Автоматизированная обработка биометрии с 1.06
С 1 июня 2023 г. вступают в силу положения закона, согласно которым по общему правилу запрещается автоматизированная обработка биометрии (фото лица, записи голоса) для идентификации/аутентификации вне единой биометрической системы (ЕБС) (оператор — АО «Центр биометрических технологий» (ЦБТ)).
Идентификация — действия с фото/записями голоса, предполагающие сопоставление фото/записей голоса по принципу «один ко многим» (наше мнение). Мнение ЦБТ: действия с фото/записями голоса, предполагающие определение/проверку идентификаторов человека с установлением его личности.
Аутентификация — действия с фото/записями голоса, предполагающие сопоставление фото/записей голоса по принципу «один к одному» (наше мнение). Мнение ЦБТ: действия с фото/записями голоса, предполагающие определение/проверку идентификаторов человека без установления его личности.
В порядке исключения допускается автоматизированная обработка биометрии для аутентификации в коммерческих биометрических системах (КБС) аккредитованных Минцифры организаций (кроме установленных Правительством РФ случаев). КБС могут использовать только векторы, полученные из ЕБС. Если человек не сдавал биометрию в ЕБС, для использования КБС для обработки его биометрии требуется, чтобы он предварительно сдал биометрию в ЕБС через банк, МФЦ или мобильное приложение Ростелекома.
Некоторые требования к оператору КБС:
Российское юрлицо с долей иностранного участия не более 49 процентов Собственные средства (капитал) не менее 500 млн рублей Финансовое обеспечение ответственности за убытки не менее 100 млн рублей Лицензия на разработку СКЗИ/на выполнение работ в области шифрования (за исключением использования СКЗИ только для собственных нужд организации) Наличие прав на аппаратные и программные криптографические средства Использование определенных СКЗИ Исполнение обязанностей субъектов КИИ Если по состоянию на 1 июня 2023 г. организация владеет КБС, организация может продолжить использовать эту КБС в течение 180 дней (до 27 ноября 2023 г.) с обработкой в ней фотографий/записей голоса, без получения векторов из ЕБС и без прохождения аккредитации Минцифры.
До 30 сентября 2023 г. организации обязаны разместить в ЕБС ранее собранную ими биометрию и уничтожить ее в своих информационных системах.
Закон не распространяется на обработку биометрии неавтоматизированным способом (с участием уполномоченного должностного лица).
С высокой вероятностью закон не будет применяться к обработке биометрии исключительно на устройствах пользователей.
Предполагаемая ответственность за нарушение закона:
Штраф на юрлицо от 1 млн до 2 млн рублей, штраф на должностное лицо от 500 000 до 1 млн рублей.