Три июньских постановления Правительства РФ про ЕБС и еще кое-какие инициативы в области биометрии. Часть 2. Еще больше биометрии в ЕБС

Продолжение. Часть 1 здесь.

Пока собирался написать второй пост про реформу ЕБС и реализующие ее новые постановления Правительства РФ, подоспел новый закон, меняющий условия использования персональных данных в целом и биометрических данных в частности.

Федеральным законом от 14.07.2022 N 325-ФЗ радикально изменена часть 18.23 статьи 14.1 трехглавого закона. Теперь в случае, если биометрические персональные данные соответствуют используемым в ЕБС, то есть изображению лица и (или) голосу (достаточно одного из двух видов биометрии), то госорганы, организации финансового рынка и вообще любые организации обязаны разместить полученную ими биометрию в ЕБС. При этом никакого согласия субъекта на такие действия (как размещение, так и использование Ростелекомом как оператором ЕБС) не требуется. При этом сдающие в ЕБС биометрию организации должны уведомить субъекта о свершившемся факте, а уж он сам может обратиться к Ростелекому с требованием о блокировании (это как, интересно? Биометрия в ЕБС будет, но использовать ее для аутентификации будет нельзя?) или уничтожении биометрических персональных данных.

Почему, на мой взгляд, этим законом радикально изменены условия использования персональных данных вообще и биометрических в частности?

Отменяются сразу несколько принципов закона «О персональных данных»:

·      ограничение обработки достижением конкретных, заранее определенных целей (часть 2 ст.5) (субъект дал согласие своему работодателю на использование изображения лица в СКУД для прохода на охраняемую территорию или банку для его идентификации при личном обслуживании, а будут использоваться эти данные в ЕБС совсем для других целей, на которые согласия не было);

·      запрет объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой (часть 3 ст.5) (цели прохода на территорию и узнавания для обращения по имени-отчеству в банке между собой заведомо не совместимы);

·      соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки (часть 5 ст.5) (в приведенных примерах при сборе персональных данных никаких целей, реализуемых в ЕБС (совершение определенных действий, подтверждение волеизъявления, подтверждение полномочия лица на совершение определенных действий – часть 18.2 ст.14.1 «трехглавого» закона) оператор не ставил).

Конструкция части 18.23 статьи 14.1 противоречит как букве, так и духу закона «О персональных данных». Закон реализует абсолютно четкую правовую конструкцию: обработка персональных данных всегда должна иметь законное основание, которым является согласие субъекта, а обработка без согласия может осуществляться только в случаях, оформленных в виде закрытых перечней для каждой категории персональных данных. Для биометрии этот закрытый перечень определен в части 2 статьи 11, которая содержит перечень случаев, в которых может быть предусмотрена обработка биометрии без согласия субъекта:

·      реализация международных договоров Российской Федерации о реадмиссии,

·      осуществление правосудия и исполнением судебных актов,

·      проведение обязательной государственной дактилоскопической регистрации,

·      случаи, предусмотренные законодательством Российской Федерации:

o   об обороне,

o   о безопасности,

o   о противодействии терроризму,

o   о транспортной безопасности,

o   о противодействии коррупции,

o   об оперативно-разыскной деятельности,

o   о государственной службе,

o   уголовно-исполнительным законодательством Российской Федерации,

o   законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию,

o   о гражданстве Российской Федерации,

o   законодательством Российской Федерации о нотариате.

Никаких отсылок к законодательству об информации, информационных технологиях, о защите информации, о банках и банковской деятельности, об акционерных обществах и др., на основании которого можно использовать данные из ЕБС для аутентификации субъектов, здесь нет.

Форма согласия на обработку данных в ЕБС предусмотрена законом и определена распоряжением Правительства № 1322-р. Там тоже нет ни слова о согласии на перенос данных в ЕБС из других систем.

На мой взгляд, такой произвольный подход к использованию одного из самых чувствительных для граждан вида персональных данных подрывает веру в правовую систему в целом и законодательство в частности.

