Постановление правительства РФ № 1799 "Об аккредитации организаций, владеющих информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающих услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц" принято 20 октября 2021 г.
Постановление вступает в силу с 1 января 2022 г. и действует до 1 января 2028 г. Согласно документу аккредитация организаций начнется 1 марта 2022 г. и проводится Министерством цифрового развития, связи и массовых коммуникаций РФ.
В Минцифре пояснили, что аккредитация организаций проводится с целью определения способности организации оказывать услуги по идентификации и аутентификации для физических лиц в соответствии с требованиями, предъявляемыми нормативно-правовым актами. "При проверке сведений об организации рассматриваются вопросы уровня информационной безопасности, состояния технической инфраструктуры, наличия соответствующих криптографических средств, профильных сотрудников и иных важных аспектов деятельности по идентификации и аутентификации. Без введения механизмов регулирования рынка биометрических технологий по параметрам, изложенным в данном акте существует высокий риск возникновения масштабных утечек биометрических персональных данных, нарушения целостности (подмены, удаления) биометрических персональных данных, нарушения их конфиденциальности, а также внесения фиктивных биометрических персональных данных при обработке, включая их сбор", - рассказала ComNews пресс-служба Минцифры.
Для аккредитации организациям необходимо представить в уполномоченный федеральный орган заявление на аккредитацию с приложением документов, подтверждающих выполнение требований для аккредитации. В правилах перечислен список документов, которые нужно приложить к заявлению. "В случае несоответствия организации данным требованиям, аккредитация будет отозвана или приостановлена до исправления нарушений. За незаконный сбор, обработку и хранение биометрических персональных данных предусмотрена ответственность в соответствии с законодательством РФ", - напомнила пресс-служба министерства. В Правилах перечислены случаи прекращения аккредитации аккредитованных организаций.
Минцифры по предварительным расчетам прогнозирует подачу заявок на аккредитацию до 1300 организаций. "При этом работа по оценке организаций, которые планируют подать заявление на аккредитацию, еще продолжается, - уточнили в пресс-службе министерства. Опрошенные ComNews банки (как компании, которым придется проходить аккредитацию) отказались от комментариев по теме. В управлении общественных связей Ассоциации банков России (АБР) рассказали, что на площадке Ассоциации банков России не формировалось консолидированное мнение банковского сообщества о данном постановлении. "Мы проинформировали своих членов о его подготовке, и они самостоятельно в рамках общественного обсуждения направляли отзывы в Минэкономразвития", - сообщили в АБР.
Согласно Правилам подтверждением наличия у аккредитованной организации аккредитации является соответствующая запись в перечне аккредитованных организаций.
Оператором Единой биометрической системы (ЕБС) является "Ростелеком". "Сегодня все больше компаний стремится оказывать услуги в дистанционном формате, - отметила пресс-служба "Ростелекома". - Различные коммерческие организации в последнее время активно внедряют в процессы биометрические решения. На сегодняшний день только Единая биометрическая система защищена в соответствии с установленными высокими требованиями к информационной безопасности системы федерального уровня. Она прошла анализ защищенности и получила сертификат соответствия требованиям информационной безопасности ФСБ и ФСТЭК России. Новое законодательство позволит коммерческим компаниям осуществлять сбор биометрических данных граждан с соблюдением установленных требований и под контролем уполномоченных ведомств. Считаем, это положительно скажется на рынке биометрической идентификации".
Директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов рассказывает, что внесенные поправки разрешают вместо предъявления паспорта проводить биометрическую аутентификацию с помощью государственной Единой биометрической системы (ЕБС). "Так, например, вместо того, чтобы проверить паспорт человека, нотариус сможет сфотографировать человека, с помощью специального приложения отправить фотографию на проверку в ЕБС и получить точный ответ: действительно ли этот человек является тем, за кого себя выдает. Биометрическая аутентификация намного надежнее проверки документов, но у нее есть своя "ахиллесова пята". Для того, чтобы ЕБС смогла проверять личность человека, кто-то должен сперва установить личность человека, сфотографировать его и внести данные о нем в систему (в терминах закона - идентифицировать его). Если при выдаче паспортов идентификацию человека проводит уполномоченное подразделение полиции, то при работе с ЕБС идентификация была поручена коммерческим компаниям, многофункциональным центрам и банкам. Такое решение было очевидной ошибкой, - уверен Дмитрий Кузнецов. - Процедура идентификации связана с очень высоким риском: операционист может быть сообщником мошенников, и если он внесет в систему фиктивные данные (например, фотографию мошенника вместо фотографии гражданина), мошенник получит практически безграничные возможности заключать сделки от имени этого гражданина. И если полиция, как орган государственной власти, пользуется относительным доверием, то доверять столь важную государственную функцию коммерческим компаниям никаких оснований нет - в случае злоупотреблений организация, работник которой внес в систему подложные данные, никакой ответственности не понесет, да и установить реального виновника будет проблематично".
