Вот вчера в российских СМИ прошла инфа о том, что "Правительство России расширило состав сведений, размещаемых в единой биометрической системе", что должно было бы как-то насторожить публику и задаться вопросом о прежнем составе этих сведений и о новых данных, которые якобы только что внесены в этот состав.
Для подавляющего большинства очевидно, что в состав биометрических данных должна входить биометрия лица гражданина, ибо для всех привычно предоставлять свое фото везде и всюду, где потребуется, а чаще всего паспортное фото требуется. Правда биометрия лица это не совсем фото, но эту биометрию все равно получают с помощью фото-видеокамеры с получением изображения лица в электронной (цифровой форме) и его последующей программной обработки. А еще биометрию лица много труднее подделать или подменить, чем обычное фото.
Многие вспомнят еще и отпечатки пальцев, что прежде снимали у лиц, попавших в криминальную историю. Продвинутые пользователи гаджетов, особо мобильных устройств, пользуются биометрией отпечатка пальца, чтобы разблокировать свое устройство. Некоторые, возможно, сталкивались с предоставлением биометрии сетчатки своего личного глаза. Некоторые успели в банках сняться лицом на камеру и наговорить своим голосом в микрофон, предоставив банку биометрию своего лица и голоса. Я так один раз сфоткался по просьбе девушки - администратора зала, когда зашел в отделение своего банка по каким-то делам - ничего не подписывал, а тупо уставился в камеру, не предполагая какой-либо подвох со стороны молодой и симпатичной девицы. А теперь, прочитав очередную новость про биометрические персональные данные в России, решил покопаться в этом вопросе, ибо цифровизация наступает все быстрее и сильнее и надо с этим как-то жить.
Так вот, в 2018 году Правительством России утвержден состав сведений, которые размещаются в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина РФ.
Не уверен, что широкой публике, как и мне, известен состав этих сведений, а тем более то, что в России уже давно существует единая информационная система персональных данных, которая взаимодействует другими информационными системами, в частности, такими как, единая биометрическая система (ЕБС)и единая система идентификации и аутентификации (ЕСИА). Однако, не мало систем накрутили вокруг биометрических данных всяких, переплетающихся друг с другом невидимым образом. Такая ситуация в народе описывается выражением, типа, "ты видишь суслика? - а он есть".
Итак изначально в единой информационной системе персональных данных в соответствии с Постановлением Правительства Российской Федерации от 30.06.2018 № 772 должны размещаться следующие сведения:
а) биометрические персональные данные физического лица - гражданина Российской Федерации следующих видов:
данные изображения лица человека, полученные с помощью фото- видео устройств;
данные голоса человека, полученные с помощью звукозаписывающих устройств;
б) идентификатор сведений в соответствующем регистре юридических лиц или регистре органов и организаций федеральной государственной информационной системы "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме" (далее - единая система идентификации и аутентификации) государственного органа, банка, иной организации в случаях, определенных федеральными законами, разместивших в электронной форме в единой биометрической системе биометрические персональные данные гражданина Российской Федерации (далее - уполномоченные организации), - основной государственный регистрационный номер записи о создании юридического лица;
в) идентификатор сведений об уполномоченном сотруднике уполномоченной организации в регистре органов и организаций единой системы идентификации и аутентификации, разместившего в электронной форме в единой биометрической системе биометрические персональные данные гражданина Российской Федерации, - страховой номер индивидуального лицевого счета застрахованного лица в системе персонифицированного учета Пенсионного фонда Российской Федерации;
г) идентификатор сведений о физическом лице в регистре физических лиц единой системы идентификации и аутентификации, биометрические персональные данные которого размещаются в единой биометрической системе, - идентификатор учетной записи в единой системе идентификации и аутентификации;
д) контактные данные физического лица (номер абонентского устройства подвижной радиотелефонной связи, адрес электронной почты)
Из этого состава сведений важен идентификатор сведений о физическом лице , входящий в регистр физических лиц единой системы идентификации и аутентификации, где каждому гражданину как бы присваивается уникальный идентификатор учетной записи в единой системе идентификации и аутентификации (он во всех упомянутых выше информационных системах должен быть задействован). Этот идентификатор учетной записи, например, привязан к аккаунту пользователя сервиса Госуслуг, а таковых уже более 80 миллионов, хотя биометрия пока не используется в этом сервисе.
