Правительство РФ приняло новое постановление об аккредитации лиц, использующих Единую биометрическую систему (ЕБС) для аутентификации физических лиц. Постановление № 670 от 28.04.2023 года приняли взамен утратившего силу № 1498 от 26.08.2022 г.
Несмотря на то, что документ вступил в силу 1 июня 2023 года, уже ведется работа по подготовке дополнений и изменений.
Основные изменения в части работы с ЕБС и биометрическими персональными данными
В постановлении регламентирован перечень требований к операторам и владельцам ИС (информационных систем), которые обеспечивают аутентификацию физ.лиц. В список основных требований вошли следующие:
- в штатном расписании должно быть предусмотрено 2 и более сотрудника, которые будут заниматься эксплуатацией ИС, обеспечивающих аутентификацию;
- для аутентификации разрешено использовать только то ПО, которое включено в соответствующий единый реестр;
- для обработки биометрических персональных данных допускается использовать только те векторы ЕБС, которые находятся на территории РФ;
- взаимодействие с ГосСОПКА – обязательно;
Также Постановлением закреплена обязанность владельцев и операторов ИС:
- владеть средствами шифрования;
- иметь лицензию на деятельность, связанную с шифровальными средствами и средствами криптографии (разработка, производство, распространение).
Постановлением Правительства № 810 от 22.05.2023 г. утверждены Правила, в соответствии с которыми владельцы и операторы ИС, обеспечивающих аутентификацию физ.лиц, будут проходить аккредитацию.
В том числе Правилами определены:
- порядок подачи заявления на аккредитацию;
- содержание этого заявления;
- порядок рассмотрения заявления;
- сроки прохождения процедур по аккредитации;
- основания для приостановления действия аккредитации и его прекращения;
- порядок внесения изменений в списки органов, прошедших аккредитацию;
- порядок обжалования решений уполномоченных органов.
Согласно Правил уполномоченным органом, осуществляющим аккредитацию, является Минцифры РФ.
При подаче заявления на аккредитацию заявитель должен подтвердить свое соответствие требованиям Правил, в том числе:
- наличие минимального размера собственного капитала (500 миллионов рублей);
- наличие финансового обеспечения ответственности (минимум 100 миллионов рублей);
- права на аппаратные средства шифрования (криптографии);
- соответствие требованиям к деловой репутации, которые утверждены Приказом Минцифры № 387 от 20.04.2023 г. В частности, единый исполнительный и/или учредитель/участник, имеющий 10% акций/долей уставного капитала не должен иметь непогашенных судимостей, не должен совершать административные правонарушения в течение минимум 1 года до даты подачи, быть привлеченным к ответственности за правонарушения в сферах, связанных с обработкой ПДн и/или неоднократными правонарушениями при банкротстве.
Аккредитация действует бессрочно, но может быть приостановлена или аннулирована.
Новое Постановление и Правила аккредитации будут действовать до 01.06.2029 года.
Как изменился порядок размещения биометрических ПДн в ЕБС через мобильное приложение
Правила, в соответствии с которыми физические лица размещали свои биометрические ПДн в ЕБС через мобильное приложение этой системы ранее были установлены постановлением Правительства № 1066 от 15.06.2022 г. В новой редакции эти правила были утверждены постановлением Правительства № 851 от 29.05.2023 г.
Актуальная редакция позволяет разместить биометрические ПДн в ЕБС:
- при наличии учетной записи в ЕБС с прохождением аутентификации;
- с использованием идентификационной информации из иных ИС. В предыдущей редакции такой возможности не было.
В некоторых ситуациях допускается размещать ПДн, не используя заграничный паспорт.
Также документ определяет порядок размещения биометрических ПДн в региональном сегменте системы. При этом пользователь должен использовать региональное мобильное приложение.
Полный перечень случаев и сроков использования биометрических ПДн определяется постановлением Правительства № 815 от 25.05.2023 г.
