Как организовать обработку биометрии в компании с учетом новых требований

Биометрия прочно входит в повседневную коммерческую деятельность. Видео-, фотоизображение, запись голоса и пр. — все это входит в идентификацию и аутентификацию человека. Соответственно, государство стремится урегулировать хранение, сбор и обработку этих данных в целях их защиты. В фокусе же внимания компаний — обеспечение правомерного хранения, сбора и обработки биометрических персональных данных. В статье проанализируем, как урегулированы эти вопросы в законодательстве и что делать компаниям, которые работают с такими данными.

За последние несколько лет регулирование обработки биометрических данных претерпело существенные изменения и было отмечено особо пристальным вниманием со стороны законодателя. Так, за период с декабря 2020 г. по апрель 2023 г. был опубликован целый ряд законов, а также проектов нормативно-правовых актов, существенно детализирующих требования к порядку обработки биометрических персональных данных (далее — ПДн).

Отправной точкой стал принятый в конце декабря 2020 г. Федеральный закон № 479-ФЗ, далее — Закон № 479-ФЗ, который во многом положил начало тенденции по ужесточению государственного контроля за обработкой этой категории данных. Фактически Закон № 479-ФЗ установил общий запрет на сбор и обработку коммерческими организациями биометрических персональных данных для целей идентификации (или) аутентификации субъектов данных, если такие действия не выполняются с целью размещения данных в Единой биометрической системе (ЕБС) или не подпадают под иные установленные законом исключения.

При этом в постановлении Правительства РФ от 23.10.2021 № 1815 «Об утверждении перечня случаев осуществления сбора и обработки используемых для идентификации либо идентификации и аутентификации биометрических персональных данных <…>» были установлены всего четыре категории субъектов, подпадающие под исключение, в отношении которых коммерческие организации могут осуществлять сбор и обработку биометрии для целей идентификации и (или) аутентификации:

• водители легкового такси;

• водители транспортных средств в рамках каршеринга;

• посетители территории организаций;

• участники собраний гражданско-правового сообщества,

• несмотря на то что приведенный выше перечень допустимых случаев использования биометрии впоследствии был существенно расширен постановлением Правительства РФ от 15.06.2022 № 106.

В свою очередь, Закон № 479-ФЗ в конце 2022 г. был в целом отменен, закрепленный в приведенных выше актах подход по существенному ограничению допустимых случаев обработки биометрических ПДн остался неизменным и получил дальнейшее развитие как в принятом в конце 2022 г. Федеральном законе № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц <…>», далее — Закон № 572-ФЗ, так и в целом ряде подзаконных актов.

Что же нужно компании для получения права на обработку биометрии

ЕБС была введена в России еще в 2018 г. распоряжением Правительства РФ от 22.02.2018 № 293-р. Однако только в 2022 г. данная система была переведена в статус государственной информационной системы (ГИС) и ее развитие получило новый виток, а оператором системы вместо ПАО «Ростелеком» было назначено совместное предприятие Правительства РФ, Банка России и ПАО «Ростелеком» — АО «Центр Биометрических Технологий»¹.

Изначально такая система предназначалась для добровольного сбора двух типов данных (биометрических параметров) от физических лиц: 1) изображения лица; 2) записи голоса. Однако Закон № 572-ФЗ фактически сделал взаимодействие и передачу данных в ЕБС обязательным для коммерческих организаций, осуществляющих автоматизированную обработку биометрических данных с целью проведения идентификации или аутентификации.

Так, в соответствии с положениями Закона № 572-ФЗ с 01.06.2023 коммерческое использование биометрических данных, проходящих автоматизированную обработку с целью аутентификации, будет существенно ограничено и поставлено под условие получения аккредитации. Использование же для этих целей биометрических данных, не внесенных в ГИС ЕБС, будет по общему правилу запрещено. Помимо этого, Закон № 572-ФЗ установил запрет на трансграничную передачу биометрических ПДн при осуществлении идентификации и аутентификации физических лиц, за исключением аутентификации, осуществляемой аккредитованными госорганами или ЦБ РФ в определенных случаях.

