Энциклопедия решений. Особенности обработки биометрических персональных данных (май 2025)

Особенности обработки биометрических персональных данных

Смотрите в это материале:

- понятие биометрических персональных данных;

- основания обработки биометрических персональных данных

Понятие биометрических персональных данных

Согласно ч. 1 ст. 11 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" под биометрическими персональными данными понимаются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.

То есть это такие характеристики человека, которые остаются неизменными на протяжении всей жизни (дактилоскопические данные, радужная оболочка глаз, ДНК и другие), и которые обрабатываются оператором исключительно в целях идентификации субъекта. Причем оба эти условия должны иметь место в совокупности.

Так, например, фотоизображение очень часто используется для установления личности человека. Однако фотография не всегда обладает свойством биометрических персональных данных. Роскомнадзор неоднократно озвучивал позицию, что к числу биометрических персональных данных относятся только те фотографии, которые созданы с соблюдением ряда требований, установленных специальными стандартами и нормативными актами, в частности, цветное цифровое фотографическое изображение лица в российском паспорте, загранпаспорте, водительском удостоверении, системах биометрической идентификации (см. ГОСТ Р ИСО/МЭК 19794-5-2013, утвержденный и введенный в действие приказом Росстандарта от 06.09.2013 N 987-ст).

Иными словами, под биометрическими персональными данными понимается изображение лица, которое изготовлено с помощью фото- видеоустройств, зашифровано и предназначено для хранения представлений лица в записи биометрических данных.

Надлежит также учитывать, что в контексте Закона N 152-ФЗ отнесение сведений персонального характера к биометрическим персональным данным и их последующая обработка должны рассматриваться исключительно в рамках проводимых оператором (и никем иным) мероприятий. Это означает, что для применения специального режима обработки биометрических данных необходимо, чтобы все действия с ними осуществлялись непосредственно оператором. Например, если гражданин использует сканер своего отпечатка пальца для обеспечения доступа к защищенной информации в операционной системе, смартфоне, то обработки биометрических персональных данных оператором не происходит. Оператор в этом случае получает готовый отпечаток, который создан самим пользователем.

По мнению Минцифры России, изложенному в письме от 28.08.2020 N ЛБ-С-074-24059, не относятся к биометрическим персональным данным:

- данные, полученные при сканировании паспорта оператором персональных данных для подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.), т.е. без проведения процедур идентификации (установления личности);

- данные, полученные при осуществлении ксерокопирования документа, удостоверяющего личность;

- фотографическое изображение, содержащееся в личном деле работника;

- подпись лица, наличие которой в различных договорных отношениях является обязательным требованием, и почерк, в том числе анализируемый уполномоченными органами в рамках почерковедческой экспертизы;

- рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека и находящиеся в истории болезни (медицинской карте) пациента (не имеет значения, бумажной или электронной), поскольку они не используются оператором (медицинским учреждением) для установления личности пациента;

- материалы видеосъемки в публичных местах и на охраняемой территории.

Основания обработки биометрических персональных данных

Обработка биометрических персональных данных будет считаться законной только при наличии письменного согласия субъекта (его законного представителя), отвечающего требованиям п. 4 ст. 9 Закона N 152-ФЗ, или оснований публично-правового характера, перечень которых приведен в ч. 2 ст. 11 Закона N 152-ФЗ. К ним относятся:

- реализация международных договоров России о реадмиссии;

- осуществление правосудия и исполнение судебных актов;

- проведение обязательной государственной дактилоскопической и геномной регистрации;

- случаи, предусмотренные законодательством РФ об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством РФ, законодательством РФ о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации, законодательством РФ о нотариате.

Для достижения этих целей на федеральном уровне функционируют несколько информационных систем: дактилоскопическая идентификационная система, система генетической идентификации, единая биометрическая система.

