Изменения, коснувшиеся Единой биометрической системы в 2022 году
В декабре были опубликованы обзоры новых нормативных актов Минцифры России и Правительства РФ, регламентирующих обработку биометрических данных в информационных системах, включая Единую биометрическую систему (ЕБС).
Единая биометрическая система была создана в 2018 году по инициативе Министерства связи и массовых коммуникаций РФ и Центрального банка РФ. Это было сделано в в рамках реализации программы «Цифровая экономика Российской Федерации» в целях повышения доступности цифровых сервисов и качества оказания услуг гражданам в электронном виде. Она позволяет гражданину проходить удаленную идентификацию по биометрическим образцам для получения финансовых услуг. Единая биометрическая система обрабатывает два типа биометрических данных – изображение лица и запись голоса – вместе, а не по отдельности, что обеспечивает идентификацию «живого человека», а не его цифровой имитации. Оператором ЕБС, осуществляющим обработку персональных данных, является ПАО «Ростелеком».
Президент Владимир Путин подписал Федеральный закон от 30 декабря 2021 г. N 441-ФЗ «О внесении изменений в статью 15 Федерального закона «Об информации, информационных технологиях и о защите информации» и статьи 3 и 5 Федерального закона от 05.04.2021 N 79-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации». Согласно которому Единая биометрическая система, содержащая данные россиян, получает статус государственной информационной системы (ГИС). Согласно федеральному закону № 149-ФЗ от 27 июля 2006 г., государственными информационными системами являются федеральные информационные системы и региональные информационные системы, созданные на основании, соответственно, федеральных законов и законов субъектов Российской Федерации на основании правовых актов государственных органов.
Таким образом, для защиты информации, содержащейся в этой ГИС, наряду с требованиями нормативных правовых документов по защите персональных данных и биометрической информации, необходимо будет применять требования приказа ФСТЭК России № 17 от 11 февраля 2013 г., хотя в законе впрямую говорится только о требованиях по защите ПДн.
Регулировать порядок работы с Единой биометрической системой и утверждать перечень возможных случаев использования биометрических данных будет Правительство РФ.
Граждане России смогут самостоятельно сдавать образцы биометрических данных для хранения в ЕБС, используя удаленно подтвержденную учетную запись в единой системе идентификации и аутентификации (ЕСИА) и данные чипа загранпаспорта.
Госорганы, органы местного самоуправления и компании в соответствии с новым законом обязаны пользоваться ЕБС при обработке биометрических персональных данных для идентификации и аутентификации. Коммерческие организации в соответствии с Постановлением Правительства РФ № 1799 от 20.10.2021 с 1 января 2022 г. должны будут проходить аккредитацию в Минцифры России и получать разрешение на сбор и обработку биометрических данных граждан. Для получения такой аккредитации организации должны отвечать ряду требований: 1) минимальный размер собственных средств — не менее 50 млн рублей; 2) в штате организации должно быть не менее 2 человек, имеющих высшее образование в сфере ИТ или ИБ, которые непосредственно будут осуществлять идентификацию/аутентификацию граждан по биометрическим данным. А также организация должна обладать документами, подтверждающими право собственности на аппаратные криптографические средства, используемые для идентификации/аутентификации с использованием биометрических данных.
Минцифры России планирует перенести все биометрические данные россиян из банков в Единую систему и далее банки не смогут хранить копии этих данных, для чего в 2022 году власти разработают механизм передачи биометрических данных граждан от банков в ЕБС. Новые нормы для передачи биометрических данных в ЕБС планируют разработать до осени 2022 года.