ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ

ПОСТАНОВЛЕНИЕ

от 15 июня 2022 года N 1066


О размещении физическими лицами своих биометрических персональных данных в единой биометрической системе с использованием мобильного приложения единой биометрической системы *

(с изменениями на 29 мая 2023 года)

Информация об изменяющих документах

____________________________________________________________________

Документ с изменениями, внесенными:

постановлением Правительства Российской Федерации от 29 мая 2023 года N 851 (Официальный интернет-портал правовой информации www.pravo.gov.ru, 30.05.2023, N 0001202305300040) (вступило в силу с 1 июня 2023 года).

____________________________________________________________________

________________

* Наименование в редакции, введенной в действие с 1 июня 2023 года постановлением Правительства Российской Федерации от 29 мая 2023 года N 851. - См. предыдущую редакцию.

Правительство Российской Федерации

(Преамбула в редакции, введенной в действие с 1 июня 2023 года постановлением Правительства Российской Федерации от 29 мая 2023 года N 851. - См. предыдущую редакцию)

постановляет:

1. Утвердить согласованные с Федеральной службой безопасности Российской Федерации прилагаемые:

Правила размещения физическими лицами своих биометрических персональных данных в единой биометрической системе с использованием мобильного приложения единой биометрической системы;

Правила размещения физическими лицами своих биометрических персональных данных в региональном сегменте единой биометрической системы с использованием регионального мобильного приложения единой биометрической системы.

(Пункт в редакции, введенной в действие с 1 июня 2023 года постановлением Правительства Российской Федерации от 29 мая 2023 года N 851. - См. предыдущую редакцию)

2. Министерству цифрового развития, связи и массовых коммуникаций Российской Федерации не позднее 30 июля 2022 г.:

обеспечить возможность применения прошедших в установленном порядке процедуру оценки соответствия шифровальных (криптографических) средств защиты информации (далее - средства криптографической защиты информации) при использовании федеральной государственной информационной системы "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме" и единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица (далее - единая биометрическая система);

обеспечить функционирование технического решения, используемого для проверки действительности документа, удостоверяющего личность гражданина Российской Федерации за пределами территории Российской Федерации, содержащего электронный носитель информации с записанными на нем персональными данными владельца паспорта, включая биометрические персональные данные, в соответствии с пунктом 11 Правил, утвержденных настоящим постановлением.

3. Рекомендовать оператору единой биометрической системы:

а) не позднее 30 июля 2022 г.:

по согласованию с Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации, Федеральной службой безопасности Российской Федерации разработать программу и методику для оценки алгоритмов проверок на обнаружение атаки на биометрическое предъявление в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р 58624.3-2019 (ИСО/МЭК 30107-3:2017) "Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 3. Испытания и протоколы испытаний", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 20 ноября 2019 г. N 1197-ст "Об утверждении национального стандарта Российской Федерации" и введенного в действие с 1 июня 2020 г.;

создать российское программное обеспечение, предназначенное для обработки биометрических персональных данных, входящее в состав единой биометрической системы, функционирующее с применением шифровальных (криптографических) средств, указанных в части 19_1 статьи 14_1 Федерального закона "Об информации, информационных технологиях и о защите информации" (далее - мобильное приложение);

организовать работы по оценке соответствия мобильного приложения;

б) не позднее 30 сентября 2022 г.:

утвердить по согласованию с Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации, Федеральной службой безопасности Российской Федерации системный проект технического решения по размещению физическими лицами своих биометрических персональных данных в единой биометрической системе, а также использованию указанных биометрических персональных данных в случаях, устанавливаемых Правительством Российской Федерации в соответствии с частью 1_3 статьи 14_1 Федерального закона "Об информации, информационных технологиях и о защите информации" (далее - системный проект);

обеспечить подключение мобильного приложения к федеральной государственной информационной системе "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме" и единой биометрической системе с применением прошедших в установленном порядке процедуру оценки соответствия средств криптографической защиты информации;

в) проводить анализ по программе и методике, указанным в абзаце втором подпункта "а" пункта 3 настоящего постановления, для оценки алгоритмов проверок на обнаружение атаки на биометрическое предъявление.

