Искусство читать нормативку. О биометрии для идентификации и аутентификации

С наступившим вас! Теперь и трудовым.

Начинаем трудиться.

Одна из главных проблем для меня в прошлом году – нормативно-правовые документы по биометрии от новоявленного (новоназначенного?) регулятора – Минцифры России. Казалось бы, каждый новый подзаконный акт должен вносить ясность в общую норму закона, раскладывая по полочкам конкретный порядок действий по ее выполнению. Как бы не так. Последние результаты нормотворчества ситуацию только запутывают, на мой взгляд. О проблемах использования биометрии в конце декабря хорошо написал на своем сайте-блоге Алексей Лукацкий. Но я сейчас немного о другом.

Итак, при выполнении проектов 2021 года наше агентство столкнулось с рядом вопросов заказчиков, касающихся применения биометрии. Сформулирую в более-менее обобщенном виде два основных вопроса ввиду ограниченности формата поста (на самом деле их гораздо больше):

1.     Всем ли можно применять биометрию для идентификации и аутентификации? Например, можно ли небольшому ритейлеру купить и поставить на компьютеры персонала или кассовые аппараты в магазине систему распознавания пользователей по пальчикам, то есть систему дактилоскопической идентификации?   

2.     Можно ли использовать в школе систему идентификации по рисунку вен ладоней для организации доступа на территорию школы, связав ее с системами учета полученного питания и выдачи книг в библиотеках (идея «Ладошек» пока вовсе не умерла, как думают некоторые).

Рассматриваемой биометрии (дактилоскопия и рисунки вен ладони) в Единой биометрической системе (ЕБС) нет. Можно ли их использовать в России? В ответах будет очень много букв. Понимаю, после каникул напряженно, но …

Читаем статью 14.1 ФЗ «Об информации, информационных технологиях и о защите информации» - самую главную в российском законодательстве с точки зрения регулирования использования биометрии. Она и называется соответствующе – «Применение информационных технологий в целях идентификации физических лиц» (хотя почему-то про аутентификацию в названии не упоминается, но порядок ее проведения статья определяет).

Части с 1 по 10 данной статьи регламентируют использование биометрии исключительно в ЕБС, где, как все хорошо знают, только лицо и голос.

Значит, если мы живем вне ЕБС, для нас требования данный статьи обязательными не являются? Нет, просто мы еще не все прочитали.

С 1 января в статье появилась новая часть 10.1, неожиданно расширяющая действие норм, изложенных ранее: контроль и надзор за обработкой персональных данных в ЕБС, а также в информационных системах государственных органов, органов местного самоуправления, организаций финансового рынка, иных организаций и индивидуальных предпринимателей, которые осуществляют обработку биометрических персональных данных при идентификации и (или) аутентификации, в том числе при взаимодействии с ЕБС осуществляет Роскомнадзор. Что это его область надзора, на мой взгляд, очевидно и так – глава 5 ФЗ «О персональных данных» для биометрии никаких исключений не содержит. И зачем об этом писать еще и в 149-ФЗ - совершенно не понятно. Важны слова про иные биометрические системы, не связанные с ЕБС – а новая часть их существование прямо допускает.

Про новую редакцию части 11, наделяющую Банк России полномочиями по контролю и надзору за реализацией организационных и технических мер по обеспечению безопасности персональных данных, отсутствующими в ФЗ «О персональных данных», надо писать отдельно, это в границы данного поста не вписывается.

Ну, а дальше, из части 13 статьи 14.1 становится очевидным, что с 01.01.2021 Минцифры регулирует использование любой биометрии в любых системах идентификации и аутентификации любых организаций, включая требования к таким системам (приказы Минцифры от 25.06.2018 № 321 в новой редакции, который утратит силу с 01.03.2022 и от 10.09.2021 № 943, с 01.03.2022 вступающий в силу), формы подтверждения соответствия любых технологий и средств для этих целей (приказ Минцифры от 07.07.21 № 685). Но вот беда: приложение № 3 к приказу № 943 опять только про голос и лицо, соответственно, и № 685 – тоже. Зато приложения №№ 1 и 2 к тому же приказу – про сбор, размещение хранение и использование биометрии и в иных системах тоже.

