МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ
ПРИКАЗ
от 12 мая 2023 года N 453
О порядке обработки биометрических персональных данных и векторов единой биометрической системы в единой биометрической системе и в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц
(с изменениями на 29 ноября 2023 года)
____________________________________________________________________
Документ с изменениями, внесенными:
приказом Минцифры России от 29 ноября 2023 года N 1024 (Официальный интернет-портал правовой информации www.pravo.gov.ru, 12.01.2024, N 0001202401120014).
____________________________________________________________________
В соответствии с пунктом 1 части 2 статьи 6 Федерального закона от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" и подпунктами 5.2.57-5.2.62 пункта 5 Положения о Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации, утвержденного постановлением Правительства Российской Федерации от 2 июня 2008 г. N 418,
приказываю:
1. Утвердить по согласованию с Федеральной службой безопасности Российской Федерации и Центральным банком Российской Федерации:
Порядок обработки, включая сбор, хранение, биометрических персональных данных, в том числе требования к параметрам биометрических персональных данных, согласно приложению N 1 к настоящему приказу;
Порядок размещения и обновления биометрических персональных данных в единой биометрической системе, а также случаи и сроки использования биометрических персональных данных при их размещении в единой биометрической системе в соответствии с частью 14 статьи 4 Федерального закона от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" согласно приложению N 2 к настоящему приказу;
Порядок обработки, включая сбор, хранения и уничтожения биометрических персональных данных, векторов единой биометрической системы в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, согласно приложению N 3 к настоящему приказу;
Порядок создания и передачи векторов единой биометрической системы в целях осуществления аутентификации согласно приложению N 4 к настоящему приказу;
Требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения идентификации и (или) аутентификации, а также порядок подтверждения соответствия информационных технологий и технических средств указанным требованиям согласно приложению N 5 к настоящему приказу.
2. Признать утратившим силу приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 10.09.2021 N 930 "Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных, порядка размещения и обновления биометрических персональных данных в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации" (зарегистрирован Минюстом России 28 октября 2021 г., регистрационный N 65621).
3. Настоящий приказ вступает в силу по истечении десяти дней со дня его официального опубликования и действует до 1 июня 2029 г., за исключением пунктов 5 и 22 приложения N 1 к настоящему приказу, подпункта 4 пункта 1, пункта 3, подпункта 3 пункта 5, пунктов 7, 16 и 18 приложения N 2 к настоящему приказу, которые действуют до 1 января 2027 г.
(Пункт в редакции, введенной в действие с 23 января 2024 года приказом Минцифры России от 29 ноября 2023 года N 1024. - См. предыдущую редакцию)
Министр
М.И.Шадаев
Зарегистрировано
в Министерстве юстиции
Российской Федерации
30 мая 2023 года,
регистрационный N 73620
Порядок обработки, включая сбор, хранение, биометрических персональных данных, в том числе требования к параметрам биометрических персональных данных
1. Обработка, включая сбор, хранение, биометрических персональных данных для идентификации и (или) аутентификации реализуется с применением информационных технологий и технических средств, имеющих подтверждение соответствия требованиям к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения идентификации и (или) аутентификации, которое проводится федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных в соответствии с Требованиями к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения идентификации и (или) аутентификации, а также порядком подтверждения соответствия информационных технологий и технических средств указанным требованиям, содержащимися в приложении N 5 к настоящему приказу.
_______________
2. В соответствии с настоящим Порядком проводится обработка биометрических персональных данных следующих видов:
изображение лица человека, полученное с помощью фотовидеоустройств (далее - изображение лица);
запись голоса человека, полученная с помощью звукозаписывающих устройств (далее - запись голоса).
3. В единой биометрической системе в целях осуществления идентификации осуществляется обработка записей голоса, собранных текстозависимым методом.
_______________
Пункт 4 статьи 2 Федерального закона N 572-ФЗ.
4. Параметры собираемых для размещения в единой биометрической системе биометрических персональных данных должны соответствовать требованиям, установленным пунктами 11-14 настоящего Порядка.