4. Федеральной службе безопасности Российской Федерации:

не позднее 60 дней со дня получения результатов работ, предусмотренных абзацем четвертым подпункта "а" пункта 3 настоящего постановления, необходимых для осуществления оценки соответствия мобильного приложения, провести указанную оценку;

не позднее 15 дней со дня получения системного проекта от оператора единой биометрической системы согласовать системный проект.

5. Реализация настоящего постановления федеральными органами исполнительной власти осуществляется в пределах установленной предельной штатной численности работников их центральных аппаратов и территориальных органов, а также бюджетных ассигнований, предусмотренных указанным федеральным органам исполнительной власти в федеральном бюджете на руководство и управление в сфере установленных функций.

6. Настоящее постановление вступает в силу со дня его официального опубликования, за исключением пункта 1 настоящего постановления, вступающего в силу с 30 сентября 2022 г.

Председатель Правительства
Российской Федерации
М.Мишустин



УТВЕРЖДЕНЫ
постановлением Правительства
Российской Федерации
от 15 июня 2022 года N 1066
(В редакции, введенной в действие
 с 1 июня 2023 года
 постановлением Правительства
 Российской Федерации
 от 29 мая 2023 года N 851
. -
 См. предыдущую редакцию)



Правила размещения физическими лицами своих биометрических персональных данных в единой биометрической системе с использованием мобильного приложения единой биометрической системы



1. Настоящие Правила устанавливают порядок размещения физическими лицами своих биометрических персональных данных в единой биометрической системе.

2. В соответствии с настоящими Правилами использование мобильного приложения единой биометрической системы (далее - мобильное приложение) осуществляется после проведения оператором единой биометрической системы автоматической проверки на отсутствие на пользовательском оборудовании (оконечном оборудовании), имеющем в своем составе идентификационный модуль, вредоносного программного обеспечения.

Физические лица самостоятельно обеспечивают сохранность и неразглашение сведений, связанных с применением мобильного приложения, в том числе сведений, используемых ими для доступа к пользовательскому оборудованию (оконечному оборудованию), имеющему в своем составе идентификационный модуль, и (или) мобильному приложению и их сервисам (логины, пароли, коды), а также самостоятельно отвечают за все действия, производимые ими с использованием мобильного приложения, и сведений, используемых ими для доступа к мобильному приложению (логины, пароли, коды).

3. Размещение биометрических персональных данных в единой биометрической системе осуществляется при выполнении одного из следующих условий:

а) наличие учетной записи физического лица в федеральной государственной информационной системе "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме" (далее - единая система идентификации и аутентификации);

б) наличие учетной записи физического лица в государственной информационной системе персональных данных государственного органа, если такая государственная информационная система в установленном Правительством Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, порядке обеспечивает взаимодействие с единой системой идентификации и аутентификации, при условии совпадения сведений о физическом лице, содержащихся в указанных информационных системах;

в) наличие идентификаторов сведений о физическом лице, размещенных в иной информационной системе, если иная информационная система в установленном Правительством Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, порядке обеспечивает взаимодействие с единой системой идентификации и аутентификации, при условии совпадения сведений о физическом лице, содержащихся в указанных информационных системах;

г) наличие идентификаторов сведений о физическом лице, размещенных в иной информационной системе, если иная информационная система в установленном Правительством Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, порядке обеспечивает взаимодействие с единой системой идентификации и аутентификации, при условии отсутствия сведений о физическом лице в единой системе идентификации и аутентификации.

4. Оператор единой биометрической системы с использованием мобильного приложения обеспечивает информирование физических лиц о перечне государственных и иных информационных систем, учетные записи физического лица или идентификаторы сведений о физическом лице в которых могут использоваться для размещения биометрических персональных данных в единой биометрической системе.

