Разделы

Бизнес Законодательство Цифровизация ИТ в госсекторе

Как россиян будут опознавать по голосу и лицу, и как можно это запретить

В России принят закон о единой биометрической системе. В системе запрещается хранить геномную информацию, сведения о лицах, находящихся под государственной охраной, и осуществлять трансграничную передачу данных. По настоянию РПЦ в законе было указано, что отказ гражданина от прохождения биометрической идентификации не должен быть основанием в отказе от предоставления услуг.

Закон о ЕБС

Совет Федерации принял закон «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных». Документ был разработан депутатом Антоном Горелкиным и внесен в Госдуму в октябре 2022 г. В ноябре он был принят нижней палатой парламента в первом чтении, а в конце декабря — во втором и третьем. Теперь документ должен быть подписан Президентом.

Закон посвящен «Единой биометрической системе» (ЕБС) — государственной информационной системе «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных», которая содержит биометрические персональные данные физических лиц, векторы единой биометрической системы и иную информацию, которая используется в целях осуществления идентификации, аутентификации с использованием биометрических персональных данных физических лиц, и оператором которой является определенная Правительством организация.

С 2017 г. единым исполнителем работ по осуществлению биометрической идентификации граждан с использованием инфраструктуры электронного правительства и портала госуслуг является «Ростелеком». В октябре Президент Владимир Путин поручил определить организацией, обеспечивающей развитие цифровых технологий идентификации и аутентификации, «Центр биометрических технологий». В нем «Ростелеком» получил 49%, государство — 26%, Центробанк — 25%. Скорее всего, это организация и будет оператором ЕБС.

ebs600.jpg
В России принят закон о ЕБС

По словам председателя комитета Госдумы по информационной политике, ИТ и связи Александра Хинштейна, в ходе рассмотрения данный закон поменял свое направление: он стал не законом о ЕБС, а законом о запрете принудительной сдачи биометрических данных и об изъятии биометрических данных россиян из коммерческого оборота государству.

Сейчас биометрические данные порядка 70 млн россиян находятся у коммерческих компаний (банков, фитнес-клубов, управляющих компаний) и никто не знает о их судьбе, говорит Хинштейн. Создание единой государственной базы биометрических данных должно решить вопросы с безопасностью их хранения.

Что такое вектор единой биометрической системы

Вектором единой биометрической системы считаются персональные данные, полученные в результате математического преобразования биометрических персональных данных физического лица, содержащихся в ЕБС, которое произведено с использованием информационных технологий и технических средств.

Закон также предусматривает создание региональных сегментов ЕБС. Оператором такого сегмента может выступать орган исполнительной власти субъекта федерации или подведомственное ему государственное учреждение либо государственное унитарное предприятие, определенное властями соответствующего субъекта федерации и осуществляющими создание, развитие, модернизацию и эксплуатацию регионального сегмента ЕБС и являющегося владельцем используемых в нем технических средств.

Александр Хинштейн отмечает, что в ходе рассмотрения закона было решено отказаться от региональных сегментов ЕБС как самостоятельных субъектов. Теперь они будут «погружены» в центральную ЕБС с автоматической передачей данных из региональных сегментов в федеральные.

В целях развития в России технологий идентификации и аутентификации с использованием биометрических персональных данных физических лиц, определения стратегических направлений развития указанных технологий, обеспечения недискриминационного доступа к ЕБС, мониторинга практики применения настоящего закона, Правительством образовывается Координационный совет по развитию цифровых технологий идентификации и аутентификации на основе биометрических персональных данных.

В ЕБС размещается и обрабатывается два вида биометрических данных: изображения лица человека, полученное с помощью фото-видеоустройств, и запись голоса человека, полученная с помощью звукозаписывающих устройств.

Оператор ЕБС и операторы региональных сегментов устанавливают плату за запрос к данной системе. Методика расчета размера платы определяется Минцифры по согласованию с Центробанком.

Как гражданин дает и отзывает согласие на обработку биометрических данных

Гражданин дает свое согласие на проведении идентификации с помощью ЕБС с помощью неквалифицированной усиленной электронной подписи или с помощью простой электронной подписи, выданной оператором ЕБС или ее регионального сегмента, аккредитованным органом государственной власти или аккредитованной на проведении биометрической идентификации организацией. Проведение идентификации с помощью ЕБС на основе согласия, данного гражданином с помощью простой электронной подписи вне установленного порядка, не допускается.

