Купить систему ГАРАНТ Получить демо-доступ Узнать стоимость Информационный банк Подобрать комплект Семинары
  • ДОКУМЕНТ

Приложение N 1. Порядок обработки, включая сбор и хранение, параметров биометрических персональных данных

Приложение N 1
к приказу Министерства
цифрового развития, связи
и массовых коммуникаций
Российской Федерации
от 10 сентября 2021 г. N 930

 

Порядок обработки, включая сбор и хранение, параметров биометрических персональных данных

 

1. Обработка, включая сбор и хранение, параметров биометрических персональных данных для идентификации реализуется с применением информационных технологий и технических средств, имеющих подтверждение соответствия требованиям, установленным в соответствии со статьей 14.1 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2021, N 11, ст. 1708) (далее - Федеральный закон N 149-ФЗ), которое проводится федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации физических лиц на основе биометрических персональных данных.

2. В соответствии с настоящим порядком проводится обработка параметров биометрических персональных данных физического лица следующих видов:

данные изображения лица;

данные голоса, собранные текстозависимым методом.

3. Для проведения идентификации сбор параметров биометрических персональных данных субъекта персональных данных производится при его личном присутствии уполномоченным сотрудником государственного органа, банка и иной организации, в случаях, определенных федеральными законами, в целях создания биометрического контрольного шаблона, хранение которого осуществляется в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица (далее соответственно - орган и организация, единая биометрическая система) или уполномоченными сотрудниками организаций, владеющих информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающих услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц, в случаях, определенных частями 18.18, 18.20 статьи 14.1 Федерального закона N 149-ФЗ (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2021, N 1, ст. 18) (далее - организации, осуществляющие идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц), в целях создания биометрического контрольного шаблона, хранение которого осуществляется в иных информационных системах организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц.

4. Биометрические контрольные шаблоны используются в процессе проведения идентификации и (или) аутентификации физического лица, в том числе без его личного присутствия.

Уполномоченный сотрудник органа и организации при сборе параметров биометрических персональных данных в единую биометрическую систему, уполномоченный сотрудник организации, осуществляющей идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, при сборе параметров биометрических персональных данных в информационную систему такой организации подписывает собранные биометрические персональные данные своей усиленной электронной подписью.

5. Органы и организации, организации, осуществляющие идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, при сборе параметров биометрических персональных данных для идентификации должны обеспечивать:

определение уполномоченных сотрудников, осуществляющих сбор параметров биометрических персональных данных и их обеспечение сертификатами ключей проверки электронной подписи;

защищенное хранение выданных уполномоченным сотрудникам, осуществляющим сбор параметров биометрических персональных данных, ключей электронной подписи, обеспечивающее их конфиденциальность и исключающее несанкционированное изменение, добавление и удаление в соответствии с законодательством Российской Федерации в области использования электронных подписей;

подписание своей усиленной электронной подписью уполномоченным сотрудником, осуществляющим сбор параметров биометрических персональных данных, информации, содержащей биометрические персональные данные, собранные указанным сотрудником, и иной информации, указанной в пункте 14 настоящего порядка;

обеспечение и регулярную проверку (не реже одного раза в неделю) функционирования информационных технологий и технических средств, иных программно-технических средств, предназначенных для обеспечения процессов сбора и обработки параметров биометрических персональных данных, в том числе автоматизированную передачу результатов проведенной проверки в единую биометрическую систему или иную информационную систему, обеспечивающую идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц соответственно.

6. Уполномоченные сотрудники, осуществляющие сбор параметров биометрических персональных данных, обязаны соблюдать конфиденциальность используемых ими ключей электронной подписи.

7. Кредитные организации, некредитные финансовые организации, которые осуществляют указанные в части первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (Собрание законодательства Российской Федерации, 2002, N 28, ст. 2790; 2021, N 24, ст. 4210) виды деятельности, субъекты национальной платежной системы (далее - организации финансового рынка), осуществляющие сбор и обработку используемых для идентификации параметров биометрических персональных данных, должны обеспечивать:

1) информирование Банка России о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при обработке, включая сбор и хранение, параметров биометрических персональных данных (далее соответственно - инциденты безопасности, требования по защите информации), которые привели или могут привести к нарушению или попыткам нарушения целостности, конфиденциальности и (или) доступности защищаемой информации.

