Применение биометрических систем в различных сферах жизни уже прочно вошло в нашу жизнь: проход на территорию организаций и обеспечение безопасности; разблокировка мобильного телефона и доступ к различным услугам посредством биометрии и многое другое уже не кажется чем-то необычным.
Однако бесконтрольное использование биометрии недопустимо, в связи с чем законодательство в данной сфере стремительно меняется в сторону усложнения, а ответственность операторов ужесточается.
Еще до декабря 2022 года работа с биометрией регулировалась законом о персональных данных. Теперь необходимо учитывать ее соответствие требованиям 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных». Кратко вспомним его ключевые положения, вступившие в силу с 01.06.2023:
- Единая биометрическая система (ЕБС): биометрические данные граждан должны храниться в ГИС ЕБС для их эффективной защиты. Все обработчики биометрии, подпадающие под действие 572-ФЗ, должны передавать биометрические данные своих клиентов и сотрудников в единую систему. Следует отметить, что ЕБС применима только в гражданской сфере и не касается оперативно-разыскной деятельности, обороны страны, миграционного учета и санитарно-эпидемиологического контроля.
- Согласие: для обработки биометрии необходимо согласие и уведомление субъекта о передаче данных в ЕБС. С 01.01.2024 физическое лицо может управлять таким согласием на ПГУ. Компания не вправе отказать в предоставлении услуг при отказе дать согласие на обработку биометрических ПДн.
- Цели: использование биометрии должно соответствовать поставленным целям и ограничено сроком их достижения. Нельзя использовать биометрию по своему усмотрению и передавать сторонним лицам.
- Вектор ЕБС: необходимость работы с единым вектором биометрических ПДн. Для возможности использования биометрии, субъект ПДн должен сдать свои биометрические данные в одном из отделений МФЦ или отделений аккредитованных банков.
- Аккредитация: доступ к ЕБС получат уполномоченные и аккредитованные компании, соответствующие требованиям 572-ФЗ.
Необходимость изменения работы с биометрией в русле требований 572-ФЗ и связанных с ним НПА вызывает множество вопросов у лиц, на деятельность которых он распространяется. Одни из наиболее часто встречающихся вопросов в данной сфере связаны с возможностью дальнейшего использования СКУД после нововведений.
Прежде всего обратим внимание, что исходя из положений ч. 2 ст. 1 572-ФЗ, действие данного закона не распространяется на отношения, возникающие при осуществлении идентификации и (или) аутентификации в случае, если проверка соответствия предоставленных биометрических ПДн физического лица его биометрическим ПДн, содержащимся в ИС, не осуществляется автоматизированным способом (с помощью средств вычислительной техники), а осуществляется с участием уполномоченного должностного лица.
Например, когда при входе на территорию завода сотрудник предъявляет свой пропуск у турникета, а охранник самостоятельно сверяет изображение с лицом сотрудника перед принятием решения о разрешении доступа.
В СКУД зачастую применяется «смешанная» обработка ПДн: фото сотрудника занесено в систему и отражено в пропуске, прикладываемом к считывателю СКУД, но параллельно этому уполномоченным лицом проводится сверка отраженного в СКУД изображения и принимается итоговое решение о пропуске. Исходя из буквального толкования 152-ФЗ и № 572-ФЗ, такой случай с большей долей вероятности также не будет подпадать под регулирование и новые требования о взаимодействии с ЕБС.
Однако, если предприятие использует систему автоматической идентификации сотрудников по лицу при проходе через турникет, то биометрические данные обрабатываются автоматически – организация должна следовать требованиям № 572-ФЗ.
По требованиям № 572-ФЗ при организации работы СКУД на режимных объектах распознавание личности сотрудников может проводиться только через ЕБС. Остальные организации могут применять любые схемы использования биометрии ЕБС, в том числе и услуги по аутентификации от организаций, получивших аккредитацию.
Юридическая квалификация некоторых сценариев обработки фотографического изображения и иных персональных данных (ПД) посетителей организации для обеспечения их однократного и/или многократного прохода на охраняемую территорию
№ | Описание | Категория ПД | Идентификация установление личности 1к1 – кто это? | Аутентификация удостоверение личности 1кN – ты ли это? | Легализация в РФ (для организаций) |
1 | «Внебиометрическая обработка»1 • фото2 и иные сведения о посетителе фиксируются на его пропуске • пропуск предъявляется посетителем уполномоченному лицу • уполномоченное лицо сравнивает фото на пропуске с лицом предъявителя пропуска • уполномоченное лицо принимает решение о пропуске посетителя | общая3 или биометрическая4 | • (не) биометрическая • неавтоматизированная (вне СКУД5) | • (не) биометрическая • неавтоматизированная (вне СКУД) | Возможна вне ЕБС: • ч.1 ст.6 или ст.11 152-ФЗ о ПД6 |
2 | «Биометрическая обработка» • фото и иные сведения о посетителе загружаются в СКУД • id-карта прикладывается посетителем к считывателю в СКУД • СКУД демонстрирует уполномоченному лицу (оператору) фото и иные сведенияо владельце id-карты • уполномоченное лицо сравнивает фото в СКУД с лицом предъявителя пропуска • уполномоченное лицо принимает решение о пропуске посетителя | биометрическая7 | • небиометрическая • автоматизированная (с использованием СКУД) | • биометрическая • неавтоматизированная (вне СКУД) | Возможна вне ЕБС: • ст.11 152-ФЗ о ПД |
3 | «Биометрическая аутентификация» • созданный на основе фото по определённому алгоритму биометрический вектор(контрольный шаблон) и иные сведения о посетителе загружаются в СКУД • id-карта прикладывается посетителем к считывателю в СКУД • СКУД с помощью сенсора получает биометрический образец (делает фотопосетителя) • СКУД сравнивает полученный биометрический образец с контрольнымшаблоном для предъявленной id-карты • СКУД (с подтверждением уполномоченным лицом или без него) принимаетрешение о пропуске посетителя | биометрическая | • небиометрическая • автоматизированная (с использованием СКУД) | • биометрическая • автоматизированная (с использованием СКУД) | Условно возможна вне ЕБС8 – в СКУД нельзя хранить фото, а вместо собственных векторов нужно использовать вектора ЕБС: • ч.1 ст.15, ч.1 и 3 ст.16 572-ФЗ о ЕБС |
4 | «Биометрическая идентификация + аутентификация» • созданный на основе фото биометрический контрольный шаблон и иные сведения о посетителе загружаются в СКУД • СКУД с помощью сенсора получает биометрический образец (делает фото посетителя) • СКУД в своей БД производит поиск шаблона, совпадающего с контрольным образцом • СКУД (с подтверждением уполномоченным лицом или без него) принимает решение о пропуске посетителя | биометрическая | • биометрическая • автоматизированная (с использованием СКУД) | • биометрическая • автоматизированная (с использованием СКУД) | См. выше. |
В таблице Privacy-риски для субъектов ПД приведены от меньшего к большему (т.е. 1-я строка таблицы – минимальные риски, 4-я – максимальные)
1 Названия сценариев условны.
