Статья 2. Проект федерального закона N 157752-7 "О внесении изменений в отдельные законодательные акты Российской Федерации" (О внесении изменений в Федеральный закон "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма) (внесен депутатом ГД А.Г. Аксаковым, членом СФ Н.А. Журавлевым) (принят во втором чтении 15.12.2017) (не действует)

Статья 2

В Федеральный закон от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, 6963; 2014, N 19, ст. 2302; N 30, ст. 4223, 4243; N 48, ст. 6645; 2015, N 1, ст. 84; N 27, ст. 3979; N 29, ст. 4389, ст. 4390; 2016, N 26, ст. 3877; N 28, ст. 4558; N 52, ст. 7491) внести следующие изменения:

1) Дополнить статьей 14.1 следующего содержания:

"Статья 14.1. Применение информационных технологий в целях идентификации граждан Российской Федерации

1. Государственные органы, банки и иные организации в случаях, определенных федеральными законами, после идентификации гражданина Российской Федерации при его личном присутствии, с его согласия и на безвозмездной для него основе размещают в электронной форме:

сведения, необходимые для регистрации гражданина Российской Федерации в единой системе идентификации и аутентификации, и иные сведения, если такие сведения предусмотрены федеральными законами, - в единой системе идентификации и аутентификации;

биометрические персональные данные гражданина Российской Федерации - в единой информационной системе персональных данных, обеспечивающей сбор, обработку, хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации (далее - единая биометрическая система).

Правительством Российской Федерации по согласованию с Центральным банком Российской Федерации устанавливаются требования:

- к фиксации действий, предусмотренных абзацами вторым и третьим настоящей части;

- по осуществлению государственными органами и организациями идентификации гражданина Российской Федерации, предусмотренной абзацем первым настоящей части, за исключением организаций, осуществляющих такую идентификацию в порядке, установленном Федеральным законом от 7 августа 2001 года N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма".

Федеральные законы, устанавливающие обязанность государственных органов и организаций по размещению сведений, указанных в абзацах втором и третьем настоящей части, должны предусматривать осуществление контроля и надзора за соответствующими действиями, а также определение органа государственной власти или организации, уполномоченных на их проведение.

Сведения, указанные в абзацах втором и третьем настоящей части, размещаются соответственно в единой системе идентификации и аутентификации и в единой биометрической системе уполномоченным сотрудником государственного органа или организации и подписываются усиленной квалифицированной электронной подписью такого государственного органа или организации.

Форма согласия на обработку персональных данных и биометрических персональных данных, указанных в абзаце втором и третьем настоящей части, утверждается Правительством Российской Федерации.

Порядок регистрации в единой системе идентификации и аутентификации, включая состав сведений, необходимых для регистрации гражданина Российской Федерации в указанной системе, порядок и сроки проверки и обновления сведений, размещаемых в единой системе идентификации и аутентификации с использованием государственных информационных систем, устанавливается Правительством Российской Федерации. Федеральные органы исполнительной власти, в том числе федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере внутренних дел, органы государственных внебюджетных фондов направляют в единую систему идентификации и аутентификации сведения о гражданах Российской Федерации в целях их обновления в соответствии с указанным порядком.

Государственные органы и организации в случаях, установленных федеральными законами, вправе обновлять информацию о гражданах Российской Федерации, идентифицированных в порядке, предусмотренном частью 3 настоящей статьи, с использованием сведений, полученных из единой системы идентификации и аутентификации.

Состав сведений, размещаемых в единой биометрической системе, включая вид биометрических персональных данных, определяется Правительством Российской Федерации.

Обработка биометрических персональных данных в государственных органах, банках и иных организациях, указанных в абзаце первом части 1 настоящей статьи, в том числе с использованием единой биометрической системы, осуществляется в соответствии с требованиями к защите биометрических персональных данных, устанавливаемыми в соответствии со статьей 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии со статьей 19 Федерального закона "О персональных данных", при обработке персональных данных в единой биометрической системе, за исключением контроля и надзора за выполнением банками организационных и технических мер по обеспечению безопасности персональных данных при использовании единой биометрической системы, осуществляется федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий, установленных законодательством Российской Федерации о персональных данных.

Контроль и надзор за выполнением банками организационных и технических мер по обеспечению безопасности персональных данных при использовании единой биометрической системы осуществляются Центральным банком Российской Федерации.

Правительство Российской Федерации определяет федеральный орган исполнительной власти, осуществляющий регулирование в сфере идентификации на основе биометрических персональных данных.

Федеральный орган исполнительной власти, осуществляющий регулирование в сфере идентификации на основе биометрических персональных данных:

1) определяет порядок обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядок размещения и обновления биометрических персональных данных в единой биометрической системе, а также требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации (в банковской сфере и иных сферах финансового рынка указанные требования устанавливаются по согласованию с Центральным банком Российской Федерации);

2) определяет формы подтверждения соответствия информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных в целях проведения идентификации, требованиям, указанным в пункте 1 настоящей части, и публикует перечень технологий и средств, имеющих подтверждение соответствия (в банковской сфере и иных сферах финансового рынка формы подтверждения соответствия устанавливаются по согласованию с Центральным банком Российской Федерации);

3) разрабатывает и утверждает методики проверки соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой биометрической системе, а также определяет степень взаимного соответствия указанных биометрических персональных данных, достаточную для проведения идентификации, предусмотренной настоящим Федеральным законом.

