Биометрия в СКУД: актуальные вопросы

Применение биометрических систем в различных сферах жизни уже прочно вошло в нашу жизнь: проход на территорию организаций и обеспечение безопасности; разблокировка мобильного телефона и доступ к различным услугам посредством биометрии и многое другое уже не кажется чем-то необычным.

Однако бесконтрольное использование биометрии недопустимо, в связи с чем законодательство в данной сфере стремительно меняется в сторону усложнения, а ответственность операторов ужесточается.  

Еще до декабря 2022 года работа с биометрией регулировалась законом о персональных данных. Теперь необходимо учитывать ее соответствие требованиям 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных». Кратко вспомним его ключевые положения, вступившие в силу с 01.06.2023:

  • Единая биометрическая система (ЕБС): биометрические данные граждан должны храниться в ГИС ЕБС для их эффективной защиты. Все обработчики биометрии, подпадающие под действие 572-ФЗ, должны передавать биометрические данные своих клиентов и сотрудников в единую систему. Следует отметить, что ЕБС применима только в гражданской сфере и не касается оперативно-разыскной деятельности, обороны страны, миграционного учета и санитарно-эпидемиологического контроля.
  • Согласие: для обработки биометрии необходимо согласие и уведомление субъекта о передаче данных в ЕБС. С 01.01.2024 физическое лицо может управлять таким согласием на ПГУ. Компания не вправе отказать в предоставлении услуг при отказе дать согласие на обработку биометрических ПДн.
  • Цели: использование биометрии должно соответствовать поставленным целям и ограничено сроком их достижения. Нельзя использовать биометрию по своему усмотрению и передавать сторонним лицам.
  • Вектор ЕБС: необходимость работы с единым вектором биометрических ПДн. Для возможности использования биометрии, субъект ПДн должен сдать свои биометрические данные в одном из отделений МФЦ или отделений аккредитованных банков.
  • Аккредитация: доступ к ЕБС получат уполномоченные и аккредитованные компании, соответствующие требованиям 572-ФЗ.

Необходимость изменения работы с биометрией в русле требований 572-ФЗ и связанных с ним НПА вызывает множество вопросов у лиц, на деятельность которых он распространяется. Одни из наиболее часто встречающихся вопросов в данной сфере связаны с возможностью дальнейшего использования СКУД после нововведений.

Прежде всего обратим внимание, что исходя из положений ч. 2 ст. 1 572-ФЗ, действие данного закона не распространяется на отношения, возникающие при осуществлении идентификации и (или) аутентификации в случае, если проверка соответствия предоставленных биометрических ПДн физического лица его биометрическим ПДн, содержащимся в ИС, не осуществляется автоматизированным способом (с помощью средств вычислительной техники), а осуществляется с участием уполномоченного должностного лица.

Например, когда при входе на территорию завода сотрудник предъявляет свой пропуск у турникета, а охранник самостоятельно сверяет изображение с лицом сотрудника перед принятием решения о разрешении доступа.

В СКУД зачастую применяется «смешанная» обработка ПДн: фото сотрудника занесено в систему и отражено в пропуске, прикладываемом к считывателю СКУД, но параллельно этому уполномоченным лицом проводится сверка отраженного в СКУД изображения и принимается итоговое решение о пропуске. Исходя из буквального толкования 152-ФЗ и № 572-ФЗ, такой случай с большей долей вероятности также не будет подпадать под регулирование и новые требования о взаимодействии с ЕБС.

Однако, если предприятие использует систему автоматической идентификации сотрудников по лицу при проходе через турникет, то биометрические данные обрабатываются автоматически – организация должна следовать требованиям № 572-ФЗ.

По требованиям № 572-ФЗ при организации работы СКУД на режимных объектах распознавание личности сотрудников может проводиться только через ЕБС. Остальные организации могут применять любые схемы использования биометрии ЕБС, в том числе и услуги по аутентификации от организаций, получивших аккредитацию.

