С 1 марта 2023 г. законодательство ограничивает использование информационных систем (ИС) для
и/или аутентификации с использованием биометрии. Как говорил Сенека: «Закон должен быть краток, чтобы его легко могли запомнить и люди несведущие». В этой статье буду придерживаться этого правила, и кратко расскажу, кому и на каких условиях разрешат использовать такие системы.
Важно. Есть 3 варианта использования систем:
Уже в ближайшем будущем законотворцы допускают проведение идентификации и/или аутентификации по биометрии исключительно с использованием трех вариантов ИС: государственная ИС (далее – ГИС) «Единая биометрическая система» (далее – ЕБС), иные ГИС и иные (коммерческие) ИС. Рассмотрим каждый вариант.
Единая биометрическая система
Здесь размещаются данные изображения лица и голоса человека.
Для проведения идентификации ЕБС работает в связке с Единой системой идентификации и аутентификации (ЕСИА).
Схема 1. Обработка биометрии в целях Идентификации с использованием ЕБС
При этом случаи обработки биометрии в целях аутентификации не ограничиваются нормативкой, и использовать ЕБС можно для аутентификации физического лица, согласного на ее проведение.
ЕБС для аутентификации может быть использована как в связке с ЕСИА, так и иными ИС, содержащими персональные данные.
Схема 2. Обработка биометрии в целях Аутентификации с использованием ЕБС
Иные ГИС
Обработка биометрии для работы госорганов, муниципалитета и организаций, осуществляющих отдельные публичные полномочия, проводится с применением ЕБС. Если же потребуется обработка видов биометрии, которые не соответствуют условиям ЕБС, госорганы, аккредитованные на право владения и/или осуществления функций оператора, смогут применять иные ГИС. Требования к прохождению аккредитации уже разработаны и вступят в силу с 1 марта 2023 года.
Для их применения потребуется выполнить ряд условий:
Иные ИС
В первую очередь упомяну, что использовать иные ИС в целях идентификации не могут госорганы, муниципалитет и финансовые организации. Перечень возможных случаев применения иных ИС здесь строго ограничен, а также имеет исключения, которые связаны с видом деятельности организации или предпринимателя. Для таких "исключительных" выбора нет – только ЕБС.
Схема 3. Обработка биометрии в целях Идентификации с использованием иных ИС
Примечательно, что здесь потребуется выполнить требования, предъявляемые к субъектам критической информационной инфраструктуры, а также к защите информации, содержащейся в ГИС.
Схема 4. Обработка биометрии в целях Аутентификации с использованием иных ИС
В указанной на схемах нормативке речь идет о данных изображения лица и голоса, и возникает вопрос: «Что делать тем, в чьих системах используются другие виды биометрии (например, рисунок вен ладони)?». Что же, перечень нормативки продолжает пополняться – и, возможно, Минцифры России однажды разработает правила для использования других видов биометрии. Но сейчас можно предположить, что применение в иных ИС других видов биометрии помимо лица и голоса все же не допускается.
Организации, в которых описанные в статье процедуры осуществляются не ИС персональных данных, а с непосредственным участием человека, могут выдохнуть: новые требования на них не распространяются.
На конференции по ИИ в ноябре 2021 года президент отметил, что биометрия граждан должна храниться в единой государственной системе, и государство должно взять на себя ответственность за хранение биометрических ПДн населения России. При этом слова были подкреплены законом – ранее собранную в соответствии с ФЗ биометрию (голос или изображение лица) операторы обязаны разместить в ЕБС.
Что имеем? Курс на централизацию взят (наверняка, с благородными целями). Биометрия (голос/изображение лица) все равно попадет в ЕБС, даже если будет собрана с использованием иных ИС, о чем каждый сдавший ее пользователь будет уведомлен тем или иным образом (будем надеяться, хотя бы имэйл отправят?).
У банков с универсальной лицензией нет выбора, но тем, кто только вправе использовать системы биометрии, следует ознакомиться с нормативкой, указанной мною в блок-схемах, оценить ресурсы организации и задать себе вопрос: «А действительно ли мне нужно использовать такие системы?».
Важно. Есть 3 варианта использования систем:
- Идентификация;
- Идентификация и аутентификация;
- Аутентификация.
