Власти написали правила для сбора банками и госорганами биометрии граждан
Минцифры планирует распространить стандарты сбора биометрических слепков лиц и голосов физлиц на коммерческие биометрические системы. Новые правила обязывают собирающие биометрию организации обеспечить уровень безопасности и формат данных, аналогичный применяемым при работе с ЕБС. Власти также утвердили максимальный размер вознаграждения, выплачиваемого сборщикам персональной биометрии за ее размещение в ЕБС.Единые стандарты сбора биометрии
Минцифры представило проект приказа об утверждении общих требований к сбору и хранению персональной биометрии граждан для всех информационных систем, работающих с биометрическими данными, включая коммерческие.
Документ, размещенный 17 августа 2021 г. на портале проектов правовых актов regulation.gov.ru, также предлагает отменить действующие версии профильных приказов министерства №321 от 25 июня 2018 г. и №369 от 4 июля 2019 г., согласно которым нормативы по обработке биометрии распространялись только на тех, кто вносил сведения в единую биометрическую систему (ЕБС). Новая версия текста дополнена формулировкой «и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц».
Согласно новым правилам, все организации, включая госорганы, банки и «иные организации» с коммерческими биометрическими системами (КБС) будут обязаны согласовывать с Минцифры программное обеспечение (ПО), модели и типы оборудования, предназначенные для сбора и хранения данных биометрических слепков лиц и голосов граждан.
17 августа 2021 г. на официальном портале правовой информации publication.pravo.gov.ru появился зарегистрированный Минюстом приказ Минцифры №662 от 29 июня 2021 г., которым устанавливается максимальный размер платы, выплачиваемой банкам и иным организациям за размещение персональной биометрии физлица в ЕБС.
Требования и технические спецификации
Согласно документу, для сертификации системы сбора биометрии претендующая организация должна направить в Минцифры подтверждение права собственности или другое законное основание для использования оборудования для обработки изображения лица и данных голоса, а также наименование, модель и тип оборудования для этих целей, и ряд технических характеристик, включая данные об эквивалентном фокусном расстоянии техники для регистрации изображения лица.
К этому необходимо приложить протокол эксплуатационных испытаний оборудования для обработки биометрии по стандарту ГОСТ Р ИСО/МЭК 19795-1-2007. На подтверждение сертификации у Минцифры имеется 30 дней.
Оборудование должно быть в обязательном порядке сертифицировано ФСТЭК. После сбора параметров персональной биометрии сотрудник организации, уполномоченный проводить процесс идентификацию или аутентификации с использованием биометрии, обязан подписать вносимые в инфосистему данные простой электронной подписью.
Для собираемых слепков изображения лица устанавливается ряд определенных требований, включая 24-битную глубину цвета в пространстве RGB с восьмибитной глубиной на каждый цвет, поворот и наклон головы не более 5°, отклонение головы не более 8° от фронтального положения. Расстояние между зрачками должно составлять не менее 120 пикселей, в специальных случаях – не менее 45 пикселей, при этом на изображении должна отображаться вся голова человека.
Не допускается перекрытие волосами или посторонними предметами изображения лица по всей ширине от бровей до нижней губы, выражение лица должно быть нейтральным, рот закрыт, оба глаза открыты нормально для соответствующего субъекта, отмечается в документе.
По поводу биометрических отпечатков голоса вводятся следующие требования: на русском языке, отношение сигнал-шум для звука не менее 15 дБ, глубина квантования не менее 16 бит, частота дискретизации не менее 16 кГц, формат RIFF (WAV), сжатие PCM/uncompressed, режим моно без шумоподавления. Также в тексте присутствует примечание об обязательности нормального эмоционально-психологическое состояния субъекта при осуществлении записи голоса.
После проверки образцов, осуществляемом в автоматическом режиме, образцы с меткой даты, времени и места, информацией о технических средствах сбора и обработки и о способе сбора параметров передаются в ЕБС или другую биометрическую инфосистему с использованием средств криптографической защиты, где проходят контроль качества.
Хранение биометрии в ЕБС должно осуществляться в течение не менее чем 50 лет с момента их размещения. Пользоваться этими данными для идентификации или аутентификации физлица можно не более пяти лет с момента даты сбора.
Цена вопроса
Размещение персональной биометрии граждан в ЕБС осуществляется на безвозмездной основе. Обновление персональной биометрии в ЕБС и других биометрических инфосистемах осуществляется физическим лицом добровольно по истечении пяти лет с момента размещения слепков или по инициативе физлица, отмечается в документе.