2 В письме Роскомнадзора от 29.08.2022 № 08-78032 указано, что дополнительным критерием возможности отнесения фотографического изображения лица к биометрическим ПД является указание на такую возможность в том или ином правовом акте. Вместе с этим, Роскомнадзор сослался на ГОСТ Р ИСО/МЭК 19794-5-2013 как на источник толкования 152-ФЗ. В октябре 2022г. в одном из писем Роскомнадзора озвученная позиция была частично дезавуирована: «…в некоторых случаях к биометрическим персональным данным относится фотография, содержащаяся в системе контроля и управления доступом при проходе на территорию оператора, что подтверждается Определением Верховного Суда РФ от 05.03.2018 г. № 307-КГ18-101 по делу № А42-342/2017».
3 Данная позиция ориентирована на суть биометрических технологий (см. международный стандарт ГОСТ ISO/IEC 2382-37-2016, где биометрия – это автоматическое распознавание индивидов, основанное на их биологических и поведенческих характеристиках), подтверждается актуальной на 2021г. правоприменительной практикой Роскомнадзора и отменой Роскомнадзором (см. письмо от 19.11.2021 № 09-78548) своих разъяснений от 2013 г., в которых заявлено, что фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления
личности гражданина, относятся к биометрическим ПД.
4 Данная позиция ориентирована на букву закона согласно ст.11 152-ФЗ о ПД, подтверждается Определением Верховного Суда РФ от 05.03.2018 г. № 307-КГ18-101 по делу № А42-342/2017, согласно которому фотография на пропуске признана биометрическими ПД.
5 Система контроля и управления доступом.
6 В зависимости от выбранной позиции в отношении квалификации категории ПД: для общей – ч.1 ст.6, для биометрической – ст.11.
7 Хотя данная позиция не соответствует сути биометрических технологий, но отраслевой регулятор и надзорный орган публично заявили противоположную позицию (см. письма Минцифры России от 17.07.2020 № ОП-П24-070-19433, Минкомсвязи России от 28.08.2020 № ЛБ-С-074-24059, Роскомнадзора от 10.02.2020 № 08АП-6782).
8 Единая биометрическая система (Государственная информационная система «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных»).
Несколько советов как организовать обработку биометрии с учетом новых требований.
Оцените деятельность на предмет распространения на нее положений 572-ФЗ.
Новые требования относятся к компаниям, планирующим или уже использующим в работе технические решения, посредством которых проводится полностью автоматизированная идентификация и аутентификация субъектов.
Если удастся доказать, что вы не обрабатываете биометрические данные, математическая модель которых указана в законе, или не обрабатываете и не храните данные указанными в законе способами, то требования 572-ФЗ на вашу организацию не распространяются.
Если ваша компания подпадает под действие 572-ФЗ:
- Определите порядок взаимодействия с ГИС ЕБС и обеспечьте информационную безопасность и защиту устройств, работающих с биометрией, подходящие для взаимодействия с ЕБС.
- Организуйте защищенные каналы связи для взаимодействия с ГИС ЕБС, обеспечьте работу с криптографией по утвержденным требованиям, используйте устанавливайте на оборудование сертифицированные программные продукты и т.д. При работе с криптографией, не забывайте вести журналы учета СКЗИ, если вы пользователь сервиса 152DOC, то можете сформировать журналы в мастере “Комплект документов по применению СКЗИ”.
- Не забывайте про согласие на обработку персональных данных. Предусмотрите альтернативные способы получения услуг для субъектов, выступающих против обработки их биометрических ПДн (право на отказ предусмотрено законодательно и не может являться основанием для отказа в предоставлении услуг).
- Проведите внутренний контроль соответствия систем и обработки биометрических данных требованиям 152-ФЗ, 572-ФЗ и принятых в соответствии с ними НПА (можно оценить такие аспекты, как соблюдение порядка получения согласий на обработку биометрических данных, контроль направления уведомлений при передаче данных в ЕБС и тд.).
К сожалению, на данный момент мы имеем больше вопросов, чем ответов. Конкретизация требований к используемому оборудованию на законодательном уровне находится в стадии проработки. Поэтому при переходе на новый формат работы организациям необходимо взвешенно подойти к перестраиванию действующих или внедрению новых систем и внимательно отслеживать изменения и нововведения законодательства, дополняющие положения № 572-ФЗ.