Источник на рынке, пожелавший остаться неназванным, пояснил, что постановление правительства об аккредитации принято именно из-за этого. "Осознав эту ошибку, государство попыталось принять компромиссное решение: организации, которым будет разрешено проводить идентификацию граждан и оказывать услуги по их биометрической аутентификации, должны будут пройти аккредитацию. Сама по себе аккредитация проблему отсутствия доверия не решает, но, по крайней мере, у государства появляется хоть какой-то механизм фильтрации и отбраковки недобросовестных исполнителей. К сожалению, проблему это все равно не решает, и применение ЕБС при выполнении юридически значимых действий по-прежнему создает угрозу гражданам, причем даже тем, кто эту угрозу осознает и предоставлять свои данные в ЕБС отказывается", - рассказал источник.
Вице-президент по инвестициям ГК Softline Елена Волотовская сообщила, что согласно процедуре аккредитации организации обязаны доказать, что владеют разработанными в России средствами аппаратной криптографии, и располагают персоналом, способным эти средства поддерживать. Есть требования к размеру капитала - не менее 50 млн. руб. Для организаций, которые уже прошли проверку на соответствие 152-ФЗ, в требованиях постановления по части получения аккредитации не будет чего-то невыполнимого. Биометрическая идентификация (отпечаток пальца, распознавание лица и т.д.) распространяется все шире. Так, с 1 января 2021 г. предлагается разрешить проводить все банковские операции с помощью биометрии. Это выдача кредитов, закрытие счетов и другие манипуляции. Биометрические системы должны иметь понятный принцип работы, их эксплуатанты обязаны должным образом защищать биометрические данные. Разумеется, эта сфера требует регулирования. Учитывая, что речь идет в том числе о деньгах граждан, я не считаю такое регулирование избыточным. Оно совершенно точно необходимо", - прокомментировала .
Соучредитель ГК БГТМ Михаил Шкляр, напротив, считает данное регулирование избыточным.
У него возникло несколько вопросов по поводу постановления: "Во-первых, как эти положения будут трактоваться, то есть кто будет признаваться владельцем информационной системы - компания, которая ее разработала, импортер этого софта или еще кто-то. Во-вторых, что будет считаться такой системой - софт или само устройство. А также пока непонятно, кто будет контролировать соблюдение этих положений. Что же касается самой процедуры, то, согласно постановлению, ничего сложного в ней нет, так как она носит уведомительный характер. Единственное, можно обратить внимание на положение о собственных средствах или уставном капитале в размере 50 млн руб. Многие компании работают в форме общества с ограниченной ответственностью, и такого капитала у них нет. В целом, это схоже с общим регулированием сферы персональных данных, но применительно к биометрии. Конечно, это скорее избыточная мера, и вводится она для усиления контроля и надзора за организациями, так или иначе имеющими дело с такими данными. Это затронет сотни компаний, которые хранят у себя данные биометрии".
ComNews поинтересовался у экспертов что может получиться с соблюдением данной нормы иностранными компаниями. Руководитель юридической практики компании "Интерцессия" Кирилл Стус считает, что ситуации, при которой российские компании будут обязаны выполнять требования постановления № 1799, а иностранные компании нет, возникнуть не может. "По законодательству РФ иностранные организации, осуществляющие деятельность на территории России, обязаны подчиняться требованиям российского законодательства. Кроме того, иностранные компании наряду с российскими обязаны обеспечивать локализацию персональных данных россиян на территории России. В соответствии с пунктом 2 статьи 17 ФЗ "Об информации, информационных технологиях и защите информации" лица, виновные в нарушении требований статьи 14.1 настоящего ФЗ в части обработки, включая сбор и хранение биометрических персональных данных, несут административную, гражданскую и уголовную ответственность в соответствии с законодательством РФ. Именно с целью исполнения положений статьи 14.1 ФЗ "Об информации, информационных технологиях и защите информации" и было принято рассматриваемое постановление", - прокомментировал Кирилл Стус.
Владелец IT-legal компании "Катков и партнеры" Павел Катков считает, что ситуация будет такая же, как по другим регуляторным механизмам. "Найдется иностранная интернет-компания, не согласная с регулированием, которая будет игнорировать требования данного правового акта, - пояснил он. - Роскомнадзор будет ее преследовать, суд поддержит ведомство. Однако решение о штрафе можно будет исполнить, только если у интернет-компании будет имущество в РФ. Останется такая мера воздействия, как замедление и блокировка. После компания или исполнит требования ведомства, или будет успешно заблокирована (сценарий LinkedIn), или будет неуспешно заблокирована (сценарий Telegram)".
Павел Катков убежден, что пока не будет международного соглашения прямого действия на эту тему, сложности с правоприменением в отношении иностранных интернет-компаний будут сохраняться. "Причем эта проблема актуальна и для России, и для других стран, включая США. Дональд Трамп не реализовал намерение заблокировать Tik Tok, но если бы он попытался сделать это, не факт, что у него бы получилось", - отметил он.
Юлия Мельникова