Кстати сказать, пункт д) контактные данные физического лица (номер абонентского устройства подвижной радиотелефонной связи, адрес электронной почты) был введен в Постановлении Правительства Российской Федерации от 13.09.2019 № 1197 "О внесении изменения в состав сведений, размещаемых в единой информационной системе персональных данных...". Это нововведение 2019 года не очень понятно, ибо человек может сменить номер своего мобильного и адрес электронной почты, не предполагая, что надо как-то ввести и изменения в единую информационной систему персональных данных, - может это должны делать какие-то уполномоченные органы, типа регулярно отслеживать, что изменилось (и кто изменил - может злоумышленник) в составе персональных данных каждого гражданина?
Однако, наиболее интересная ситуация сложилась с биометрическими персональными данными. Как разобраться обычному гражданину с тем, кто, как, когда имеет право собирать, хранить, обрабатывать биометрию граждан России, на каком основании, как должно быть оформлено согласие гражданина предоставить свою биометрию, так сказать? Ответ очевиден - никак не разобраться, ибо и не все юристы спецы в законодательстве о персональных данных, тем более, в части методов и средств автоматизированных систем сбора персональных данных и тем более в устройстве и функционировании современных информационных систем.
Наиболее четко организованы и защищены государственные информационные системы (ГИС) - сбор, обработка, хранение данных в этих системах регламентируются законами России (Федеральными законами - для федеральных систем или законодательными актами субъектов и муниципалитетов - для ГИС муниципального уровня). Федеральных ГИС уже более 800, а сколько муниципальных мало кто знает, ибо четкое определение ГИС в законодательстве трудно найти (там часто указаны лишь косвенные критерии отнесения информационной системы к категории государственных). Кстати, упомянутый сервис Госуслуг является федеральной ГИС - Единый портал Государственных услуг (ЕПГУ).
Оказалось, что единая биометрическая система не является федеральной государственной информационной - это не ГИС, а иная информационная система, созданная на основании приказа Минсвязи, может каких-то постановлений Правительства РФ. Оператором этой системы назначен Ростелеком.
А вот система единой системы идентификации и аутентификации (ЕСИА) - есть федеральная государственная информационная система «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме». Эта система является ГИС, созданная приказом Минкомсвязи России от 13 апреля 2012 г. № 107.
Поскольку единая биометрическая система (ЕБС) не является ГИС, то оператор этой ситемы Ростелеком для информирования и привлечения граждан к добровольному предоставлению своей биометрии и внесении ее в ЕБС создал (простенько и со вкусом, так сказать) отдельный сайт, где обычные граждане получат информацию о том, как просто и быстро (не заморачиваясь со статусом системы ЕБС) можно свои биометрические данные создать (в системе ЕБС), чтобы затем получить удаленный доступ к банковским и другим услугам на основе предоставления своей биометрии через мобильные устройства в онлайне.
Однако, на этом сайте вы не найдете ничего об ответственности уполномоченных лиц за соблюдение ФЗ "О персональных данных" в отношении ваших персональных биометрических данных. Там даже нет указания на то, что получение такого рода данных требуют письменного согласия гражданина и форма этого согласия строго определена Правительством РФ (Распоряжение Правительства РФ от 30 июня 2018 г. № 1322-р Об утверждении формы согласия на обработку персональных данных, необходимых для регистрации гражданина РФ в единой системе идентификации и аутентификации...).