5. Параметры собираемых для размещения в региональном сегменте единой биометрической системы биометрических персональных данных должны соответствовать требованиям, установленным пунктами 12 и 14 настоящего Порядка.
6. В единой биометрической системе в результате обработки биометрических персональных данных осуществляется создание векторов единой биометрической системы в соответствии с Порядком создания и передачи векторов единой биометрической системы в целях осуществления аутентификации, содержащимся в приложении N 4 к настоящему приказу.
7. Сбор биометрических персональных данных для размещения в единой биометрической системе в соответствии с частью 1 статьи 4 Федерального закона N 572-ФЗ производится при личном присутствии физического лица уполномоченным работником банка, многофункционального центра предоставления государственных и муниципальных услуг (далее -многофункциональный центр) и иной организации в случаях, определенных федеральными законами (далее - организация), в соответствии с требованиями к параметрам биометрических персональных данных, установленными пунктами 11, 13 настоящего Порядка.
При сборе биометрических персональных данных в целях размещения в единой биометрической системе уполномоченный работник многофункционального центра подписывает собранные биометрические персональные данные своей усиленной квалифицированной электронной подписью.
При сборе биометрических персональных данных в целях размещения в единой биометрической системе уполномоченный работник банка и организации подписывает собранные биометрические персональные данные своей усиленной квалифицированной электронной подписью или усиленной неквалифицированной электронной подписью, которая создается и проверяется с использованием средств электронной подписи и средств удостоверяющего центра, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности в соответствии с частью 5 статьи 8 Федерального закона от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи", соответствующего банка или организации.
8. Банк, многофункциональный центр и организация при сборе биометрических персональных данных для размещения в единой биометрической системе определяют уполномоченных работников, осуществляющих сбор биометрических персональных данных (далее - уполномоченный работник), и осуществляют выдачу им сертификатов ключей проверки электронной подписи, используемой для подписания биометрических персональных данных в соответствии с пунктом 7 настоящего Порядка.
Уполномоченный работник осуществляет защищенное хранение выданного ему ключа электронной подписи, используемой для подписания биометрических персональных данных в соответствии с пунктом 7 настоящего Порядка, обеспечивающее конфиденциальность ключа электронной подписи и исключающее его несанкционированное изменение, добавление и удаление в соответствии с законодательством Российской Федерации в области электронной подписи.
Уполномоченный работник подписывает своей электронной подписью в соответствии с пунктом 7 настоящего Порядка биометрические персональные данные, собранные им, и информацию, указанную в пункте 16 настоящего Порядка.
9. Уполномоченный работник обязан соблюдать конфиденциальность ключа электронной подписи, используемой для подписания биометрических персональных данных в соответствии с пунктом 7 настоящего Порядка.
10. Обработка, включая сбор, биометрических персональных данных физического лица для размещения в единой биометрической системе, осуществляется после:
получения согласия на обработку персональных данных в единой системе идентификации и аутентификации и биометрических персональных данных в единой биометрической системе по форме, утвержденной в соответствии с частью 2 статьи 4 Федерального закона N 572-ФЗ;
_______________
Пункт 5 статьи 2 Федерального закона N 572-ФЗ.
проведения идентификации физического лица в соответствии с требованиями, утвержденными согласно пункту 2 части 6 статьи 4 Федерального закона N 572-ФЗ.
Указанная в настоящем пункте идентификация не проводится при размещении биометрических персональных данных в региональном сегменте единой биометрической системы и в случаях, предусмотренных подпунктами 2-4 пункта 1 Порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также случаев и сроков использования биометрических персональных данных при их размещении в единой биометрической системе в соответствии с частью 14 статьи 4 Федерального закона от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации", содержащегося в приложении N 2 к настоящему приказу (далее - Порядок размещения и обновления).