У подобного подхода может быть много отрицательных последствий. Вот одно из них. В новой редакции говорится о том, что передать данные в виде изображения лица в ЕБС должны, в том числе, государственные органы из своих государственных информационных систем. Постановлением Правительства РФ от 04.03.2010 № 125 определен перечень персональных данных, записываемых на чип биометрического загранпаспорта. Среди них цветное цифровое фотографическое изображение лица владельца документа, которое прямо в Постановлении отнесено к биометрическим персональным данным владельца документа, хотя биометрическая аутентификация по лицу при пересечении границы пока не проводится.

Это значит, что изображения лиц всех счастливых обладателей загранпаспортов нового образца должны быть перенесены в ЕБС. Может, кто-то уже получал уведомление об этом, предусмотренное законом?

Ну, а теперь про второе Постановление Правительства от 15.06.2022 № 1067, направленное на наполнение ЕБС новыми данными – о случаях и сроках использования биометрических персональных данных, размещенных в ЕБС физическими лицами самостоятельно в порядке, который мы рассмотрели в предыдущем посте. Документ вызывает вопросы сразу же по прочтении. Как он соотносится с Постановлением Правительства от 23.10.2021 № 1815, определившим перечень случаев обработки биометрических персональных данных в информационных системах организаций? Дополняет его? Это открытый или закрытый перечень? Ну, и так далее.

Допустимые случаи использования следующие:

а) экзамены в вузах;

б) операции с использованием платежных карт в организациях торговли и сферы услуг на сумму не более 1000 рублей;

в) дополнительная аутентификация клиента организациями финансового рынка при дистанционном обслуживании при условии, что такой клиент ранее был идентифицирован этой организацией финансового рынка (то есть сдав биометрию самостоятельно, обратиться за услугой дистанционно в банк, клиентом которого субъект не является, не получится);

г) аутентификации клиента - физического лица организациями финансового рынка при его обслуживании при личном присутствии (то есть лично получить услугу в банке можно и без паспорта, если клиент уже был идентифицирован в порядке, уставленным статьей 7 антиотмывочного закона);

д) оплата проезда в г. Москве (в Питере и других городах почему-то нельзя, видимо, системы идентификации у них не той системы);

е) проход на территорию госорганов и организаций посредством СКУД за исключением довольно объемного списка организаций, включая объекты КММ, дошкольные и общеобразовательные организаций;

ж) заключение договоров об оказании услуг связи посредством сети Интернет;

з) выдача персонифицированной карты на посещение спортивных соревнований (активно обсуждаемый сейчас по стадионам ID болельщика, который категорически не хотят получать наиболее радикальные из них);

и) аутентификация на портале госуслуг.

Перспективы пугающие. Сдав биометрию с использованием мобильника, к видеокамере и микрофону которого, а также к каналу связи не выдвигается никаких требований, в отличие от систем сдачи биометрии, например, в банках, которые должны соответствовать требованиям Минцифры, можно зайти в банк представиться клиентом Пупкиным и снять деньги без паспорта, или войти на охраняемую территорию вуз, получит симку на кого-то другого и так далее.

Использовать самостоятельно сданную в ЕБС биометрию можно не более 3 лет, обновлять надо добровольно. Видимо, напоминать никто не должен, в чем я сильно сомневаюсь.

Но какие только риски не примешь ради наполнения ЕБС! И это мы еще до обсуждения инициативы Банка России об обязательной опции сбора биометрии в мобильных приложениях российских банков не добрались.

Три июньских постановления Правительства про ЕБС и еще кое-какие инициативы в области биометрии. Часть 1

В июне Правительством России приняты три новых постановления, касающиеся функционирования Единой биометрической системы. Учитывая новость Банка России о необходимости «полной перезагрузки» ЕБС в течение двух ближайших лет, такая активность говорит, с одной стороны, о фактическом провале программы поголовной максимальной фиксации данных граждан страны, обеспечивающих отслеживание их передвижения (биометрия лица) и использование средств связи (биометрия голоса) (на конец 2021 году в системе было немногим больше 200 тысяч аккаунтов), а с другой – о крайней важности этой программы для государства. И банковские услуги, конечно, здесь совсем ни при чем.