Юридическая квалификация некоторых сценариев обработки фотографического изображения и иных персональных данных (ПД) посетителей организации для обеспечения их однократного и/или многократного прохода на охраняемую территорию

ОписаниеКатегория ПДИдентификация
установление личности
1к1 – кто это?
Аутентификация
удостоверение личности
1кN – ты ли это?
Легализация в РФ (для организаций)
1«Внебиометрическая обработка»1
• фото2 и иные сведения о посетителе фиксируются на его пропуске
• пропуск предъявляется посетителем уполномоченному лицу
• уполномоченное лицо сравнивает фото на пропуске с лицом предъявителя пропуска
• уполномоченное лицо принимает решение о пропуске посетителя
общая3 или
биометрическая4
• (не) биометрическая
• неавтоматизированная
(вне СКУД5)
• (не) биометрическая
• неавтоматизированная
(вне СКУД)
Возможна вне ЕБС:
• ч.1 ст.6 или ст.11 152-ФЗ о ПД6
2«Биометрическая обработка»
• фото и иные сведения о посетителе загружаются в СКУД
• id-карта прикладывается посетителем к считывателю в СКУД
• СКУД демонстрирует уполномоченному лицу (оператору) фото и иные сведенияо владельце id-карты
• уполномоченное лицо сравнивает фото в СКУД с лицом предъявителя пропуска
• уполномоченное лицо принимает решение о пропуске посетителя
биометрическая7 • небиометрическая
• автоматизированная
(с использованием СКУД)
• биометрическая
• неавтоматизированная
(вне СКУД)
Возможна вне ЕБС:
• ст.11 152-ФЗ о ПД
3«Биометрическая аутентификация»
• созданный на основе фото по определённому алгоритму биометрический вектор(контрольный шаблон) и иные сведения о посетителе загружаются в СКУД
• id-карта прикладывается посетителем к считывателю в СКУД
• СКУД с помощью сенсора получает биометрический образец (делает фотопосетителя)
• СКУД сравнивает полученный биометрический образец с контрольнымшаблоном для предъявленной id-карты
• СКУД (с подтверждением уполномоченным лицом или без него) принимаетрешение о пропуске посетителя
биометрическая• небиометрическая
• автоматизированная
(с использованием СКУД)
• биометрическая
• автоматизированная
(с использованием СКУД)
Условно возможна вне
ЕБС8 – в СКУД нельзя хранить фото, а вместо
собственных векторов нужно использовать
вектора ЕБС:
• ч.1 ст.15, ч.1 и 3 ст.16 572-ФЗ о ЕБС
4«Биометрическая идентификация + аутентификация»
• созданный на основе фото биометрический контрольный шаблон и иные сведения о посетителе загружаются в СКУД
• СКУД с помощью сенсора получает биометрический образец (делает фото
посетителя)
• СКУД в своей БД производит поиск шаблона, совпадающего с контрольным
образцом
• СКУД (с подтверждением уполномоченным лицом или без него) принимает решение о пропуске посетителя
биометрическая• биометрическая
• автоматизированная (с использованием СКУД)
• биометрическая
• автоматизированная (с использованием СКУД)
См. выше.
Документ подготовил Алексей Мунтян.

В таблице Privacy-риски для субъектов ПД приведены от меньшего к большему (т.е. 1-я строка таблицы – минимальные риски, 4-я – максимальные)

1 Названия сценариев условны.

2 В письме Роскомнадзора от 29.08.2022 № 08-78032 указано, что дополнительным критерием возможности отнесения фотографического изображения лица к биометрическим ПД является указание на такую возможность в том или ином правовом акте. Вместе с этим, Роскомнадзор сослался на ГОСТ Р ИСО/МЭК 19794-5-2013 как на источник толкования 152-ФЗ. В октябре 2022г. в одном из писем Роскомнадзора озвученная позиция была частично дезавуирована: «…в некоторых случаях к биометрическим персональным данным относится фотография, содержащаяся в системе контроля и управления доступом при проходе на территорию оператора, что подтверждается Определением Верховного Суда РФ от 05.03.2018 г. № 307-КГ18-101 по делу № А42-342/2017».