Запросы в ЕБС на проведение идентификации граждан, при наличии их согласия, могут давать органы государственной и муниципальной власти, Центробанк, организации финансового рынка, иные организации, нотариусы и индивидуальные предприниматели.

В то же время предоставление гражданином своих биометрических данных не может быть обязательным. Государственные органы и негосударственные организации не вправе обуславливать предоставление услуг или их объем прохождением гражданином биометрической идентификации.

Соответственно, отказ гражданина в прохождении биометрической идентификации не может быть основанием в отказе от предоставления государственных и иных услуг, продаже товаров, выполнении работ и в приеме на обслуживание. Как пояснил Александр Хинштейн, на возможности гражданина отказаться от обработки своих биометрических данных настояла Русская православная церковь (РПЦ).

При предоставлении биометрических персональных данных физического лица по каналам связи в целях проведения его идентификации и аутентификации, в том числе посредством интернета, должны применяться шифровальные средства, позволяющие обеспечить безопасность передаваемых данных от угроз безопасности, актуальных при обработке биометрических персональных данных. Проведение идентификации без личного присутствия физического лица в случае отказа такого лица использовать шифровальные средства для предоставления биометрических данных не допускается.

В случае отзыва субъектом персональных данных у оператора ЕБС согласия на обработку биометрических персональных данных или получения от субъекта персональных данных требования об их удалении, оператор ЕБС, оператор регионального сегмента ЕБС и иные задействованные организации блокируют, удаляют, уничтожают биометрические персональные данные и векторы единой биометрической системы.

Олег Лексин, начальник ИТ-службы Fix Price в интервью CNews: В первую очередь ритейлерам не хватает российской ERP-системы
Цифровизация

Гражданин при личном присутствии в многофункциональном центре предоставления государственных и муниципальных услуг (МФЦ) вправе предоставить в письменной форме отказ от сбора и размещения его биометрических персональных данных в целях проведения идентификации и аутентификации, а также отозвать в письменной форме ранее предоставленный отказ. В этом случае гражданин получает письменное подтверждение представления такого отказа.

В случае предоставления гражданином отказа от сбора и размещения биометрических персональных данных соответствующие действия с его персональными данными в ЕБС запрещены до момента отзыва физическим лицом ранее предоставленного отказа. Согласие на обработку биометрических персональных данных несовершеннолетних, отказ от сбора и размещения их биометрических персональных данных, а также отзыв такого согласия и отказа дается законными представителями несовершеннолетних.

Запрещается осуществление идентификации и аутентификации физических лиц с использованием биометрических персональных данных, при которых необходима трансграничная передача биометрических персональных данных, за исключением аутентификации, осуществляемой аккредитованными государственными органами или Центробанком в случае прохождения имм аккредитации.

Как осуществляется обработка биометрических данных

Физическое лицо, зарегистрированное в ЕСИА (Единая система идентификации и аутентификации), с использованием ЕПГУ (Единый портал государственных и муниципальных услуг) вправе: предоставить согласие на размещение и обработку биометрических персональных данных, размещаемых в ЕБС; ознакомиться со сведениями о согласиях, предоставляемых оператору ЕБС; ознакомиться со сведениями о согласиях на обработку биометрических персональных данных в целях проведения его идентификации и аутентификации; направить оператору ЕБС требование о блокировании, об удалении, уничтожении биометрических персональных данных и векторов ЕБС; ознакомиться со сведениями о предоставленном им отказе от сбора и размещения его биометрических персональных данных в целях проведения идентификации или аутентификации, а также, в случае отзыва такого отказа, ознакомиться со сведениями об отзыве.

Обработка биометрических персональных данных для аутентификации может осуществляться одним из следующих способов: с применением ЕБС или регионального сегменте ЕБС; путем проверки принадлежности физическому лицу идентификаторов посредством сопоставления их со сведения о физических лице, размещенными в единой системе ЕСИА, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица векторам ЕБС, содержащимся в информационной системе аккредитованного государственного органа или информационной системе Центробанка, по указанным идентификаторам; путем проверки принадлежности физическому лицу идентификаторов посредством сопоставления их со сведениями о физическом лице, размещенными в государственной информационной системе персональных данных аккредитованного государственного органа или информационной системе персональных данных Центробанка, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица векторам ЕБС, содержащимся в информационной системе аккредитованного государственного органа или Центробанка, по указанным идентификаторам.