Единая биометрическая система (ЕБС) представляет собой платформу для дистанционной идентификации граждан России. Она начала функционировать в июле 2018 года как совместный проект Ростелекома и Центробанка, который обязал собирать биометрические данные финансово-кредитные организации (сейчас охвачено уже 228 банков). С 1 января 2021 года к ЕБС подключили страховые компании. На начало 2021 года в ЕБС были представлены данные уже 164 000 граждан России. В конечном итоге ЕБС должна получить статус государственной информационной системы (ГИС). Тогда в России появится реестр государственных и коммерческих организаций, которые получат доступ к ЕБС. Вести реестр будет Ростелеком.
Так о чем вчера возвестили некоторые российские СМИ, предупреждая публику о внесении изменений в состав сведений в ЕБС? Речь идет о Постановлении Правительства РФ от 16 августа 2021 г. № 1345 “О внесении изменений в постановление Правительства Российской Федерации от 30 июня 2018 г. N 772”. Замечу, что речь идет о внесении изменений в состав сведений в единой информационной системе персональных данных, а не в ЕБС, как пишут в СМИ.
В этом Постановлении сказано, что в единую информационную систему персональных данных можно вносить биометрические данные не только граждан РФ, а вообще физических лиц (может начнется сбор биометртии некоторых категорий лиц на территории РФ - гатербайтеров?). Дополнительно в этой системе могут теперь размещаться: информация об органах и организациях, разместивших данные; информация о способе сбора биометрических персональных данных; дата рождения и сведения о гражданстве лица, чьи биометрические персональные данные размещаются в системе. В частности, приведенные выше пункты а)-д) состава сведений дополняются пунктами:
е) информация об органах и организациях, разместивших сведения в единой биометрической системе:
идентификатор сведений в соответствующем регистре органов и организаций единой системы идентификации и аутентификации органа и организации, разместивших в единой биометрической системе биометрические персональные данные физического лица, - полное наименование и организационно-правовая форма;
идентификатор сведений в соответствующем регистре юридических лиц единой системы идентификации и аутентификации юридического лица, разместившего в единой биометрической системе биометрические персональные данные физического лица, - полное наименование и организационно-правовая форма юридического лица;
ж) информация о способе сбора биометрических персональных данных в единую биометрическую систему:
в многофункциональном центре предоставления государственных и муниципальных услуг в целях размещения биометрических персональных данных в соответствии с пунктом 73 части 1 статьи 16 Федерального закона "Об организации предоставления государственных и муниципальных услуг";
в банке в целях размещения биометрических персональных данных в соответствии с пунктом 56 статьи 7 Федерального закона "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма";
в организации финансового рынка, иной организации в целях размещения биометрических персональных данных в соответствии с частью 1823 статьи 141 Федерального закона "Об информации, информационных технологиях и о защите информации
Внесение сведений о способе сбора биометрических данных в МФЦ , возможно, связано с установкой в МФЦ стандартизированного специального оборудования, снабженного средствами для снятия биометрии граждан, - это так называемые криптокабины. Данные комплексы оснащены системой цифровых фотокамер, бестеневого освещения, сканерами отпечатков пальцев и документов, считывателем штрихкода, устройством, сочетающим сканер машиночитаемой зоны паспорта (MRZ-строки) и считыватель микросхем паспортов нового поколения. Эти криптокабины уже используются при оформлении загранпаспортов с биометрией граждан. Кроме того, их вскоре задействуют для добровольного получения гражданами РФ электронных паспортов взамен действующих бумажных паспортов гражданина РФ.
Стоит заметить, что в этих кабинах нет оборудования для снятия биометрии голоса, но есть оборудование для снятия отпечатков пальцев. Однако, отпечатки пальцев не входят в состав биометрических данных, разрешенных для размещения в системе ЕБС - стоит ожидать внесения очередного Постановления Правительства РФ о внесении изменений в составе сведений ЕБС?
Ссылки на источники информации, использованные в статье в моем комментарии к статье.
Ставьте палец вверх, уважаемые читатели, кому статья оказалась интересной и полезной, и подписывайтесь на мой канал заодно.