Как проводятся идентификация и аутентификация с помощью единой биометрической системы

Единая биометрическая система (ЕБС) - это государственная информационная система, которая позволяет распознать человека по данным изображения его лица и (или) голоса.

ЕБС применяется как для очной идентификации и (или) аутентификации лица (например, при проходе на территории организаций с использованием информационных систем контрольно-пропускных пунктов), так и для дистанционной (в частности, при дистанционных медосмотрах работников).

При идентификации и (или) аутентификации с использованием ЕБС необходимо соблюдать определенные правила, например: применять меры по обеспечению безопасности персональных данных, использовать определенные шифровальные (криптографические) средства.

1. Что такое единая биометрическая система и для чего она используется

Единая биометрическая система (ЕБС) - это государственная информационная система, которая позволяет идентифицировать, аутентифицировать физлицо по его биометрическим персональным данным (по лицу и (или) голосу) (п. 4 ст. 2, ч. 9 ст. 26 Федерального закона от 29.12.2022 № 572-ФЗ, п. "а" Состава сведений, утв. постановлением Правительства РФ от 30.06.2018 № 772, п. 1 постановления Правительства РФ от 01.04.2024 № 408).

Простыми словами, идентификация - это определение личности физлица, а аутентификация - проверка его подлинности. Подробнее об этих процедурах см. в разд. 2 и 3 настоящей статьи.

Действия по идентификации и (или) аутентификации физлица с использованием ЕБС (кроме ее региональных сегментов) и ЕСИА приравниваются к действиям по предъявлению документов, удостоверяющих личность. Исключение - случаи, когда по закону требуется предъявить оригинал такого документа (ч. 1 ст. 11 Федерального закона от 29.12.2022 № 572-ФЗ).

Оператором ЕБС является АО "Центр Биометрических Технологий" (п. 1 постановления Правительства РФ от 21.06.2024 № 834). Положение о ЕБС утверждено постановлением Правительства РФ от 31.05.2023 № 883.

ЕБС применяется как для очной идентификации и (или) аутентификации лица (например, при проходе на территории организаций с использованием информационных систем контрольно-пропускных пунктов), так и для дистанционной (в частности, при дистанционных медосмотрах работников) (ч. 1 ст. 13 Федерального закона от 29.12.2022 № 572-ФЗ, п. 10 Особенностей проведения медосмотров с использованием специальных медизделий, утв. постановлением Правительства РФ от 30.05.2023 № 866).

Пользование ЕБС является платным (кроме случаев, когда ее используют госорганы, органы местного самоуправления, Банк России). Размер платы по общему правилу определяется в договоре с оператором ЕБС по установленной Методике (ч. 1, 4 ст. 12 Федерального закона от 29.12.2022 № 572-ФЗ).

Учтите, предоставлять свои биометрические персональные данные в целях, предусмотренных Федерального закона от 29.12.2022 № 572-ФЗ, - это право физлиц, а не обязанность. Есть исключение (ч. 11, 19.1 ст. 3 Федерального закона от 29.12.2022 № 572-ФЗ).

Запрещено обусловливать оказание предоставляемых услуг, выполнение государственных, муниципальных функций, продажу товаров, выполнение работ, а также их объем (количество) обязательным прохождением идентификации и (или) аутентификации с применением биометрических персональных данных. Если физлицо не соглашается их пройти, ему не могут отказать в предоставлении услуги, выполнении государственных, муниципальных функций, продаже товаров, выполнении работ или приеме на обслуживание. За отказ в услуге введена административная ответственность (ч. 12, 13 ст. 3 Федерального закона от 29.12.2022 № 572-ФЗЗ, ч. 2.1 ст. 5.63, ч. 8 ст. 14.8 КоАП РФ).

В составе ЕБС могут быть образованы региональные сегменты (ч. 1 ст. 5 Федерального закона от 29.12.2022 № 572-ФЗ). В данном материале особенности их использования не рассматриваются.

По общему правилу обработка биометрических персональных данных вне ЕБС запрещена (ч. 1 ст. 15 Федерального закона от 29.12.2022 № 572-ФЗ).