Центральный банк Российской Федерации совместно с оператором единой биометрической системы определяет перечень угроз безопасности, актуальных при сборе, обработке, хранении биометрических персональных данных, их проверке и передачи информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в государственных органах, банках и иных организациях, указанных в абзаце первом части 1 настоящей статьи, в единой биометрической системе с учетом оценки возможного вреда, проведенной во исполнение законодательства Российской Федерации о персональных данных, и согласовывает его с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации.

2. Государственные органы, банки и иные организации, указанные в абзаце первом части 1 настоящей статьи, а также оператор единой биометрической системы при сборе, обработке, хранении биометрических персональных данных, их проверке и определении степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации:

осуществляют свои функции в соответствии с законодательством Российской Федерации в области персональных данных и требованиями настоящего Федерального закона;

осуществляют обработку, включая сбор и хранение, биометрических персональных данных с применением информационных технологий и технических средств, имеющих подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом;

обеспечивают проверку соответствия предоставленных биометрических персональных данных гражданина Российской Федерации его биометрическим персональным данным согласно методикам, утвержденным в соответствии с настоящим Федеральным законом.

3. Оператор единой биометрической системы:

осуществляет передачу информации о результатах проверки соответствия предоставленных биометрических персональных данных гражданина Российской Федерации его биометрическим персональным данным, содержащимся в единой биометрической системе, в органы и организации, указанные в абзаце первом части 1 настоящей статьи;

предоставляет федеральному органу исполнительной власти, осуществляющему функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере внутренних дел, а также федеральному органу исполнительной власти в области обеспечения безопасности в целях обеспечения обороны страны, безопасности государства, охраны правопорядка и противодействия терроризму сведения, размещенные в указанной системе, в порядке, установленном Правительством Российской Федерации.

Функции оператора единой биометрической системы возлагаются Правительством Российской Федерации на оператора, занимающего существенное положение в сети связи общего пользования на территориях не менее чем две трети субъектов Российской Федерации.

4. Идентификация гражданина Российской Федерации с применением информационных технологий осуществляется без его личного присутствия путем предоставления государственным органам и организациям в случаях, установленных федеральными законами:

сведений о гражданине Российской Федерации, размещенных в единой системе идентификации и аутентификации, в порядке, установленном Правительством Российской Федерации;

сведений о степени соответствия предоставленных биометрических персональных данных гражданина Российской Федерации его биометрическим персональным данным, содержащимся в единой биометрической системе.

При предоставлении биометрических персональных данных физического лица по каналам передачи информации в целях проведения его идентификации без личного присутствия посредством сети "Интернет" должны применяться шифровальные (криптографические) средства, позволяющие обеспечить безопасность передаваемых данных от угроз безопасности, актуальных при обработке биометрических персональных данных, определенных в соответствии с абзацем девятнадцатым части 1 настоящей статьи, и имеющие подтверждение соответствия требованиям, установленным в соответствии со статьей 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных". Государственный орган, банк или иная организация, указанная в абзаце первом части 1 настоящей статьи, обязаны предложить использовать указанные средства физическим лицам, обратившимся к ним в целях проведения идентификации без личного присутствия, и указать страницу сайта в сети "Интернет", с которой предоставляются эти средства.

В случае, если физическое лицо для предоставления своих биометрических персональных данных в целях проведения идентификации без личного присутствия посредством сети "Интернет" использует мобильный телефон, смартфон или планшетный компьютер и отказывается от использования шифровальных (криптографических) средств, указанных в абзаце четвертом настоящей части, государственный орган, банк или иная организация, указанная в абзаце первом части 1 настоящей статьи, обязаны отказать такому лицу в проведении указанной идентификации.

В случае, если физическое лицо при предоставлении своих биометрических персональных данных в целях проведения идентификации без личного присутствия посредством сети "Интернет" использует иные устройства, в том числе персональный компьютер, и отказывается от применения шифровальных (криптографических) средств, указанных в абзаце четвертом настоящей части, государственный орган, банк или иная организация, указанная в абзаце первом части 1 настоящей статьи, уведомляет его о рисках, связанных с таким отказом. После подтверждения физическим лицом своего решения государственный орган, банк или иная организация, указанная в абзаце первом части 1 настоящей статьи, может в данном случае провести соответствующую идентификацию физического лица посредством сети "Интернет" без использования им указанных шифровальных (криптографических) средств.

Государственные органы и организации при проведении идентификации в порядке, установленном настоящей частью, вправе подтверждать достоверность сведений, предусмотренных абзацем вторым настоящей части, с использованием информационных систем государственных органов, в том числе федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере внутренних дел, Пенсионного фонда Российской Федерации, Федерального фонда обязательного медицинского страхования и (или) государственной информационной системы, определенной Правительством Российской Федерации.

Согласие гражданина Российской Федерации на обработку персональных данных и биометрических персональных данных для осуществления его идентификации в порядке, предусмотренном настоящей частью, может быть подписано его простой электронной подписью, ключ которой получен в соответствии с правилами использования простой электронной подписи при обращении за получением государственных и муниципальных услуг в электронной форме, устанавливаемых Правительством Российской Федерации. Указанное согласие, подписанное простой электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью данного гражданина Российской Федерации.

Размер и порядок взимания оператором единой биометрической системы платы за предоставление государственным органам и организациям сведений, указанных в абзаце третьем настоящей части, определяется федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий по согласованию с оператором единой биометрической системы и иными государственными органами и организациями в случаях, установленных федеральными законами.".

2) Статью 17 дополнить частью 1.1 в следующей редакции:

"1.1. Лица, виновные в нарушении требований статьи 14.1 настоящего Федерального закона в части сбора и обработки биометрических персональных данных, несут административную, гражданскую и уголовную ответственность в соответствии с законодательством Российской Федерации.".