Что такое биометрические данные и как с ними работать

Биометрические персональные данные – это сведения, характеризующие биологические и физиологические особенности человека, на основании которых можно установить личность человека (п. 1 ст. 11 Закона «О персональных данных» от 27.07.2006 № 152-ФЗ).

Закон № 152-ФЗ и другие нормативные акты не определяют, какие именно сведения являются биометрическими. К ним относят, например (письма Минцифры РФ от 17.07.2020 № ОП-П24-070-19433, Роскомнадзора от 10.02.2020 № 08АП-6782):
• изображения человека (фото, видеозапись).
• отпечатки пальцев;
• информацию о радужной оболочке глаза;
• результаты анализов ДНК;
• голос;
• рост, вес.

Под персональными данными понимается любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу (п. 1 ст. 3 закона № 152-ФЗ). Под определение, разумеется, подпадают и сведения, характеризующие биологические и физиологические особенности человека. Более того закон № 152-ФЗ использует такое понятие, как «биометрические персональные данные». Именно о них и пойдет речь дальше в нашей статье.

Биометрические персональные данные являются таковыми при наличии трех условий (письмо Роскомнадзора № 08АП-6782):
• они признаны таковыми в силу положений нормативных правовых актов;
• они характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность;
• они используются для установления личности.

Приведем несколько примеров:
• цифровое фото гражданина России и изображение папиллярных узоров двух его пальцев используют в загранпаспорте (Постановление Правительства РФ от 04.03.2010 № 125);
• фотографию гражданина России и его 10 отпечатков пальцев потребуют для оформления шенгенской визы (ст. 13 Регламента ЕС 810/2009 от 13.07.2009).
• изображения и данные голоса собирают госорганы и банки для ведения единой биометрической системы (ст. 14.1 Закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ, Постановление Правительства РФ от 30.06.2018 № 772, Приказ Минцифры РФ от 10.09.2021 № 930).

Не признаются биометрическими персональными данными:
• сведения о лице, чья личность уже определена (фотография сотрудника, находящаяся в личном деле, подпись уполномоченного лица в договоре, почерк, изучаемый в ходе почерковедческой экспертизы);
• сведения о пациенте, не используемые для установления его личности (медкарта, рентгеновские снимки). Сведения, переданные в правоохранительные органы, становятся персональными данными, так как используются ими для установления личности;
• материалы видеосъемки на охраняемой территории и в публичных местах, если они не переданы правоохранительным органам для идентификации определенных лиц.

В некоторых случаях для начала сбора биометрических данных необходимо уведомить Роскомнадзор. Методические рекомендации утверждены Приказом Роскомнадзора от 30.05.2017 № 94. Чаще всего подавать такое уведомление не нужно. В частности, не требуется уведомление, если сведения (ч. 2 ст. 22 закона № 152-ФЗ):
• необходимы для однократного пропуска гражданина на территорию компании или в других аналогичных целях;
• собирают в рамках трудового законодательства.

Разберем процедуру сбора данных на примере порядка, утвержденного приказом № 930. В соответствии с ним для единой биометрической системы осуществляется сбор данных:
• голоса;
• изображения лица.

Его проводят госорганы, банки и другие организации, уполномоченные на это законом. В каждом таком органе или организации должны быть определены сотрудники, ответственные за сбор сведений.

В пункте 11 порядка № 930 установлены требования к изображению:
• на нем должно быть только одно лицо, наличие других лиц запрещено;
• выражение лица – нейтрально, рот закрыт, глаза открыты;
• лицо должно быть равномерно освещено, чтобы на изображении не было тени;
• запрещено наличие солнцезащитных очков.

Требования к записи голоса (п. 12 порядка № 930):
• на записи должен быть один голос;
• сообщение должно быть произнесено на русском языке;
• произнесенное сообщение должно соответствовать тому, что было сгенерировано программой;
• эмоционально-психологическое состояние субъекта при записи голоса должно быть нормальным, не возбужденным.

Если компания обрабатывает биометрические персональные данные, то, как правило, ей нужно получить согласие гражданина на это (ч. 1 ст. 11 закона № 152-ФЗ). Примером может служить ситуация, когда происходит фотографирование клиентов, чтобы оформить им пропуск (письмо Минцифры РФ от 17.07.2020 № ОП-П24-070-19433).