А дальше читаем крайне внимательно: часть 18.2 дает право организациям использовать ЕБС для аутентификации в целях совершения определенных действий (прохода на территорию, доступа к компьютеру или кассе), но не обязывает использовать только ее. Тем, кто использует ЕБС, необходимо использовать сертифицированную криптографию (часть 18.3), за реализацией мер защиты надзирают ФСБ и ФСТЭК (часть 18.4). И далее –про тех, кто подпадает под часть 18.2, то есть использует ЕБС.

Пока вроде бы никаких препятствий для использования систем, упомянутых в вопросах в начале поста и в тех целях, которые указаны в тех же вопросах, нет. Но это только пока.

С 1 сентября наступившего года вступят в силу новые части статьи 14.1. Части 18.18 и 18.20 определяют условия проведения идентификации и аутентификации с использованием биометрии в собственных информационных системах операторов уже без упоминания и связи с ЕБС. И тогда применение сертифицированной криптографии станет обязательным для нейтрализации актуальных угроз. И самое главное – все операторы, использующие биометрию, должны будут пройти аккредитацию в Минцифре (правила аккредитации утверждены Постановлением Правительства РФ от 20.10.2021 № 1799, вступившем в силу 1 января нового года, хотя статьи об аккредитации закона заработают с 1 сентября). Если же кроме аутентификации операторы захотят проводить и идентификацию с использованием биометрии, то есть создавать шаблоны и базы биометрии, а не только сверять полученные данные с шаблонами, то на них будут распространяться требования безопасности, предъявляемые к значимым объектам КИИ и ГИСам и взаимодействовать с Госсопкой (пункт 2 части 18.20), причем отнесение владельца системы идентификации к субъектам КИИ в качестве критерия здесь не упоминается.

И не менее важное: идентификация либо идентификация и аутентификация допускаются в случаях, установленных Правительством Российской Федерации по согласованию с Центральным банком Российской Федерации (часть 18.26 статьи 14.1). А вот с этой частью – полная засада. Распространяются ли эти случаи только на идентификацию и (или) аутентификацию с использованием ЕСИА и ЕБС или это закрытый перечень случаев биометрической аутентификации, которая выполняется без ЕБС, понять из текста нельзя. Не вносит ясность и Постановление Правительства РФ от 23.10.2021 № 1815, которым этот перечень случаев определен (вступает в силу с 1 марта, а статья закона, требующая его принятия – с 1 сентября).  Постановление ссылается на части 18.20 (в которой ЕБС не упоминается) и 18.26 (в которой использование ЕБС является обязательным). Кроме того, пункт 3 Перечня случаев допускает использование биометрии в СКУД, но кроме случаев входа на объекты, совершение террористического акта на территории которых может привести к возникновению чрезвычайных ситуаций с опасными социально-экономическими последствиями, а также режимных объектов, дошкольных и общеобразовательных организаций. В школах биометрия невозможна? Нет в Перечне случаев упоминания и об использовании биометрии товаров и услуг, которая вовсю внедряется сегодня где только можно и нельзя. Так закрытый это перечень случаев или нет? Распространяется ли он только на случаи использования ЕБС или нет? Вопросы, вопросы…

С аккредитацией тоже все очень плохо. Посмотреть можно про нее, если лень разбираться в законе и постановлении правительства, в посте Алексея Лукацкого, ссылка на который есть выше. Здесь уже про это рассказать не удастся, возможно, получится свою точку зрения высказать позже.

Ну, и ответы на поставленные в начале поста вопросы. До 1 сентября все это можно. После 1 сентября, похоже, лавочки придется свернуть.

С удовольствием почитаю мнение коллег – не накосячил ли я чего, разбираясь в законах, постановлениях и приказах, не ошибся ли при интерпретации установленных ими норм. Единственная просьба – указывать конкретные нормы, которые коллегами понимаются по-другому. С цитированием и пояснениями.

С новым вас трудовым годом. Мало, похоже, в нем не покажется. Трудимся.