Доступ к биометрическим данным граждан в России будет ужесточен – Минцифры запрещает компаниям с собственным капиталом меньше 500 млн руб. оперировать такими сведениями. Причина – неспособность организаций обеспечить полноценную защиту персональной информации людей.

Аккредитацию получат не все

Минцифры России собирается ужесточить требования по аккредитации компаний, которые хотят собирать и обрабатывать биометрические данные. Об этом говорится в проекте постановления правительства, который появился на портале нормативно-правовых актов.

В документе установлен «порог» – размер собственного капитала организации, имеющей право использовать биометрию, должен достигать 500 млн руб. вместо 50 млн руб., как было раньше. Кроме того, величина финансового обеспечения убытков в случае неправильной аутентификации увеличена в два раза – с 50 млн руб. до 100 млн руб.

Этим критериям должны соответствовать и частные, и государственные компании – если они хотят получить аккредитацию Минцифры.

Также ведомство будет требовать от организаций предоставить документы о том, что при обработке персональной информации будет использоваться исключительно Единая биометрическая система (ЕБС) баз данных, которые находятся на территории России.

Организации должны будут подтвердить свое право собственности на аппаратные шифровальные (криптографические) средства, которые используются для аутентификации пользователей. Кроме того, в штате компании должно быть не меньше двух сотрудников, которые работают с биометрическими данными, и имеют при этом высшее образование в области ИТ или информационной безопасности.

В случае принятия, документ вступит в силу с 1 июня 2023 г. и будет действовать до 1 июня 2029 г.

Что говорят юристы

Рост сумм в документе явно связан со стремлением Минцифры ограничить круг организаций, которые могут проводить аутентификацию на основе биометрии – о том, что документ играет заградительную роль, «Ведомостям» сказал главный юрисконсульт практики интеллектуальной собственности юридической компании ЭБР Кирилл Ляхманов.

Постановление очевидно закроет рынок биометрии для мелких компаний – все персональные данные россиян сосредоточатся у крупнейших банков и других организаций. Так, партнер департамента финансового консультирования компании ДРТ Антон Шульга объяснил изданию, что сейчас сбор биометрии, в основном, интересует кредитные организации, которые с ее помощью проводят верификацию. Но потенциально она нужна всем компаниям, которые проводят идентификацию клиентов по паспорту – особенно онлайн.

Ляхманов уточнил, что повышение планки капитала нацелено на отсев компаний, у которых нет нужного бюджета для защиты персональных данных физлиц, хотя механизм связи между капиталом и кибербезопасностью никак не описывается. По его словам, примеры прошлых крупных утечек информации говорят о том, что большой размер собственного капитала вовсе не гарантирует, что данные будут в безопасности.

Так, CNews писал, что объем утечек персональных данных россиян в 2022 г. вырос в 40 раз – пострадали почти 100 млн россиян. В 2022 г. из базы данных службы доставки СДЭК утекли два файла: один на 466 млн строк, второй – на 822 млн. У «Яндекс.еды» утекли 50 млн записей, из них 6,8 млн уникальных наборов данных из России и Казахстана. В мае 2022 г. то же случилось с Delivery Club, в сеть угодила база заказов на 350 млн строк. Затем были опубликованы сведения о 30 млн клиентов сети медицинских лабораторий «Гемотест», 110 тыс. строк с данными сотрудников «Ростелекома» и 10 млн записей из базы данных «Почты России».

О принятом законе

Проект постановления, уточняется на сайте правительства, разработан для того, чтобы привести в соответствие требования, которые прописаны в законе № 572, принятом 29 декабря 2022 г.

Закон посвящен «Единой биометрической системе» (ЕБС), которая содержит биометрические персональные данные физических лиц, векторы единой биометрической системы и иную информацию, которая используется в целях осуществления идентификации, аутентификации с использованием биометрических персональных данных физических лиц, и оператором которой является определенная Правительством организация

В ЕБС будут вносить и обрабатывать изображения лица человека и запись его голоса.

В октябре 2022 г. Президент Владимир Путин поручил назначить организацией, обеспечивающей развитие цифровых технологий идентификации и аутентификации, «Центр биометрических технологий». В ней «Ростелеком» получил 49%, государство – 26%, ЦБ – 25%.

Глава комитета Госдумы по информационной политике, ИТ и связи Александр Хинштейн объяснял, что закон посвящен запрету принудительной сдачи биометрических данных и изъятию биометрических данных россиян из коммерческого оборота государству. Чиновник уточнял, что судьба данных около 70 млн россиян, которыми сейчас распоряжаются банки, фитнес-клубы и управляющие компания, неясна – а единая государственная база поможет их безопасно хранить.

На возможности гражданина отказаться от обработки своих биометрических данных настояла Русская православная церковь (РПЦ).

В декабре 2022 г. также стало известно, что российские многофункциональные центры (МФЦ) скоро начнут принимать россиян без паспорта – используя биометрию для идентификации личности.