Применение биометрических систем в различных сферах жизни уже прочно вошло в нашу жизнь. Например, это проход на территорию организаций и обеспечение безопасности. Кроме того, это разблокировка мобильного телефона и доступ к различным услугам посредством биометрии. В результате многое другое уже не кажется чем-то необычным.
Однако бесконтрольное использование биометрии недопустимо. Поэтому законодательство в данной сфере стремительно меняется в сторону усложнения. При этом ответственность операторов ужесточается.
Ранее, еще до декабря 2022 года, работа с биометрией регулировалась законом о персональных данных. Теперь необходимо учитывать ее соответствие требованиям 572-ФЗ. Речь о законе «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных». Кратко вспомним его ключевые положения, вступившие в силу с 01.06.2023:
- Единая биометрическая система (ЕБС): биометрические данные граждан должны храниться в ГИС ЕБС для их эффективной защиты. Поэтому все обработчики биометрии, подпадающие под действие 572-ФЗ, должны передавать данные клиентов и сотрудников в единую систему. Это требование касается и сотрудников, и клиентов. При этом ЕБС применима только в гражданской сфере. Она не касается оперативно-разыскной деятельности, обороны страны, миграционного учета и санитарно-эпидемиологического контроля.
- Согласие: для обработки биометрии необходимо согласие и уведомление субъекта о передаче данных в ЕБС. При этом с 01.01.2024 физическое лицо может управлять таким согласием на ПГУ. Компания не вправе отказать в предоставлении услуг при отказе дать согласие на обработку биометрических ПДн.
- Цели: использование биометрии должно соответствовать поставленным целям и ограничено сроком их достижения. Нельзя использовать биометрию по своему усмотрению и передавать сторонним лицам.
- Вектор ЕБС: необходимость работы с единым вектором биометрических ПДн. Для возможности использования биометрии, субъект ПДн должен сдать свои биометрические данные в одном из отделений МФЦ или отделений аккредитованных банков.
- Аккредитация: доступ к ЕБС получат уполномоченные и аккредитованные компании, соответствующие требованиям 572-ФЗ.
Необходимость изменения работы с биометрией в русле требований 572-ФЗ и связанных с ним НПА вызывает множество вопросов. В частности, это относится к лицам, на деятельность которых он распространяется. Одни из наиболее часто встречающихся вопросов в данной сфере связаны с возможностью дальнейшего использования СКУД после нововведений.
Прежде всего обратим внимание: исходя из положений ч. 2 ст. 1 572-ФЗ действие данного закона не распространяется на такие отношения. Это касается случаев, когда проверка соответствия предоставленных биометрических ПДн не осуществляется автоматизированным способом. То есть без средств вычислительной техники. Вместо этого проверка осуществляется с участием уполномоченного должностного лица.
Например, при входе на территорию завода сотрудник предъявляет пропуск у турникета. Затем охранник самостоятельно сверяет изображение с лицом сотрудника и принимает решение о допуске.
В СКУД зачастую применяется «смешанная» обработка ПДн. Фото сотрудника занесено в систему и отражено в пропуске, прикладываемом к считывателю СКУД. При этом уполномоченным лицом проводится сверка отраженного в СКУД изображения. Затем принимается итоговое решение о пропуске. Исходя из буквального толкования 152-ФЗ и № 572-ФЗ, такой случай с большей долей вероятности также не будет подпадать под регулирование. Таким образом, новые требования о взаимодействии с ЕБС применяться не будут.
Однако, если предприятие использует систему автоматической идентификации сотрудников по лицу при проходе через турникет, биометрические данные обрабатываются автоматически. В этом случае организация должна следовать требованиям № 572-ФЗ.
По требованиям № 572-ФЗ при организации работы СКУД на режимных объектах распознавание личности сотрудников может проводиться только через ЕБС. Остальные организации могут применять любые схемы использования биометрии ЕБС, в том числе и услуги по аутентификации от организаций, получивших аккредитацию.
