Порядок обработки параметров биометрических персональных данных в целях идентификации

Приказом Минкомсвязи России от 25 июня 2018 года № 321 утверждены:

• Порядок обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации;


• Порядок размещения и обновления биометрических ПДн в единой биометрической системе;


• Требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических ПДн в целях проведения идентификации.

Обработка, включая сбор и хранение, параметров биометрических ПДн в целях идентификации осуществляется с применением информационных технологий и технических средств, имеющих подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (п.2).

Осуществляется обработка параметров биометрических ПДн физического лица - гражданина РФ следующих видов (п.4):

• Данные изображения лица;


• Данные голоса.

Для обработки применяются информационные технологии и технические средства, имеющие подтверждение соответствия требованиям к информационным технологиям и техническим средствам, предназначенным для обработки биометрических ПДн в целях проведения идентификации (п.5).

В целях обеспечения подтверждения соответствия государственный орган, банк, иная организация направляет в Министерство цифрового развития, связи и массовых коммуникаций РФ следующие сведения, документы либо их заверенные копии:

• Документы, подтверждающие право собственности либо иное законное основание использования информационных технологий и технических средств, предназначенных для обработки изображения лица и данных голоса;


• Наименование, модель и тип технических средств, предназначенных для обработки изображения лица и данных голоса, а также эксплуатационные документы на указанные технические средства;


• Сведения о приведенном фокусном расстоянии, применяемом для регистрации изображения лица, содержащиеся в технической документации на техническое средство (предоставляются органами и организациями, осуществляющими размещение в единой биометрической системе биометрических ПДн субъекта).

Подтверждение соответствия осуществляется уполномоченным органом в течение 30 дней с даты получения документов и сведений.

Сбор параметров биометрических ПДн производится при личном присутствии гражданина уполномоченным сотрудником органа или организации с целью создания биометрического контрольного шаблона. Хранение шаблона осуществляется в единой информационной системе ПДн, которая обеспечивает обработку, включая сбор и хранение биометрических ПДн, их проверку и передачу информации о степени их соответствия предоставленным биометрическим ПДн  гражданина РФ (п.6).

Биометрические контрольные шаблоны используются в процессе проведения идентификации гражданина РФ с использованием информационных технологий.

Уполномоченный сотрудник органа и организации при сборе параметров биометрических ПДн подписывает их простой электронной подписью.

Органы и организации обязаны принимать организационно-распорядительные меры, предусматривающие (п.7):

• Определение уполномоченных сотрудников, осуществляющих сбор параметров биометрических ПДн и выдачу им ключей простой электронной подписи;


• Использование уполномоченными сотрудниками в качестве ключа простой электронной подписи идентификатора, которым является страховой номер индивидуального лицевого счета сотрудника, пароля ключа и иной аутентифицирующей информации (не являющейся паролем), уникальных для каждого сотрудника;


• Защищенное хранение выданных уполномоченным сотрудникам ключей простой электронной подписи, обеспечивающее их конфиденциальность и исключающее несанкционированное изменение, добавление и удаление;


• Сохранение идентификатора уполномоченного сотрудника, осуществляющего сбор параметров биометрических ПДн и результата его аутентификации в составе данных, содержащих биометрические персональные данные.

Уполномоченные сотрудники обязаны соблюдать конфиденциальность выданных им паролей ключа простой электронной подписи и аутентифицирующей информации (не являющейся паролем). Сотрудники, осуществляющие создание, выдачу и хранение ключей простой электронной подписи, обязаны соблюдать конфиденциальность ключей простой электронной подписи, к которым имеют доступ (п.8).

Дополнительно банки должны обеспечивать (п.9):

• Информирование Банка России о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при обработке, включая сбор и хранение, параметров биометрических ПДн, которые привели или могут привести к нарушению или попыткам нарушения целостности, конфиденциальности и (или) доступности защищаемой информации.


• Информирование Банка России о выявленных инцидентах безопасности не позднее одного рабочего дня с момента их выявления.


• Ежегодное проведение оценки соответствия требований по защите информации с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.

Обработка параметров биометрических ПДн гражданина РФ осуществляется после проведения его идентификации при его личном присутствии (п.10).

В случае отзыва согласия на обработку ПДн, использование биометрических персональных данных гражданина в целях проведения идентификации не осуществляется.

Мой комментарий: Вообще-то после отзыва согласия на обработку персональные данные гражданина должны быть уничтожены, но об этом не сказано ни слова.

В процессе обработки параметров биометрических ПДн создаются биометрические образцы данных изображения лица субъекта (БО изображения лица) и биометрические образцы данных голоса (БО записи голоса) (п.11).

В порядке определены требования к БО изображения лица (п.12) и БО записи голоса (п.13).  Собранные образцы в автоматизированном режиме проверяются в информационных системах органов и организаций, на соответствие требованиям этим требованиям (п.14).

После прохождения контроля качества образцы, содержащие, в том числе, метку даты, времени и места, передаются органами и организациями в единую биометрическую систему с использованием единой системы межведомственного электронного взаимодействия.

В единой биометрической системе переданные образцы также проходят контроль качества с использованием программного обеспечения (п.16).

Хранение биометрических ПДн, размещенных в единой биометрической системе, в целях идентификации осуществляется в соответствии со статьей 19 Федерального закона № 152-ФЗ в течение не менее чем 50 лет с момента их размещения в системе (п.17).

Биометрические ПДн, собранные в соответствии с настоящим Порядком, размещенные в единой биометрической системе, а также обрабатываемые в информационных системах органов и организаций, используются в целях идентификации не более 3 лет с даты сбора. По истечении этого срока использование их в целях идентификации не допускается.

Мой комментарий: Хочу задать наивный вопрос: как Вы думаете, зачем 50 лет хранить биометрические образцы, если при этом их нельзя будет уже через три года использовать для идентификации? :)

Во всяком случае, можно поздравить оператора единой биометрической системы - ему нужно будет целую вечность (в электронном мире 50 лет – это больше, чем вечность) обеспечивать сохранность электронной биометрической информации, которая к тому же будет подписана усиленными электронными подписями юридических лиц. Интересно, будет ли поддерживаться возможность перепроверки УКЭП на протяжении всего срока хранения, или же будут найдены более практичные решения?

Источник: Консультант Плюс
http://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=302133