Перед использованием ЕБС аккредитованные государственные органы и Центробанк предоставляют в ЕСИА сведения о физических лицах, содержащиеся в государственной информационной системе персональных данных аккредитованного государственного органа/Центробанка, включая идентификаторы таких сведений. Данные идентификаторы и сведения сопоставляются со сведениям о физических лицах, содержащимися в ЕСИА, и после такого сопоставления данные идентификаторы передаются из ЕСИА в ЕБС, а также в информационную систему аккредитованного государственного органа и информационную систему Центробанка.

Какие сведения нельзя хранить в Единой биометрической системе

В информационных системах организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, запрещена обработка, включая сбор и хранение, используемых в целях идентификации и аутентификации биометрических персональных данных, за исключением случаев, связанных с размещением данных в ЕБС и подтверждением соответствия предоставленных биометрических персональных данных физического лица соответствующим векторам из ЕБС. Также допускается хранение биометрических персональных данных для целей рассмотрения обращений субъектов персональных данных, предполагающих неправомерную обработку их биометрических персональных данных при проведении аутентификации и оспаривающих результаты проведения аутентификации, в течение не более десяти суток с момента предоставления таких данных.

В ЕБС, ее региональных сегментах и информационных системах организаций, аккредитованных на проведение биометрической идентификации, запрещается обработка, сбор и хранение геномной информации и сведений, отнесенных к государственной тайне. Также запрещается обработка сведений, позволяющих отнести физических лиц к отдельным категориям, участие которых в правоотношениях регулируется законами «Об учреждениях и органах уголовно-исполнительной системы РФ», «О содержании под стражей подозреваемых и обвиняемых в совершении преступлений», «О ФСБ», «О государственной защите судей, должностных лиц правоохранительных и контролирующих органов», «Об оперативно-розыскных мероприятиях», «О государственных охране», «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства», «О полиции» и «О войсках национальной гвардии».

Михаил Шишкин, Т-Банк: Найти замену Slack было сложно, поэтому пришлось ее создать
Импортонезависимость

ФСБ (Федеральная служба безопасности), Росгвардия, органы обеспечения государственной защиты (в частности, Министерство внутренних дел), Федеральная служба охраны (ФСО) и Служба внешней разведки (СВР) вправе направлять мотивированный запрос оператору ЕБС и операторам ее региональных сегментов о блокировании, удалении, уничтожении биометрических персональных данных отдельных физических лиц, о внесении изменений в сведения, содержащиеся в ЕБС и ее региональных сегментах, а также обрабатывать сведения в случае и в порядке, установленных законом.

Банки, многофункциональные центры предоставления государственных и муниципальных услуг и иные организации в случаях, определенных федеральными законами, после проведения идентификации при личном присутствии физического лица с его согласия на безвозмездной основе размещают в электронной форме.

Физические лица вправе размещать с использованием мобильного приложения ЕБС свои биометрические персональные данные в ЕБС с применением пользовательского оборудования, имеющего в своем составе идентификационный модуль. Также физические лица вправе размещать с использованием российской программы для ЭВМ, предназначенной для обработки биометрических персональных данных, функционирующей с применением шифровальных средств и предоставляемой на безвозмездной основе оператором ЕБС или ее регионального сегмента, свои биометрические персональные данные в региональном сегменте ЕБС с применением пользовательского оборудования.

Государственные органы не позднее чем за 30 дней до планируемого размещения биометрических персональных данных в ЕБС обязаны уведомить субъекта персональных данных в любой позволяющей подтвердить факт получения уведомления форме о таком размещении. В случае получения до истечения указанного срока возражения от субъекта персональных данных против размещения его персональных данных в ЕБС такое размещение не осуществляется. Субъект персональных данных вправе обратиться к оператору ЕБС с требованием о блокировании или об уничтожении персональных данных.

Игорь Королев