Минцифры ужесточило доступ к биометрии россиян для компаний

Доступ к биометрическим данным граждан в России будет ужесточен – Минцифры запрещает компаниям с собственным капиталом меньше 500 млн руб. оперировать такими сведениями. Причина – неспособность организаций обеспечить полноценную защиту персональной информации людей.

Аккредитацию получат не все

Минцифры России собирается ужесточить требования по аккредитации компаний, которые хотят собирать и обрабатывать биометрические данные. Об этом говорится в проекте постановления правительства, который появился на портале нормативно-правовых актов.

В документе установлен «порог» – размер собственного капитала организации, имеющей право использовать биометрию, должен достигать 500 млн руб. вместо 50 млн руб., как было раньше. Кроме того, величина финансового обеспечения убытков в случае неправильной аутентификации увеличена в два раза – с 50 млн руб. до 100 млн руб.

Этим критериям должны соответствовать и частные, и государственные компании – если они хотят получить аккредитацию Минцифры.

Также ведомство будет требовать от организаций предоставить документы о том, что при обработке персональной информации будет использоваться исключительно Единая биометрическая система (ЕБС) баз данных, которые находятся на территории России.

Закон о биометрии в России был принят 29 декабря 2022 года

Организации должны будут подтвердить свое право собственности на аппаратные шифровальные (криптографические) средства, которые используются для аутентификации пользователей. Кроме того, в штате компании должно быть не меньше двух сотрудников, которые работают с биометрическими данными, и имеют при этом высшее образование в области ИТ или информационной безопасности.

В случае принятия, документ вступит в силу с 1 июня 2023 г. и будет действовать до 1 июня 2029 г.

Что говорят юристы

Рост сумм в документе явно связан со стремлением Минцифры ограничить круг организаций, которые могут проводить аутентификацию на основе биометрии – о том, что документ играет заградительную роль, «Ведомостям» сказал главный юрисконсульт практики интеллектуальной собственности юридической компании ЭБР Кирилл Ляхманов.

Постановление очевидно закроет рынок биометрии для мелких компаний – все персональные данные россиян сосредоточатся у крупнейших банков и других организаций. Так, партнер департамента финансового консультирования компании ДРТ Антон Шульга объяснил изданию, что сейчас сбор биометрии, в основном, интересует кредитные организации, которые с ее помощью проводят верификацию. Но потенциально она нужна всем компаниям, которые проводят идентификацию клиентов по паспорту – особенно онлайн.

Ляхманов уточнил, что повышение планки капитала нацелено на отсев компаний, у которых нет нужного бюджета для защиты персональных данных физлиц, хотя механизм связи между капиталом и кибербезопасностью никак не описывается. По его словам, примеры прошлых крупных утечек информации говорят о том, что большой размер собственного капитала вовсе не гарантирует, что данные будут в безопасности.

Так, CNews писал, что объем утечек персональных данных россиян в 2022 г. вырос в 40 раз – пострадали почти 100 млн россиян. В 2022 г. из базы данных службы доставки СДЭК утекли два файла: один на 466 млн строк, второй – на 822 млн. У «Яндекс.еды» утекли 50 млн записей, из них 6,8 млн уникальных наборов данных из России и Казахстана. В мае 2022 г. то же случилось с Delivery Club, в сеть угодила база заказов на 350 млн строк. Затем были опубликованы сведения о 30 млн клиентов сети медицинских лабораторий «Гемотест», 110 тыс. строк с данными сотрудников «Ростелекома» и 10 млн записей из базы данных «Почты России».

О принятом законе

Проект постановления, уточняется на сайте правительства, разработан для того, чтобы привести в соответствие требования, которые прописаны в законе № 572, принятом 29 декабря 2022 г.

Закон посвящен «Единой биометрической системе» (ЕБС), которая содержит биометрические персональные данные физических лиц, векторы единой биометрической системы и иную информацию, которая используется в целях осуществления идентификации, аутентификации с использованием биометрических персональных данных физических лиц, и оператором которой является определенная Правительством организация

В ЕБС будут вносить и обрабатывать изображения лица человека и запись его голоса.

В октябре 2022 г. Президент Владимир Путин поручил назначить организацией, обеспечивающей развитие цифровых технологий идентификации и аутентификации, «Центр биометрических технологий». В ней «Ростелеком» получил 49%, государство – 26%, ЦБ – 25%.

Глава комитета Госдумы по информационной политике, ИТ и связи Александр Хинштейн объяснял, что закон посвящен запрету принудительной сдачи биометрических данных и изъятию биометрических данных россиян из коммерческого оборота государству. Чиновник уточнял, что судьба данных около 70 млн россиян, которыми сейчас распоряжаются банки, фитнес-клубы и управляющие компания, неясна – а единая государственная база поможет их безопасно хранить.

На возможности гражданина отказаться от обработки своих биометрических данных настояла Русская православная церковь (РПЦ).

В декабре 2022 г. также стало известно, что российские многофункциональные центры (МФЦ) скоро начнут принимать россиян без паспорта – используя биометрию для идентификации личности.