5. В единой биометрической системе размещаются сведения, предусмотренные пунктами "а", "г", "д", "ж" и "з" состава сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, включая вид биометрических персональных данных, утвержденного постановлением Правительства Российской Федерации от 30 июня 2018 г. N 772 "Об определении состава сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, включая вид биометрических персональных данных, а также о внесении изменений в некоторые акты Правительства Российской Федерации" (далее - состав сведений), в случае, предусмотренном подпунктом "а" пункта 3 настоящих Правил, или сведения, предусмотренные пунктами "а", "г", "д", "ж" и "з" состава сведений (при наличии таких сведений), а также сведения об учетной записи физического лица, размещенные в государственной информационной системе персональных данных государственного органа, или идентификаторы сведений о физическом лице, размещенные в иной информационной системе, в случаях, предусмотренных подпунктами "б" и "в" пункта 3 настоящих Правил соответственно, или сведения, предусмотренные пунктами "а", "д", "ж" и "з" состава сведений (при наличии таких сведений), а также идентификаторы сведений о физическом лице, размещенные в иной информационной системе, в случае, предусмотренном подпунктом "г" пункта 3 настоящих Правил.

6. Размещение биометрических персональных данных в единой биометрической системе осуществляется при наличии согласия физического лица на обработку его биометрических персональных данных.

7. Размещение в единой биометрической системе биометрических персональных данных, указанных в пункте "а" состава сведений, осуществляется физическими лицами самостоятельно путем сбора с применением мобильного приложения параметров биометрических персональных данных изображения лица и (или) данных записи голоса физического лица.

В отношении параметров биометрических персональных данных, указанных в абзаце первом настоящего пункта, содержащих в том числе метку даты и времени, осуществляется проверка на соответствие требованиям, определенным порядком обработки, включая сбор, хранение, биометрических персональных данных, определенным в соответствии с подпунктом "а" пункта 1 части 2 статьи 6 Федерального закона "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" (далее - требования к параметрам биометрических персональных данных).

В случае если в процессе прохождения проверки на соответствие требованиям к параметрам биометрических персональных данных установлено несоответствие параметров биометрических персональных данных требованиям к параметрам биометрических персональных данных, размещение биометрических персональных данных в единой биометрической системе не осуществляется, о чем физическое лицо получает уведомление, которое может направляться в том числе на адрес электронной почты, содержащийся в единой биометрической системе в соответствии с пунктом "д" состава сведений (далее - адрес электронной почты), и (или) размещаться в личном кабинете физического лица федеральной государственной информационной системы "Единый портал государственных и муниципальных услуг (функций)" (далее - личный кабинет).

8. В процессе размещения в соответствии с настоящими Правилами в единой биометрической системе биометрических персональных данных единой биометрической системой в автоматизированном режиме с использованием соответствующего программного обеспечения, обеспечивающего обнаружение атак на биометрическое предъявление методом пассивного обнаружения витальности в соответствии с требованиями пункта 6.2.2 раздела 6 национального стандарта Российской Федерации ГОСТ Р 58624.1-2019 (ИСО/МЭК 30107-1:2016) "Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 1. Структура", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 31 октября 2019 г. N 850-ст и введенного в действие с 1 июня 2020 г., осуществляется проверка на обнаружение атаки на биометрическое предъявление.

Оценка программного обеспечения для обнаружения атаки на биометрическое предъявление осуществляется в соответствии с программой и методикой для оценки алгоритмов проверок на обнаружение атаки на биометрическое предъявление в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р 58624.3-2019 (ИСО/МЭК 30107-3:2017) "Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 3. Испытания и протоколы испытаний", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 20 ноября 2019 г. N 1197-ст и введенного в действие с 1 июня 2020 г.