Согласно приказу Минцифры №662 от 29 июня 2021 г., по согласованию с Центробанком максимальный размер платы, выплачиваемой банкам и иным организациям, осуществившим размещение персоной биометрии в ЕБС, «составляет 50% с учетом НДС от размера полученной платы» в рамках требования ч. 24 ст. 14.1 закона № 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г.
Законом № 149-ФЗ, в частности, установлено, что размер и порядок взимания оператором ЕБС («Ростелекомом»; – прим. CNews) за использование системы «определяются в договорах между оператором единой биометрической системы и организациями финансового рынка, иными организациями, индивидуальными предпринимателями, нотариусами в соответствии с методикой расчета взимания платы за использование единой биометрической системы, если иное не предусмотрено федеральными законами».
Работа с биометрией в России сегодня
Создание российской ЕБС для удаленной идентификации клиентов банков стартовало в 2016 г. по инициативе Центробанка и Минкомсвязи (ныне Минцифры). Первые тесты системы начались в декабре 2017 г. в ограниченном количестве банков. Официальный запуск ЕБС состоялся 1 июля 2018 г., но еще в марте 2018 г., как отмечал CNews, оператором ЕБС был назначен «Ростелеком».
После выхода приказа Минцифры №624 «Об утверждении перечня угроз безопасности, актуальных при идентификации заявителя – физического лица…» в ЕСИА и ЕБС от 26 ноября 2020 г., сервисы удаленной идентификации через ЕБС стали также доступны для некредитных финансовых организаций, компаний из других секторов экономики. С 1 января 2021 г. к ЕБС наряду с банками подключились страховые компании. В будущем планируется подключение компаний из сферы телекома, ритейла и др.
Сейчас собирать биометрические данные граждан могут свыше 200 банков. На конец 2020 г. в ЕБС содержались образцы 160 тыс. пользователей. Пользователями биометрии из ЕБС пока что преимущественно также являются банки. Сбербанк не раскрывает число данных клиентов в своей биометрической системе, однако по данным РБК, образцы биометрии банку сдало несколько миллионов из почти 100 млн его клиентов.
В начале 2018 г. CNews рассказал о том, что оператор ЕБС будет продавать биометрические данные россиян банкам по 200 руб. за штуку, из которых половину будет получать банк, разместивший биометрию пользователя, и половина останется у «Ростелекома».
В середине февраля 2021 г. CNews сообщил о планах создания федерального реестра с перечнем госорганов, финансовых и иных организаций, индивидуальных предпринимателей (ИП) и нотариусов, использующих ЕБС. Оператором реестра участников ЕБС, как и оператором самой системы, планируется назначить «Ростелеком». Участнику реестра одно обращение за биометрией в ЕБС обойдется в те же 200 руб.
В начале марта 2021 г. CNews рассказал о том, что власти рассматривают различные варианты стимулирования сбора биометрических данных граждан, с планами собрать биометрию у 70 млн россиян в ближайшие два года, то есть, почти уравнять их число с числом подтвержденных профилей на портале госуслуг.
В начале августа 2021 г. CNews рассказал о критике новых правил работы с биометрическими данными россиян Российским союзом промышленников и предпринимателей (РСПП). По мнению представителей РСПП, новые правила могут привести к отставанию в развитии биометрии в России, а также ведут к дискриминации крупнейших российских ИТ-компаний.
Речь шла о подготовленном Минцифры проекте постановления Правительства с новыми правилами аккредитации организаций, владеющих инфосистемами для идентификации или аутентификации с использованием персональной биометрии. В частности, по новым правилам использовать биометрию смогут только компании, в уставном капитале которых доля иностранного участия не превышает 49%, а минимальный собственный капитал составляет не должен менее 500 млн руб.
В середине августа 2021 г. CNews рассказал о том, что Сбербанк стал единственным из девяти приглашенных банков, не подписавшим предварительную документацию по созданию совместного предприятия (СП) с «Ростелекомом» для развития ЕБС. Ранее CNews рассказал о том, что в начале апреля 2021 г. Сбербанк и «Ростелеком» – оператор государственной ЕБС, достигли договоренности в создании СП, которое будет специализироваться на разработке, развитии и тиражировании технологий идентификации, включая биометрию. С этой целью планировалось объединение экспертизы сторон «для ускорения перевода различных услуг в электронный вид».
Как выяснилось, Сбербанк не стал подписывать и не планирует участвовать в обсуждении корпоративного договора по созданию нового СП из-за того, что банк не устроили новые условия, где он лишился лидирующей роли в СП.