Порядок обработки, включая сбор и хранение, параметров биометрических персональных данных
1. Обработка, включая сбор и хранение, параметров биометрических персональных данных для идентификации реализуется с применением информационных технологий и технических средств, имеющих подтверждение соответствия требованиям, установленным в соответствии со статьей 14.1 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2006, N 31, ст.3448; 2021, N 11, ст.1708) (далее - Федеральный закон N 149-ФЗ), которое проводится федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации физических лиц на основе биометрических персональных данных.
2. В соответствии с настоящим порядком проводится обработка параметров биометрических персональных данных физического лица следующих видов:
данные изображения лица;
данные голоса, собранные текстозависимым методом.
3. Для проведения идентификации сбор параметров биометрических персональных данных субъекта персональных данных производится при его личном присутствии уполномоченным сотрудником государственного органа, банка и иной организации, в случаях, определенных федеральными законами, в целях создания биометрического контрольного шаблона, хранение которого осуществляется в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица (далее соответственно - орган и организация, единая биометрическая система) или уполномоченными сотрудниками организаций, владеющих информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающих услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц, в случаях, определенных частями 18.18, 18.20 статьи 14.1 Федерального закона N 149-ФЗ (Собрание законодательства Российской Федерации, 2006, N 31, ст.3448; 2021, N 1, ст.18) (далее - организации, осуществляющие идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц), в целях создания биометрического контрольного шаблона, хранение которого осуществляется в иных информационных системах организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц.
4. Биометрические контрольные шаблоны используются в процессе проведения идентификации и (или) аутентификации физического лица, в том числе без его личного присутствия.
Уполномоченный сотрудник органа и организации при сборе параметров биометрических персональных данных в единую биометрическую систему, уполномоченный сотрудник организации, осуществляющей идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, при сборе параметров биометрических персональных данных в информационную систему такой организации подписывает собранные биометрические персональные данные своей усиленной электронной подписью.
5. Органы и организации, организации, осуществляющие идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, при сборе параметров биометрических персональных данных для идентификации должны обеспечивать:
определение уполномоченных сотрудников, осуществляющих сбор параметров биометрических персональных данных и их обеспечение сертификатами ключей проверки электронной подписи;
защищенное хранение выданных уполномоченным сотрудникам, осуществляющим сбор параметров биометрических персональных данных, ключей электронной подписи, обеспечивающее их конфиденциальность и исключающее несанкционированное изменение, добавление и удаление в соответствии с законодательством Российской Федерации в области использования электронных подписей;
подписание своей усиленной электронной подписью уполномоченным сотрудником, осуществляющим сбор параметров биометрических персональных данных, информации, содержащей биометрические персональные данные, собранные указанным сотрудником, и иной информации, указанной в пункте 14 настоящего порядка;
обеспечение и регулярную проверку (не реже одного раза в неделю) функционирования информационных технологий и технических средств, иных программно-технических средств, предназначенных для обеспечения процессов сбора и обработки параметров биометрических персональных данных, в том числе автоматизированную передачу результатов проведенной проверки в единую биометрическую систему или иную информационную систему, обеспечивающую идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц соответственно.
6. Уполномоченные сотрудники, осуществляющие сбор параметров биометрических персональных данных, обязаны соблюдать конфиденциальность используемых ими ключей электронной подписи.
7. Кредитные организации, некредитные финансовые организации, которые осуществляют указанные в части первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (Собрание законодательства Российской Федерации, 2002, N 28, ст.2790; 2021, N 24, ст.4210) виды деятельности, субъекты национальной платежной системы (далее - организации финансового рынка), осуществляющие сбор и обработку используемых для идентификации параметров биометрических персональных данных, должны обеспечивать:
1) информирование Банка России о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при обработке, включая сбор и хранение, параметров биометрических персональных данных (далее соответственно - инциденты безопасности, требования по защите информации), которые привели или могут привести к нарушению или попыткам нарушения целостности, конфиденциальности и (или) доступности защищаемой информации.
Организации, указанные в настоящем пункте, осуществляют информирование Банка России о выявленных инцидентах безопасности не позднее одного рабочего дня со дня их выявления;
2) ежегодное проведение оценки соответствия требований по защите информации с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79 (Собрание законодательства Российской Федерации, 2012, N 7, ст.863; 2016, N 26, ст.4049; 2020, N 49, ст.7943), и информирование Банка России о результатах такой оценки.
8. Организации, не относящиеся к организациям финансового рынка, осуществляющие сбор и обработку используемых для идентификации параметров биометрических персональных данных, должны обеспечивать:
1) информирование Минцифры России о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при обработке, включая сбор и хранение, параметров биометрических персональных данных (далее соответственно - инциденты безопасности, требования по защите информации), которые привели или могут привести к нарушению или попыткам нарушения целостности, конфиденциальности и (или) доступности защищаемой информации.
Организации, указанные в настоящем пункте, осуществляют информирование Минцифры России о выявленных инцидентах безопасности не позднее одного рабочего дня со дня их выявления;
2) ежегодное проведение оценки соответствия требований по защите информации с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79, и информирование Минцифры России о результатах такой оценки.
9. Обработка параметров биометрических персональных данных физического лица осуществляется после проведения идентификации физического лица в соответствии с требованиями, утвержденными в соответствии с пунктом 2 части 2 статьи 14.1 Федерального закона N 149-ФЗ, а также получения согласия на обработку персональных данных и биометрических персональных данных в соответствии с частью 5 статьи 14.1 Федерального закона N 149-ФЗ при сборе в единую биометрическую систему, а при сборе в иные информационные системы, обеспечивающие идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц - после получения согласия на обработку персональных и биометрических персональных данных в соответствии с требованиями законодательства Российской Федерации в области персональных данных.
В случае отзыва субъектом персональных данных в соответствии с частью 2 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст.3451; 2017, N 31, ст.4772) (далее - Федеральный закон N 152-ФЗ) согласия на обработку персональных данных использование его параметров биометрических персональных данных в целях проведения идентификации и (или) аутентификации не осуществляется.
10. В процессе обработки параметров биометрических персональных данных в единой биометрической системе, параметров биометрических персональных данных в иных информационных системах, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, создаются биометрические образцы данных изображения лица (далее - БО изображения лица) и биометрические образцы данных голоса (далее - БО записи голоса) субъекта.
11. Создаваемые для проведения идентификации БО изображения лица должны соответствовать следующим требованиям:
цвета пикселей изображений фронтального типа должны быть представлены в 24-битовом цветовом пространстве RGB, в котором на каждый пиксель приходится по 8 битов на каждый компонент цвета: красный, зеленый и синий;