Правила размещения физическими лицами своих биометрических персональных данных в единой биометрической системе с использованием мобильного приложения единой биометрической системы
(с изменениями на 23 марта 2024 года)
1. Настоящие Правила устанавливают порядок размещения физическими лицами своих биометрических персональных данных в единой биометрической системе.
2. В соответствии с настоящими Правилами использование мобильного приложения единой биометрической системы (далее - мобильное приложение) осуществляется после проведения оператором единой биометрической системы автоматической проверки на отсутствие на пользовательском оборудовании (оконечном оборудовании), имеющем в своем составе идентификационный модуль, вредоносного программного обеспечения.
Физические лица самостоятельно обеспечивают сохранность и неразглашение сведений, связанных с применением мобильного приложения, в том числе сведений, используемых ими для доступа к пользовательскому оборудованию (оконечному оборудованию), имеющему в своем составе идентификационный модуль, и (или) мобильному приложению и их сервисам (логины, пароли, коды), а также самостоятельно отвечают за все действия, производимые ими с использованием мобильного приложения, и сведений, используемых ими для доступа к мобильному приложению (логины, пароли, коды).
3. Размещение биометрических персональных данных в единой биометрической системе осуществляется при выполнении одного из следующих условий:
а) наличие учетной записи физического лица в федеральной государственной информационной системе "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме" (далее - единая система идентификации и аутентификации);
б) наличие учетной записи физического лица в государственной информационной системе персональных данных государственного органа, если такая государственная информационная система в установленном Правительством Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, порядке обеспечивает взаимодействие с единой системой идентификации и аутентификации, при условии совпадения сведений о физическом лице, содержащихся в указанных информационных системах;
в) наличие идентификаторов сведений о физическом лице, размещенных в иной информационной системе, если иная информационная система в установленном Правительством Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, порядке обеспечивает взаимодействие с единой системой идентификации и аутентификации, при условии совпадения сведений о физическом лице, содержащихся в указанных информационных системах;
г) наличие идентификаторов сведений о физическом лице, размещенных в иной информационной системе, если иная информационная система в установленном Правительством Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, порядке обеспечивает взаимодействие с единой системой идентификации и аутентификации, при условии отсутствия сведений о физическом лице в единой системе идентификации и аутентификации.
4. Оператор единой биометрической системы с использованием мобильного приложения обеспечивает информирование физических лиц о перечне государственных и иных информационных систем, учетные записи физического лица или идентификаторы сведений о физическом лице в которых могут использоваться для размещения биометрических персональных данных в единой биометрической системе.
5. В единой биометрической системе размещаются сведения, предусмотренные подпунктами "а", "г", "д" и "ж" - "к" пункта 1 состава сведений, размещаемых в единой биометрической системе, в том числе в ее региональных сегментах, утвержденного постановлением Правительства Российской Федерации от 30 июня 2018 г. № 772 "Об определении состава сведений, размещаемых в единой биометрической системе, в том числе в ее региональных сегментах, а также о внесении изменений в некоторые акты Правительства Российской Федерации" (далее - состав сведений), в случае, предусмотренном подпунктом "а" пункта 3 настоящих Правил, или сведения, предусмотренные подпунктами "а", "г", "д" и "ж" - "к" пункта 1 состава сведений (при наличии таких сведений), а также предусмотренные подпунктами "г_1" или "г_2" пункта 1 состава сведений в случаях, предусмотренных подпунктами "б" и "в" пункта 3 настоящих Правил соответственно, или сведения, предусмотренные подпунктами "а", "г_2", "д" и "ж" - "к" пункта 1 состава сведений (при наличии таких сведений), в случае, предусмотренном подпунктом "г" пункта 3 настоящих Правил.
(Пункт в редакции, введенной в действие с 26 марта 2024 года постановлением Правительства Российской Федерации от 23 марта 2024 года N 367. - См. предыдущую редакцию)
6. Размещение биометрических персональных данных в единой биометрической системе осуществляется при наличии согласия физического лица на обработку его биометрических персональных данных.
7. Размещение в единой биометрической системе биометрических персональных данных, указанных в подпункте "а" пункта 1 состава сведений, осуществляется физическими лицами самостоятельно путем сбора с применением мобильного приложения параметров биометрических персональных данных изображения лица и (или) данных записи голоса физического лица.