Если же, например, гражданин оплачивает товар с использованием сканера отпечатков пальцев на своем смартфоне, согласие получать не нужно, поскольку организация непосредственно не обрабатывает его данные.

При оформлении согласия на обработку биометрических персональных данных нужно учитывать следующие моменты (ч. 1 ст. 9 закона № 152-ФЗ):
• согласие должно быть конкретным, информированным и сознательным;
• форма выражения согласия должна быть такая, чтобы можно было подтвердить его получение лицом, обрабатывающим сведения;
• согласие должно быть выражено письменно или посредством электронной подписи (ч. 4 ст. 9 закона № 152-ФЗ).

Письменное согласие на обработку персональных биометрических данных должно включать в себя, в частности:
• Ф.И.О., адрес гражданина, сведения о его паспорте;
• Ф.И.О., адрес представителя физлица, сведения о его паспорте, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных). Например, интересы несовершеннолетних представляют их родители без доверенности. Они предъявляют свидетельство о рождении ребенка;
• название или Ф.И.О. и адрес оператора;
• цель обработки биометрических персональных данных;
• перечень данных, на обработку которых дается согласие;
• наименование или Ф.И.О. и адрес лица, осуществляющего обработку данных по поручению оператора, если обработка будет поручена такому лицу;
• перечень действий с данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки;
• срок, в течение которого действует согласие, а также способ его отзыва, если другое правило не установлено федеральным законом;
• подпись субъекта персональных данных.

По ссылке можно скачать образец согласия на обработку биометрических данных.

Форма согласия на обработку данных, необходимых для регистрации физлица в единой системе идентификации и аутентификации, утверждена Распоряжением Правительства РФ от 30.06.2018 № 1322-р.

Собранные в соответствии с порядком № 930 образцы изображения гражданина РФ и его голоса проверяются на соответствие требованиям, установленным п. 10 и 11 порядка № 930. Если они нужного качества, то их передают в единую биометрическую систему.
Передаваемые образцы должны содержать:
• метку даты, времени и места;
• информацию о технических средствах, с использованием которых осуществлялся процесс сбора и обработки параметров данных;
• сведения о состоянии данных;
• информацию о способе сбора параметров данных.

Передача происходит в автоматизированном режиме с использованием средств криптографической защиты.

В единой системе переданные сведения проходят повторную проверку. Если она устанавливает соответствие образцов требованиям, создается биометрический контрольный шаблон, который подлежит хранению.

Шаблон, созданный в единой биометрической системе, в дальнейшем служит для идентификации гражданина РФ с применением информационных технологий. Параметры данных хранятся в системе не менее 50 лет с момента размещения. Однако использовать их в целях идентификации личности разрешено не более пяти лет (в определенных случаях — не более трех лет) с даты сбора (п. 16 порядка № 930).

В настоящее время биометрические данные в основном используют банки для идентификации своих клиентов. При их обслуживании не потребуется паспорт или карта для установления личности.

В московском метро в октябре 2021 года заработал сервис Face Pay. Пассажиры получили возможность оплачивать проезд при помощи системы распознавания лиц.

В силу вступит с 01.03.2023 Постановление Правительства РФ «О случаях и сроках использования биометрических персональных данных, размещенных физическими лицами в единой информационной системе…» от 15.06.2022 № 1067. Им предусмотрено, что биометрические данные можно будет использовать:
• при аутентификации на портале госуслуг;
• проведении промежуточной и итоговой аттестации по образовательным программам высшего образования;
• осуществлении операций с использованием платежных карт в организациях торговли и сферы услуг в сумме, не превышающей 1 тыс. рублей, включая НДС;
• осуществлении кредитными организациями дополнительной аутентификации клиента — физического лица при его дистанционном обслуживании при условии, что такой клиент ранее был идентифицирован этой организацией в порядке, установленном Законом «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» от 07.08.2001 № 115-ФЗ;
• осуществлении оплаты проезда с применением информационных систем города Москвы;
• заключении договоров об оказании услуг связи посредством сети Интернет;
• выдаче персонифицированной карты на посещение спортивных соревнований.

Обработка биометрических персональных осуществляется в общем порядке с учетом следующих особенностей (ч. 2 ст. 6, ст. 11, п. 3 ч. 3, ч. 10 ст. 19 закона № 152-ФЗ):
• на обработку данных по общему правилу необходимо получить письменное согласие;
• хранение таких данных осуществляется с соблюдением особых требований, о которых мы расскажем ниже.

Существуют случаи, когда биометрические данные можно обрабатывать без письменного согласия. В частности, это возможно, если они обрабатываются в связи:
• с реализацией международных договоров России о реадмиссии;
• с осуществлением правосудия и исполнением судебных актов;
• с проведением обязательной государственной дактилоскопической регистрации;
• в случаях, предусмотренных законодательством РФ об обороне, о противодействии терроризму, противодействии коррупции, оперативно-разыскной деятельности, о нотариате, гражданстве РФ и так далее.

При обработке биометрических персональных данных в информационных системах соответствующим операторам необходимо использовать средства защиты информации, обеспечивающие их безопасность от угроз, в частности, установленные:
• в перечне угроз безопасности, утвержденном Приказом Минцифры РФ от 25.05.2021 № 494, — применимо к операторам, которые обрабатывают указанные данные в единой информационной системе персональных данных;
• перечне угроз безопасности, утвержденном Приказом Минцифры РФ от 01.09.2021 № 902, — применимо к операторам, обрабатывающим данные в информационных системах организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физлиц;
• в перечне угроз безопасности, утвержденном Указанием Банка России от 16.12.2021 № 6018-У, — применимо к операторам — организациям финансового рынка, обрабатывающим данные в информационных системах организаций финрынка.

С момента вступления в силу Указания Банка России от 16.12.2021 № 6017-У операторам — организациям финансового рынка, обрабатывающим биометрические данные при взаимодействии с единой биометрической системой, также необходимо учитывать перечень угроз безопасности, утвержденный данным указанием.

Гражданин вправе отозвать свое согласие на обработку биометрических данных (ч. 2 ст. 9 закона № 152-ФЗ). В этом случае их нельзя впредь использовать для установления его личности. Заявление на отзыв согласия пишется в произвольной форме. В нем необходимо указать:
• полное наименование организации, которая осуществила сбор сведений;
• ее юридический адрес, а также фактический адрес отделения, если речь идет о банке;
• сведения о заявителе: Ф.И.О., номер и серию паспорта, адрес регистрации.

Лучше всего подавать заявление лично, в двух экземплярах. Один экземпляр, с отметкой о регистрации входящей документации, остается на руках у заявителя.

Храниться биометрические персональные данные могут (п. 10 ст. 3, ч. 10 ст. 19 закона № 152-ФЗ):
• в информационных системах персональных данных;
• вне таких систем.

Использовать и хранить биометрические персональные данные вне информационных систем можно только на таких материальных носителях и с применением такой технологии хранения информации, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения (ч. 10 ст. 19 закона № 152-ФЗ).

Требования к материальным носителям биометрических персональных данных и технологиям их хранения вне информационных систем установлены Постановлением Правительства РФ от 06.07.2008 № 512. Под материальным носителем для целей применения указанных требований понимается машиночитаемый носитель информации, в том числе магнитный и электронный. Таким образом, на хранение биометрических персональных данных на бумажных носителях эти требования не распространяются.

Материальный носитель должен обеспечивать (п. 4 требований № 512):
• защиту от несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы;
• возможность доступа к записанным на материальный носитель данным оператору и лицам, уполномоченным в соответствии с законодательством РФ на работу с ними;
• возможность идентификации информационной системы, в которую была осуществлена запись биометрических данных, а также оператора, осуществившего такую запись;
• невозможность несанкционированного доступа к биометрическим данным, содержащимся на материальном носителе.

Как правило, тип материального носителя компания вправе выбрать сама (п. 7 требований № 512). Это может быть, например, внешний накопитель данных (внешний жесткий диск, карта памяти, внешний SSD-накопитель, USB-накопитель). При этом необходимо вести учет количества таких материальных носителей и присваивать каждому носителю свой уникальный идентификационный номер, который позволяет точно определить оператора, осуществившего запись биометрических персональных данных на материальный носитель (п. 8 требований № 512).

Технологии хранения биометрических персональных данных должны обеспечивать, в частности, применение средств электронной подписи (пп. «б» п. 9 требований № 512).
При хранении биометрических персональных данных вне информационных систем персональных данных следует обеспечить регистрацию фактов несанкционированной повторной и дополнительной записи информации после ее извлечения из такой системы (п. 11 требований № 512).