца — остов |
10. |
ГОСТ Р ИСО/МЭК 19794-9-2015 |
Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 9. Данные изображения сосудистого русла |
11. |
ГОСТ Р ИСО/МЭК 19794-10-2010 |
Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 10. Данные геометрии контура кисти руки |
12. |
ГОСТ Р ИСО/МЭК 19794-11-2015 |
Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 11. Обрабатываемые данные динамики подписи |
13. |
ГОСТ Р ИСО/МЭК 19794-14-2017 |
Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 14. Данные ДНК |
14. |
ГОСТ Р ИСО/МЭК 19795-1-2007 |
Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 1. Принципы и структура |
15. |
ГОСТ Р ИСО/МЭК 19795-2-2008 |
Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 2. Методы проведения технологического и сценарного испытаний |
16. |
ГОСТ Р ИСО/МЭК ТО 19795-3-2009 |
Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 3. Особенности проведения испытаний при различных биометрических модальностях |
17. |
ГОСТ Р ИСО/МЭК 19795-4-2011 |
Информационные технологии. Биометрия. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 4. Испытания на совместимость |
18. |
ГОСТ Р ИСО/МЭК 19795-6-2015 |
Информационные технологии. Биометрия. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 6. Методология проведения оперативных испытаний |
19. |
ГОСТ Р ИСО/МЭК 19784-1-2007 |
Автоматическая идентификация. Идентификация биометрическая. Биометрический программный интерфейс. Часть 1. Спецификация биометрического программного интерфейса |
20. |
ГОСТ Р ИСО/МЭК 19784-2-2010 |
Автоматическая идентификация. Идентификация биометрическая. Биометрический программный интерфейс. Часть 2. Интерфейс поставщика биометрической функции архива |
21. |
ГОСТ Р ИСО/МЭК 19784-4-2014 |
Информационные технологии. Биометрия. Биометрический программный интерфейс. Часть 4. Интерфейс поставщика функции биометрического датчика |
22. |
ГОСТ Р ИСО/МЭК 19785-1-2008 |
Автоматическая идентификация. Идентификация биометрическая. Единая структура форматов обмена биометрическими данными. Часть 1. Спецификация элементов данных |
23. |
ГОСТ Р ИСО/МЭК 19785-2-2008 |
Автоматическая идентификация. Идентификация биометрическая. Единая структура форматов обмена биометрическими данными. Часть 2. Процедуры действий регистрационного органа в области биометрии |
24. |
ГОСТ Р ИСО/МЭК 19785-4-2012 |
Информационные технологии. Биометрия. Единая структура форматов обмена биометрическими данными. Часть 4. Спецификация формата блока защиты информации |
25. |
ГОСТ Р ИСО/МЭК 24708-2013 |
Информационные технологии. Биометрия. Протокол межсетевого обмена БиоАПИ |
26. |
ГОСТ Р ИСО/МЭК 24709-1-2009 |
Автоматическая идентификация. Идентификация биометрическая. Испытания на соответствие биометрическому программному интерфейсу (БиоАПИ). Часть 1. Методы и процедуры |
27. |
ГОСТ Р ИСО/МЭК 24709-2-2011 |
Информационные технологии. Биометрия. Испытания на соответствие биометрическому программному интерфейсу (БиоАПИ). Часть 2. Тестовые утверждения для поставщиков биометрических услуг |
28. |
ГОСТ Р ИСО/МЭК 24709-3-2013 |
Информационные технологии. Биометрия. Испытания на соответствие биометрическому программному интерфейсу (БиоАПИ). Часть 3. Тестовые утверждения для инфраструктур БиоАПИ |
29. |
ГОСТ ISO/IEC 24713-1-2013* |
Информационные технологии. Биометрические профили для взаимодействия и обмена данными. Часть 1. Общая архитектура биометрической системы и биометрические профили |
30. |
ГОСТ Р ИСО/МЭК 24713-2-2011 |
Информационные технологии. Биометрия. Биометрические профили для взаимодействия и обмена данными. Часть 2. Физический контроль доступа сотрудников аэропорта |
31. |
ГОСТ Р ИСО/МЭК 24713-3-2016 |
Информационные технологии. Биометрия. Биометрические профили для взаимодействия и обмена данными. Часть 3. Биометрическая верификация и идентификация моряков |
32. |
ГОСТ Р ИСО/МЭК 29109-1-2012 |
Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, определенным в комплексе стандартов ИСО/МЭК 19794. Часть 1. Обобщенная методология испытаний на соответствие |
33. |
ГОСТ Р ИСО/МЭК 29109-4-2015 |
Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, определенным в комплексе стандартов ИСО/МЭК 19794. Часть 4. Данные изображения отпечатка пальца |
34. |
ГОСТ Р ИСО/МЭК 29109-5-2013 |
Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, определенным в комплексе стандартов ИСО/МЭК 19794. Часть 5. Данные изображения лица |
35. |
ГОСТ Р ИСО/МЭК 29109-6-2016 |
Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, определенным в комплексе стандартов ИСО/МЭК 19794. Часть 6. Данные изображения радужной оболочки глаза |
36. |
ГОСТ Р ИСО/МЭК 29109-7-2016 |
Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, определенным в комплексе стандартов ИСО/МЭК 19794. Часть 7. Данные динамики подписи |
37. |
ГОСТ Р ИСО/МЭК 29109-8-2016 |
Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, определенным в комплексе стандартов ИСО/МЭК 19794. Часть 8. Данные изображения отпечатка пальца — остов |
38. |
ГОСТ Р ИСО/МЭК 29109-9-2017 |
Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, определенным в комплексе стандартов ИСО/МЭК 19794. Часть 9. Данные изображения сосудистого русла |
39. |
ГОСТ Р ИСО/МЭК 29109-10-2017 |
Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, определенным в комплексе стандартов ИСО/МЭК 19794. Часть 10. Данные геометрии контура кисти руки |
40. |
ГОСТ Р ИСО/МЭК 29794-1-2012 |
Информационные технологии. Биометрия. Качество биометрических образцов. Часть 1. Структура |
41. |
ГОСТ Р ИСО/МЭК 29141-2012 |
Информационные технологии. Биометрия. Одновременное получение изображений отпечатков десяти пальцев с помощью БиоАПИ |
42. |
ГОСТ Р 54412-2011/ISO/IEC TR 24741:2007 |
Информационные технологии. Биометрия. Обучающая программа по биометрии |
Как видим, перечень довольно обширный, но и это еще не все. Кроме непосредственно биометрических технологий, так же касаются биометрии и стандарты на машиносчитываемые паспортно-визовые документы, а так же на идентификационные карты с биометрическими данными. Приводить в рамках данной статьи их не будем, при желании ознакомиться с ними, все это можно найти на сайте ТК 098.
О разъяснениях Роскомнадзора
Выпущенные в свет разъяснения Роскомнадзора, которые как раз поднимали «…вопросы отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки.», многими были проигнорированы и зря. До сих пор возникает много вопросов, ответы на которые можно было найти в разъяснениях, не закапываясь в ГОСТы. Поэтому предлагаю еще раз пройти по основным тезисам, а для кого-то ознакомиться с ними впервые.
Исходя из определения, приведенного выше, в контексте Федерального закона «О персональных данных» отнесение сведений персонального характера к биометрическим персональным данным и их последующая обработка должны рассматриваться в рамках проводимых оператором мероприятий, направленных на установление личности конкретного лица, если иное не предусмотрено федеральными законами и принятыми на их основе нормативными правовыми актами.
Т.е., если пользователь, допустим, ставит свою фотографию на какую-нибудь аватарку, то мы не считаем это биометрическими данными, т.к. по аватарке мы не определяем личность пользователя. Тем не менее, есть случаи, когда фотографию прямо относят к биометрическим персональным данным.
«Согласно пункту 6 Перечня персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию, утвержденного постановлением Правительства Российской Федерации 4 марта 2010 г. № 125, цветное цифровое фотографическое изображение лица владельца документа является биометрическими персональными данными владельца документа.»
В случаях, когда сканирование паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом, например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных и ст. 11 Федерального закона «О персональных данных» не регулируются. Соответственно, обработка сведений, в данных случаях, осуществляется в соответствии с общими требованиями, установленными Федеральным законом «О персональных данных».
Не являются биометрическим персональными данными рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека, и находящиеся в истории болезни (медицинской карте) пациента (не имеет значения, бумажной или электронной), поскольку они не используются оператором (медицинским учреждением) для установления личности пациента. Но в случае их передачи по запросу субъектов оперативно-розыскной деятельности, органов следствия и дознания в рамках проводимых ими мероприятий указанные сведения становятся биометрическими персональными данными, поскольку используются операторами — органами следствия и дознания в целях установления личности конкретного лица. Т.е. в органы следствия передаются сведения медицинского характера, а там они уже становятся биометрическими персональными данными.
Аналогичным подходом нужно руководствоваться и при получении иных сведений, которые можно отнести к биометрическим персональным данным. Таким образом, если мы используем полученные сведения характеризующие физиологические и биологические особенности человека для установления личности, то у нас биометрия, если нет – иное.
Главное, что в случае обработки биометрических персональных данных необходимо помнить:
«В соответствии с ч. 1 ст. 11 Федерального закона «О персональных данных» обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных.»
