Мы продолжаем знакомить вас с новациями в сфере обработки персональных данных, включая биометрию. В первой части статьи  были рассмотрены новые требования к операторам персональных данных и госорганам, изменения порядка предоставления сведений из ЕГРН, содержащих персональные данные, и другие вопросы, актуальные для органов власти.

С 30 декабря 2021 года единая биометрическая система (далее - ЕБС) приобрела статус государственной информационной системы, что предопределило ее дальнейшее развитие для обеспечения обработки биометрических персональных данных с учетом взаимодействия с иными информационными системами.

В настоящее время ЕБС включена в состав инфраструктуры[1], обеспечивающей информационно-технологическое взаимодействие действующих и создаваемых информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме. 

Цели и задачи единой биометрической системы 

Постановлением № 1089 утверждено Положение о единой биометрической системе, согласно которому ЕБС используется органами, организациями и иными лицами в целях осуществления идентификации и (или) аутентификации физического лица с использованием его биометрических данных. К таким органам, организациям и иным лицам относятся:

• государственные органы;
• органы местного самоуправления;
• кредитные организации;
• не кредитные финансовые организации[2];
• субъекты национальной платежной системы;
• иные организации, индивидуальные предприниматели и нотариусы.

Функционирование ЕБС обеспечивается путем ее взаимодействия, в том числе со следующими информационными системами:

• Единый портал государственных и муниципальных услуг (функций);
• ЕСИА;
• СМЭВ.

Задачи единой биометрической системы приведены на рисунке 1.

Рисунок 1. Задачи единой биометрической системы

Обязательным условием размещения в ЕБС биометрических персональных данных является регистрация гражданина в ЕСИА.

Биометрические персональные данные, размещаемые и обновляемые в единой биометрической системе, подписываются усиленной квалифицированной электронной подписью государственного органа или организации, размещающего указанные данные.

Не допускается размещение и обработка в ЕБС сведений, отнесенных к государственной тайне. Обеспечивать функционирование единой биометрической системы, включая защиту информации, будет оператор - ПАО «Ростелеком»[3].

Единая биометрическая система взаимодействует с:

• государственными информационными системами;
• муниципальными информационными системами;
• информационными системами организаций финансового рынка, иных организаций, индивидуальных предпринимателей и нотариусов.

Схема и цели такого взаимодействия приведены на рисунке 2.

Рисунок 2. Взаимодействие ЕБС с государственными, муниципальными и иными информационными системами

Самостоятельное размещение гражданами биометрических данных в ЕБС

С 30 сентября текущего года вступают в силу Правила размещения физическими лицами своих биометрических персональных данных в единой биометрической системе, утвержденные Постановлением № 1066 (далее – Правила). Самостоятельное размещение физическим лицом биометрии в ЕБС будет возможно через специальное мобильное приложение без посещения государственных органов и финансовых организаций, но при наличии:

• подтверждённой учётной записи в ЕСИА и при условии, что личность указанного в такой записи лица ранее подтверждена при личной явке;
• загранпаспорта с биометрическими данными.

К моменту вступления в силу Правил ПАО «Ростелеком», как оператор ЕБС, должен обеспечить подключение указанного мобильного приложения к ЕСИА и единой биометрической системе.

При самостоятельном размещении данных в ЕБС вносятся следующие сведения:

• данные изображения лица и голоса;
• идентификатор сведений о физическом лице в регистре физических лиц единой системы идентификации и аутентификации, биометрические персональные данные которого размещаются в единой биометрической системе, - идентификатор учетной записи в единой системе идентификации и аутентификации;
• контактные данные (номер абонентского устройства подвижной радиотелефонной связи, адрес электронной почты);
• дата рождения и сведения о гражданстве.

Следует отметить, что право физического лица самостоятельно размещать биометрические данные в единой биометрической системе предусмотрено в Федеральном законе № 149-ФЗ с 30 декабря 2021 года.