Что такое ЕСИА

Единая система идентификации и аутентификации (ЕСИА) - это федеральная государственная информационная система, обеспечивающая санкционированный доступ к информации, которая содержится в государственных, муниципальных и иных информационных системах (п. 5 ст. 2 Федерального закона от 29.12.2022 № 572-ФЗ, ч. 1 ст. 13 Федерального закона от 27.07.2006 № 149-ФЗ).

Оператором ЕСИА является Минцифры России (п. 2 постановления Правительства РФ от 28.11.2011 № 977).

ЕСИА может использоваться в том числе для предоставления по запросу госорганов, органов местного самоуправления, Банка России, банков, иных кредитных организаций, некредитных финансовых организаций, которые осуществляют указанные в ч. 1 ст. 76.1 Федерального закона от 10.07.2002 № 86-ФЗ виды деятельности, субъектов национальной платежной системы, лиц, оказывающих профессиональные услуги на финансовом рынке, иных организаций, ИП и нотариусов в установленных случаях, сведений, размещенных в этой системе, о физическом лице, для идентификации и (или) аутентификации физлица в соответствии со ст. ст. 9 и 10 Федерального закона от 29.12.2022 № 572-ФЗ (пп. "з" п. 3, п. 20 Правил, утв. постановлением Правительства РФ от 10.07.2013 № 584 (далее - Правила № 584)).

Используется ЕСИА бесплатно (п. 4 Правил № 584).

Как участнику информационного взаимодействия зарегистрироваться в ЕСИА

В ЕСИА регистрируются в том числе следующие категории участников информационного взаимодействия (п. 8 Правила № 584):

- физлица (граждане РФ, иностранные граждане и лица без гражданства), в том числе ИП;

- юрлица.

Чтобы зарегистрироваться в ЕСИА, участнику информационного взаимодействия рекомендуется воспользоваться Руководством пользователя ЕСИА, которое размещено на сайте Минцифры России по адресу: https://digital.gov.ru/ru/documents/6182/.
Регистрация в ЕСИА осуществляется по адресу: http://esia.gosuslugi.ru.

В частности, юрлицо в ЕСИА регистрирует его руководитель с использованием интерактивной формы регистрации. Для регистрации понадобится в том числе квалифицированный сертификат ключа проверки электронной подписи, выданный руководителю юрлица в аккредитованном удостоверяющем центре. В этом сертификате должен быть указан СНИЛС руководителя юрлица (пп. "а" - "в" п. 6.2 Положения о ЕСИА, утв. Приказом Минкомсвязи России от 13.04.2012 № 107).

1.1. Как биометрические персональные данные размещаются в ЕБС

Биометрические персональные данные физлица размещаются в ЕБС:

1) через банки, МФЦ и иные организации в случаях, определенных федеральными законами (п. 1 ч. 1 ст. 4 Федерального закона от 29.12.2022 № 572-ФЗ).

Данные вносятся в ЕБС безвозмездно после проведения идентификации при личном присутствии физлица и только с его согласия (п. 1 ч. 1 ст. 4 Федерального закона от 29.12.2022 № 572-ФЗ). Согласие составляется по установленной форме. Оно может быть подписано усиленной неквалифицированной электронной подписью (до 01.01.2027 также простой электронной подписью, ключ которой получен физлицом при личной явке в соответствии с установленными Правилами, утв. постановлением Правительства РФ от 25.01.2013 № 33) (ч. 2 ст. 4, ч. 10 ст. 26 Федерального закона от 29.12.2022 № 572-ФЗ).

В некоторых случаях не нужно получать согласие у иностранных граждан и лиц без гражданства (ч. 19.1 ст. 3 Федерального закона от 29.12.2022 № 572-ФЗ).

Сведения о физлице, биометрические персональные данные которого размещаются в ЕБС, которые необходимы для регистрации физлица в ЕСИА, внесут также в ЕСИА (п. 2 ч. 1 ст. 4 Федерального закона от 29.12.2022 № 572-ФЗ);

2) самостоятельно физлицом через специальное мобильное приложение (ч. 9 ст. 4 Федерального закона от 29.12.2022 № 572-ФЗ).