При этом, если организация уже осуществляет сбор биометрических данных, на которые распространяются требования принятого закона (то есть изображение лица и запись голоса), по состоянию на 01.06.2023, положениями Закона № 572-ФЗ предусматривается переходный период, позволяющий пройти аккредитацию и постепенно перейти на использование ГИС ЕБС до начала декабря 2023 г.

Биометрические персональные данные, собранные организациями в их информационные системы после 01.06.2023, подлежат размещению в Единой биометрической системе в течение тридцати дней после принятия уполномоченным органом в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных решений об их аккредитации.

При этом если в установленный 30-дневный срок субъект не заявит о своем возражении против передачи данных в ЕБС, то далее оспорить факт самой передачи или заявить отказ от обработки субъект сможет уже путем прямого направления запроса оператору ГИС ЕБС через сервис «Госуслуги». (п. 15 ст. 4 Закона № 572-ФЗ).

Также важно отметить, что внесенные в 2022 г. поправки в Федеральный закон № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) дополнительно закрепили, что физическому лицу не может быть отказано в предоставлении услуги, продаже товаров и выполнении работ, если такое лицо отказалось от прохождения идентификации и (или) аутентификации с использованием биометрических ПДн.

С учетом объема принятых нововведений, а также с учетом широкого распространения различных систем идентификации и аутентификации, основанных на использовании биометрии, в коммерческом обороте для частных компаний крайне важным является своевременный аудит внутренних процессов и корректное определение дальнейшего механизма работы и взаимодействия с ГИС ЕБС при обработке биометрических ПДн.

Как определить, нужно ли проходить аккредитацию?

Важно отметить, что сфера действия Закон № 572-ФЗ ограничена только автоматизированной обработкой биометрических персональных данных и в силу прямого указания закона (п. 2 ст. 1) обработка биометрии при осуществлении идентификации и (или) аутентификации, осуществляемая не автоматизированным способом, а с участием уполномоченного должностного лица, исключена из-под действия новых правил о взаимодействии с ГИС ЕБС.

Такой подход в каком-то смысле приближает российский режим регулирования биометрических данных к европейскому, согласно которому использование биометрических персональных данных для целей идентификации и аутентификации, чтобы считаться таковым, должно быть сопряжено с использованием специальных технических автоматизированных средств обработки.

Таким образом, для того чтобы понять, подпадает ли конкретная компания и ее деятельность под действие новых требований, в первую очередь следует определить, имеет ли место единовременное наличие следующих квалифицирующих критериев:

• осуществляется обработка биометрических персональных данных с целью идентификации и (или) аутентификации, причем не любых, а именно подлежащих обработке в ГИС ЕБС, то есть изображения лица человека, полученного с помощью фото-, видеоустройств, и/или записи голоса человека, полученной с помощью звукозаписывающих устройств;

• обработка осуществляется автоматизированно.

Достаточно понятные с первого взгляда критерии на практике зачастую вызывают сложности при интерпретации.

Какие данные относятся к биометрии

Что касается самого определения «биометрические персональные данные», то согласно определению, закрепленному в ст. 11 Закона о персональных данных, это сведения о физиологических и биологических особенностях человека, позволяющие установить личность человека и используемые оператором для данной цели. Таким образом, из буквального толкования следует, что только данные, используемые для установления личности, могут быть признаны биометрическими. Однако какие именно действия могут быть квалифицированы как действия по установлению личности?

Так, складывающаяся на протяжении последних нескольких лет судебная практика², а равно и позиция Роскомнадзора и Минцифры, подтверждают, что использование компаниями фотографического изображения сотрудника для осуществления пропуска на территорию — это использование биометрических персональных данных, вне зависимости от того, как осуществляется такая обработка: с использованием или без использования специальных технических средств (письмо Минцифры России от 17.07.2020 № ОП-П24‑070‑19433).

Вместе с тем когда речь заходит о средствах видеофиксации, то практике известны случаи, когда видеозапись камер наблюдения, содержащая изображение лица конкретного человека, не признавалась материалом, содержащим биометрические персональные данные.