Уже в ближайшем будущем законотворцы допускают проведение идентификации и/или аутентификации по биометрии исключительно с использованием трех вариантов ИС: государственная ИС (далее – ГИС) «Единая биометрическая система» (далее – ЕБС), иные ГИС и иные (коммерческие) ИС. Рассмотрим каждый вариант.
Единая биометрическая система
Здесь размещаются данные изображения лица и голоса человека.
- Обработку биометрии в целях идентификации с использованием ЕБС можно осуществлять в случаях, установленных ФЗ, актами Правительства РФ и др. нормативными правовыми актами. Сейчас использовать ее разрешено банкам, удостоверяющим центрам, органам, предоставляющим государственные/муниципальные услуги, многофункциональным центрам, нотариусам, операторам связи и ВУЗам (последним пока лишь в 2021/2022гг., но планируют разрешить на постоянной основе).
Для проведения идентификации ЕБС работает в связке с Единой системой идентификации и аутентификации (ЕСИА).
Схема 1. Обработка биометрии в целях Идентификации с использованием ЕБС
При этом случаи обработки биометрии в целях аутентификации не ограничиваются нормативкой, и использовать ЕБС можно для аутентификации физического лица, согласного на ее проведение.
ЕБС для аутентификации может быть использована как в связке с ЕСИА, так и иными ИС, содержащими персональные данные.
Схема 2. Обработка биометрии в целях Аутентификации с использованием ЕБС
Иные ГИС
Обработка биометрии для работы госорганов, муниципалитета и организаций, осуществляющих отдельные публичные полномочия, проводится с применением ЕБС. Если же потребуется обработка видов биометрии, которые не соответствуют условиям ЕБС, госорганы, аккредитованные на право владения и/или осуществления функций оператора, смогут применять иные ГИС. Требования к прохождению аккредитации уже разработаны и вступят в силу с 1 марта 2023 года.
Для их применения потребуется выполнить ряд условий:
- применять меры по обеспечению безопасности персональных данных;
- нейтрализовать актуальные угрозы безопасности информации;
- соблюдать порядок обработки параметров биометрии;
- соблюдать порядок размещения и обновления биометрии в системе;
- выполнять требования, предъявляемые к информационным технологиям и техническим средствам, предназначенным для обработки биометрии.
Иные ИС
В первую очередь упомяну, что использовать иные ИС в целях идентификации не могут госорганы, муниципалитет и финансовые организации. Перечень возможных случаев применения иных ИС здесь строго ограничен, а также имеет исключения, которые связаны с видом деятельности организации или предпринимателя. Для таких "исключительных" выбора нет – только ЕБС.
Схема 3. Обработка биометрии в целях Идентификации с использованием иных ИС
Примечательно, что здесь потребуется выполнить требования, предъявляемые к субъектам критической информационной инфраструктуры, а также к защите информации, содержащейся в ГИС.
- В случае, если организации владеют такими системами или оказывают услуги по идентификации и/или аутентификации, им потребуется пройти соответствующую аккредитацию в Минцифры России.
Схема 4. Обработка биометрии в целях Аутентификации с использованием иных ИС
В указанной на схемах нормативке речь идет о данных изображения лица и голоса, и возникает вопрос: «Что делать тем, в чьих системах используются другие виды биометрии (например, рисунок вен ладони)?». Что же, перечень нормативки продолжает пополняться – и, возможно, Минцифры России однажды разработает правила для использования других видов биометрии. Но сейчас можно предположить, что применение в иных ИС других видов биометрии помимо лица и голоса все же не допускается.
- Также стоит отметить, что параметры биометрии должны храниться в ЕБС, а в иных ИС хранение параметров биометрии не допускается.
Организации, в которых описанные в статье процедуры осуществляются не ИС персональных данных, а с непосредственным участием человека, могут выдохнуть: новые требования на них не распространяются.
На конференции по ИИ в ноябре 2021 года президент отметил, что биометрия граждан должна храниться в единой государственной системе, и государство должно взять на себя ответственность за хранение биометрических ПДн населения России. При этом слова были подкреплены законом – ранее собранную в соответствии с ФЗ биометрию (голос или изображение лица) операторы обязаны разместить в ЕБС.
Что имеем? Курс на централизацию взят (
У банков с универсальной лицензией нет выбора, но тем, кто только вправе использовать системы биометрии, следует ознакомиться с нормативкой, указанной мною в блок-схемах, оценить ресурсы организации и задать себе вопрос: «А действительно ли мне нужно использовать такие системы?».
