Три июньских постановления Правительства РФ про ЕБС и еще кое-какие инициативы в области биометрии. Часть 2. Еще больше биометрии в ЕБС

Дата: 25.07.2022. Автор: Михаил Емельянников. Категории: Блоги экспертов по информационной безопасности
Три июньских постановления Правительства РФ про ЕБС и еще кое-какие инициативы в области биометрии. Часть 2. Еще больше биометрии в ЕБС

Продолжение. Часть 1 здесь.

Пока собирался написать второй пост про реформу ЕБС и реализующие ее новые постановления Правительства РФ, подоспел новый закон, меняющий условия использования персональных данных в целом и биометрических данных в частности.

Федеральным законом от 14.07.2022 N 325-ФЗ радикально изменена часть 18.23 статьи 14.1 трехглавого закона. Теперь в случае, если биометрические персональные данные соответствуют используемым в ЕБС, то есть изображению лица и (или) голосу (достаточно одного из двух видов биометрии), то госорганы, организации финансового рынка и вообще любые организации обязаны разместить полученную ими биометрию в ЕБС. При этом никакого согласия субъекта на такие действия (как размещение, так и использование Ростелекомом как оператором ЕБС) не требуется. При этом сдающие в ЕБС биометрию организации должны уведомить субъекта о свершившемся факте, а уж он сам может обратиться к Ростелекому с требованием о блокировании (это как, интересно? Биометрия в ЕБС будет, но использовать ее для аутентификации будет нельзя?) или уничтожении биометрических персональных данных.

Почему, на мой взгляд, этим законом радикально изменены условия использования персональных данных вообще и биометрических в частности?

Отменяются сразу несколько принципов закона «О персональных данных»:

·      ограничение обработки достижением конкретных, заранее определенных целей (часть 2 ст.5) (субъект дал согласие своему работодателю на использование изображения лица в СКУД для прохода на охраняемую территорию или банку для его идентификации при личном обслуживании, а будут использоваться эти данные в ЕБС совсем для других целей, на которые согласия не было);

·      запрет объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой (часть 3 ст.5) (цели прохода на территорию и узнавания для обращения по имени-отчеству в банке между собой заведомо не совместимы);

·      соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки (часть 5 ст.5) (в приведенных примерах при сборе персональных данных никаких целей, реализуемых в ЕБС (совершение определенных действий, подтверждение волеизъявления, подтверждение полномочия лица на совершение определенных действий – часть 18.2 ст.14.1 «трехглавого» закона) оператор не ставил).

Конструкция части 18.23 статьи 14.1 противоречит как букве, так и духу закона «О персональных данных». Закон реализует абсолютно четкую правовую конструкцию: обработка персональных данных всегда должна иметь законное основание, которым является согласие субъекта, а обработка без согласия может осуществляться только в случаях, оформленных в виде закрытых перечней для каждой категории персональных данных. Для биометрии этот закрытый перечень определен в части 2 статьи 11, которая содержит перечень случаев, в которых может быть предусмотрена обработка биометрии без согласия субъекта:

·      реализация международных договоров Российской Федерации о реадмиссии,

·      осуществление правосудия и исполнением судебных актов,

·      проведение обязательной государственной дактилоскопической регистрации,

·      случаи, предусмотренные законодательством Российской Федерации:

o   об обороне,

o   о безопасности,

o   о противодействии терроризму,

o   о транспортной безопасности,

o   о противодействии коррупции,

o   об оперативно-разыскной деятельности,

o   о государственной службе,

o   уголовно-исполнительным законодательством Российской Федерации,

o   законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию,

o   о гражданстве Российской Федерации,

o   законодательством Российской Федерации о нотариате.

Никаких отсылок к законодательству об информации, информационных технологиях, о защите информации, о банках и банковской деятельности, об акционерных обществах и др., на основании которого можно использовать данные из ЕБС для аутентификации субъектов, здесь нет.

Форма согласия на обработку данных в ЕБС предусмотрена законом и определена распоряжением Правительства № 1322-р. Там тоже нет ни слова о согласии на перенос данных в ЕБС из других систем.

