В последние годы вокруг темы биометрии в России возникает всё больше вопросов — и со стороны бизнеса, и со стороны субъектов персональных данных (ПДн). Особенно остро обсуждаются случаи, когда те или иные сведения начинают подпадать под понятие биометрических персональных данных (БПДн) и, как следствие, требуют особого подхода к их обработке и защите в информационных системах ПДн.
В этой статье мы разберём, что такое БПДн с юридической точки зрения, в каких случаях фото — это просто фото, а когда оно приобретает математический шаблон, вектор единой биометрической системы (ЕБС) и какое отношение ко всему этому имеет сама ЕБС.
Что такое БПДн по закону?
Согласно Федеральному закону № 152-ФЗ, БПДн — это сведения о физиологических и биологических особенностях человека, позволяющие установить его личность, и которые используются оператором для идентификации субъекта ПДн.
Пример — фотография лица, запись голоса, радужная оболочка глаз, папиллярный узор пальца или рисунок вен ладони которые используются информационной системой для распознавания и автоматической идентификации человека.
Фото в системе ≠ биометрия
Важно понимать, что наличие изображения не всегда означает работу с БПДн. Если на корпоративном портале размещена фотография сотрудника просто «для профиля», и система не использует это изображение для идентификации — это не биометрические данные, а иная категория ПДн.
Аналогичная история с фото в системе контроля и управления доступом (СКУД): если сотрудник охраны сверяет лицо на экране с лицом человека перед собой, идентификация происходит визуально, вручную, и это не считается автоматизированной обработкой БПДн.
Когда начинается «автоматизированная обработка»
Ключевой момент — наличие математического шаблона у БПДн. Этот шаблон позволяет в автоматическом режиме идентифицировать субъекта.
Если такой шаблон существует и используется в целях идентификации субъекта, то это уже биометрия по всем правилам. В России использование математических шаблонов, таких как биометрический вектор лица и биометрический вектор голоса, в целях идентификации субъектов возможно только посредством подключения к ЕБС — централизованной платформе, к которой подключаются банки, МФЦ и другие организации, осуществляющие удалённую идентификацию.
Что такое ЕБС и зачем она нужна
Единая биометрическая система — это государственная платформа, в которой хранятся не изображения и не аудиозаписи, а биометрические векторы. Векторы — это математические представления изображения лица или голоса, полученные по строгим требованиям (например, ГОСТ Р ИСО/МЭК 19794-5).
Организации, работающие с ЕБС, обязаны снимать фото по установленным стандартам (например, ГОСТ Р ИСО/МЭК 19794-5), а не «сырого» фото и передавать его в ЕБС для корреляции с такими векторами.
Есть ли ограничения с отпечатками пальцев и радужкой
Здесь всё чуть тоньше. Технически папиллярный узор, радужная оболочка глаза или рисунок вен тоже можно перевести в математический шаблон. Но Федеральный закон № 572-ФЗ пока не распространяется на эти виды биометрии, и использовать их можно только в рамках внутренней безопасности и без подключения к ЕБС.
Также стоит помнить: рост, вес, цвет волос и глаз — это хоть и индивидуальные, но неуникальные признаки. Они не являются биометрическими данными с точки зрения закона.
Только с согласия — и без давления
Любая СКУД, которая предполагает пропуск по биометрии, может работать только при наличии отдельного согласия субъекта. Если человек отказался предоставлять свои БПДн в целях организации пропускного режима (идентификации), организация обязана предложить альтернативный способ идентификации (например, электронную карту).
Важно: запрет на доступ в случае отказа в предоставлении таких БПДн — это нарушение закона.
Использование биометрии внутри компании
Да, если организация использует БПДн для собственных нужд и не предоставляет доступ к оказываемым услугам, она может применять биометрию как второй фактор, реализуя тем самым процесс аутентификации субъекта без подключения к ЕБС.
Пример — сотрудник прикладывает карту, а СКУД сверяет его лицо с базой для подтверждения входа. Главное, чтобы не было нарушения прав субъекта и использовалась не автоматическая идентификация, а именно аутентификация (подтверждение личности на основе ранее полученных данных).
Подведем итоги
|
Ситуация |
Это БПДн |
Автоматизация |
Нужна ЕБС |
|---|---|---|---|
|
Фото сотрудника на портале |
Нет |
Да |
Нет |
|
Фото в СКУД при идентификации охранником |
Да (вне рамок СКУД) |
Нет |
Нет |
|
Лицо в биометрической системе, идентификация СКУД |
Да |
Да |
Да |
|
Радужка глаза, переведённая в математический шаблон |
Да |
Да |
Пока нет |
|
Вес, рост, цвет глаз в информационной системе |
Нет |
Да |
Нет |
Биометрия — это не только сведения, но и требования, и права человека. Использовать её можно и нужно, но осознанно и с соблюдением всех правил. Ведь от этого зависит не только удобство субъектов, но и их безопасность.
ссылка на оригинал статьи https://habr.com/ru/articles/898304/
Добавить комментарий