Так, в деле от 16.10.2020 № 16-894/2020 Четвертым кассационным судом общей юрисдикции был сделан вывод о том, что такие сведения в целом не могут считаться персональными данными, поскольку только изображение лица конкретного гражданина само по себе без сопровождающих дополнительных сведений, позволяющих идентифицировать конкретного субъекта персональных данных, недостаточно для его идентификации.

Аналогичная позиция, подтверждающая, что материалы видеосъемки в публичных местах или на охраняемых территориях не относятся к биометрическим персональным данными, получила закрепление и в разъяснениях Минкомсвязи (письмо Минкомсвязи России от 28.08.2020 № ЛБ-С-074-24059).

Таким образом, следует учитывать, что не любая видеосъемка, в том числе осуществляемая на территории компании, будет автоматически признаваться материалом, содержащим биометрические персональные данные. Равным образом по общему правилу не будут отнесены к биометрическим персональным данным и данные, полученные при сканировании паспорта оператором персональных данных для подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.), то есть без проведения процедур идентификации (установления личности).

Отдельно следует отметить, что применение новых требований лишь к двум подкатегориям биометрических данных (изображению лица и записи голоса) будет действовать только до 01.01.2024.

При этом с начала 2024 г. Правительством РФ перечень типов биометрических данных, подпадающих под новые требования взаимодействия с ГИС ЕБС, может быть расширен.

Имеет ли значение способ обработки данных

Что касается второго критерия, устанавливающего, что «обработка должна осуществляться автоматизированно», то тут следует учитывать, что согласно Закону о персональных данных под такой обработкой подразумевается обработка персональных данных с помощью средств вычислительной техники.

Однако если рассматривать в качестве примера используемые частными компаниями системы контроля и управления доступом (СКУД) на территорию, то зачастую на практике применяются «смешанные» процессы обработки данных. Так, довольно распространенной является модель, при которой изображение конкретного работника занесено в СКУД и отражено на пропуске, который прикладывается к специальному считывателю, но параллельно с этим делает сверку отраженного в СКУД фото и итоговое решение о пропуске на территорию принимает специально уполномоченное лицо.

Представляется, что, исходя из буквального толкования Закона о персональных данных и Закона № 572-ФЗ, такой случай обработки не будет подпадать под объем регулирования и новые требования о взаимодействии с ГИС ЕБС, несмотря на то, что часть такой обработки осуществляется автоматизированным способом.

Таким образом, основными адресатами новых требований, закрепленных Законом № 572-ФЗ, станут компании, внедряющие или уже внедрившие в своей деятельности технические решения, позволяющие проводить полностью автоматизированную идентификацию и аутентификацию субъектов, в частности системы комплексной видеоаналитики (распознавания лиц).

Как организовать обработку биометрии в коммерческой организации с учетом новых требований

В случае если не соответствующая новым требованиям законодательства работа с биометрией не будет прекращена и своевременно «переформатирована», компании могут быть привлечены к ответственности в соответствии с ч. 1 ст. 24 Закона № 572-ФЗ и ч. 1 ст. 13.11 КоАП РФ — за обработку ПДн в случаях, не предусмотренных законодательством, что может повлечь за собой штраф для юридических лиц в размере от 60 тыс. до 100 тыс. руб.

В связи с этим первым шагом после установления факта применимости к деятельности компании новых требований по Закону № 572-ФЗ должно ста­ть определение конкретной модели работы с биометрическими данными и порядка дальнейшего взаимодействия с ГИС ЕБС.

Так, по смыслу Закона № 572-ФЗ взаимодействие с ГИС ЕБС может быть построено согласно одному из следующих режимов:

• транзакционное взаимодействие (без оформления аккредитации, в роли так называемого «потребителя» биометрических данных; либо

• векторное взаимодействие (в роли «поставщика» биометрических данных).

Транзакционное взаимодействие по своей сути предполагает, что все данные о клиенте компании будут храниться только в ГИС ЕБС и ЕСИА и не будут обрабатываться компанией, при этом при обращении такого субъекта за услугой к компании последней будет направляться запрос на подтверждение соответствующих данных для целей идентификации и (или) аутентификации в ГИС ЕБС и ЕСИА.

