Президент РФ подписал в четверг федеральный закон № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных…», подготовленный в связи с реализацией государственной политики в части повышения безопасности обработки биометрических ПД.
Напомним, закон регулирует отношения, возникающие при осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических ПД с использованием единой биометрической системы (ЕБС), а также при её взаимодействии в целях осуществления аутентификации с использованием биометрических ПД с информационными системами аккредитованных государственных органов, Центробанка РФ в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических ПД физических лиц.
См. также: ЕБС приобрела статус ГИС >>>
Документом устанавливается возможность образования в составе единой биометрической системы региональных сегментов.
В ЕБС вводятся следующие персональные данные (ПД):
- изображение лица человека, полученное с помощью фотовидеоустройств;
- запись голоса человека, полученная с помощью звукозаписывающих устройств.
Гражданин не обязан предоставлять в ЕБС свои биометрические ПД «в целях, предусмотренных законом».
Органы власти, ЦБ, банки, нотариусы, ИП и др. организации «не вправе обусловливать оказание предоставляемых ими государственных, муниципальных и иных услуг, выполнение государственных, муниципальных функций, продажу товаров, выполнение работ, а также объём предоставляемых услуг (работ), выполняемых государственных, муниципальных функций, количество продаваемых товаров обязательным прохождением идентификации и (или) аутентификации с применением биометрических ПД», говорится в документе.
Отказ физического лица от прохождения идентификации и (или) аутентификации с использованием его биометрических ПД не может служить основанием для отказа ему в оказании государственной, муниципальной или иной услуги, выполнении государственных, муниципальных функций, продаже товаров, выполнении работ или отказа в приеме на обслуживание.
Статья 13 закона – «Осуществление идентификации и (или) аутентификации при проходе на территории организаций» – гласит, что пройти на объект, где «совершение террористического акта …может привести к возникновению чрезвычайных ситуаций с опасными социально-экономическими последствиями», можно только с использованием ЕБС. Это оставляет широкие возможности для администратора, желающего принудить гражданина к тому, чтобы предоставить ЕБС свою биометрию.
Кроме того, закон касается только ЕБС. Между тем биометрические данные у гражданина могут потребовать – и требуют – в множестве мест вне связи с ЕБС. Отказаться в этих местах от сдачи биометрии (в качестве которой чаще всего фигурирует цифровое изображение лица) в большинстве случаев можно только вместе с отказом от самой услуги. Где хранятся биометрические данные, не поступающие в ЕБС, и насколько хорошо они защищены – гражданину неизвестно.
Актуальный пример такой ситуации – так называемая карта болельщика. Это электронный документ, оформляемый только при условии предоставления биометрических данных. С 2023 года он будет обязателен для посещения матчей команд российской премьер-лиги. Где хранится биометрия обладателей «карт болельщика», непонятно, известно лишь, что за пределами ЕБС (подробнее здесь).
Закон устанавливает, что гражданин, зарегистрированный на едином портале госуслуг (ЕПГУ), вправе:
- предоставить согласие на размещение и обработку биометрических ПД;
- ознакомиться со сведениями о согласиях, предоставленных оператору ЕБС и различным органам власти и организациям (в том числе в региональных сегментах ЕБС);
- отозвать данные ранее согласия [на обработку своих биометрических данных];
- направить оператору ЕБС («Ростелеком») требование о блокировании, удалении, уничтожении биометрических ПД;
- ознакомиться со сведениями о представленном им отказе от сбора и размещения его биометрических ПД в целях проведения идентификации и (или) аутентификации, а также в случае отзыва такого отказа ознакомиться со сведениями об отзыве.
Отказаться от сбора ПД или отозвать ранее представленный отказ гражданин может также в МФЦ – при личном присутствии. В МФЦ обязаны выдать ему письменное подтверждение.
Согласие на обработку биометрических ПД несовершеннолетних, отказ от сбора и размещения их биометрических ПД, а также отзыв таких согласия и отказа дается (представляется) законными представителями несовершеннолетних.
Закон прямо запрещает идентификацию и (или) аутентификацию физических лиц с использованием биометрических ПД, при которых необходима их трансграничная передача, за исключением аутентификации, осуществляемой аккредитованными госорганами или ЦБ в определённых случаях.
Также установлено, что правительство РФ должно образовать Координационный совет по развитию цифровых технологий идентификации и аутентификации на основе биометрических ПД — в целях развития в России технологий идентификации и аутентификации с использованием биометрических ПД физических лиц, определения стратегических направлений развития указанных технологий, обеспечения недискриминационного доступа к ЕБС, мониторинга практики применения подписанного закона.
Закон описывает процесс размещения сведений в ЕБС и в единой системе идентификации и аутентификации (ЕСИА); региональные сегменты ЕБС; функции уполномоченного органа, осуществляющего регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических ПД и т.д.
«Порядка 70 миллионов данных о биометриях уже находятся в обороте. В основном эти данные собраны банками, операторами связи и другими коммерческими структурами. Никакого контроля за ними нет. …Закон о биометрических данных нужен, чтобы защитить их от неправомерного оборота», – сообщал на прошлой неделе глава IT-комитета Госдумы Александр Хинштейн.
Большинство положений закона вступают в силу со дня его официального опубликования.
