С 1 марта 2023 г. законодательство ограничивает использование информационных систем (ИС) для идентификации и/или аутентификации с использованием биометрии. Как говорил Сенека: «Закон должен быть краток, чтобы его легко могли запомнить и люди несведущие». В этой статье буду придерживаться этого правила, и кратко расскажу, кому и на каких условиях разрешат использовать такие системы.
Важно. Есть 3 варианта использования систем:
Идентификация;
Идентификация и аутентификация;
Аутентификация.
К первым двум вариантам закон предъявляет одинаковые требования, поэтому оба буду называть едино – «идентификация».
Уже в ближайшем будущем законотворцы допускают проведение идентификации и/или аутентификации по биометрии исключительно с использованием трех вариантов ИС: государственная ИС (далее – ГИС) «Единая биометрическая система» (далее – ЕБС), иные ГИС и иные (коммерческие) ИС. Рассмотрим каждый вариант.
Единая биометрическая система
Здесь размещаются данные изображения лица и голоса человека.
Обработку биометрии в целях идентификации с использованием ЕБС можно осуществлять в случаях, установленных ФЗ, актами Правительства РФ и др. нормативными правовыми актами. Сейчас использовать ее разрешено банкам, удостоверяющим центрам, органам, предоставляющим государственные/муниципальные услуги, многофункциональным центрам, нотариусам, операторам связи и ВУЗам (последним пока лишь в 2021/2022гг., но планируют разрешить на постоянной основе).
Ожидается, что этот перечень будет пополняться после проведения экспериментов по идентификации с использованием ЕБС в различных сферах деятельности.
Для проведения идентификации ЕБС работает в связке с Единой системой идентификации и аутентификации (ЕСИА).
При этом случаи обработки биометрии в целях аутентификации не ограничиваются нормативкой, и использовать ЕБС можно для аутентификации физического лица, согласного на ее проведение.
ЕБС для аутентификации может быть использована как в связке с ЕСИА, так и иными ИС, содержащими персональные данные.
Иные ГИС
Обработка биометрии для работы госорганов, муниципалитета и организаций, осуществляющих отдельные публичные полномочия, проводится с применением ЕБС. Если же потребуется обработка видов биометрии, которые не соответствуют условиям ЕБС, госорганы, аккредитованные на право владения и/или осуществления функций оператора, смогут применять иные ГИС. Требования к прохождению аккредитации уже разработаны и вступят в силу с 1 марта 2023 года.
Для их применения потребуется выполнить ряд условий:
применять меры по обеспечению безопасности персональных данных;
нейтрализовать актуальные угрозы безопасности информации;
соблюдать порядок обработки параметров биометрии;
соблюдать порядок размещения и обновления биометрии в системе;
выполнять требования, предъявляемые к информационным технологиям и техническим средствам, предназначенным для обработки биометрии.
Предполагается, что перечень актуальных угроз, порядок обработки, размещения и обновления биометрии, требования к информационным технологиям и техническим средствам будут подготавливаться законотворцами при создании иных ГИС по аналогии с ЕБС. Сегодня же таких требований нет.
Иные ИС
В первую очередь упомяну, что использовать иные ИС в целях идентификации не могут госорганы, муниципалитет и финансовые организации. Перечень возможных случаев применения иных ИС здесь строго ограничен, а также имеет исключения, которые связаны с видом деятельности организации или предпринимателя. Для таких “исключительных” выбора нет – только ЕБС.
Примечательно, что здесь потребуется выполнить требования, предъявляемые к субъектам критической информационной инфраструктуры, а также к защите информации, содержащейся в ГИС.
В случае, если организации владеют такими системами или оказывают услуги по идентификации и/или аутентификации, им потребуется пройти соответствующую аккредитацию в Минцифры России.
Государственным и муниципальным органам использовать иные ИС для аутентификации нельзя. Но всех остальных нормативка не ограничивает.
В указанной на схемах нормативке речь идет о данных изображения лица и голоса, и возникает вопрос: «Что делать тем, в чьих системах используются другие виды биометрии (например, рисунок вен ладони)?». Что же, перечень нормативки продолжает пополняться – и, возможно, Минцифры России однажды разработает правила для использования других видов биометрии. Но сейчас можно предположить, что применение в иных ИС других видов биометрии помимо лица и голоса все же не допускается.
Также стоит отметить, что параметры биометрии должны храниться в ЕБС, а в иных ИС хранение параметров биометрии не допускается.
Немного выводов, или Что делать с вышерассказанным
Организации, в которых описанные в статье процедуры осуществляются не ИС персональных данных, а с непосредственным участием человека, могут выдохнуть: новые требования на них не распространяются.
На конференции по ИИ в ноябре 2021 года президент отметил, что биометрия граждан должна храниться в единой государственной системе, и государство должно взять на себя ответственность за хранение биометрических ПДн населения России. При этом слова были подкреплены законом – ранее собранную в соответствии с ФЗ биометрию (голос или изображение лица) операторы обязаны разместить в ЕБС.
Что имеем? Курс на централизацию взят (наверняка, с благородными целями). Биометрия (голос/изображение лица) все равно попадет в ЕБС, даже если будет собрана с использованием иных ИС, о чем каждый сдавший ее пользователь будет уведомлен тем или иным образом (будем надеяться, хотя бы имэйл отправят?).
У банков с универсальной лицензией нет выбора, но тем, кто только вправе использовать системы биометрии, следует ознакомиться с нормативкой, указанной мною в блок-схемах, оценить ресурсы организации и задать себе вопрос: «А действительно ли мне нужно использовать такие системы?».