Информация о способах сбора биометрических данных в единую биометрическую систему, размещаемых в ЕБС, приведена на рисунке 3.

Рисунок 3. Способы сбора биометрических данных в единую биометрическую систему

Случаи и сроки использования биометрии, размещенной физическими лицами в ЕБС

Постановлением № 1067 определены случаи использования биометрических персональных данных, размещенных физическими лицами в ЕБС самостоятельно. Перечень таких случаев приведен на рисунке 4.

Рисунок 4. Случаи использования биометрических персональных данных, размещенных физическими лицами в ЕБС

По истечению 3 лет со дня размещения персональных данных в единой биометрической системе их необходимо актуализировать. Обновление биометрических данных осуществляется гражданином с использованием мобильного приложения.

Постановление № 1067 вступает в силу с 1 марта 2023 года и действует до 1 марта 2029 года.

Плата за использование единой биометрической системы 

Федеральным законом № 149-ФЗ установлено, что использование единой биометрической системы является платным и определяется Методикой расчета[4], которая утверждается Минцифры России (далее – Методика).

В течение июня – августа 2022 года Минцифры России приняло два взаимоисключающих решения, изменяющих Методику:

1. Установлено бесплатное использование единой биометрической системы до 31 декабря 2022 года в связи с ее преобразованием в государственную информационную систему (приказ Минцифры России № 455);
2. Отменен приказ Минцифры России № 455 и возобновлено платное использование ЕБС в соответствии с Методикой (приказ Минцифры России № 582).

Напомним, что плата за использование единой биометрической системы взымается при осуществлении госорганами, органами местного самоуправления, организациями финансового рынка, иными организациями, индивидуальными предпринимателями и нотариусами следующих действий:

• идентификации физического лица, в том числе без его личного присутствия, путем установления и проверки достоверности сведений о нем;
• аутентификации физического лица, выразившего согласие на ее проведение, в целях совершения определенных действий или подтверждения волеизъявления либо подтверждения полномочия лица на совершение определенных действий.

Ответственность за правонарушения в сфере защиты персональных данных 

Федеральным законом № 149-ФЗ предусмотрена административная, гражданская и (или) уголовная ответственность лиц за:

• нарушение требований обработки, включая сбор и хранение, биометрических персональных данных;
• недостоверное размещение в ЕСИА и (или) ЕБС сведений, необходимых для регистрации физического лица.

При этом нормы административного и уголовного законодательства, необходимые для привлечения таких лиц к ответственности, в настоящее время отсутствуют, что не позволяет обеспечить выполнение в полной мере профилактики правонарушений в сфере идентификации физических лиц с использованием биометрических персональных данных.

В целях урегулирования данного вопроса Минцифры России разработаны два проекта федеральных законов, предусматривающих внесение необходимых изменений в Кодекс Российской Федерации об административных правонарушениях и Уголовный кодекс Российской Федерации:

• «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (ID проекта 02/04/06-22/00128073);
• «О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации» (ID проекта 01/05/06-22/00128220).

Информация о предлагаемых законопроектами мерах административной и уголовной ответственности приведена на рисунке 5 и рисунке 6, соответственно.

Рисунок 5 – Меры административной ответственности, предусмотренные проектом федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»

Рисунок 6 – Меры уголовной ответственности, предусмотренные проектом федерального закона «О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации» 

Рассмотрение дел об административном правонарушении за нарушение порядка применения информационных технологий в целях идентификации и (или) аутентификации физических лиц планируется возложить на:

• Роскомнадзор;
• Банк России (в случае совершения правонарушения организациями финансового рынка).

Учитывая, что удаленная идентификация физических лиц с применением единой биометрической системе может использоваться при оказании государственных и муниципальных услуг неисполнение госорганами и иными организациями правил обработки биометрических персональных данных может повлечь нарушение прав и законных интересов:

• граждан;
• организаций;
• государства.