1. Так, согласно ст. 1 Федерального закона от 25.07.1998 N 128-ФЗ "О государственной дактилоскопической регистрации в Российской Федерации" (далее - Закон N 128-ФЗ) государственная дактилоскопическая регистрация - деятельность, осуществляемая органами исполнительной власти по получению, учету, хранению, классификации и выдаче дактилоскопической информации, установлению или подтверждению личности человека. Дактилоскопическая информация - биометрические персональные данные об особенностях строения папиллярных узоров пальцев и (или) ладоней рук человека, позволяющие установить его личность.

Проведение государственной дактилоскопической регистрации возможно в случаях розыска пропавших без вести граждан РФ, иностранных граждан и лиц без гражданства; установления личности человека по отпечаткам пальцев (ладоней) рук неопознанного трупа; установления личности граждан РФ, иностранных граждан и лиц без гражданства, не способных по состоянию здоровья или возрасту сообщить данные о своей личности либо не имеющих документов, удостоверяющих личность; подтверждения личности граждан Российской Федерации, иностранных граждан и лиц без гражданства; предупреждения, раскрытия и расследования преступлений, а также предупреждения и выявления административных правонарушений (ст. 6 Закона N 128-ФЗ).

Государственная дактилоскопическая регистрация может осуществляться как добровольно (ст. 8 Закона N 128-ФЗ), так и в обязательном порядке (ст. 9 Закона N 128-ФЗ).

Хранение, систематизация и использование дактилоскопической информации осуществляются органами внутренних дел.

Органы федеральной службы безопасности, органы внешней разведки, органы Следственного комитета РФ, органы государственной налоговой службы, органы государственной охраны, федеральный орган исполнительной власти, осуществляющий функции по оказанию государственных услуг и управлению государственным имуществом в сфере морского и речного транспорта, федеральные государственные учреждения, имеющие право выдачи удостоверений личности моряка, в том числе администрации морских портов, самостоятельно осуществляют получение, учет, хранение, выдачу дактилоскопической информации, создание информационных массивов (ст. 12 Закона N 128-ФЗ).

2. Система генетической идентификации регламентирована Федеральным законом от 03.12.2008 N 242-ФЗ "О государственной геномной регистрации в Российской Федерации" (далее - Закон N 242-ФЗ).

Под государственной геномной регистрацией понимается деятельность, осуществляемая уполномоченными государственными органами и учреждениями по получению, учету, хранению, использованию, передаче и уничтожению биологического материала и обработке геномной информации (ст. 1 Закона N 242-ФЗ). Целью геномной регистрации является идентификация личности человека (ст. 2 Закона N 242-ФЗ).

Государственная геномная регистрация также может быть добровольной и обязательной. В обязательном порядке такой регистрации подлежат лица, осужденные и отбывающие наказание в виде лишения свободы за совершение преступлений; неустановленные лица, биологический материал которых изъят в ходе производства следственных действий; лица, подозреваемые в совершении преступлений, обвиняемые в совершении преступлений; лица, подвергнутые административному аресту; близкие родственники лица, пропавшего без вести; неопознанные трупы (ст.ст. 6, 7 Закона N 242-ФЗ).

Право на использование геномной информации имеют суды, органы предварительного следствия, органы дознания и органы, осуществляющие оперативно-розыскную деятельность. Использование геномной информации в интересах иностранных государств осуществляется в соответствии с международными договорами РФ (ст. 15 Закона N 242-ФЗ).

3. С 1 июля 2018 г. в России функционирует единая биометрическая система (ЕБС), которая в настоящее время является государственной информационной системой. С ее помощью физические лица имеют возможность получать ряд государственных, финансовых и иных услуг удаленно.

Постановлением Правительства РФ от 21.06.2024 N 834 функции оператора ЕБС возложены на АО "Центр Биометрических Технологий". Доступ в ЕБС осуществляется на портале Госуслуг (gosuslugi.ru) или на портале Единой биометрической системы (bio.rt.ru).

29 декабря 2022 г. вступил в силу Федеральный закон от 29.12.2022 N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных..." (далее - Закон N 572-ФЗ), который регулирует отношения, возникающие при осуществлении идентификации и (или) аутентификации физических лиц при помощи биометрических персональных данных с использованием ГИС ЕСИА, а также при ее взаимодействии с информационными системами аккредитованных субъектов данных отношений, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц (ч. 1 ст. 1 Закона N 572-ФЗ).