В частности, биометрические ПДн могут использоваться в течение 3 лет с даты размещения. Их обновление должно осуществляться либо по истечении этого срока, либо ранее – по инициативе самого физ.лица. Этот порядок установлен Постановлением
Когда не допускается аутентификация на основе биометрических ПДн физ.лиц
Осуществлять аутентификацию физ.лица на основе биометрии разрешено не всегда. Перечень случаев-исключений утвержден постановлением Правительства РФ № 815 от 25.05.2023 г. В него вошли следующие случаи:
- проведение вступительных экзаменов, промежуточных и итоговых аттестаций в учебных заведениях;
- оказание медицинской помощи, в том числе получение добровольного информированного согласия или отказа от вмешательства, проведение медосмотров и отпуск лекарств;
- оказание государственных и муниципальных услуг и осуществление функций органами государственного и местного управления.
Также Постановлением определен перечень случаев, когда можно использовать биометрические ПДн, если физ.лицо подписало согласие на их обработку простой электронной подписью. В этот список вошли:
- безналичные расчеты на сумму до 5 тысяч рублей с НДС;
- обслуживание клиентов при личном присутствии, если ранее клиент проходил процедуру идентификации в установленном порядке, для организаций финансовой сферы;
- взаимодействие при помощи телефонной связи через контакт-центр;
- проход через КПП на объекты транспортной инфраструктуры, за исключением субъектов КИИ и случаев аутентификации с использованием региональной ЕБС;
- проход через КПП на территории организаций (перечень исключений также обозначен в Постановлении);
- вручение простых почтовых отправлений ценностью до 2500 рублей.
Сколько стоит использование ЕБС
Конкретной фиксированной ставки за пользование ЕБС нет. Однако методика расчета платы за ее использование уже установлена Приказом Минцифры № 334 от 31.03.2023 г.
Методика предусматривает несколько вариантов расчета платы:
- за одно предоставление информации (единичный запрос);
- за 1 календарный день;
- единовременная за 1 календарный месяц;
- ежегодная плата.
Тариф дифференцированный, рассчитывается путем умножения базовой ставки (30 рублей) на ряд коэффициентов, в том числе отраслевой и региональный. Формула вычисления зависит от количества успешных сравнений за отчетный период.
Этот документ также действует в период 01.06.2023 - 01.06.2029 гг.
Угрозы при работе с биометрическими ПДн
Какие угрозы безопасности актуальны при работе с биометрическими ПДн и взаимодействии ИС с ЕБС? Их перечень утвержден Приказами Минцифры № 445 от 05.05.2023 г. и № 446 от 05.05.2023 г. В число основных вошли угрозы нарушения:
- целостности биометрических ПДн (подмена, удаление);
- конфиденциальности биометрических ПДн (компрометация);
- достоверности биометрических ПДн (в том числе внесение фиктивных, ложных сведений). Методика проверки соответствия данных биометрии определена приказом Минцифры от 17.04.2023 № 378.
Данные угрозы могут реализоваться при сборе, обработке и передаче ПДн, в том числе в результате умышленных целенаправленных действий.
Об ответственности за незаконное размещение биометрических данных
Новое Постановление не определяет порядок привлечения к ответственности за факты незаконного размещения биометрической информации. Однако это не означает, что таковая не будет предусмотрена другими законодательными актами. В настоящее время на рассмотрении в Государственной думе РФ находится законопроект о внесении изменений в Кодекс об административных правонарушениях, в том числе в ст.13.11.
Документ устанавливает административную ответственность за такие нарушения, как:
- обработка персональных данных без согласия субъекта ПД;
- размещение биометрических ПД субъекта в ЕБС с нарушением требований действующего законодательства РФ.
Уже предусмотренная НПА ответственность за подобные нарушения в случае принятия законопроекта будет усилена. Речь идет как о первичных, так и о повторных нарушениях.
В частности, законопроектом предусмотрены следующие штрафы за первичное нарушение:
- для должностных лиц – 100-300 тысяч рублей (в действующей редакции – 20-40 тысяч рублей);
- для юридических лиц – 300-700 тысяч рублей (в действующей редакции 30-155 тысяч рублей).
За повторное нарушение максимальный размер штрафов вырастет с 500 тысяч до 1,5 миллионов рублей.
