Эксперты Минцифры России подготовили проект ужесточения требований к аккредитации частных и государственных компаний, которые хотят собирать и обрабатывать биометрические персональные данные своих клиентов. Проект устанавливает, что размер собственного капитала организации, имеющей право использовать биометрию, не может составлять менее 500 млн рублей (сейчас — 50 млн). Финансовое обеспечение убытков, наступающих в случае неверной аутентификации, тоже повышается – с 50 млн до 100 млн рублей. Аккредитованные компании должны будут установить цифровую криптозащиту своих систем, защитив их от взломов и утечек. В ведомстве убеждены, что такие меры гарантируют безопасность персональных данных граждан России.

Основные положения, определяющие порядок сбора биометрических данных, а также прекращение их хранения и обработки, установлены постановлением правительства № 1799 от 20 октября 2021 года. Однако в конце 2022 года был принят Федеральный закон от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации». Он устанавливает правовые основы обработки биометрических персональных данных, используемых для идентификации или аутентификации человека с применением единой биометрической системы, в том числе, с использованием государственных информационных систем. Согласно новому закону только сам гражданин вправе распоряжаться своими биометрическими данными, а их хранение должно быть надежно защищено государством в рамках «Единой биометрической системы».

В государственном реестре данные будут храниться в зашифрованном векторном формате. Модель их криптозащиты будет представлять собой сложнейшую систему зашифровки данных, так, чтобы они были закрыты для свободного доступа как при передаче, так и при получении, и даже при утечке их будет невозможно расшифровать. В соответствии с новым законом теперь в МФЦ можно получить ряд услуг без паспорта, пройдя процедуру подтверждения личности по биометрическим данным.

Новое регулирование привело к необходимости разработки специальных критериев для компаний, которые будут работать с государством в этой сфере. По мнению экспертов Минцифры России, подготовленный ими проект приводит законодательством требования, предъявляемые таким организациям, в соответствие с обновленным законодательством. Жесткие требования о величине капитала и финансового обеспечения убытков, как убеждены руководители Минцифры России, позволит исключить из процесса организации, не обладающие необходимым бюджетом для защиты биометрических персональных данных.

Напомним, что «Единая биометрическая система» – это государственная информационная система «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных», которая содержит биометрические персональные данные физических лиц, векторы единой биометрической системы и иную информацию, которая используется в целях осуществления идентификации и аутентификации с использованием таких данных. Оператора системы определит правительство России.

Участники ИТ-отрасли согласны, что повышение финансовых требований к компаниям, работающим с биометрией, — обязательная мера для ранжирования игроков рынка и предоставления доступа к управлению персональными данными только ответственным компаниям. Член комитета Госдумы РФ по информационной политике, информационным технологиям и связи, основатель фонда «Цифровая долина Прикамья» Антон Немкин напомнил, что защита персональных данных россиян – одна из важнейших задач государства. Особенно это касается биометрических данных, поскольку их утечка создает повышенные риски для граждан, уверен депутат.

«Компрометация или утеря биометрических данных – самое страшное, что может произойти, тем более в условиях постоянных кибератак, которым подвергается наша страна сегодня. При этом сейчас утечки могут произойти как в момент первичного сбора этих сведений, например, в банке при открытии счета, так и при их передаче в государственную систему. Такая утечка может повлечь за собой катастрофические риски для граждан: отпечатки пальцев нельзя сменить, аннулировать или перевыпустить как тот или иной цифровой продукт», — сказал Антон Немкин, отметив, что Федеральный закон № 572-ФЗ обеспечивает плавный переход к работе с абсолютно защищенной системой хранения этих сведений.

«Специалисты Минцифры России совершенно справедливо поставили вопрос о формализации и ужесточении требований к тем, кто планирует участвовать в передаче данных в «Единую биометрическую систему» или обращаться к реестру для своей работы», — добавил депутат.