Данные, размещенные таким способом, могут использоваться только в случаях, определенных постановлением Правительства РФ от 15.06.2022 № 1067. Например, использовать их допускается при осуществлении прохода на территорию организаций (кроме некоторых) с использованием системы контроля и управления доступом. Сроки использования данных установлены этим же Постановлением.

Размещаются данные в соответствии с Правилами, утв. постановлением Правительства РФ от 15.06.2022 № 1066. Они, в частности, устанавливают условия, при выполнении одного из которых можно разместить биометрические персональные данные в ЕБС (например, наличие учетной записи физлица в ЕСИА) (п. 3 названных Правил).

Для размещения данных требуется согласие физлица на обработку его данных (п. 6 Правил, утв. постановлением Правительства РФ от 15.06.2022 № 1066). Согласие подписывается определенным видом электронной подписи.

2. Как осуществляется идентификация с использованием ЕБС

Идентификация предполагает установление сведений о физлице, их проверку и сопоставление с идентификатором, то есть уникальным обозначением сведений о физлице (п. п. 6, 7 ст. 2 Федерального закона от 29.12.2022 № 572-ФЗ).

При проведении идентификации используются (ч. 1 ст. 9 Федерального закона от 29.12.2022 № 572-ФЗ):

• информация о степени соответствия предоставленных биометрических персональных данных физлица соответствующим векторам ЕБС, содержащимся в ЕБС;
• сведения о физлице, биометрические персональные данные которого содержатся в ЕБС, размещенные в ЕСИА.

Идентификацию осуществляют госорганы, органы местного самоуправления, Банк России, организации финансового рынка, иные организации, ИП, нотариусы в случаях, установленных федеральными законами, актами Правительства РФ и иными принятыми в соответствии с ними НПА (ч. 1 ст. 9 Федерального закона от 29.12.2022 № 572-ФЗ).

Чтобы проводить идентификацию с помощью ЕБС, названные органы (организации, лица) должны, в частности:

1) предоставить оператору ЕБС документы, которые подтверждают (ч. 2 ст. 9 Федерального закона от 29.12.2022 № 572-ФЗ):

• применение мер по обеспечению безопасности персональных данных, установленных в соответствии с ч. 4 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ;
• использование определенных шифровальных (криптографических) средств;
• выполнение требований, установленных в соответствии с п. 1 ч. 2 ст. 6 Федерального закона от 29.12.2022 № 572-ФЗ. В соответствии с названной нормой принят Приказ Минцифры России от 12.05.2023 № 453;
• 2) получить согласие физлица на обработку персональных данных и биометрических персональных данных, предоставленное в соответствии с требованиями ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗх (ч. 3 ст. 9 Федерального закона от 29.12.2022 № 572-ФЗ).

Такое согласие может быть подписано усиленной неквалифицированной электронной подписью (до 01.01.2027 также простой электронной подписью, ключ которой получен при личной явке в соответствии с установленными Правилами) (ч. 3 ст. 9, ч. 10 ст. 26 Федерального закона от 29.12.2022 № 572-ФЗ).

Не нужно получать согласие иностранных граждан и лиц без гражданства в случаях, когда по законодательству РФ для их идентификации обязательно использовать ЕБС (ч. 19.1 ст. 3 Федерального закона от 29.12.2022 № 572-ФЗ).

Учтите, что идентификация физлиц с использованием биометрических персональных данных, при которой необходима трансграничная передача этих данных, запрещена (ч. 21 ст. 3 Федерального закона от 29.12.2022 № 572-ФЗ).

3. Как осуществляется аутентификация с использованием ЕБС

Аутентификация предполагает проверку физлица на принадлежность ему идентификаторов, а также установление того, что физлицо правомерно владеет этими идентификаторами, в результате чего лицо считается установленным (п. 2 ст. 2 Федерального закона от 29.12.2022 № 572-ФЗ).