P.S. По ссылке вы можете скачать наш White Paper о Федеральном Законе №152.
Это книга, которая была опубликована с целью помочь устранить путаницу в вопросах обработки персональных данных и ясно описать процесс приведения ИС персональных данных в соответствии с законодательством России. Тема раскрывается «с нуля». Это помогает удовлетворить потребности широкого круга читателей.
Комментарии (18)
Popadanec
13.06.2018 00:24Надеюсь отпечатки не будут считаться биометрическими данными, их же подделать любой школьник сегодня может.
VolCh
13.06.2018 09:04Модели угроз вашим процедурам идентификации и аутентификации — ваши проблемы в общем случае. Если не используете отпечатки пальцев для них, а просто решили чтобы на аватарках юзеров отпечатки только были, то это не биометрика в контексте поста.
WHATrushka
13.06.2018 09:23У меня вопросов появилось больше, чем ответов. Когда я визу делал, брали отпечатки пальцев. Получается, что у меня взяли эти биометрические данные и кто знает, что они потом с ними там сделали. Знакомого полиция поймала за распитием сидра в парке, в отделении у него взяли отпечатки. Так вот где гарантии, что все это не будет слито и продано мошенникам?
Areso
13.06.2018 11:05+1На самом деле, многих беспокоит другой вопрос.
Пример. У вас взяли отпечатки, а потом эти отпечатки нашли на месте преступления. Ну были вы там, за некоторое время до преступления. А вызовут вас, и как знать, как оно повернется дальше.
Другой пример. Вы сделали ДНК-тест, а потом кто-то где-то снасильничал. Пробы совпали на в значительной мере, и у вас будут большие проблемы. А то, что это ваш отец где-то в молодости нагулял ребенка, про которого он никогда (и вы — никогда) даже не слышали, ну так кого это волнует?
MedicusAmicus
13.06.2018 10:00Если я разблокирую телефон отпечатком пальца кто обрабатывает мою биометрию?
Я? Вендор аппарата? Сервер нацбезопасности?VolCh
13.06.2018 10:02Если локально ваши пальцы остаются, то вы и обрабатываете — аппаратные средства ваши, на программные у вас лицензия (по умолчанию).
BigBeaver
13.06.2018 10:11Скорее всего, никто кроме вас. При сбросе телефона разблокировка по отпечатку слетает вместе с фотками и контактами и тд (но, в отличие от них, из облака потом не восстанавливается). По крайней мере, у сяоми.
BigBeaver
13.06.2018 17:33Я даже рискну предположить, что эти данные могут не покидать внутренней памяти сенсора (и быть не доступными из ОС). Но это уже вольные фантазии, как я бы сам делал датчик отпечатков, который не стремно использовать.
plin2s
13.06.2018 10:33Следствие получает данные, которые автоматом становятся биометрическими, но письменного согласия на их обработку нет, потому что они не считались биометрическими… Как обычно, дыра в законе для нужд следсьвия?
Ark_V
13.06.2018 16:49Поясните по абзацу
В случаях, когда сканирование паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом, например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных
на третьей странице паспорта фотография с фамилией именем отчеством годом и местом рождения, ее сохранение где либо помимо паспорта уже по факту в любом случае является идентификацией (установлением личности), а вы говорите не считается, как так получается?VolCh
13.06.2018 20:27Идентификацию работник банка, например, проводит обычно у себя в мозгу, сканирование это уже архивация. Но в теории может быть, что после сканирования какой-то софт свереяет фотографию с изображениями из других источников (хоть база мошенников, хоть изображение с камеры, которая мотрит на клиента) и тогда это будет биометрия по идее.
Ark_V
13.06.2018 17:10если мы используем полученные сведения характеризующие физиологические и биологические особенности человека для установления личности, то у нас биометрия, если нет – иное.
А что такое установление личности?
Вот если мы храним базу фотографий людей подписанных их паспортными данными, чисто из художественных соображений это установление личности? По вашему получается нет и можно собирать и хранить абы как?
А когда злоумышленник завладевает этой базой и может выбрать и легко найти понравившуюся ему жертву, то какой смысл в законе?VolCh
13.06.2018 20:30Не абы как, а как обычные персональные данные, как раз для противодействия злоумышленникам в вашем случае. А биометрические данные означают, что вы используете эти фотографии для установления личности, например, приходит клиент к оператору, а у оператора эта фотография на экране и он должен сравнить, преже чем давать или принимать деньги.
VolCh
Вот интересно: собственноручная подпись — это биометрика. Считается ли согласие на обработку биометрики подписанное биометрикой достаточным для обработки хотя бы этого согласия?
Protos
Помнится в том документе ФСТЭК на который в статье дана ссылка, данный случай рассматривается.