Страсти по биометрии
В настоящее время буквально отовсюду можно слышать про внедрение информационной технологии или про очередной государственный проект, которые уже используют или будут использовать биометрические персональные данные. Новостные ленты не отстают и тоже пестрят соответствующими заголовками. Системы контроля и управления доступом, обрабатывающие биометрические персональные данные, для некоторых представляются обыденностью. Не обходят стороной биометрические технологии и системы информационной безопасности. Иными словами, представляется, что сферы применения биометрии будут только расширяться.
В 2018 году рождается Единая биометрическая система (ЕБС), которая должна была развиться за счёт банков, но что-то пошло не так… К сожалению, наполняемость и применяемость данной системы, по видимому, не вышли на должный и ожидаемый уровень. Как говорится: «Лошадь сдохла — слезь», и в самый раз было бы похоронить ЕБС, но государственные чины решили иначе. Так, предположительно, появилась идея наполнить ЕБС через все организации (не только банки), обрабатывающие персональные данные, и внедрение жёстких регулятивных мер в отношение них. В результате появился Федеральный закон от 29.12.2020 № 479-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации», вносящий поправки в том числе и в Федеральный закон Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» в части регулирования правоотношений, связанных с обработкой биометрических персональных данных (и да, ключевые изменения по обработке биометрии были здорово замаскированы).
Стоит отметить, что 479-ФЗ вносит столько изменений, что их хватило бы на отдельный закон, например, «Об обработке биометрических персональных данных», а заложенные в него нормы сродни реформе по аналогии с той, что сейчас наблюдается в сфере использования электронной подписи.
Из ключевых нововведений:
1. Понятийный аппарат 149-ФЗ дополняется новыми терминами:
1.1. Идентификация — совокупность мероприятий по установлению сведений о лице и их проверке, осуществляемых в соответствии с федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами, и сопоставлению данных сведений с уникальным обозначением (уникальными обозначениями) сведений о лице, необходимым для определения такого лица (далее — идентификатор).
1.2. Аутентификация — совокупность мероприятий по проверке лица на принадлежность ему идентификатора (идентификаторов) посредством сопоставления его (их) со сведениями о лице, которыми располагает лицо, проводящее аутентификацию, и установлению правомерности владения лицом идентификатором (идентификаторами) посредством использования аутентифицирующего (аутентифицирующих) признака (признаков) в рамках процедуры аутентификации, в результате чего лицо считается установленным.
2. Устанавливается запрет (с 01.09.2022) на обработку в информационных системах биометрических персональных данных в целях идентификации и (или) аутентификации без выполнения нововведённых в 149-ФЗ требований.
3. Ключевым требованием, выполнение которого позволит осуществлять обработку в информационных системах биометрических персональных данных, является наличие аккредитации одного из двух видов (порядок получения аккредитации установлен постановлением Правительства Российской Федерации от 20.10.2021 № 1799):
3.1. Аккредитация для осуществления аутентификации.
3.2. Аккредитация для осуществления идентификации и (или) аутентификации.
Полные перечни требований, предъявляемых к организации, которая намеревается получить тот или иной вид аккредитации для обработки в информационных системах биометрических персональных данных, приведены здесь:
требования по аккредитации для аутентификации;
требования по аккредитации для идентификации.
4. Если организация не может самостоятельно получить аккредитацию (или не хочет), то она вправе использовать для обработки биометрических персональных данных соответствующие информационные системы аккредитованных организации.
Вполне очевидно, что идентификацией является совокупность действий, необходимость или возможность осуществления которых продиктованы федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами. А вот аутентификацию инициируют организации самостоятельно, руководствуясь собственными потребностями. Если наложить это на обработку биометрических персональных данных, то идентификация будет в большей степени характерна для организаций, которые вынуждены осуществлять установление личности с использованием таких данных в силу исполнения законодательства Российской Федерации, тогда как для организаций, осуществляющих установление личности с использованием биометрических персональных данных по собственному желанию, наиболее характерной станет аутентификация с самым ярким примером — система контроля и управления доступом.
В свете изложенных обстоятельств организациям, осуществляющим обработку биометрических персональных данных, необходимо провести самопроверку и выяснить, осуществляется ли в ее информационных системах обработка биометрических персональных данных в целях идентификации и (или) аутентификации. Если да, то необходимо принять решение:
1. Прекратить обработку биометрических персональных данных в целях идентификации и (или) аутентификации.
2. Подготовиться и получить аккредитацию соответствующего вида, чтобы продолжить обработку биометрических персональных данных в целях идентификации и (или) аутентификации.
Однако здесь важно отметить, что в соответствии с нововведённой статьей 18.20 149-ФЗ получить такую аккредитацию могут только те организации, которые попали под разрешение (т.е. подпадают под постановление Правительства Российской Федерации от 23.10.2021 № 1815 «Об утверждении перечня случаев осуществления сбора и обработки используемых для идентификации либо идентификации и аутентификации биометрических персональных данных в информационных системах организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также случаев использования организациями, за исключением кредитных организаций, некредитных финансовых организаций, которые осуществляют указанные в части первой статьи 761 Федерального закона «О Центральном банке Российской Федерации (Банке России)» виды деятельности, субъектами национальной платежной системы, индивидуальными предпринимателями указанных информационных систем для идентификации либо идентификации и аутентификации физического лица, выразившего согласие на их проведение») в иных случаях либо нельзя обрабатывать биометрию совсем, либо только с использованием ЕБС.
3. Принять меры к поиску организации, имеющей аккредитацию соответствующего вида, которая предоставит свою информационную систему для обработки биометрических персональных данных в целях идентификации и (или) аутентификации.
P. S. вообще Федеральный закон от 29.12.2020 № 479-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации» занимательное чтиво, там есть и другие интересные положения, касающиеся дополнительных полномочий оператора ЕБС и бесплатного обеспечения физических лиц СКЗИ.