11. Параметры биометрических персональных данных изображения лица, размещаемых в единой биометрической системе, в том числе в соответствии с частью 9 статьи 4 Федерального закона N 572-ФЗ, для проведения идентификации и (или) аутентификации, должны соответствовать следующим требованиям:
цвета пикселей изображений фронтального типа должны быть представлены в 24-битовом цветовом пространстве RGB, в котором на каждый пиксель приходится по 8 битов на каждый компонент цвета: красный, зеленый и синий;
изменение интенсивности в области лица (от макушки до подбородка и от левого уха до правого уха) после преобразования к градациям серого должно находиться в диапазоне от 128 уровней до 255 уровней, при этом на лице не должно быть областей с насыщением (недостаточной или слишком большой экспозицией) - контраст изображения в области лица должен составлять от 0,3 до 0,95;
поворот головы должен быть не более 15° от фронтального положения, при этом на изображении лица должны быть видны левое и правое ухо (при их наличии) и скуловые точки (точки ZY (код 2.1, 2.2) в соответствии с пунктом 5.6.6 Национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 19794-5-2013 "Национальный стандарт Российской Федерации. Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица", утвержденного и введенного в действие приказом Федерального агентства по техническому регулированию и метрологии от 6 сентября 2013 г. N 987-ст (далее - ГОСТ Р ИСО/МЭК 19794-5-2013);
_______________
С изменениями, внесенными приказами Федерального агентства по техническому регулированию и метрологии от 8 ноября 2018 г. N 947-ст "Об утверждении изменения к национальному стандарту Российской Федерации", от 25 ноября 2021 г. N 1607-ст "Об утверждении изменения национального стандарта Российской Федерации".
наклон головы должен быть не более 15° от фронтального положения, при этом на изображении лица линия, проходящая через скуловые точки (точки ZY) в соответствии с пунктом 5.6.6 ГОСТ Р ИСО/МЭК 19794-5-2013, должна располагаться между линией, проведенной через нижние точки крыла носа (точки SBAL (код 5.9, 5.10) в соответствии с пунктом 5.6.6 ГОСТ Р ИСО/МЭК 19794-5-2013), и линией, проведенной между центральными точками зрачка (точки Р (код 3.5, 3.6) в соответствии с пунктом 5.6.6 ГОСТ Р ИСО/МЭК 19794-5-2013);
отклонение головы должно быть не более 10° от фронтального положения;
расстояние между центрами глаз должно составлять не менее 120 пикселей;
не допускается наличие на изображении визуально различимой бочкообразной дисторсии и подушкообразной дисторсии;
изображение должно содержать полное изображение головы человека, верхушечную точку (точка V (код точки 1.1) в соответствии с пунктом 5.6.6 ГОСТ Р ИСО/МЭК 19794-5-2013) и низшую точку подбородка (точка GN (код точки 2.7) в соответствии с пунктом 5.6.6 ГОСТ Р ИСО/МЭК 19794-5-2013), в том числе в случае перекрытия указанных элементов волосяным покровом;
не допускается перекрытие волосами или посторонними предметами изображения лица по всей ширине от бровей до нижней губы, за исключением их перекрытия бородой и (или) усами;
на изображении должно присутствовать только одно лицо, наличие других лиц, фрагментов других лиц не допускается;
выражение лица должно быть нейтральным, рот закрыт, оба глаза открыты нормально для соответствующего физического лица (с учетом поведенческих факторов и (или) медицинских заболеваний);
лицо должно быть равномерно освещено в области левой и правой щек и носа (неравномерность яркости не более 0,3), не допускается наличие бликов и теней в области лица;
все точки полученного изображения лица (от макушки до подбородка по всей ширине лица) должны быть в фокусе;
в случае фотографирования человека в очках не допускается перекрытие оправой зрачков и радужной оболочки глаз, использование солнцезащитных или тонированных очков, наличие бликов на линзах очков;
изображение лица должно быть сохранено в формате .jpeg или .png; код сжатия: JPEG (000), PNG (003);
на изображении должны отсутствовать артефакты сжатия.
12. Параметры биометрических персональных данных изображения лица, размещаемых в единой биометрической системе в соответствии с подпунктом 3 пункта 1 Порядка размещения и обновления, должны соответствовать следующим требованиям: