МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ

ПРИКАЗ

от 10 сентября 2021 года N 930

Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных, порядка размещения и обновления биометрических персональных данных в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации

____________________________________________________________________
Утратил силу с 10 июня 2023 года на основании
приказа Минцифры России от 12 мая 2023 года N 453
____________________________________________________________________

В соответствии с пунктом 1 части 13 статьи 14.1 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2006, N 31, ст.3448; 2021, N 11, ст.1708), абзацем шестым пункта 1 Положения о Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации, утвержденного постановлением Правительства Российской Федерации от 2 июня 2008 г. N 418 (Собрание законодательства Российской Федерации, 2008, N 23, ст.2708; 2021, N 26, ст.4967),

приказываю:

1. Утвердить:

порядок обработки, включая сбор и хранение, параметров биометрических персональных данных согласно приложению N 1 к настоящему приказу;

порядок размещения и обновления биометрических персональных данных в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, согласно приложению N 2 к настоящему приказу;

требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации, согласно приложению N 3 к настоящему приказу.

2. Признать утратившими силу приказы Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации:

от 25 июня 2018 г. N 321 "Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации" (зарегистрирован Минюстом России 4 июля 2018 г., регистрационный N 51532);

от 4 июля 2019 г. N 369 "О внесении изменений в приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 25 июня 2018 г. N 321 "Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации" (зарегистрирован Минюстом России 25 сентября 2019 г., регистрационный N 56059).

3. Настоящий приказ вступает в силу с 1 марта 2022 г. и действует до 1 марта 2028 г.

Министр
М.И.Шадаев

Зарегистрировано

в Министерстве юстиции

Российской Федерации

28 октября 2021 года,

регистрационный N 65621

Приложение N 1
к приказу Министерства
цифрового развития, связи
и массовых коммуникаций
Российской Федерации
от 10 сентября 2021 года N 930

Порядок обработки, включая сбор и хранение, параметров биометрических персональных данных

1. Обработка, включая сбор и хранение, параметров биометрических персональных данных для идентификации реализуется с применением информационных технологий и технических средств, имеющих подтверждение соответствия требованиям, установленным в соответствии со статьей 14.1 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2006, N 31, ст.3448; 2021, N 11, ст.1708) (далее - Федеральный закон N 149-ФЗ), которое проводится федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации физических лиц на основе биометрических персональных данных.

2. В соответствии с настоящим порядком проводится обработка параметров биометрических персональных данных физического лица следующих видов:

данные изображения лица;

данные голоса, собранные текстозависимым методом.

3. Для проведения идентификации сбор параметров биометрических персональных данных субъекта персональных данных производится при его личном присутствии уполномоченным сотрудником государственного органа, банка и иной организации, в случаях, определенных федеральными законами, в целях создания биометрического контрольного шаблона, хранение которого осуществляется в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица (далее соответственно - орган и организация, единая биометрическая система) или уполномоченными сотрудниками организаций, владеющих информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающих услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц, в случаях, определенных частями 18.18, 18.20 статьи 14.1 Федерального закона N 149-ФЗ (Собрание законодательства Российской Федерации, 2006, N 31, ст.3448; 2021, N 1, ст.18) (далее - организации, осуществляющие идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц), в целях создания биометрического контрольного шаблона, хранение которого осуществляется в иных информационных системах организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц.

4. Биометрические контрольные шаблоны используются в процессе проведения идентификации и (или) аутентификации физического лица, в том числе без его личного присутствия.

Уполномоченный сотрудник органа и организации при сборе параметров биометрических персональных данных в единую биометрическую систему, уполномоченный сотрудник организации, осуществляющей идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, при сборе параметров биометрических персональных данных в информационную систему такой организации подписывает собранные биометрические персональные данные своей усиленной электронной подписью.

5. Органы и организации, организации, осуществляющие идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, при сборе параметров биометрических персональных данных для идентификации должны обеспечивать:

определение уполномоченных сотрудников, осуществляющих сбор параметров биометрических персональных данных и их обеспечение сертификатами ключей проверки электронной подписи;

защищенное хранение выданных уполномоченным сотрудникам, осуществляющим сбор параметров биометрических персональных данных, ключей электронной подписи, обеспечивающее их конфиденциальность и исключающее несанкционированное изменение, добавление и удаление в соответствии с законодательством Российской Федерации в области использования электронных подписей;

подписание своей усиленной электронной подписью уполномоченным сотрудником, осуществляющим сбор параметров биометрических персональных данных, информации, содержащей биометрические персональные данные, собранные указанным сотрудником, и иной информации, указанной в пункте 14 настоящего порядка;

обеспечение и регулярную проверку (не реже одного раза в неделю) функционирования информационных технологий и технических средств, иных программно-технических средств, предназначенных для обеспечения процессов сбора и обработки параметров биометрических персональных данных, в том числе автоматизированную передачу результатов проведенной проверки в единую биометрическую систему или иную информационную систему, обеспечивающую идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц соответственно.

6. Уполномоченные сотрудники, осуществляющие сбор параметров биометрических персональных данных, обязаны соблюдать конфиденциальность используемых ими ключей электронной подписи.

