РОССИЙСКАЯ ФЕДЕРАЦИЯ
ФЕДЕРАЛЬНЫЙ ЗАКОН
Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации
Принят
Государственной Думой
21 декабря 2022 года
Одобрен
Советом Федерации
23 декабря 2022 года
1. Настоящий Федеральный закон регулирует отношения, возникающие при осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных с использованием государственной информационной системы "Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных", а также при ее взаимодействии в целях осуществления аутентификации с использованием биометрических персональных данных физических лиц с информационными системами аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц.
2. Положения настоящего Федерального закона не распространяются:
1) на отношения, возникающие при осуществлении идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц в целях:
а) оперативно-разыскной, контрразведывательной или разведывательной деятельности;
б) обороны страны, обеспечения безопасности государства и охраны правопорядка, реализации внешней политики;
в) функционирования государственной системы миграционного и регистрационного учета, а также изготовления, оформления и контроля обращения документов, удостоверяющих личность;
г) обеспечения санитарно-эпидемиологического благополучия;
2) на отношения, возникающие при осуществлении идентификации и (или) аутентификации в случае, если при осуществлении идентификации и (или) аутентификации проверка соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в информационной системе государственного органа, органа местного самоуправления, Центрального банка Российской Федерации, организации, индивидуального предпринимателя, нотариуса, не осуществляется автоматизированным способом, а осуществляется с участием уполномоченного должностного лица.
В настоящем Федеральном законе используются следующие основные понятия:
1) аккредитованные государственные органы - государственные органы, владеющие информационными системами, обеспечивающими аутентификацию физических лиц с использованием векторов единой биометрической системы, и (или) осуществляющие функции их оператора, прошедшие аккредитацию на право владения такими информационными системами и (или) осуществления функций их операторов в порядке, установленном в соответствии с настоящим Федеральным законом;
2) аутентификация - совокупность мероприятий по проверке лица на принадлежность ему идентификаторов посредством сопоставления их со сведениями о лице, которыми располагает лицо, проводящее аутентификацию, и установлению правомерности владения лицом идентификаторами посредством использования аутентифицирующих признаков в рамках процедуры аутентификации, в результате чего лицо считается установленным;
3) вектор единой биометрической системы - персональные данные, полученные в результате математического преобразования биометрических персональных данных физического лица, содержащихся в единой биометрической системе, которое произведено с использованием информационных технологий и технических средств, соответствующих требованиям, определенным в соответствии с подпунктом "е" пункта 1 части 2 статьи 6 настоящего Федерального закона;
4) единая биометрическая система - государственная информационная система "Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных", которая содержит биометрические персональные данные физических лиц, векторы единой биометрической системы и иную предусмотренную в соответствии с частью 16 статьи 4 настоящего Федерального закона информацию, которая используется в целях осуществления идентификации, аутентификации с использованием биометрических персональных данных физических лиц, а также в иных правоотношениях в случаях, установленных законодательством Российской Федерации, и оператором которой является определенная Правительством Российской Федерации организация;
5) единая система идентификации и аутентификации - федеральная государственная информационная система "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме", обеспечивающая санкционированный доступ к информации, содержащейся в информационных системах;
6) идентификатор - уникальное обозначение сведений о лице, необходимое для определения такого лица;
7) идентификация - совокупность мероприятий по установлению сведений о лице и их проверке, осуществляемых в соответствии с федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами, и сопоставлению данных сведений с идентификатором;
8) мобильное приложение единой биометрической системы - российская программа для электронных вычислительных машин, предназначенная для обработки биометрических персональных данных, входящая в состав единой биометрической системы, предоставляемая на безвозмездной основе ее оператором, функционирующая с применением шифровальных (криптографических) средств, указанных в части 1 статьи 19 настоящего Федерального закона;