3 Данная позиция ориентирована на суть биометрических технологий (см. международный стандарт ГОСТ ISO/IEC 2382-37-2016, где биометрия – это автоматическое распознавание индивидов, основанное на их биологических и поведенческих характеристиках), подтверждается актуальной на 2021г. правоприменительной практикой Роскомнадзора и отменой Роскомнадзором (см. письмо от 19.11.2021 № 09-78548) своих разъяснений от 2013 г., в которых заявлено, что фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления
личности гражданина, относятся к биометрическим ПД.

4 Данная позиция ориентирована на букву закона согласно ст.11 152-ФЗ о ПД, подтверждается Определением Верховного Суда РФ от 05.03.2018 г. № 307-КГ18-101 по делу № А42-342/2017, согласно которому фотография на пропуске признана биометрическими ПД.

5 Система контроля и управления доступом.

6 В зависимости от выбранной позиции в отношении квалификации категории ПД: для общей – ч.1 ст.6, для биометрической – ст.11.

7 Хотя данная позиция не соответствует сути биометрических технологий, но отраслевой регулятор и надзорный орган публично заявили противоположную позицию (см. письма Минцифры России от 17.07.2020 № ОП-П24-070-19433, Минкомсвязи России от 28.08.2020 № ЛБ-С-074-24059, Роскомнадзора от 10.02.2020 № 08АП-6782).

8 Единая биометрическая система (Государственная информационная система «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных»).

Несколько советов как организовать обработку биометрии с учетом новых требований.

Оцените деятельность на предмет распространения на нее положений 572-ФЗ.

Новые требования относятся к компаниям, планирующим или уже использующим в работе технические решения, посредством которых проводится полностью автоматизированная идентификация и аутентификация субъектов.

Если удастся доказать, что вы не обрабатываете биометрические данные, математическая модель которых указана в законе, или не обрабатываете и не храните данные указанными в законе способами, то требования 572-ФЗ на вашу организацию не распространяются.

Если ваша компания подпадает под действие 572-ФЗ:
  • Определите порядок взаимодействия с ГИС ЕБС и обеспечьте информационную безопасность и защиту устройств, работающих с биометрией, подходящие для взаимодействия с ЕБС.
  • Организуйте защищенные каналы связи для взаимодействия с ГИС ЕБС, обеспечьте работу с криптографией по утвержденным требованиям, используйте устанавливайте на оборудование сертифицированные программные продукты и т.д. При работе с криптографией, не забывайте вести журналы учета СКЗИ, если вы пользователь сервиса 152DOC, то можете сформировать журналы в мастере “Комплект документов по применению СКЗИ”.
  • Не забывайте про согласие на обработку персональных данных. Предусмотрите альтернативные способы получения услуг для субъектов, выступающих против обработки их биометрических ПДн (право на отказ предусмотрено законодательно и не может являться основанием для отказа в предоставлении услуг).
  • Проведите внутренний контроль соответствия систем и обработки биометрических данных требованиям 152-ФЗ, 572-ФЗ и принятых в соответствии с ними НПА (можно оценить такие аспекты, как соблюдение порядка получения согласий на обработку биометрических данных, контроль направления уведомлений при передаче данных в ЕБС и тд.).

К сожалению, на данный момент мы имеем больше вопросов, чем ответов. Конкретизация требований к используемому оборудованию на законодательном уровне находится в стадии проработки. Поэтому при переходе на новый формат работы организациям необходимо взвешенно подойти к перестраиванию действующих или внедрению новых систем и внимательно отслеживать изменения и нововведения законодательства, дополняющие положения № 572-ФЗ.

Оставьте комментарий

Продолжая использовать сайт, вы даете согласие на обработку файлов cookie генерируемых Яндекс.Метрикой. Если вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.
Принять