Юридическая квалификация некоторых сценариев обработки фотографического изображения и иных персональных данных (ПД) посетителей организации для обеспечения их однократного и/или многократного прохода на охраняемую территорию.
| № | Описание | Категория ПД | Идентификация установление личности 1к1 – кто это? | Аутентификация удостоверение личности 1кN – ты ли это? | Легализация в РФ (для организаций) |
| 1 | «Внебиометрическая обработка»1 • фото2 и иные сведения о посетителе фиксируются на его пропуске • пропуск предъявляется посетителем уполномоченному лицу • уполномоченное лицо сравнивает фото на пропуске с лицом предъявителя пропуска • уполномоченное лицо принимает решение о пропуске посетителя | общая3 или биометрическая4 | • (не) биометрическая • неавтоматизированная (вне СКУД5) | • (не) биометрическая • неавтоматизированная (вне СКУД) | Возможна вне ЕБС: • ч.1 ст.6 или ст.11 152-ФЗ о ПД6 |
| 2 | «Биометрическая обработка» • фото и иные сведения о посетителе загружаются в СКУД • id-карта прикладывается посетителем к считывателю в СКУД • СКУД демонстрирует уполномоченному лицу (оператору) фото и иные сведенияо владельце id-карты • уполномоченное лицо сравнивает фото в СКУД с лицом предъявителя пропуска • уполномоченное лицо принимает решение о пропуске посетителя | биометрическая7 | • небиометрическая • автоматизированная (с использованием СКУД) | • биометрическая • неавтоматизированная (вне СКУД) | Возможна вне ЕБС: • ст.11 152-ФЗ о ПД |
| 3 | «Биометрическая аутентификация» • созданный на основе фото по определённому алгоритму биометрический вектор(контрольный шаблон) и иные сведения о посетителе загружаются в СКУД • id-карта прикладывается посетителем к считывателю в СКУД • СКУД с помощью сенсора получает биометрический образец (делает фотопосетителя) • СКУД сравнивает полученный биометрический образец с контрольнымшаблоном для предъявленной id-карты • СКУД (с подтверждением уполномоченным лицом или без него) принимаетрешение о пропуске посетителя | биометрическая | • небиометрическая • автоматизированная (с использованием СКУД) | • биометрическая • автоматизированная (с использованием СКУД) | Условно возможна вне ЕБС8 – в СКУД нельзя хранить фото, а вместо собственных векторов нужно использовать вектора ЕБС: • ч.1 ст.15, ч.1 и 3 ст.16 572-ФЗ о ЕБС |
| 4 | «Биометрическая идентификация + аутентификация» • созданный на основе фото биометрический контрольный шаблон и иные сведения о посетителе загружаются в СКУД • СКУД с помощью сенсора получает биометрический образец (делает фото посетителя) • СКУД в своей БД производит поиск шаблона, совпадающего с контрольным образцом • СКУД (с подтверждением уполномоченным лицом или без него) принимает решение о пропуске посетителя | биометрическая | • биометрическая • автоматизированная (с использованием СКУД) | • биометрическая • автоматизированная (с использованием СКУД) | См. выше. |
В таблице Privacy-риски для субъектов ПД приведены от меньшего к большему (т.е. 1-я строка таблицы — минимальные риски, 4-я — максимальные)
1 Названия сценариев условны.
2 В письме Роскомнадзора от 29.08.2022 № 08-78032 указано следующее. Дополнительным критерием отнесения фотографического изображения лица к биометрическим ПД является указание на такую возможность в правовом акте. Кроме того, Роскомнадзор сослался на ГОСТ Р ИСО/МЭК 19794-5-2013 как на источник толкования 152-ФЗ. В октябре 2022 г. в одном из писем Роскомнадзора озвученная позиция была частично дезавуирована: «…в некоторых случаях к биометрическим персональным данным относится фотография, содержащаяся в системе контроля и управления доступом при проходе на территорию оператора». Это подтверждается Определением Верховного Суда РФ от 05.03.2018 г. № 307-КГ18-101 по делу № А42-342/2017.