Лицо, проводящее аутентификацию, вправе использовать ЕБС для аутентификации физлица, выразившего согласие на ее проведение, в целях совершения определенных действий или подтверждения волеизъявления либо подтверждения полномочия лица на совершение определенных действий. В определенных случаях согласие иностранных граждан и лиц без гражданства не требуется (ч. 19.1 ст. 3, ч. 1 ст. 10 Федерального закона от 29.12.2022 № 572-ФЗ).

Аутентификация осуществляется одним из следующих способов путем проверки принадлежности физлицу идентификаторов посредством сопоставления их (ч. 6 ст. 10 Федерального закона от 29.12.2022 № 572-ФЗ):

• со сведениями о физлице, размещенными в ЕСИА, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физлица векторам ЕБС, содержащимся в ЕБС, по указанным идентификаторам;
• со сведениями о физлице, размещенными в информационной системе персональных данных, лица, которое проводит аутентификацию, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физлица векторам ЕБС, содержащимся в ЕБС, по указанным идентификаторам.

Проводить аутентификацию с помощью ЕБС могут госорганы, органы местного самоуправления, Банк России, организации финансового рынка, иные организации, ИП, нотариусы (ч. 1 ст. 10 Федерального закона от 29.12.2022 № 572-ФЗ).

Чтобы проводить аутентификацию с помощью ЕБС, проводящие ее лица должны, в частности:

1) перед использованием ЕБС предоставить в ЕСИА сведения о физлицах, содержащиеся в их информационных системах персональных данных, включая идентификаторы таких сведений. Такие идентификаторы и сведения сопоставляются со сведениями о физлицах, содержащимися в ЕСИА, и после сопоставления передаются из ЕСИА в ЕБС, кроме случая, когда сведений о физлице нет в ЕСИА (ч. 5 ст. 10 Федерального закона от 29.12.2022 № 572-ФЗ);

2) соответствовать следующим критериям (для организаций и ИП) (ч. 7 ст. 10 Федерального закона от 29.12.2022 № 572-ФЗ):

• организация, ее руководитель либо члены коллегиального исполнительного органа, ИП не включены в перечень организаций и физлиц, причастных к экстремистской деятельности или терроризму, или в перечни организаций и физлиц, связанных с террористическими организациями и террористами или с распространением оружия массового уничтожения, указанные в Законе о противодействии легализации преступных доходов;
• у руководителя либо членов коллегиального исполнительного органа организации, ИП отсутствует неснятая или непогашенная судимость;
• в ЕГРЮЛ отсутствует запись о недостоверности сведений о юрлице;
• 3) при использовании ЕБС применять меры по обеспечению безопасности персональных данных, предусмотренные в соответствии с ч. 4 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ, и использовать определенные шифровальные (криптографические) средства (ч. 15 ст. 10 Федерального закона от 29.12.2022 № 572-ФЗ);
• 4) получить согласие физлица на обработку персональных данных и биометрических персональных данных, которое предоставляется в соответствии с требованиями ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ. В определенных случаях согласие иностранных граждан и лиц без гражданства не требуется (ч. 19.1 ст. 3, ч. 2 ст. 10 Федерального закона от 29.12.2022 № 572-ФЗ).

Согласие может быть подписано (ч. 2 ст. 10 Федерального закона от 29.12.2022 № 572-ФЗ):

• усиленной неквалифицированной электронной подписью;
• простой электронной подписью, правом создания (замены) и выдачи ключа которой в установленном порядке обладает лицо, проводящее аутентификацию;
• простой электронной подписью, ключ которой получен физлицом при личной явке в соответствии с установленными Правилами. Подписать согласие такой подписью физлицо может до 01.01.2027 (ч. 10 ст. 26 Федерального закона от 29.12.2022 № 572-ФЗ).

Учтите, что аутентификация физлиц с использованием биометрических персональных данных, при которой необходима трансграничная передача этих данных, по общему правилу запрещена (ч. 21 ст. 3 Федерального закона от 29.12.2022 № 572-ФЗ).

4. Как физлицо представляет отказ от сбора и размещения биометрических персональных данных и отзывает ранее данное согласие на их обработку

Если субъект персональных данных не хочет, чтобы его биометрические персональные данные собирали, размещали в ЕБС и обрабатывали, он может соответственно оформить отказ или отозвать ранее данное согласие на обработку (ч. 15, 16 ст. 3 Федерального закона от 29.12.2022 № 572-ФЗ).

В некоторых случаях иностранные граждане и лица без гражданства не могут оформить такой отказ (ч. 19.1 ст. 3 Федерального закона от 29.12.2022 № 572-ФЗ).

Отказаться от сбора и размещения биометрических персональных данных в целях проведения идентификации и (или) аутентификации можно в любой момент (законом срок не ограничен).

Физлицо лично представляет отказ в МФЦ и предъявляет определенные документы, удостоверяющие личность. Если подается отказ от сбора биометрических персональных данных несовершеннолетнего, недееспособного или ограниченно дееспособного лица, дополнительно предъявляются документы, подтверждающие, что физлицо, которое представляет отказ, является законным представителем (ч. 16 ст. 3 Федерального закона от 29.12.2022 № 572-ФЗ, п. п. 2, 5, 6 Правил, утв. постановлением Правительства РФ от 27.03.2023 № 478).

Отказ составляется по форме, утв. постановлением Правительства РФ от 27.03.2023 № 478, и представляется на бумажном носителе (п. п. 3, 4 Правил, утв. постановлением Правительства РФ от 27.03.2023 № 478).

При заполнении формы отказа от сбора и размещения биометрических персональных данных, в частности, нужно указать: Ф.И.О., данные документа, удостоверяющего личность, дату рождения. Подписывается отказ физлицом собственноручно (п. 3 Правил, утв. постановлением Правительства РФ от 27.03.2023 № 478).

О том, что отказ представлен, выдадут подтверждение (ч. 16 ст. 3 Федерального закона от 29.12.2022 № 572-ФЗ).

Если представлен отказ, то до момента его отзыва сбор и размещение биометрических персональных данных в ЕБС запрещены (ч. 18 ст. 3 Федерального закона от 29.12.2022 № 572-ФЗ).

• Отозвать согласие на обработку биометрических персональных данных, данное ранее, можно способом, который указан в таком согласии. Это следует из п. 8 ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ.

Форма отзыва субъектом согласия на обработку его биометрических персональных данных и требования к содержанию отзыва законом не установлены.

• В случае отзыва согласия на обработку персональных данных оператор персональных данных по общему правилу обязан прекратить их обработку, данные уничтожить (ч. 2 ст. 9, ч. 5 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ).

Субъект персональных данных может отозвать у оператора ЕБС согласие на обработку биометрических персональных данных через ЕПГУ. Отзыв осуществляется в установленном Правительством РФ порядке при наличии регистрации физлица в ЕСИА и касается следующих согласий (п. 5 ч. 14 ст. 3 Федерального закона от 29.12.2022 № 572-ФЗ):

• предоставленных оператору ЕБС;
• на обработку биометрических персональных данных, предоставленных для идентификации и аутентификации.

Указанное право относится в том числе к согласиям на размещение и обработку в ЕБС биометрических персональных данных с использованием мобильного приложения и оконечного оборудования, имеющего идентификационный модуль.

Также физлицо, зарегистрированное в ЕСИА, вправе в установленном Правительством РФ порядке через ЕПГУ направить оператору ЕБС требование о блокировании, удалении, уничтожении биометрических персональных данных и (или) векторов ЕБС, а также отозвать отказ от сбора и размещения его биометрических персональных данных для идентификации и (или) аутентификации (п. п. 6, 7 ч. 14 ст. 3 Федерального закона от 29.12.2022 № 572-ФЗ).

В результате отзыва согласия у оператора ЕБС или направления указанного требования биометрические персональные данные блокируют, удаляют, уничтожают. Уведомление о блокировании, удалении, уничтожении (уведомление об отказе) оператор ЕБС направляет субъекту персональных данных по электронной почте, если у оператора есть сведения об адресе (ч. 15 ст. 3 Федерального закона от 29.12.2022 № 572-ФЗ, п. 6 Порядка, утв. Приказом Минцифры России от 27.04.2023 № 432).