Журнал "Системы Безопасности" № 6‘2023

Вышеприведенное определение на первый взгляд дает исчерпывающий набор признаков, позволяющих четко выделить биометрические данные среди всех остальных персональных данных, но анализ действующей нормативной правовой базы РФ, правоприменительной и судебной практики показывает обманчивость первого впечатления. Так, в ч. 1 ст. 11 152-ФЗ прямо не указано, что с помощью биометриче- ских персональных данных оператор может не только установить (идентифицировать) лич- ность субъекта данных, но и удостоверить (аутентифицировать) его личность. Ни в 152-ФЗ, ни в 572-ФЗ явно не указывается на достовер- ную идентификацию субъекта как на необходи- мый признак биометрических данных, хотя наличие ошибок идентификации неизбежно. Все биометрические технологии характеризуют- ся такими параметрами, как False Accept Rate (процент ошибочного разрешения доступа) и False Reject Rate (процент ошибочного отказа в доступе). В законодательстве РФ отсутствует квалифицирующий критерий применения спе- циальных технических средств (средств автома- тизации) для получения эталонных образцов биометрических данных физического лица и последующего автоматизированного (автома- тического) сопоставления эталонных образцов с получаемыми/предъявляемыми биометриче- скими данными. Юридическая ответственность за неправомер- ную обработку биометрических персональных данных, предусмотренная Кодексом об адми- нистративных правонарушениях РФ: l штраф до 700 тыс. руб. за отсутствие пись- менного согласия на обработку биометриче- ских персональных данных (ч. 2 ст. 13.11 КоАП РФ); l штраф до 1 млн руб. за нарушение требований в области размещения биометрических персо- нальных данных в ЕБС (ст. 13.11.3 КоАП РФ). В настоящее время также обсуждается как вве- дение уголовной ответственности за неправо- мерный сбор биометрических сведений 5 , так и внесенные в Госдуму 4 декабря законопроекты об установлении административной (штраф 15–20 млн руб. или 0,1–3% от годового обо- рота компании) 6 и уголовной 7 ответственности за инциденты с персональными данными, включая биометрию. Автоматическая (автоматизированная) идентификация и аутентификация с использованием биометрии Принятие 572-ФЗ оформило отдельный право- вой режим осуществления идентификации и (или) аутентификации физических лиц с использованием биометрических персональ- ных данных, который не распространяется на так называемую неавтоматизированную био- метрическую идентификацию и аутентифика- цию, если в ее осуществлении участвует упол- номоченное должностное лицо (некоторые примеры рассматриваются в таблице). Кроме того, требования 572-ФЗ не распространяются на автоматическую обработку биометрических сведений в целях: l оперативно-розыскной, контрразведыватель- ной или разведывательной деятельности; l обороны страны, обеспечения безопасности государства и охраны правопорядка, реали- зации внешней политики; l функционирования государственной системы миграционного и регистрационного учета, а также изготовления, оформления и контро- ля обращения документов, удостоверяющих личность; l обеспечения санитарно-эпидемиологическо- го благополучия. 572-ФЗ регулирует автоматическую идентифи- кацию и аутентификацию физических лиц с использованием биометрических персональ- ных данных и государственной информацион- ной системы "Единая система идентификации и аутентификации физических лиц с использо- ванием биометрических персональных данных" (ЕБС), оператором которой является АО "Центр Биометрических Технологий" (ЦБТ). Нормы 572-ФЗ запрещают обработку биомет- рических персональных данных для идентифи- кации и аутентификации физических лиц в иных информационных системах, включая информационные системы коммерческих и некоммерческих организаций (коммерческие биометрические системы – КБС). Единственная поблажка для организаций – это возможность получения из ЕБС и хранения в КБС биометри- ческих векторов, формально не являющихся биометрическими персональными данными и формируемых в ЕБС путем математического преобразования биометрических данных по определенному законодательством алгоритму. Право получать биометрические векторы из ЕБС и хранить их предоставляется исключительно организациям, прошедшим непростую и доро- гостоящую процедуру аккредитации. Кроме того, КБС нельзя использовать и для сбора исходных биометрических данных – теперь это возможно только в МФЦ, отделениях банков и официальном мобильном приложении ЕБС. В итоге все желающие осуществлять на терри- тории РФ автоматическую биометрическую идентификацию и аутентификацию столкнулись с выбором между двумя моделями взаимодей- ствия с ЕБС: l транзакционная модель взаимодействия – когда биометрические данные и биометриче- ские векторы хранятся в ЕБС и там же осу- ществляется биометрическая идентификация (установление личности физического лица для создания его индивидуального профиля на основе получаемых из ЕБС и ЕСИА 8 иден- тификационных персональных данных) и аутентификация (определение владельца индивидуального профиля и/или подтвер- ждение, что за услугой обратился владелец индивидуального профиля); l векторная модель взаимодействия – когда биометрические данные хранятся в ЕБС и там же осуществляется биометрическая иденти- фикация, а биометрические векторы (ранее полученные из ЕБС) хранятся в КБС, в которой также производится биометрическая аутенти- фикация. Стоит отметить, что реализация транзакционной модели возможна как на базе принадлежащей самой организации КБС, так и в рамках использования КБС соот- ветствующих аккредитованных организаций 9 . В таблице представлено описание правовых аспектов нескольких сценариев обработки фотографического изображения и иных персо- нальных данных посетителей организации для обеспечения их однократного и/или много- кратного прохода на охраняемую территорию посредством системы контроля и управления доступом (СКУД). www.secuteck.ru декабрь 2023 – январь 2024 БИОМЕТРИЧЕСКИЕ СИСТЕМЫ  С И С Т Е М Ы К О Н Т Р О Л Я И У П Р А В Л Е Н И Я Д О С Т У П О М 57 Основные функции ГИС ЕБС 5 См. https://www.interfax.ru/russia/878530 6 См. https://sozd.duma.gov.ru/bill/502104-8 7 См. https://sozd.duma.gov.ru/bill/502113-8 8 Федеральная государственная информационная система "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме". 9 См. https://digital.gov.ru/ru/activity/govservices/29/