9) оператор регионального сегмента единой биометрической системы - орган исполнительной власти субъекта Российской Федерации или подведомственное ему государственное учреждение либо государственное унитарное предприятие, определяемые высшим исполнительным органом субъекта Российской Федерации, осуществляющие создание, развитие, модернизацию и эксплуатацию регионального сегмента единой биометрической системы и являющиеся владельцами технических средств, в том числе программно-технических средств, а также программ для электронных вычислительных машин, предназначенных для обработки биометрических персональных данных, векторов единой биометрической системы, используемых в региональном сегменте единой биометрической системы;
10) организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц, - организации, владеющие информационными системами, обеспечивающими аутентификацию на основе биометрических персональных данных физических лиц, и (или) оказывающие услуги по аутентификации на основе биометрических персональных данных физических лиц, применяющие для этих целей векторы единой биометрической системы и прошедшие аккредитацию в порядке, установленном в соответствии с настоящим Федеральным законом;
11) региональный сегмент единой биометрической системы - элемент единой биометрической системы, который содержит предусмотренную в соответствии с частью 16 статьи 4 и статьей 5 настоящего Федерального закона информацию, оператором которого является орган исполнительной власти субъекта Российской Федерации или подведомственное ему государственное учреждение либо государственное унитарное предприятие, осуществляющие создание, развитие, модернизацию, эксплуатацию и иные полномочия оператора такого сегмента, который используется для осуществления аутентификации и в котором используются предназначенные для обработки биометрических персональных данных, векторов единой биометрической системы технические средства, в том числе программно-технические средства, и программы для электронных вычислительных машин.
1. Единая биометрическая система используется для осуществления идентификации и (или) аутентификации физических лиц государственными органами, органами местного самоуправления, Центральным банком Российской Федерации, банками, иными кредитными организациями, некредитными финансовыми организациями, которые осуществляют указанные в части первой статьи 76_1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" виды деятельности, субъектами национальной платежной системы, лицами, оказывающими профессиональные услуги на финансовом рынке (далее - организации финансового рынка), иными организациями, индивидуальными предпринимателями, нотариусами.
2. Единая биометрическая система может использоваться в иных правоотношениях в случаях, установленных законодательством Российской Федерации.
3. Положение о единой биометрической системе, в том числе о ее региональных сегментах, утверждается Правительством Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и Центральным банком Российской Федерации.
4. В единой биометрической системе размещаются и обрабатываются биометрические персональные данные следующих видов:
1) изображение лица человека, полученное с помощью фотовидеоустройств;
2) запись голоса человека, полученная с помощью звукозаписывающих устройств.
5. К векторам единой биометрической системы не применяются положения статьи 11 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" и меры по обеспечению безопасности биометрических персональных данных при их обработке, установленные в соответствии со статьей 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных".
6. При обработке биометрических персональных данных в единой биометрической системе, в том числе в ее региональных сегментах, их взаимодействии с иными информационными системами должны применяться организационные и технические меры по обеспечению безопасности персональных данных, установленные в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", и использоваться шифровальное (криптографическое) средство, определенное пунктом 5 части 2 статьи 6 настоящего Федерального закона, либо шифровальные (криптографические) средства, позволяющие обеспечить безопасность персональных данных от угроз, определенных:
1) для государственных органов, органов местного самоуправления, Центрального банка Российской Федерации, организаций, за исключением организаций финансового рынка, индивидуальных предпринимателей, нотариусов в соответствии с пунктом 4 части 2 статьи 6 настоящего Федерального закона;
2) для организаций финансового рынка в соответствии с пунктом 1 части 4 статьи 7 настоящего Федерального закона;
3) для органов государственной власти субъектов Российской Федерации, подведомственных им организаций, органов местного самоуправления, подведомственных им организаций, иных организаций, указанных в частях 15 и 16 статьи 5 настоящего Федерального закона, в соответствии с частью 18 статьи 5 настоящего Федерального закона.