7. Кредитные организации, некредитные финансовые организации, которые осуществляют указанные в части первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (Собрание законодательства Российской Федерации, 2002, N 28, ст.2790; 2021, N 24, ст.4210) виды деятельности, субъекты национальной платежной системы (далее - организации финансового рынка), осуществляющие сбор и обработку используемых для идентификации параметров биометрических персональных данных, должны обеспечивать:

1) информирование Банка России о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при обработке, включая сбор и хранение, параметров биометрических персональных данных (далее соответственно - инциденты безопасности, требования по защите информации), которые привели или могут привести к нарушению или попыткам нарушения целостности, конфиденциальности и (или) доступности защищаемой информации.

Организации, указанные в настоящем пункте, осуществляют информирование Банка России о выявленных инцидентах безопасности не позднее одного рабочего дня со дня их выявления;

2) ежегодное проведение оценки соответствия требований по защите информации с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79 (Собрание законодательства Российской Федерации, 2012, N 7, ст.863; 2016, N 26, ст.4049; 2020, N 49, ст.7943), и информирование Банка России о результатах такой оценки.

8. Организации, не относящиеся к организациям финансового рынка, осуществляющие сбор и обработку используемых для идентификации параметров биометрических персональных данных, должны обеспечивать:

1) информирование Минцифры России о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при обработке, включая сбор и хранение, параметров биометрических персональных данных (далее соответственно - инциденты безопасности, требования по защите информации), которые привели или могут привести к нарушению или попыткам нарушения целостности, конфиденциальности и (или) доступности защищаемой информации.

Организации, указанные в настоящем пункте, осуществляют информирование Минцифры России о выявленных инцидентах безопасности не позднее одного рабочего дня со дня их выявления;

2) ежегодное проведение оценки соответствия требований по защите информации с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79, и информирование Минцифры России о результатах такой оценки.

9. Обработка параметров биометрических персональных данных физического лица осуществляется после проведения идентификации физического лица в соответствии с требованиями, утвержденными в соответствии с пунктом 2 части 2 статьи 14.1 Федерального закона N 149-ФЗ, а также получения согласия на обработку персональных данных и биометрических персональных данных в соответствии с частью 5 статьи 14.1 Федерального закона N 149-ФЗ при сборе в единую биометрическую систему, а при сборе в иные информационные системы, обеспечивающие идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц - после получения согласия на обработку персональных и биометрических персональных данных в соответствии с требованиями законодательства Российской Федерации в области персональных данных.

В случае отзыва субъектом персональных данных в соответствии с частью 2 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст.3451; 2017, N 31, ст.4772) (далее - Федеральный закон N 152-ФЗ) согласия на обработку персональных данных использование его параметров биометрических персональных данных в целях проведения идентификации и (или) аутентификации не осуществляется.

10. В процессе обработки параметров биометрических персональных данных в единой биометрической системе, параметров биометрических персональных данных в иных информационных системах, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, создаются биометрические образцы данных изображения лица (далее - БО изображения лица) и биометрические образцы данных голоса (далее - БО записи голоса) субъекта.

11. Создаваемые для проведения идентификации БО изображения лица должны соответствовать следующим требованиям:

цвета пикселей изображений фронтального типа должны быть представлены в 24-битовом цветовом пространстве RGB, в котором на каждый пиксель приходится по 8 битов на каждый компонент цвета: красный, зеленый и синий;

поворот головы должен быть не более 5° от фронтального положения;

наклон головы должен быть не более 5° от фронтального положения;

отклонение головы должно быть не более 8° от фронтального положения;

расстояние между центрами глаз должно составлять не менее 120 пикселей либо не менее 45 пикселей в соответствии с пунктом 12 порядка размещения и обновления биометрических персональных данных в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, утвержденного настоящим приказом (далее - Порядок размещения и обновления);

изображение должно содержать полное изображение головы человека в анфас, включая левое и правое ухо (при их наличии), верхнюю точку лобной области головы и подбородок;

не допускается перекрытие волосами или посторонними предметами изображения лица по всей ширине от бровей до нижней губы;

на изображении должно присутствовать только одно лицо, наличие других лиц, фрагментов других лиц не допускается;

выражение лица должно быть нейтральным, рот закрыт, оба глаза открыты нормально для соответствующего субъекта (с учетом поведенческих факторов и (или) медицинских заболеваний);

лицо должно быть равномерно освещено, чтобы на изображении лица отсутствовали тени и блики;

не допускается использование ретуши и редактирования изображения;

допускается кадрирование изображения;

в случае фотографирования человека в очках не допускается наличие солнцезащитных очков и ярких световых артефактов или отражения вспышки от очков;

изображение лица должно быть сохранено в формате .jpeg или .png; код сжатия: JPEG (0 х 00), PNG (0 х 03);

фотографирование человека должно производиться с помощью средств автоматизации, позволяющих обеспечить расположение изображения головы в кадре в соответствии с требованиями настоящего приказа.

12. Создаваемые для проведения идентификации БО записи голоса должны соответствовать следующим требованиям:

отношение сигнал-шум для звука не менее 15 дБ;

глубина квантования не менее 16 бит;

частота дискретизации не менее 16 кГц;

запись голоса должна быть сохранена в формате RIFF (WAV);

код сжатия: PCM/uncompressed (0 х 0001);

количество каналов в записи голоса: 1 (монорежим) канал;

не допускается использовать шумоподавление;

на записи должен присутствовать голос одного человека;

произнесенное субъектом сообщение должно соответствовать последовательности букв и (или) цифр, сгенерированной программным обеспечением информационной системы органа или организации;