
Правительство РФ приняло новое постановление об аккредитации лиц, использующих Единую биометрическую систему (ЕБС) для аутентификации физических лиц. Постановление № 670 от 28.04.2023 года приняли взамен утратившего силу № 1498 от 26.08.2022 г.
Несмотря на то, что документ вступил в силу 1 июня 2023 года, уже ведется работа по подготовке дополнений
и изменений.
Основные изменения в части работы с ЕБС
и биометрическими персональными данными
В постановлении регламентирован перечень требований к операторам и владельцам ИС (информационных систем), которые обеспечивают аутентификацию физ.лиц.
В список основных требований вошли следующие:
-
- в штатном расписании должно быть предусмотрено 2 и более сотрудника, которые будут заниматься эксплуатацией ИС, обеспечивающих аутентификацию
- для аутентификации разрешено использовать только то ПО, которое включено в соответствующий единый реестр
- для обработки биометрических персональных данных допускается использовать только те векторы ЕБС, которые находятся на территории РФ
- взаимодействие с ГосСОПКА – обязательно
- выполнять требования 152-ФЗ (в том числе ч.4 ст.19) – обязательно
Также Постановлением закреплена обязанность владельцев и операторов ИС:
-
- владеть средствами шифрования
- иметь лицензию на деятельность, связанную с шифровальными средствами и средствами криптографии (разработка, производство, распространение)
Постановлением Правительства № 810 от 22.05.2023 г. утверждены Правила, в соответствии с которыми владельцы
и операторы ИС, обеспечивающих аутентификацию физ.лиц, будут проходить аккредитацию.
В том числе Правилами определены:
-
- порядок подачи заявления на аккредитацию
- содержание этого заявления
- порядок рассмотрения заявления
- сроки прохождения процедур по аккредитации
- основания для приостановления действия аккредитации и его прекращения
- порядок внесения изменений в списки органов, прошедших аккредитацию
- порядок обжалования решений уполномоченных органов
Согласно Правил уполномоченным органом, осуществляющим аккредитацию, является Минцифры РФ.
При подаче заявления на аккредитацию заявитель должен подтвердить свое соответствие требованиям Правил, в том числе:
-
- наличие минимального размера собственного капитала (500 миллионов рублей)
- наличие финансового обеспечения ответственности (минимум 100 миллионов рублей)
- права на аппаратные средства шифрования (криптографии)
- соответствие требованиям к деловой репутации, которые утверждены Приказом Минцифры № 387 от 20.04.2023 г.
В частности, единый исполнительный и/или учредитель/участник, имеющий 10% акций/долей уставного капитала не должен иметь непогашенных судимостей, не должен совершать административные правонарушения в течение минимум 1 года до даты подачи, быть привлеченным к ответственности за правонарушения в сферах, связанных с обработкой ПДн и/или неоднократными правонарушениями при банкротстве.
Аккредитация действует бессрочно, но может быть приостановлена или аннулирована.
Новое Постановление и Правила аккредитации будут действовать до 01.06.2029 года.
Как изменился порядок размещения биометрических ПДн в ЕБС через мобильное приложение
Правила, в соответствии с которыми физические лица размещали свои биометрические ПДн в ЕБС через мобильное приложение этой системы ранее были установлены постановлением Правительства № 1066 от 15.06.2022 г. В новой редакции эти правила были утверждены постановлением Правительства № 851 от 29.05.2023 г.
Актуальная редакция позволяет разместить биометрические ПДн в ЕБС:
-
- при наличии учетной записи в ЕБС с прохождением аутентификации
- с использованием идентификационной информации из иных ИС
В предыдущей редакции такой возможности не было.
В некоторых ситуациях допускается размещать ПДн, не используя заграничный паспорт.
Также документ определяет порядок размещения биометрических ПДн в региональном сегменте системы.
При этом пользователь должен использовать региональное мобильное приложение.
Полный перечень случаев и сроков использования биометрических ПДн определяется постановлением Правительства № 815 от 25.05.2023 г.
В частности, биометрические ПДн могут использоваться в течение 3 лет с даты размещения. Их обновление должно осуществляться либо по истечении этого срока, либо ранее – по инициативе самого физ.лица.