7. Банки, многофункциональные центры предоставления государственных и муниципальных услуг и иные организации, размещающие сведения в единой биометрической системе, государственные органы, органы местного самоуправления, Центральный банк Российской Федерации, организации, индивидуальные предприниматели, нотариусы, использующие единую биометрическую систему в целях идентификации и (или) аутентификации, органы государственной власти субъектов Российской Федерации, подведомственные им организации, органы местного самоуправления, подведомственные им организации, иные организации, использующие региональные сегменты единой биометрической системы в целях аутентификации, а также оператор единой биометрической системы, оператор регионального сегмента единой биометрической системы при обработке соответственно биометрических персональных данных, векторов единой биометрической системы осуществляют свои функции в соответствии с законодательством Российской Федерации о персональных данных и требованиями настоящего Федерального закона.
8. В единой биометрической системе, в том числе в ее региональных сегментах, в информационных системах, на право владения которыми и (или) осуществления функций операторов которых были аккредитованы в соответствии с настоящим Федеральным законом государственные органы, Центральный банк Российской Федерации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, организаций финансового рынка, иных организаций, индивидуальных предпринимателей, нотариусов запрещена в целях осуществления идентификации и (или) аутентификации обработка, включая сбор и хранение, геномной информации, сведений, отнесенных к государственной тайне, а также сведений, позволяющих отнести физических лиц к отдельным категориям физических лиц, участие которых в правоотношениях регулируется Законом Российской Федерации от 21 июля 1993 года N 5473-I "Об учреждениях и органах уголовно-исполнительной системы Российской Федерации", Федеральным законом от 15 июля 1995 года N 103-ФЗ "О содержании под стражей подозреваемых и обвиняемых в совершении преступлений", Федеральным законом от 3 апреля 1995 года N 40-ФЗ "О федеральной службе безопасности", Федеральным законом от 20 апреля 1995 года N 45-ФЗ "О государственной защите судей, должностных лиц правоохранительных и контролирующих органов", Федеральным законом от 12 августа 1995 года N 144-ФЗ "Об оперативно-розыскной деятельности", Федеральным законом от 10 января 1996 года N 5-ФЗ "О внешней разведке", Федеральным законом от 27 мая 1996 года N 57-ФЗ "О государственной охране", Федеральным законом от 20 августа 2004 года N 119-ФЗ "О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства", Федеральным законом от 7 февраля 2011 года N 3-ФЗ "О полиции", Федеральным законом от 3 июля 2016 года N 226-ФЗ "О войсках национальной гвардии Российской Федерации".
9. Федеральные органы исполнительной власти, уполномоченные в области безопасности, деятельности войск национальной гвардии Российской Федерации, обеспечения государственной защиты, государственной охраны и внешней разведки, исполнения уголовных наказаний в отношении осужденных, вправе:
1) направлять мотивированный запрос оператору единой биометрической системы, оператору регионального сегмента единой биометрической системы о блокировании, об удалении, уничтожении биометрических персональных данных отдельных физических лиц, указанных в части 8 настоящей статьи, о внесении изменений в сведения, содержащиеся в единой биометрической системе, региональном сегменте единой биометрической системы, в случаях, предусмотренных законодательством Российской Федерации;
2) обрабатывать указанные в пункте 1 настоящей части сведения в случаях и в порядке, которые предусмотрены законодательством Российской Федерации.
10. Принадлежащие Российской Федерации исключительные и иные интеллектуальные права на созданные или приобретенные за счет средств федерального бюджета программы для электронных вычислительных машин и иные результаты интеллектуальной деятельности, а также приравненные к ним средства индивидуализации, связанные с модернизацией и развитием единой биометрической системы, могут быть отчуждены (переданы) только оператору единой биометрической системы. Оператор единой биометрической системы не вправе отчуждать (передавать) указанные права третьим лицам. В случае прекращения осуществления функций оператора единой биометрической системы указанные права подлежат отчуждению (передаче) Российской Федерации.
11. Предоставление физическими лицами своих биометрических персональных данных в целях, предусмотренных настоящим Федеральным законом, не может быть обязательным.