Начнем с перезагрузки. Цитирую первого зампреда Банка России О.Н. Скоробогатову по РИА Новости: «Единая биометрическая система, которая была создана в 2018-2019 году, в этом и в следующем году будет полностью «перезагружена». Мы понимаем, что нам не хватает терминалов и мобильных приложений, где люди могут просто сдать свою биометрию, как это было в иностранных приложениях. Развитие системы мы относим на 2022-2023 год». В действительности в иностранных приложениях пользователи никому биометрию не сдают, если верить западным и восточным вендорам. Пользователи фиксировали ее на своем мобильном устройстве для идентификации на нем же, а дальше каждый пользователь, в зависимости от степени параноидальности и веры вендору, принимал решение, использовать ли пальчик или личико вместо пароля для разблокировки устройства или нет.

С ЕБС все по-другому. Там биометрия именно сдается оператору – ПАО Ростелеком, а затем, в соответствии с постановлением Правительства РФ от 28.12.2018 № 1703, в течение одного дня после получения запроса передается спецслужбам – ФСБ и МВД.

Но, чтобы облегчить сдачу биометрии с использованием мобильных приложений, с 30 декабря 2021 года заработали поправки в «трехглавый» закон № 149-ФЗ (часть 1.3 статьи 14.1), позволяющие размещать свои биометрические персональные данные в ЕБС с применением пользовательского оборудования, имеющего в своем составе идентификационный модуль, если личность физического лица при таком размещении подтверждена с использованием загранпаспорта, содержащего электронный носитель с биометрическими персональными данными. А 15 июня 2022 года принято Постановление Правительства РФ № 1066, определяющее порядок размещения физическими лицами своих биометрических персональных данных в ЕБС. Рассмотрим его основные положения.

Минцифры, до конца текущего месяца, должно обеспечить возможность применения прошедших в установленном порядке процедуру оценки соответствия (читаем – сертификации ФСБ России) средств криптографической защиты информации при использовании ЕСИА и ЕБС и обеспечить функционирование технического решения для проверки действительности загранпаспорта с чипом, обычно называемого биометрическим.

Ростелекому к этому же сроку Постановление, как в нем указывается, рекомендует разработать программу и методику оценки алгоритмов обнаружения атак на биометрическое предъявление (так указано в тексте Постановления) в соответствии с требованиями ГОСТ Р 58624.3-2019 и создать российское программное обеспечение (мобильное приложение) для обработки биометрии в ЕБС, согласовать его с ФСБ и Минцифры, а к 30 сентября утвердить согласованный с этими же ведомствами системный проект решения, обеспечивающего самостоятельное размещение физлицами своей биометрии в ЕБС и подключить мобильное приложение к ЕСИА и ЕБС. Как оператор системы уложится в эти более чем сжатые сроки и не просто разработает, но и успешно реализует системный проект, будет видно. ФСБ отведено на согласие системного проекта всего 15 дней.

Тогда же, 30 сентября, вступают в силу Правила самостоятельного размещения физлицами своей биометрии в ЕБС, утвержденные Постановлением Правительства.

Из примечательного в Правилах размещения отметим:

·     обязательность наличия у такого пользователя учётной записи в ЕСИА, полученной при личной явке;

·     необходимость размещения в ЕБС, помимо собственно биометрии, идентификатора из ЕСИА, номера мобильного телефона, адреса электронной почты, даты рождения и сведений о гражданстве (зачем они нужны для проверки предъявляемой биометрии именно в ЕБС при наличии записи в ЕСИА отдельный, скорее, риторический вопрос, тем более, что все сведения, кроме биометрии, в ЕБС и так загружаются из ЕСИА);

·     подтверждение личности субъекта, загружающего в ЕБС свою биометрию, и автоматическая проверка загружаемой биометрии осуществляются с использованием биометрического загранпаспорта путем сопоставления размещаемых биометрических персональных данных его данным, записанным на чип загранпаспорта, и данных владельца со сведениями в ЕСИА;

·     необходимость проверки Ростелекомом отсутствия на мобильном устройстве пользователя вредоносного программного обеспечения (вопрос о способе установки приложения на мобильное устройство в документах деликатно обходится);

·     необходимость выражения согласия субъекта на обработку его биометрии при ее размещении в ЕБС, подписанного, в том числе, простой электронной подписью (видимо, даваемого в том же мобильном приложении).

Продолжение следует.