В свою очередь, при векторном взаимодействии компания будет самостоятельно проводить процедуры идентификации и (или) аутентификации, основываясь на так называемых векторах — результатах математического преобразования биометрических ПДн конкретного физического лица, полученных от ГИС ЕБС. Другими словами, ЕБС присваивает пользователю, предоставившему биометрию, персональный идентификатор — биометрический вектор, который впоследствии передается на уровень коммерческой компании для проведения аутентификации.

При любом из указанных выше сценариев частной компании потребуется обеспечить надлежащий уровень защиты для устройств, работающих с биометрией, то есть внедрить решение по информационной безопасности, подходящее для взаимодействия с ЕБС. Помимо решений по информационной безопасности, компании также потребуется организовать защищенные каналы связи для взаимодействия с ГИС ЕБС. В частности, предполагается, что в компаниях должны быть обеспечены:

• внедрение в ПО организации сертифицированной SDK для работы с криптографией по утвержденным требованиям, а также проведение оценки влияния компонентов по требованиям ФСБ России;

• использование сертифицированных программных агентов, устанавливаемых на оборудование.

Следует учитывать, что ряд подзаконных актов, конкретизирующих технические требования к используемому оборудованию, еще находятся в проработке, в связи с чем, несмотря на приближающиеся сроки по переходу на новый формат работы, компаниям необходимо взвешенно подходить к перестраиванию уже имеющихся систем или внедрению новых и внимательно отслеживать вновь принимаемые подзаконные акты, дополняющие регулирование Закона № 572-ФЗ.

В случае же, если компания выбирает путь взаимодействия с ГИС ЕБС в роли «поставщика данных», для того чтобы иметь возможность успешно пройти аккредитацию, такая организация должна будет отвечать целому ряду установленных критериев, а именно:

• иметь уставный капитал не менее 500 млн руб.;

• локализовать базу данных, в которой хранятся данные, на территории РФ;

• не иметь иностранных участников с долей более 49% в уставном капитале;

• иметь необходимые аппаратно-шифровальные средства в собственности;

• иметь в штате как минимум двух сотрудников с высшим IT-образование и др.

Отдельный ряд требований установлен в отношении лица, исполняющего функции единоличного исполнительного органа (ЕИО) в организации. В частности, ЕИО должен:

• иметь гражданство РФ;

• не быть включенным в перечень причастных к экстремистской деятельности, терроризму, распространению оружия массового уничтожения;

• не иметь неснятой/непогашенной судимости;

• в течение пяти предшествующих лет не привлекаться за незаконное получение и разглашение государственной, коммерческой, налоговой или банковской тайны;

• в течение трех предшествующих лет не являться первым лицом других организаций, аккредитации которых были досрочно прекращены.

Заключение

Представляется, что на текущем этапе, когда еще не все требования к техническим аспектам выстраивания взаимодействия с ГИС ЕБС финализированы, самое эффективное, что может сделать компания, планирующая внедрять в своей деятельности автоматизированные решения для обработки биометрических данных, — это не принимать поспешных решений по полному перестраиванию своей работы, а провести внутренний аудит с целью предварительной оценки на предмет соответствия требованиям к аккредитации и выстраивания пошагового плана для дальнейшего приведения внутренних систем в соответствие с разрабатываемым регулированием.

В частности, одним из тех аспектов, который может быть налажен и отражен во внутренних политиках компании уже сейчас, — это порядок взаимодействия с субъектами персональных данных при сборе согласий на обработку биометрических данных, а также при направлении уведомлений при передаче данных в ГИС ЕБС.

---

¹ Указ Президента РФ от 30.09.2022 № 693 «Об определении организации, обеспечивающей развитие цифровых технологий идентификации и аутентификации»; постановление Правительства РФ от 16.12.2022 № 2326 «О возложении на акционерное общество „Центр Биометрических Технологий“ функций оператора единой информационной системы персональных данных».

² Определение ВС РФ от 05.03.2018 № 307-КГ18-101 по делу № А42-342/2017.