В ч. 2 ст. 1 Закона N 572-ФЗ приведен перечень ситуаций, на которые положения данного закона не распространяются. Это касается отношений, возникающих при осуществлении идентификации и (или) аутентификации с использованием биометрии в целях:

- оперативно-разыскной, контрразведывательной или разведывательной деятельности;

- обороны страны, обеспечения безопасности государства и охраны правопорядка, реализации внешней политики;

- функционирования государственной системы миграционного и регистрационного учета, а также изготовления, оформления и контроля обращения документов, удостоверяющих личность;

- обеспечения санитарно-эпидемиологического благополучия;

- если при осуществлении идентификации и (или) аутентификации проверка соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в информационной системе какого-либо органа не осуществляется автоматизированным способом, а осуществляется с участием уполномоченного должностного лица.

Аутентификация физических лиц в ЕБС осуществляется по двум параметрам: изображению лица человека, полученному с помощью фотовидеоустройств, и записи голоса человека, полученной с помощью звукозаписывающих устройств (ч. 4 ст. 3 Закона N 572-ФЗ). Порядок обработки, включая сбор и хранение, параметров биометрических персональных данных утвержден приказом Минцифры России от 12.05.2023 N 453 (далее - Порядок). Параметры собираемых для размещения в ЕБС биометрических персональных данных должны соответствовать требованиям, перечисленным в пп. 11 и 14 Порядка.

Проверка параметров биометрических данных на соответствие данным требованиям требованиям осуществляется в автоматизированном режиме с использованием программного обеспечения, предоставляемого оператором ЕБС (п. 15 Порядка). Если в процессе прохождения контроля качества будет установлено несоответствие этих параметров требованиям, указанным в пп. 11, 13 Порядка, такие биометрические персональные данные в ЕБС не передаются (п. 16 Порядка).

По общему правилу предоставление физическими лицами своих биометрических данных в ЕБС и ЕСИА является добровольным. Банки, многофункциональные центры предоставления государственных и муниципальных услуг и иные организации в случаях, определенных федеральными законами, после проведения идентификации при личном присутствии физического лица с его согласия*(1) на безвозмездной основе размещают в электронной форме биометрические персональные данные физического лица - в ЕБС, а также сведения о физическом лице, размещенные в ЕБС, которые необходимы для регистрации физического лица в единой системе идентификации и аутентификации, и иные сведения, если такие сведения предусмотрены федеральными законами, - в ЕСИА (ч. 1 ст. 4 Закона N 572-ФЗ). При этом никакие органы и организации не вправе обусловливать оказание услуг, продажу товаров, выполнение работ обязательным прохождением идентификации и (или) аутентификации с применением биометрических персональных данных. Отказ физического лица от прохождения подобной аутентификации не может служить основанием для отказа ему в оказании услуг, продаже товаров, выполнении работ или отказа в приеме на обслуживание (ч.ч. 11-13 ст. 3 Закона N 572-ФЗ). Аналогичные положения содержатся в ч. 3 ст. 11 Закона N 152-ФЗ. Однако данные положения не применяются в отношении обработки биометрических персональных данных иностранных граждан и лиц без гражданства в случаях, если использование ЕБС для идентификации и (или) аутентификации таких лиц обязательно в соответствии с законодательством (ч. 19.1 ст. 3 Закона N 572-ФЗ).

Однако, если в информационных системах операторов в соответствии с федеральными законами собраны биометрические персональные данные, соответствующие всем видам или только одному из видов, размещаемым в ЕБС, то такие органы и организации обязаны разместить полученные биометрические персональные данные в ЕБС. Согласие самого субъекта для этого не требуется (ч. 14 ст. 4 Закона N 572-ФЗ). На операторов возлагается лишь обязанность не позднее чем за 30 дней до планируемого размещения уведомить субъекта персональных данных в любой позволяющей подтвердить факт получения уведомления форме о таком размещении. Субъекту, в свою очередь предоставляется право запретить размещение его биометрических персональных данных в ЕБС до истечения установленного 30-дневного срока. Кроме того, он вправе потребовать от оператора ЕБС блокирования или уничтожения его биометрических персональных данных, если ранее они были там размещены (ч. 15 ст. 4 Закона N 572-ФЗ).

