МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ
И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ
ПИСЬМО
от 28 декабря 2023 г. N П24-2-04-070-257558
О НАПРАВЛЕНИИ ИНФОРМАЦИИ
Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации в связи с поступающими в Министерство обращениями по вопросу осуществления организациями обработки в целях аутентификации биометрических персональных данных (изображения лица человека) в процессе предоставления услуг дофомонии в рамках компетенции по вопросам, отнесенным к сфере ведения Министерства, доводит следующую информацию.
В соответствии с частью 1 статьи 6 Федерального закона от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" (далее - Федеральный закон N 572-ФЗ), абзацем шестым пункта 1 Положения о Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации, утвержденного постановлением Правительства Российской Федерации от 2 июня 2008 г. N 418, Минцифры России является федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных.
Биометрическими персональными данными согласно части 1 статьи 11 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ) являются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
Использовать биометрические персональные данные для установления личности можно только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 статьи 11 Федерального закона N 152-ФЗ.
Обработка биометрических персональных данных в целях идентификации и (или) аутентификации физических лиц автоматизированным способом регулируется Федеральным законом N 572-ФЗ.
Под идентификацией согласно пункту 7 статьи 2 Федерального закона N 572-ФЗ понимается совокупность мероприятий по установлению сведений о лице и их проверке, осуществляемых в соответствии с федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами, и сопоставлению данных сведений с идентификатором.
Под аутентификацией согласно пункту 2 статьи 2 Федерального закона N 572-ФЗ понимается совокупность мероприятий по проверке лица на принадлежность ему идентификаторов посредством сопоставления их со сведениями о лице, которыми располагает лицо, проводящее аутентификацию, и установлению правомерности владения лицом идентификаторами посредством использования аутентифицирующих признаков в рамках процедуры аутентификации, в результате чего лицо считается установленным.
Исходя из указанных определений, результатом идентификации или аутентификации является соответственно установление сведений о лице или установление такого лица.
Действие Федерального закона N 572-ФЗ, в том числе установленных им требований, не распространяется на отношения, возникающие при осуществлении идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц, которые определены частью 2 статьи 1 указанного федерального закона.
Следовательно, если организация не подпадает под исключения, на которые в соответствии с частью 2 статьи 1 Федерального закона N 572-ФЗ не распространяется указанный федеральный закон, но при этом осуществляет обработку биометрических персональных данных, соответствующих одному виду или всем видам, указанным в части 4 статьи 3 Федерального закона N 572-ФЗ (изображение лица человека, полученное с помощью фотовидеоустройств, и запись голоса человека, полученная с помощью звукозаписывающих устройств), в целях аутентификации, то соблюдение такой организацией положений указанного федерального закона является обязательным.
Исходя из изложенного, если технический процесс, реализуемый в сервисе дофомонии, соответствует определению аутентификации, то организациям, предоставляющим такой сервис, необходимо соблюдать требования Федерального закона N 572-ФЗ.
Обращаем внимание, что с 1 июня 2023 г. вступила в силу статья 15 Федерального закона N 572-ФЗ, согласно которой предусмотрен запрет на обработку, включая сбор и хранение, в информационных системах организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, организаций финансового рынка, иных организаций, индивидуальных предпринимателей, нотариусов биометрических персональных данных, используемых для идентификации и (или) аутентификации, за исключением случаев, предусмотренных пунктами 1 - 3 части 1 указанной статьи.
Таким образом, идентификация с использованием биометрических персональных данных осуществляется исключительно посредством единой биометрической системы и единой системы идентификации и аутентификации в соответствии с частью 1 статьи 9 Федерального закона N 572-ФЗ.
Аутентификацию физических лиц на основе биометрических персональных данных организации могут осуществлять как посредством использования единой биометрической системы в соответствии со статьей 10 Федерального закона N 572-ФЗ, так и с использованием своих информационных систем в соответствии с частью 1 статьи 16 Федерального закона N 572-ФЗ или с использованием информационных систем иных организаций, осуществляющих аутентификацию на основе биометрических персональных данных, в соответствии с частью 4 статьи 16 Федерального закона N 572-ФЗ.
Таким образом, при осуществлении идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц Федеральным законом N 572-ФЗ предусматривается обязательное взаимодействие с единой биометрической системой - либо в формате непосредственного использования единой биометрической системы для идентификации и (или) аутентификации, либо в формате взаимодействия с единой биометрической системой с целью получения векторов единой биометрической системы для аутентификации.
При этом аутентификация с использованием информационных систем организаций согласно части 1 статьи 16 Федерального закона N 572-ФЗ допускается только с использованием векторов единой биометрической системы и при одновременном выполнении условий, предусмотренных частью 3 статьи 16 Федерального закона N 572-ФЗ, в число которых входит прохождение аккредитации в соответствии со статьей 17 Федерального закона N 572-ФЗ.
Порядок аккредитации организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, основания ее приостановления и прекращения установлены постановлением Правительства Российской Федерации от 22 мая 2023 г. N 810 "Об утверждении Правил аккредитации организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, оснований ее приостановления и прекращения и признании утратившим силу постановления Правительства Российской Федерации от 20 октября 2021 г. N 1799".
Если же организацией предполагается осуществление непосредственного использования единой биометрической системы для идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, то такой организации в соответствии с Федеральным законом N 572-ФЗ не требуется проходить аккредитацию.
Обращаем внимание, что частью 2 статьи 20 Федерального закона N 572-ФЗ предусматривается административная, гражданская и уголовная ответственность в соответствии с законодательством Российской Федерации в отношении лиц, виновных в нарушении требований Федерального закона N 572-ФЗ в части обработки, включая сбор и хранение, биометрических персональных данных.
Директор Департамента
развития технологий
цифровой идентификации
Д.Г.ДУБЫНИН
+7 (812) 309-95-68 - для жителей Санкт-Петербурга и Ленинградской области