В случае наличия у оператора единой биометрической системы обоснованного сомнения относительно соответствия сведений, указанных в пунктах "а" и "г" состава сведений, сведений об учетной записи физического лица, размещенных в государственной информационной системе персональных данных государственного органа, или идентификаторов сведений о физическом лице, размещенных в иной информационной системе, физическому лицу, размещающему биометрические персональные данные в единой биометрической системе, размещение указанных в пункте 5 настоящих Правил сведений в единой биометрической системе не осуществляется, о чем физическое лицо получает уведомление, которое может направляться в том числе на адрес электронной почты и (или) размещаться в личном кабинете.

9. Размещение в единой биометрической системе сведений, указанных в пунктах "г", "д" и "з" состава сведений, сведений об учетной записи физического лица, размещенных в государственной информационной системе персональных данных государственного органа, или идентификаторов сведений о физическом лице, размещенных в иной информационной системе, осуществляется путем их автоматического предоставления из единой системы идентификации и аутентификации, государственной информационной системы персональных данных государственного органа или иной информационной системы соответственно.

В случаях, предусмотренных подпунктами "б" - "г" пункта 3 настоящих Правил, размещение в единой биометрической системе сведений, указанных в пункте "д" состава сведений, осуществляется путем их предоставления физическим лицом при использовании мобильного приложения в случае их отсутствия в соответствующих информационных системах.

10. Размещение биометрических персональных данных в единой биометрической системе осуществляется после подтверждения личности физического лица, размещающего биометрические персональные данные в единой биометрической системе, за исключением случая, предусмотренного пунктом 11 настоящих Правил. Подтверждение личности физического лица, а также автоматическая проверка размещаемых в единой биометрической системе биометрических персональных данных осуществляются оператором единой биометрической системы с использованием документа, удостоверяющего личность гражданина Российской Федерации за пределами территории Российской Федерации, содержащего электронный носитель информации с записанными на нем персональными данными владельца паспорта, включая биометрические персональные данные, государственной системы миграционного и регистрационного учета, а также изготовления, оформления и контроля обращения документов, удостоверяющих личность, путем установления соответствия размещаемых физическим лицом биометрических персональных данных его биометрическим персональным данным, записанным на электронном носителе информации, а также проверки соответствия персональных данных владельца паспорта сведениям, размещенным в единой системе идентификации и аутентификации, государственной информационной системе персональных данных государственного органа или иной информационной системе, в зависимости от выполненного условия размещения биометрических персональных данных в единой биометрической системе, указанного в пункте 3 настоящих Правил.

Указанное в абзаце первом настоящего пункта подтверждение личности физического лица, размещающего биометрические персональные данные в единой биометрической системе, осуществляется оператором единой биометрической системы с использованием технического решения, используемого для проверки действительности документа, удостоверяющего личность гражданина Российской Федерации за пределами территории Российской Федерации, содержащего электронный носитель информации с записанными на нем персональными данными владельца паспорта, включая биометрические персональные данные.

11. Если личность физического лица, размещающего биометрические персональные данные в единой биометрической системе, не подтверждена в порядке, предусмотренном пунктом 10 настоящих Правил, биометрические персональные данные размещаются в единой биометрической системе и могут быть использованы только в случаях и в сроки, устанавливаемые Правительством Российской Федерации в соответствии с пунктом 3 части 13 статьи 4 Федерального закона "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации".

12. Реализация настоящих Правил осуществляется с применением средств криптографической защиты информации, позволяющих обеспечить безопасность персональных данных от угроз, определенных в соответствии с пунктом 4 части 2 статьи 6 Федерального закона "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации".

13. Физические лица получают уведомления, которые могут направляться в том числе на адрес электронной почты и (или) размещаться в личном кабинете, о любых действиях, совершаемых с их биометрическими персональными данными:

Этот документ входит в профессиональные
справочные системы «Кодекс» и  «Техэксперт»