То есть, если организация осуществляет аутентификацию на основе биометрических персональных данных физических лиц, полностью в автоматическом режиме, например, используя СКУД, и параметры изображения лиц и (или) голоса соответствуют нормативным требованиям, то такая организация, при отсутствии прямо выраженного запрета субъекта, обязана разместить биометрические данные в ЕБС.

Минцифры обратило внимание, что после вступления в силу ст. 15 Закона N 572-ФЗ (1 июня 2023 г.) идентификация с использованием биометрических персональных данных осуществляется исключительно посредством единой биометрической системы и единой системы идентификации и аутентификации в соответствии с ч. 1 ст. 9 Закона N 572-ФЗ (см. письмо от 28.12.2023 N П24-2-04-070-257558).

Пример

Федеральный закон от 06.03.2006 N 35-ФЗ "О противодействии терроризму" устанавливает основные принципы противодействия терроризму, правовые и организационные основы профилактики терроризма и борьбы с ним, минимизации и (или) ликвидации последствий проявлений терроризма: данный закон предписывает Правительству РФ устанавливать обязательные для выполнения требования к антитеррористической защищенности объектов (территорий), категории объектов (территорий), порядок разработки указанных требований и контроля за их выполнением, порядок разработки и форму паспорта безопасности таких объектов (территорий) (за исключением объектов транспортной инфраструктуры, транспортных средств и объектов топливно-энергетического комплекса). Такие требования утверждены постановлением Правительства РФ от 02.08.2019 N 1006 (далее - Требования). В частности, п. 26 Требований предусмотрено, что учреждения второй категории в обязательном порядке оснащаются системой контроля и управления доступом (СКУД). Соответственно учреждения второй категории, осуществляющие сбор биометрических персональных данных соответствующие всем видам или только одному из видов, размещаемым в ЕБС, должны будут передавать эти сведения в ЕБС).

Идентификация физического лица осуществляется, в том числе без его личного присутствия, путем установления и проверки достоверности сведений о нем с использованием:

- информации о степени соответствия биометрических персональных данных лица соответствующим векторам ЕБС;

- сведений о физическом лице, биометрические персональные данные которого содержатся в ЕБС, размещенных в ЕСИА.

Уполномоченные органы и организации вправе использовать ЕБС для аутентификации физического лица, выразившего согласие на ее проведение, в целях совершения определенных действий или подтверждения волеизъявления либо подтверждения полномочия лица на совершение определенных действий (ч. 1 ст. 10 Закона N 572-ФЗ).

Действия по идентификации и (или) аутентификации граждан с использованием ЕБС (за исключением региональных сегментов ЕБС) и ЕСИА приравниваются к действиям по предъявлению документов, удостоверяющих личность такого физического лица. Исключения составляют случаи, когда закон требует предъявление именно оригинала документа, удостоверяющего личность физического лица (ч. 1 ст. 11 Закона N 572-ФЗ).

Отметим также, что в настоящее время широкое распространение получает внедрение частными юридическими лицами биометрических систем идентификации как своих работников, так и посетителей, клиентов для организации контроля, управления доступом, используя, к примеру в качестве идентификаторов особенности строения папиллярных узоров пальцев рук, радужки глаза и т.п. Поскольку такая обработка под исключения, установленные ч. 2 ст. 11 Закона N 152-ФЗ не подпадает, то она возможна только с письменного согласия субъекта персональных данных (см. письмо Минцифры России от 17.07.2020 N ОП-П24-070-19433).

-------------------------------------------

*(1) Форма такого согласия утверждена распоряжением Правительства РФ от 30 июня 2018 г. N 1322-р.

Тема

Условия обработки персональных данных (Согласие на обработку Пдн)

Формы документов

Согласие субъекта на обработку персональных данных