Доступ к порталу «Госуслуги» через биометрию

 В августе текущего года на Федеральном портале проектов нормативных правовых актов опубликован проект постановления Правительства Российской Федерации «О внесении изменений в некоторые акты Правительства Российской Федерации» (ID - 01/01/08-22/00130227) (далее – проект постановления), которым предусматривается возможность аутентификации заявителей в ЕСИА для доступа на портал «Госуслуги» с использованием не только электронной подписи, но и единой биометрической системы.

Право выбора конкретного способа аутентификации остается за заявителем.

Изменения вносятся в постановления Правительства Российской Федерации:

• от 28.11.2011 № 977 «О федеральной государственной информационной системе «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» (далее – Постановление № 977);
• от 10.07.2013 № 584 «Об использовании федеральной государственной информационной системы «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме».

Напомним, в мае текущего года положения Постановления № 977 корректировались[5], в результате чего использование биометрических данных граждан стало возможным в качестве одного из дополнительных способов аутентификации для получения доступа к информации, хранящейся в государственных, муниципальных и иных информационных системах.

Теперь же, Минцифры России (разработчик проекта постановления) предлагается расширить применение биометрии и предоставить заявителям возможность использовать единую биометрическую систему, как единственный способ аутентификации, но в отношении доступа только к государственной информационной системе - ФГИС «Единый портал государственных и муниципальных услуг (функций)».

Использование биометрических данных для обеспечения доступа к государственным информационным системам является правом, а не обязанностью граждан. Несмотря на это, с принятием проекта постановления практика аутентификации посредством биометрии будет расширена, что потребует от уполномоченных сотрудников государственных органов и иных организаций, осуществляющих сбор параметров биометрических персональных данных, ответственного выполнения должностных обязанностей. 

В заключение необходимо отметить, что рассмотренные новации направлены на совершенствование регулирования сферы использования биометрических данных. Это, с одной стороны, предоставляет обществу и государству новые возможности и упрощает сбор персональных сведений, а, с другой, возлагает на органы власти, иные организации, а также на субъекты персональных данных дополнительные обязанности, за несоблюдение которых предусматривается ответственность.

Правильно организованная работа по выполнению всех необходимых требований законодательства и использование доступных механизмов информационного взаимодействия позволяет обеспечить полноценное, достоверное, а самое главное защищенное использование персональных данных.

Обобщенная информация о подготовленных и планируемых изменениях (новациях) законодательства, рассмотренных в двух частях настоящей статьи, приведена в таблице 1.

Кроме того, на сайте БФТ-Холдинга  Вы можете ознакомиться с записью вебинара, проведенного экспертами Компании 25 августа текущего года, в рамках которого были рассмотрены новации законодательства в сфере цифровизации за май-август 2022 года, включая обзор новаций по таким направлениям как:

• цифровое государственное управление;
• обеспечение информационной безопасности;
• оказание госуслуг в электронном виде;
• электронный документооборот;
• обработка персональных данных. 

По всем интересующим вас вопросам соответствующей тематики Вы можете обратиться к экспертам БФТ-Холдинга:

question@bftcom.com,

тел. +7 (495) 784-70-00

[1] Постановление Правительства Российской Федерации от 08.06.2011 № 451 «Об инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме».

[2] В случае осуществления данными организациями видов деятельности, указанных в части первой статьи 761 Федерального закона от 10.07.2002 № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)».

[3] Распоряжение Правительства Российской Федерации от 22.02.2018 № 293-р «О возложении на публичное акционерное общество междугородной и международной электрической связи «Ростелеком» функций оператора единой информационной системы персональных данных».

[4] Приказ Минцифры России от 19.05.2021 № 474 «Об утверждении методики расчета взимания платы за использование единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия представленным биометрическим персональным данным физического лица» (Зарегистрировано в Минюсте России 29.07.2021 № 64443) 

[5] Постановление Правительства РФ от 14.05.2022 № 875 «О внесении изменений в некоторые акты Правительства Российской Федерации»