На мой взгляд, такой произвольный подход к использованию одного из самых чувствительных для граждан вида персональных данных подрывает веру в правовую систему в целом и законодательство в частности.

У подобного подхода может быть много отрицательных последствий. Вот одно из них. В новой редакции говорится о том, что передать данные в виде изображения лица в ЕБС должны, в том числе, государственные органы из своих государственных информационных систем. Постановлением Правительства РФ от 04.03.2010 № 125 определен перечень персональных данных, записываемых на чип биометрического загранпаспорта. Среди них цветное цифровое фотографическое изображение лица владельца документа, которое прямо в Постановлении отнесено к биометрическим персональным данным владельца документа, хотя биометрическая аутентификация по лицу при пересечении границы пока не проводится.

Это значит, что изображения лиц всех счастливых обладателей загранпаспортов нового образца должны быть перенесены в ЕБС. Может, кто-то уже получал уведомление об этом, предусмотренное законом?

Ну, а теперь про второе Постановление Правительства от 15.06.2022 № 1067, направленное на наполнение ЕБС новыми данными – о случаях и сроках использования биометрических персональных данных, размещенных в ЕБС физическими лицами самостоятельно в порядке, который мы рассмотрели в предыдущем посте. Документ вызывает вопросы сразу же по прочтении. Как он соотносится с Постановлением Правительства от 23.10.2021 № 1815, определившим перечень случаев обработки биометрических персональных данных в информационных системах организаций? Дополняет его? Это открытый или закрытый перечень? Ну, и так далее.

Допустимые случаи использования следующие:

а) экзамены в вузах;

б) операции с использованием платежных карт в организациях торговли и сферы услуг на сумму не более 1000 рублей;

в) дополнительная аутентификация клиента организациями финансового рынка при дистанционном обслуживании при условии, что такой клиент ранее был идентифицирован этой организацией финансового рынка (то есть сдав биометрию самостоятельно, обратиться за услугой дистанционно в банк, клиентом которого субъект не является, не получится);

г) аутентификации клиента — физического лица организациями финансового рынка при его обслуживании при личном присутствии (то есть лично получить услугу в банке можно и без паспорта, если клиент уже был идентифицирован в порядке, уставленным статьей 7 антиотмывочного закона);

д) оплата проезда в г. Москве (в Питере и других городах почему-то нельзя, видимо, системы идентификации у них не той системы);

е) проход на территорию госорганов и организаций посредством СКУД за исключением довольно объемного списка организаций, включая объекты КММ, дошкольные и общеобразовательные организаций;

ж) заключение договоров об оказании услуг связи посредством сети Интернет;

з) выдача персонифицированной карты на посещение спортивных соревнований (активно обсуждаемый сейчас по стадионам ID болельщика, который категорически не хотят получать наиболее радикальные из них);

и) аутентификация на портале госуслуг.

Перспективы пугающие. Сдав биометрию с использованием мобильника, к видеокамере и микрофону которого, а также к каналу связи не выдвигается никаких требований, в отличие от систем сдачи биометрии, например, в банках, которые должны соответствовать требованиям Минцифры, можно зайти в банк представиться клиентом Пупкиным и снять деньги без паспорта, или войти на охраняемую территорию вуз, получит симку на кого-то другого и так далее.

Использовать самостоятельно сданную в ЕБС биометрию можно не более 3 лет, обновлять надо добровольно. Видимо, напоминать никто не должен, в чем я сильно сомневаюсь.

Но какие только риски не примешь ради наполнения ЕБС! И это мы еще до обсуждения инициативы Банка России об обязательной опции сбора биометрии в мобильных приложениях российских банков не добрались.


Источник — блог Емельянникова Михаила «Рецепты безопасности от Емельянникова».

Об авторе Михаил Емельянников

Экcперт в области информационной безопасности и безопасности бизнеса. Управляющий партнер Консалтингового агентства "Емельянников, Попова и партнеры"
Читать все записи автора Михаил Емельянников

Добавить комментарий

Ваш адрес email не будет опубликован.