Операторов биометрических данных идентифицировали по юрлицу

Принятый в конце 2022 года Федеральный закон № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных» вносит изменения в положение о единой биометрической системе. В частности, документ определяет круг компаний, имеющих право работы с биометрическими данными. Теперь для доступа к рынку биометрических данных им потребуется или пройти специальную аккредитацию, или найти партнера среди уже получивших ее компаний.

С принятием 572-ФЗ обеспечение безопасности биометрических пользовательских данных при идентификации и аутентификации пассажиров транспорта, покупателей магазинов, посетителей организаций, клиентов банков, клиентов других организаций, мобильных приложений в различных сферах является процессом, строго контролируемым и регулируемым со стороны государства и уполномоченных ведомств. Требования закона распространяются пока только на фотографическое изображение лица и запись голоса субъекта (ст. 3 п. 4 572-ФЗ), вместе с тем правительств РФ планирует расширение перечня типов данных, подпадающих под требования 572-ФЗ в 2024 году.

Два основных правила Федерального закона № 572-ФЗ, которые необходимо понимать компаниям, работающим с биометрией, заключаются в следующем. Во-первых, регистрация биометрии теперь возможна только в Единой Биометрической Системе (ЕБС). Во-вторых, право на распознавание биометрии предоставляется исключительно компаниям, аккредитованным в Министерстве цифрового развития, так называемым Коммерческим биометрическим компаниям (КБС). Компании, которые намерены продолжить работать с биометрией, должны либо сами стать КБС, либо подключиться к этой услуге.

 Как изменился путь конечного пользователя

Ранее фотографии пользователей напрямую заносились в систему контроля и управления доступом (СКУД), откуда они передавались на терминалы распознавания. Все процессы распознавания выполнялись на терминале. После успешного распознавания пользователя отправлялся wiegand-код на контроллер, который открывал дверь или турникет. Были также схемы без контроллера, когда устройство по сухим контактам открывало запирающее устройство (турникет или дверь), после чего проход записывался в СКУД. В такую систему можно было добавить любого человека без его согласия, а китайские терминалы часто не обладали средствами шифрования, что ставило под угрозу персональные и биометрические данные граждан.

Новые возможности для применения систем биометрии

С вступлением в силу 572-ФЗ правила работы с биометрией стали предельно конкретны. Теперь пользователя необходимо сначала зарегистрировать в ЕБС, после чего ему предоставляется ссылка на дачу согласия конкретной аккредитованной организации – КБС. Ссылка на согласие передается любым удобным способом: СМС, электронной почтой, сканированием динамического QR-кода и т. д. Процесс дачи согласия занимает не более двух минут. После получения согласия в системе ЕСИА (госуслуги) на обработку своих данных аккредитованная компания получает вектор пользователя. Затем человек подходит к устройству, его фотография отправляется на сервер аккредитованной организации, где и происходит распознавание.

Возможности сервисов, связанных с биометрией, стали практически неограниченными. По 572-ФЗ также возможен проход через турникет по лицу без остановки. Инфраструктура КБС позволяет не только обеспечивать проход по лицу, но и предлагать множество других биометрических сервисов. Например, это может быть логин сотрудников организации по лицу для доступа к ПК, оплата товаров и услуг по лицу, снятие наличных в банкоматах, проход в метро, а также удаленное распознавание на смартфонах и многие другие функции. Кроме того, устройства поддерживают отечественные средства криптозащиты, обеспечивая сохранность персональных данных пользователей в пределах территории РФ.

Процесс получения аккредитации

Процесс получения аккредитации можно разделить на юридический и технический этапы. Исходя из опыта, техническая часть является самой сложной.

Юридическая часть включает в себя требования к уставному капиталу (минимум 500 млн руб.), наличие банковской гарантии на случай штрафов (100 млн руб.), наличие дорогостоящих средств криптографической защиты информации (СКЗИ) для работы с государственными информационными системами (ГИС), размещение баз данных на территории РФ, а также выполнение множества других требований.

Техническая сторона аккредитации включает в себя написание программного обеспечения для работы с ЕБС, интеграцию СКЗИ в собственную инфраструктуру и интеграцию всех частей системы для корректной работы с государственными информационными системами (ЕСИА и ЕБС), а также интеграцию вендора алгоритмов и многое другое.

Кому лучше строить свой КБС, а кому лучше использовать уже аккредитованную систему

Поскольку аккредитация – это долгий и сложный процесс, она наиболее подходит крупным компаниям, например, из банковского сектора, у которых уже есть много необходимых компонентов для аккредитации, включая значительный уставной капитал. Компания OVISION стала первой компанией-разработчиком из небанковского сектора, которая получила аккредитацию в сфере биометрии (стала КБС). Для крупных организаций OVISION предлагает сервис КБС «под ключ», где компания полностью сопровождает клиента от начала до конца процесса аккредитации, который занимает 3-4 месяца. Мы помогаем в создании технической инфраструктуры и консультируем по всем юридическим вопросам.

Для всех остальных организаций удобнее и легче пользоваться услугами сторонних аккредитованных организаций. В таком случае вся ответственность за правильную обработку биометрии лежит на КБС. Аккредитованная организация установит все необходимые средства СКЗИ для работы системы, а переход на 572-ФЗ для пользователей станет практически незаметным. Все существующие системы продолжат работать в обычном режиме.

Следующий этап – транзакционное взаимодействие

Помимо стандартного векторного взаимодействия, используемого в КБС, существует также транзакционное взаимодействие, при котором распознавание осуществляется напрямую через Единую Биометрическую Систему. Этот метод необходим для организаций, работающих в таких областях, как оборонно-промышленный комплекс, атомная энергетика, ядерное оружие, химическая промышленность, топливно-энергетический комплекс, транспортная инфраструктура, а также объекты, категоризированные по чрезвычайным ситуациям, и режимные объекты. Транзакционное взаимодействие более затратно по сравнению с использованием аккредитованной КБС, поскольку требует приобретения дорогостоящих средств криптозащиты (их покупка может достигать 30 млн руб.) и оплаты за каждую транзакцию распознавания (от 1 до 3 руб.).

В этом случае также имеет смысл взаимодействовать с уже аккредитованными КБС, которые предоставляют оборудование и инфраструктуру, позволяющую работать как по векторной, так и по транзакционной модели.