Этот порядок установлен Постановлением.
Когда не допускается аутентификация на основе биометрических ПДн физ.лиц
Осуществлять аутентификацию физ.лица на основе биометрии разрешено не всегда. Перечень случаев-исключений утвержден постановлением Правительства РФ № 815 от 25.05.2023 г.
В него вошли следующие случаи:
-
- проведение вступительных экзаменов, промежуточных и итоговых аттестаций в учебных заведениях
- оказание медицинской помощи, в том числе получение добровольного информированного согласия или отказа от вмешательства, проведение медосмотров и отпуск лекарств
- оказание государственных и муниципальных услуг и осуществление функций органами государственного и местного управления
Также Постановлением определен перечень случаев, когда можно использовать биометрические ПДн, если физ.лицо подписало согласие на их обработку простой электронной подписью.
В этот список вошли:
-
- безналичные расчеты на сумму до 5 тысяч рублей с НДС
- обслуживание клиентов при личном присутствии, если ранее клиент проходил процедуру идентификации в установленном порядке, для организаций финансовой сферы
- взаимодействие при помощи телефонной связи через контакт-центр
- проход через КПП на объекты транспортной инфраструктуры, за исключением субъектов КИИ
и случаев аутентификации с использованием региональной ЕБС - проход через КПП на территории организаций (перечень исключений также обозначен
в Постановлении) - вручение простых почтовых отправлений ценностью до 2500 рублей
Сколько стоит использование ЕБС
Конкретной фиксированной ставки за пользование ЕБС нет. Однако методика расчета платы за ее использование уже установлена Приказом Минцифры № 334 от 31.03.2023 г.
Методика предусматривает несколько вариантов расчета платы:
-
- за одно предоставление информации (единичный запрос)
- за 1 календарный день
- единовременная за 1 календарный месяц
- ежегодная плата
Тариф дифференцированный, рассчитывается путем умножения базовой ставки (30 рублей) на ряд коэффициентов, в том числе отраслевой и региональный. Формула вычисления зависит от количества успешных сравнений за отчетный период. Этот документ также действует в период 01.06.2023 — 01.06.2029 гг.
Угрозы при работе с биометрическими ПДн
Какие угрозы безопасности актуальны при работе с биометрическими ПДн и взаимодействии ИС с ЕБС?
Их перечень утвержден Приказами Минцифры № 445 от 05.05.2023 г. и № 446 от 05.05.2023 г.
В число основных вошли угрозы нарушения:
-
- целостности биометрических ПДн (подмена, удаление)
- конфиденциальности биометрических ПДн (компрометация)
- достоверности биометрических ПДн (в том числе внесение фиктивных, ложных сведений)
Методика проверки соответствия данных биометрии определена приказом Минцифры от 17.04.2023 № 378.
Данные угрозы могут реализоваться при сборе, обработке и передаче ПДн, в том числе в результате умышленных целенаправленных действий.
Об ответственности за незаконное размещение биометрических данных
Новое Постановление не определяет порядок привлечения к ответственности за факты незаконного размещения биометрической информации. Однако это не означает, что таковая не будет предусмотрена другими законодательными актами. В настоящее время на рассмотрении в Государственной думе РФ находится законопроект о внесении изменений в Кодекс об административных правонарушениях, в том числе в ст.13.11.
Документ устанавливает административную ответственность за такие нарушения, как:
-
- обработка персональных данных без согласия субъекта ПД
- размещение биометрических ПД субъекта в ЕБС с нарушением требований действующего законодательства РФ
Уже предусмотренная НПА ответственность за подобные нарушения в случае принятия законопроекта будет усилена. Речь идет как о первичных, так и о повторных нарушениях.
В частности, законопроектом предусмотрены следующие штрафы за первичное нарушение:
-
- для должностных лиц – 100-300 тысяч рублей (в действующей редакции – 20-40 тысяч рублей)
- для юридических лиц – 300-700 тысяч рублей (в действующей редакции 30-155 тысяч рублей)
За повторное нарушение максимальный размер штрафов вырастет с 500 тысяч до 1,5 миллионов рублей.