Разделы

Законодательство ИТ в банках ИТ в госсекторе

Минцифры ужесточило доступ к биометрии россиян для компаний

Доступ к биометрическим данным граждан в России будет ужесточен – Минцифры запрещает компаниям с собственным капиталом меньше 500 млн руб. оперировать такими сведениями. Причина – неспособность организаций обеспечить полноценную защиту персональной информации людей.

Аккредитацию получат не все

Минцифры России собирается ужесточить требования по аккредитации компаний, которые хотят собирать и обрабатывать биометрические персональные данные (ПД). Об этом говорится в проекте постановления правительства, который появился на портале нормативно-правовых актов.

В документе установлен «порог» – размер собственного капитала организации, имеющей право использовать биометрию, должен достигать 500 млн руб. вместо 50 млн руб., как было раньше. Кроме того, величина финансового обеспечения убытков в случае неправильной аутентификации (или утечки информации) увеличена в два раза – с 50 млн руб. до 100 млн руб. Этим критериям должны соответствовать компании – если они хотят получить аккредитацию Минцифры на право проводить аутентификацию на основе биометрических ПД россиян.

Также ведомство будет требовать от организаций предоставить документы о том, что при обработке персональной информации будет использоваться исключительно Единая биометрическая система (ЕБС) баз данных, которые находятся на территории России.

Закон о биометрии в России был принят 29 декабря 2022 года

Организации должны будут подтвердить свое право собственности на аппаратные шифровальные (криптографические) средства, которые используются для аутентификации пользователей. Кроме того, в штате компании должно быть не меньше двух сотрудников, которые работают с биометрическими данными, и имеют при этом высшее образование в области ИТ или информационной безопасности.

Также запросят документы, подтверждающие, что заявитель является организацией финансового рынка, организацией, в уставном капитале которой доля участия Российской Федерации, субъекта страны или мунобразования превышает 50%. Также нужно предоставлять доказательства добросовестности бенефициаров (чтобы проверить деловую репутацию единоличного исполнительного органа, членов коллегиального исполнительного органа или физлиц-учредителей, которые владеют более 10% акций или долей, составляющих уставный капитал).

В случае принятия документ вступит в силу с 1 июня 2023 г. и будет действовать до 1 июня 2029 г.

Утечек может стать меньше

Руководитель компании «Интернет-розыск» Игорь Бедеров в беседе с CNews отметил, что у компаний с крупным уставным капиталом, как правило, высокий оборот.

«Мы помним, что вопрос утечек персональных данных, особенно биометрии, будет ужесточен, введут оборотные штрафы, – сказал эксперт. – Этим постановлением Минцифры перекрыло свои риски, связанные с тем, что компании-операторы ПД могут создавать отдельные предприятия с низким оборотом именно для обработки ПД, уходя таким образом от крупных оборотных штрафов. Финансовое обеспечение – это абсолютно правильно, должен быть в компании предусмотрен бюджет на возмещение ущерба пострадавшим от утечки людям».

Так, CNews писал, что объем утечек персональных данных россиян в 2022 г. вырос в 40 раз – пострадали почти 100 млн россиян. В 2022 г. из базы данных службы доставки СДЭК утекли два файла: один на 466 млн строк, второй – на 822 млн. У «Яндекс.еды» утекли 50 млн записей, из них 6,8 млн уникальных наборов данных из России и Казахстана. В мае 2022 г. то же случилось с Delivery Club, в сеть угодила база заказов на 350 млн строк. Затем были опубликованы сведения о 30 млн клиентов сети медицинских лабораторий «Гемотест», 110 тыс. строк с данными сотрудников «Ростелекома» и 10 млн записей из базы данных «Почты России».

Опрошенные CNews эксперты сообщили, что Минцифры, поднимая планку уставного капитала и бюджет на покрытие ущерба в случае утечки, серьезно ограничивает круг организаций, которые могут проводить аутентификацию на основе биометрии. Теперь это будет доступно лишь очень крупным компаниям и банкам. Рынок ПД этого типа для мелких компаний будет закрыт.

Партнер департамента финансового консультирования компании ДРТ Антон Шульга объяснил «Ведомостям», что сейчас сбор биометрии, в основном, интересует кредитные организации, которые с ее помощью проводят верификацию. Но потенциально она нужна всем компаниям, которые проводят идентификацию клиентов по паспорту – особенно онлайн. Главный юрисконсульт практики интеллектуальной собственности юридической компании ЭБР Кирилл Ляхманов заметил, что механизм связи между капиталом и кибербезопасностью никак не описывается. По его словам, примеры прошлых крупных утечек информации говорят о том, что большой размер собственного капитала вовсе не гарантирует, что данные будут в безопасности.

О принятом законе

Проект постановления разработали для того, чтобы привести в соответствие требования, прописанные в законе № 572, принятом 29 декабря 2022 г.

Закон посвящен «Единой биометрической системе», которая содержит биометрические персональные данные физических лиц, векторы единой биометрической системы и другую информацию для идентификации физлиц. В октябре 2022 г. Президент Владимир Путин поручил назначить организацией, обеспечивающей развитие цифровых технологий идентификации и аутентификации, «Центр биометрических технологий». В ней «Ростелеком» получил 49%, государство – 26%, ЦБ – 25%.

Глава комитета Госдумы по информационной политике, ИТ и связи Александр Хинштейн объяснял, что закон посвящен запрету принудительной сдачи биометрических данных и изъятию биометрических данных россиян из коммерческого оборота государству. Чиновник уточнял, что судьба данных около 70 млн россиян, которыми сейчас распоряжаются банки, фитнес-клубы и управляющие компания, неясна – а единая государственная база поможет их безопасно хранить.

Как объяснили CNews опрошенные юристы, владеть системами, которые хранят и подгружают в ЕБС персональные данные, теперь будут исключительно госорганы. Оператором биометрической информации в региональном сегменте также может быть только госучреждение или ГУП – их тоже ожидает предварительная аккредитация.

Право собирать биометрию россиян теперь есть только у банков, но для этого им надо оформить аккредитацию у Минцифры. ПД, которые они копили у себя годами, они передадут в ЕБС, а затем получат обратно в зашифрованном виде. Коммерческие компании, заключив договор с ЕБС, смогут получать сведения из этой базы, но это будут не сами данные, а набор идентификаторов – таким образом, при утечке информации из этой компании никто не получит полного доступа к биометрии ее клиентов.

В ЕБС будут вносить и обрабатывать изображения лица человека и запись его голоса, запрещено собирать геномную информацию. Использовать и хранить биометрию разрешается только на территории России, трансграничная передача запрещена. Также закон запрещает собирать биометрию принудительно и отказывать в предоставлении услуг людям, которые отказались от этого формата (за этот пункт активно выступала Русская православная церковь). Согласиться на сбор и обработку биометрии можно на портале «Госуслуги», а отказаться (причем в любой момент, даже спустя год после дачи согласия) – в МФЦ.

В декабре 2022 г. также стало известно, что российские многофункциональные центры (МФЦ) скоро начнут принимать россиян без паспорта – используя биометрию для идентификации личности.

Анжела Патракова