3 Данная позиция ориентирована на суть биометрических технологий (см. ГОСТ ISO/IEC 2382-37-2016). Она подтверждается правоприменительной практикой Роскомнадзора (актуальной на 2021 г.). Также ее подтверждает отмена Роскомнадзором своих разъяснений от 2013 г. (см. письмо от 19.11.2021 № 09-78548). В них заявлено, что фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления
личности гражданина, относятся к биометрическим ПД.
4 Данная позиция ориентирована на букву закона (ст. 11 152-ФЗ о ПД). Также она подтверждается Определением Верховного Суда РФ от 05.03.2018 г. № 307-КГ18-101 по делу № А42-342/2017. Согласно ему фотография на пропуске признана биометрическими ПД.
5 Система контроля и управления доступом.
6 В зависимости от выбранной позиции в отношении квалификации категории ПД: для общей – ч.1 ст.6, для биометрической – ст.11.
7 Хотя данная позиция не соответствует сути биометрических технологий, отраслевой регулятор и надзорный орган публично заявили противоположную позицию. См. письма Минцифры России от 17.07.2020 № ОП-П24-070-19433, Минкомсвязи России от 28.08.2020 № ЛБ-С-074-24059, Роскомнадзора от 10.02.2020 № 08АП-6782.
8 Единая биометрическая система (Государственная информационная система «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных»).
Несколько советов, как организовать обработку биометрии с учетом новых требований.
Во-первых, оцените деятельность на предмет распространения на нее положений 572-ФЗ.
Новые требования относятся к компаниям. Они планируют или уже используют решения, с помощью которых проводится полностью автоматизированная идентификация и аутентификация субъектов.
Во-вторых, если удастся доказать, что вы не обрабатываете биометрические данные, математическая модель которых указана в законе, то требования 572-ФЗ на вашу организацию не распространяются. Кроме того, это относится к случаям, когда вы не обрабатываете и не храните данные указанными в законе способами.
Если ваша компания подпадает под действие 572-ФЗ:
- Определите порядок взаимодействия с ГИС ЕБС и обеспечьте информационную безопасность и защиту устройств, работающих с биометрией, подходящие для взаимодействия с ЕБС.
- Организуйте защищенные каналы связи для взаимодействия с ГИС ЕБС. Также обеспечьте работу с криптографией по утвержденным требованиям. Кроме того, устанавливайте на оборудование сертифицированные программные продукты. При работе с криптографией не забывайте вести журналы учета СКЗИ. Если вы пользователь сервиса 152DOC, то можете сформировать журналы в мастере «Комплект документов по применению СКЗИ».
- Не забывайте про согласие на обработку и передачу данных. По закону оно должно быть оформлено особым образом. Согласия на обработку персональных данных — как правильно оформить и избежать типовых ошибок. Предусмотрите альтернативные способы получения услуг для субъектов, выступающих против обработки их биометрических ПДн. Право на отказ предусмотрено законодательно и не может являться основанием для отказа в предоставлении услуг.
- Проведите внутренний контроль соответствия систем и обработки биометрических данных требованиям 152-ФЗ, 572-ФЗ и принятых в соответствии с ними НПА. Оцените соблюдение порядка получения согласий на обработку биометрических данных. Также проверьте контроль направления уведомлений при передаче данных в ЕБС и т. д.
К сожалению, на данный момент мы имеем больше вопросов, чем ответов. Конкретизация требований к используемому оборудованию на законодательном уровне находится в стадии проработки. Поэтому при переходе на новый формат работы организациям необходимо взвешенно подойти к перестраиванию действующих или внедрению новых систем. Кроме того, важно внимательно отслеживать изменения и нововведения законодательства, дополняющие положения № 572-ФЗ.