Посты о биометрии – одни из самых читаемых в моем блоге.
Вот и последний из опубликованных, про искусство чтения
нашей запутанной нормативки в области биометрии, за последние три
месяца собрал на порядок больше прочтений, чем все остальные публикации. В нем
я обещал вернуться к теме аккредитации, и, хотя три года на исполнение
обещанного еще не прошло, решил к этой теме вернуться. Тем более, что на моем последнем
вебинаре о выполнении требований законодательства о персональных данных в
кредитных организациях этот вопрос тоже вызвал оживленную дискуссию участников,
а к единому мнению прийти не удалось.
Главный вопрос – надо ли аккредитовываться всем, в том
числе банкам, для которых использование Единой биометрической системы (ЕБС) является
обязательным, а также владельцам собственных систем биометрической
идентификации, никак с ЕБС не связанных, и использующих формы биометрии,
отсутствующие в ЕБС (дактилоскопию, радужку глаза, рисунок вен и другие).
Регулятор (Минцифры), надзор и защитник прав субъектов (Роскомнадзор) на эту
тему молчат, разъяснений нет, а те, что есть в частных письмах с ответами на
вопросы волнующихся операторов и специалистов однозначных ответов на
поставленные вопросы не содержат. Самый наглядный пример – хождение за тремя
ответами Алексея Лукацкого.
Что ж, нет разъяснений - будем читать нормативку как
положено – буквально и внимательно.
Правила аккредитации операторов, обрабатывающих
биометрические персональные данные, определены в Постановлении Правительства РФ
от 20 октября 2021 г. № 1799. В самом Постановлении и утвержденных им
Правилах ЕБС не упоминается совсем. Там есть отсылки к единому порталу гос- и
муниципальных услуг, единой СМЭВ, ЕГРЮЛ, но про ЕБС - молчок.
Правила устанавливают порядок аккредитации организаций,
владеющих информационными системами, обеспечивающими идентификацию и (или)
аутентификацию с использованием биометрических персональных данных физических
лиц, и (или) оказывающих услуги по такой идентификации и (или) аутентификации.
Опять никаких исключений, при буквальном прочтении очевидно: если организация использует
биометрию, то ей надо к 1 сентября бежать в Минцифры с заявлением для
подтверждения своих полномочий.
Но дьявол, как известно, в деталях. Возьмем лупу и
внимательно рассмотрим их.
В преамбуле Постановления есть отсылка к частям 18.28,
18.30, 18.31 и 18.33 статьи 14.1 «трехглавого» закона от 27.06.2006 № 149-ФЗ, детально
рассматривающей применение биометрии. Что же в этих частях?
В части 18.28 указывается, что аккредитация проводится в
отношении организаций, в том числе финансового рынка, указанных в части 18.18
этой же статьи. ОК. А в ней что? Условия сбора и обработки биометрических
персональных данных, используемых для аутентификации (как следует из текста
остальных частей – без идентификации) в информационных системах этих самых организаций
(реализация мер защиты, в том числе применение сертифицированных средств
шифрования, наличие согласия субъекта и … аккредитация. Без рекурсии мы никак).
Про ЕБС снова ни слова.
Часть 18.30 – про особенности аккредитации иностранных юридических
лиц, подпадающих под требования части 18.18. Опять мимо ЕБС.
Часть 18.31 – про отсутствие ограничения срока
аккредитации, но не организаций, указанных в части 18.18 и подпадающих под аккредитацию,
а про упомянутые в части 18.20. Но мы упорные, разберемся и с этим.
Часть 18.20 – это про еще одну загадку законодательства о
биометрии. В ней – о возможности использования биометрии уже включая
идентификацию, а не только аутентификацию, организациями, кроме госорганов и
органов местного самоуправления, в случаях, установленных Правительством РФ по
согласованию с Банком России. Продвинутые читатели уже поняли, что речь идет
про Постановление Правительства РФ от 23 октября 2021 г. № 1815, определяющем
случаи, когда биометрическую идентификацию и аутентификацию можно использовать
в принципе, в том числе в случае отсутствия биометрических персональных данных
в ЕБС (это написано не в Постановлении, а в части 18.26 статьи 14.1, требования
которой Постановление № 1815 и реализует). То есть, если ЕБС не
используется, аккредитовываться точно надо. Но для того, чтобы это было
возможно, помимо требований, указанных в части 18.29 (о ней будет дальше)
организации надо подключиться к ГосСОПКА. Обязательно. В том числе иностранным
юрлицам, которые хотят получить аккредитацию.
Ну, и наконец (будем последовательны) – про часть 18.33.
Она - про
особенности аккредитации иностранных юридических лиц, подпадающих под
требования уже не части 18.18, а части 18.20. И опять мимо ЕБС.
Уфффф, выдохнули…? Не совсем. Странно, что в преамбуле
Постановления не упоминается часть 14.29 статьи 14.1, в которой устанавливаются
требований к аккредитации, которые как раз реализуются в Постановлении. Может
быть потому, что в документе Правительства зачем-то полностью повторяются
требования, уже прописанные в законе?
Итоги: читая буквально закон и подзаконные акты,
приходим к однозначному выводу, что аккредитация нужна всем операторам,
использующим биометрию для аутентификации, аутентификации и идентификации
физических лиц, а также оказывающих такие услуги вне зависимости от того
взаимодействуют ли они с ЕБС или нет. Даже если биометрия используется для входа
в собственные помещения или информационные системы. Кстати, исходя из требований
Постановления № 1815, входить в систему по биометрии (например, по «пальчику»)
будет нельзя.
Про условия аккредитации и требования к заявителям писать
не буду. Для чтения на неделе между длинными праздниками-выходными это будет
перебор. Скажу лишь, что аккредитоваться, если опять читать нормативку
буквально, удастся далеко не всем, даже если использование для них биометрии
является обязательным по закону, например, банкам с универсальной лицензией и иностранным
участием более 49%. У таких операторов останется только один путь – получение
услуг идентификации и аутентификации у счастливых обладателей аккредитации
(ВТБ, Сбер?), не безвозмездно, конечно, но обязательно. Статья 7
«антиотмывочного» закона № 115-ФЗ требует.
Но об этом – как-нибудь в следующий раз. При наличии времени и желания.
Комментариев нет:
Отправить комментарий