12. Государственные органы, органы местного самоуправления, Центральный банк Российской Федерации, организации финансового рынка, иные организации, индивидуальные предприниматели, нотариусы не вправе обусловливать оказание предоставляемых ими государственных, муниципальных и иных услуг, выполнение государственных, муниципальных функций, продажу товаров, выполнение работ, а также объем предоставляемых услуг (работ), выполняемых государственных, муниципальных функций, количество продаваемых товаров обязательным прохождением идентификации и (или) аутентификации с применением биометрических персональных данных.
13. Отказ физического лица от прохождения идентификации и (или) аутентификации с использованием его биометрических персональных данных не может служить основанием для отказа ему в оказании государственной, муниципальной или иной услуги, выполнении государственных, муниципальных функций, продаже товаров, выполнении работ или отказа в приеме на обслуживание.
14. Физическое лицо, зарегистрированное в единой системе идентификации и аутентификации, в порядке, устанавливаемом Правительством Российской Федерации по согласованию с федеральным органом исполнительной власти в области обеспечения безопасности, с использованием федеральной государственной информационной системы "Единый портал государственных и муниципальных услуг (функций)" вправе:
1) предоставить согласие на размещение и обработку биометрических персональных данных, размещаемых в единой биометрической системе в соответствии с частью 9 статьи 4 настоящего Федерального закона;
2) ознакомиться со сведениями о согласиях, предоставленных оператору единой биометрической системы;
3) ознакомиться со сведениями о согласиях на обработку биометрических персональных данных в целях проведения его идентификации, предоставленных государственным органам, органам местного самоуправления, Центральному банку Российской Федерации, организациям финансового рынка, иным организациям, индивидуальным предпринимателям, нотариусам, указанным в части 1 статьи 9 настоящего Федерального закона;
4) ознакомиться со сведениями о согласиях на обработку биометрических персональных данных в целях проведения его аутентификации, предоставленных оператору регионального сегмента единой биометрической системы, аккредитованному государственному органу, Центральному банку Российской Федерации в случае прохождения им аккредитации, организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, а также государственным органам, органам местного самоуправления, Центральному банку Российской Федерации, организации финансового рынка, иной организации, индивидуальному предпринимателю, нотариусу, указанным в части 1 статьи 10 настоящего Федерального закона, подписанных:
а) усиленной квалифицированной электронной подписью;
б) усиленной неквалифицированной электронной подписью, сертификат ключа проверки которой создан и используется в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме, в установленном Правительством Российской Федерации порядке, предусматривающем в том числе порядок проверки такой электронной подписи, и при условии организации взаимодействия физического лица с такой инфраструктурой с применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации (далее - усиленная неквалифицированная электронная подпись);
в) простой электронной подписью, ключ которой получен физическим лицом при личной явке в соответствии с правилами использования простой электронной подписи при обращении за получением государственных и муниципальных услуг в электронной форме, установленными Правительством Российской Федерации;
5) отозвать указанные в пунктах 1-4 настоящей части согласия;
6) направить оператору единой биометрической системы требование о блокировании, об удалении, уничтожении биометрических персональных данных и (или) векторов единой биометрической системы;
7) ознакомиться со сведениями о представленном им отказе от сбора и размещения его биометрических персональных данных в целях проведения идентификации и (или) аутентификации, а также в случае отзыва такого отказа ознакомиться со сведениями об отзыве.
15. В случае отзыва субъектом персональных данных у оператора единой биометрической системы согласия на обработку биометрических персональных данных или получения от субъекта персональных данных требования о блокировании, об удалении, уничтожении биометрических персональных данных и (или) векторов единой биометрической системы с учетом требований, установленных Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", с использованием федеральной государственной информационной системы "Единый портал государственных и муниципальных услуг (функций)", а также иными способами, предусмотренными Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", оператор единой биометрической системы, а также оператор регионального сегмента единой биометрической системы, аккредитованный государственный орган, Центральный банк Российской Федерации в случае прохождения им аккредитации, организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц, блокируют, удаляют, уничтожают биометрические персональные данные и (или) векторы единой биометрической системы.