(Абзац в редакции, введенной в действие с 26 марта 2024 года постановлением Правительства Российской Федерации от 23 марта 2024 года N 367. - См. предыдущую редакцию)
В отношении параметров биометрических персональных данных, указанных в абзаце первом настоящего пункта, содержащих в том числе метку даты и времени, осуществляется проверка на соответствие требованиям, определенным порядком обработки, включая сбор, хранение, биометрических персональных данных, определенным в соответствии с подпунктом "а" пункта 1 части 2 статьи 6 Федерального закона "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" (далее - требования к параметрам биометрических персональных данных).
В случае если в процессе прохождения проверки на соответствие требованиям к параметрам биометрических персональных данных установлено несоответствие параметров биометрических персональных данных требованиям к параметрам биометрических персональных данных, размещение биометрических персональных данных в единой биометрической системе не осуществляется, о чем физическое лицо получает уведомление, которое может направляться в том числе на адрес электронной почты, содержащийся в единой биометрической системе в соответствии с подпунктом "д" пункта 1 состава сведений (далее - адрес электронной почты), и (или) размещаться в личном кабинете физического лица федеральной государственной информационной системы "Единый портал государственных и муниципальных услуг (функций)" (далее - личный кабинет).
(Абзац в редакции, введенной в действие с 26 марта 2024 года постановлением Правительства Российской Федерации от 23 марта 2024 года N 367. - См. предыдущую редакцию)
8. В процессе размещения в соответствии с настоящими Правилами в единой биометрической системе биометрических персональных данных единой биометрической системой в автоматизированном режиме с использованием соответствующего программного обеспечения, обеспечивающего обнаружение атак на биометрическое предъявление методом пассивного обнаружения витальности в соответствии с требованиями пункта 6.2.2 раздела 6 национального стандарта Российской Федерации ГОСТ Р 58624.1-2019 (ИСО/МЭК 30107-1:2016) "Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 1. Структура", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 31 октября 2019 г. N 850-ст и введенного в действие с 1 июня 2020 г., осуществляется проверка на обнаружение атаки на биометрическое предъявление.
Оценка программного обеспечения для обнаружения атаки на биометрическое предъявление осуществляется в соответствии с программой и методикой для оценки алгоритмов проверок на обнаружение атаки на биометрическое предъявление в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р 58624.3-2019 (ИСО/МЭК 30107-3:2017) "Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 3. Испытания и протоколы испытаний", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 20 ноября 2019 г. N 1197-ст и введенного в действие с 1 июня 2020 г.
В случае наличия у оператора единой биометрической системы обоснованного сомнения относительно соответствия сведений, указанных в подпунктах "а", "г", "г_1" или "г_2" пункта 1 состава сведений, физическому лицу, размещающему биометрические персональные данные в единой биометрической системе, размещение указанных в пункте 5 настоящих Правил сведений в единой биометрической системе не осуществляется, о чем физическое лицо получает уведомление, которое может направляться в том числе на адрес электронной почты и (или) размещаться в личном кабинете.
(Абзац в редакции, введенной в действие с 26 марта 2024 года постановлением Правительства Российской Федерации от 23 марта 2024 года N 367. - См. предыдущую редакцию)
9. Размещение в единой биометрической системе сведений, указанных в подпунктах "г", "г_1" или "г_2", "д", "и" (при наличии) и "з" пункта 1 состава сведений, осуществляется путем их автоматического предоставления из единой системы идентификации и аутентификации, государственной информационной системы персональных данных государственного органа или иной информационной системы соответственно.
(Абзац в редакции, введенной в действие с 26 марта 2024 года постановлением Правительства Российской Федерации от 23 марта 2024 года N 367. - См. предыдущую редакцию)
В случаях, предусмотренных подпунктами "б" - "г" пункта 3 настоящих Правил, размещение в единой биометрической системе сведений, указанных в подпункте "д" пункта 1 состава сведений, осуществляется путем их предоставления физическим лицом при использовании мобильного приложения в случае их отсутствия в соответствующих информационных системах.