Организации, указанные в настоящем пункте, осуществляют информирование Банка России о выявленных инцидентах безопасности не позднее одного рабочего дня со дня их выявления;

2) ежегодное проведение оценки соответствия требований по защите информации с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79 (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049; 2020, N 49, ст. 7943), и информирование Банка России о результатах такой оценки.

8. Организации, не относящиеся к организациям финансового рынка, осуществляющие сбор и обработку используемых для идентификации параметров биометрических персональных данных, должны обеспечивать:

1) информирование Минцифры России о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при обработке, включая сбор и хранение, параметров биометрических персональных данных (далее соответственно - инциденты безопасности, требования по защите информации), которые привели или могут привести к нарушению или попыткам нарушения целостности, конфиденциальности и (или) доступности защищаемой информации.

Организации, указанные в настоящем пункте, осуществляют информирование Минцифры России о выявленных инцидентах безопасности не позднее одного рабочего дня со дня их выявления;

2) ежегодное проведение оценки соответствия требований по защите информации с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79, и информирование Минцифры России о результатах такой оценки.

9. Обработка параметров биометрических персональных данных физического лица осуществляется после проведения идентификации физического лица в соответствии с требованиями, утвержденными в соответствии с пунктом 2 части 2 статьи 14.1 Федерального закона N 149-ФЗ, а также получения согласия на обработку персональных данных и биометрических персональных данных в соответствии с частью 5 статьи 14.1 Федерального закона N 149-ФЗ при сборе в единую биометрическую систему, а при сборе в иные информационные системы, обеспечивающие идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц - после получения согласия на обработку персональных и биометрических персональных данных в соответствии с требованиями законодательства Российской Федерации в области персональных данных.

В случае отзыва субъектом персональных данных в соответствии с частью 2 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2017, N 31, ст. 4772) (далее - Федеральный закон N 152-ФЗ) согласия на обработку персональных данных использование его параметров биометрических персональных данных в целях проведения идентификации и (или) аутентификации не осуществляется.

10. В процессе обработки параметров биометрических персональных данных в единой биометрической системе, параметров биометрических персональных данных в иных информационных системах, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, создаются биометрические образцы данных изображения лица (далее - БО изображения лица) и биометрические образцы данных голоса (далее - БО записи голоса) субъекта.

11. Создаваемые для проведения идентификации БО изображения лица должны соответствовать следующим требованиям:

цвета пикселей изображений фронтального типа должны быть представлены в 24-битовом цветовом пространстве RGB, в котором на каждый пиксель приходится по 8 битов на каждый компонент цвета: красный, зеленый и синий;

поворот головы должен быть не более 5° от фронтального положения;

наклон головы должен быть не более 5° от фронтального положения;

отклонение головы должно быть не более 8° от фронтального положения;

расстояние между центрами глаз должно составлять не менее 120 пикселей либо не менее 45 пикселей в соответствии с пунктом 12 порядка размещения и обновления биометрических персональных данных в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, утвержденного настоящим приказом (далее - Порядок размещения и обновления);

изображение должно содержать полное изображение головы человека в анфас, включая левое и правое ухо (при их наличии), верхнюю точку лобной области головы и подбородок;

не допускается перекрытие волосами или посторонними предметами изображения лица по всей ширине от бровей до нижней губы;

на изображении должно присутствовать только одно лицо, наличие других лиц, фрагментов других лиц не допускается;

выражение лица должно быть нейтральным, рот закрыт, оба глаза открыты нормально для соответствующего субъекта (с учетом поведенческих факторов и (или) медицинских заболеваний);

лицо должно быть равномерно освещено, чтобы на изображении лица отсутствовали тени и блики;

не допускается использование ретуши и редактирования изображения;

допускается кадрирование изображения;

в случае фотографирования человека в очках не допускается наличие солнцезащитных очков и ярких световых артефактов или отражения вспышки от очков;

изображение лица должно быть сохранено в формате .jpeg или .png; код сжатия: JPEG (0 х 00), PNG (0 х 03);

фотографирование человека должно производиться с помощью средств автоматизации, позволяющих обеспечить расположение изображения головы в кадре в соответствии с требованиями настоящего приказа.

12. Создаваемые для проведения идентификации БО записи голоса должны соответствовать следующим требованиям:

отношение сигнал-шум для звука не менее 15 дБ;

глубина квантования не менее 16 бит;

частота дискретизации не менее 16 кГц;

запись голоса должна быть сохранена в формате RIFF (WAV);

код сжатия: PCM/uncompressed (0 х 0001);

количество каналов в записи голоса: 1 (монорежим) канал;

не допускается использовать шумоподавление;

на записи должен присутствовать голос одного человека;

произнесенное субъектом сообщение должно соответствовать последовательности букв и (или) цифр, сгенерированной программным обеспечением информационной системы органа или организации;

запись голоса должна содержать указанную последовательность полностью и не должна прерываться;

при осуществлении записи голоса эмоционально-психологическое состояние и состояние субъекта должно быть нормальным, не возбужденным, без явных признаков заболеваний, препятствующих произнесению сообщения, указанного в абзаце двенадцатом настоящего пункта, или способных нарушить тембр и (или) звучание голоса;

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Имеется в виду "абзаце десятом"

сообщение, указанное в абзаце одиннадцатом настоящего пункта, должно быть произнесено субъектом на русском языке.

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Имеется в виду "абзаце десятом"

Запрещено получение БО записи голоса путем перекодирования фонограмм, записанных с помощью технических средств телефонной сети общего пользования.

13. Проверка биометрических образцов, собранных уполномоченными сотрудниками органов и организаций, биометрических образцов, собранных уполномоченными сотрудниками организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, на соответствие требованиям, установленным пунктами 10, 11 настоящего порядка (далее - контроль качества), осуществляется в автоматизированном режиме с использованием программного обеспечения, предоставляемого оператором единой биометрической системы.

14. В случае если в процессе прохождения контроля качества установлено соответствие биометрических образцов требованиям, указанным в пунктах 10, 11 настоящего порядка, такие образцы, содержащие в том числе метку даты, времени и места, информацию о технических средствах, с использованием которых осуществлялся процесс сбора и обработки параметров биометрических персональных данных, и о их состоянии, а также информацию о способе сбора параметров биометрических персональных данных в единую биометрическую систему, передаются органами и организациями в единую биометрическую систему в автоматизированном режиме с использованием средств криптографической защиты информации, позволяющих обеспечить безопасность персональных данных от угроз, определенных для организаций финансового рынка в соответствии с частью 14 статьи 14.1 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", для иных органов и организаций - в соответствии с пунктом 4 части 13 указанной статьи, в том числе с использованием единой системы межведомственного электронного взаимодействия.

15. В единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, биометрические образцы проходят контроль качества с использованием программного обеспечения единой биометрической системы.

В случае если в процессе прохождения контроля качества, осуществляемого в соответствии с абзацем первым настоящего пункта, установлено несоответствие биометрических образцов требованиям, указанным в пунктах 10, 11 настоящего порядка, создание биометрического контрольного шаблона не осуществляется.

В случае если в процессе прохождения контроля качества, осуществляемого в соответствии с абзацем первым настоящего пункта, установлено несоответствие биометрических образцов требованиям, указанным в пунктах 10, 11 настоящего порядка, органы и организации, осуществляющие размещение в единой биометрической системе биометрических персональных данных субъекта, обязаны направить информацию об указанных событиях в единую биометрическую систему в автоматизированном режиме с использованием в том числе единой системы межведомственного электронного взаимодействия, а также принять организационно-технические меры по повышению качества сбора параметров биометрических персональных данных.

16. Хранение параметров биометрических персональных данных, размещенных в единой биометрической системе, осуществляется в соответствии с требованиями, установленными в соответствии со статьей 19 Федерального закона N 152-ФЗ и статьей 14.1 Федерального закона N 149-ФЗ, в течение не менее чем 50 лет со дня их размещения в указанной системе.

Хранение параметров биометрических персональных данных в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, собранных для проведения идентификации, не допускается.

Биометрические персональные данные, собранные в соответствии с настоящим Порядком, размещенные в единой биометрической системе или в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также обрабатываемые в указанных информационных системах, используются в целях идентификации и (или) аутентификации не более 5 лет с даты сбора, а в случаях, установленных в соответствии с пунктом 12 Порядка размещения и обновления, - не более 3 лет с даты сбора.

По истечении срока, указанного в абзаце третьем настоящего пункта, использование биометрических персональных данных, размещенных в единой биометрической системе или в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, в целях идентификации и (или) аутентификации не допускается.

17. При обработке, включая сбор и хранение, параметров биометрических персональных данных должны применяться средства защиты информации (в том числе средства криптографической защиты информации), обеспечивающие нейтрализацию актуальных угроз безопасности, определенных в соответствии с пунктами 4, 6 части 13 и частями 14, 14.1 статьи 14.1 Федерального закона N 149-ФЗ.