Приказ Минцифры России от 12.05.2023 N 453 "О порядке обработки биометрических персональных данных и векторов единой биометрической системы в единой биометрической системе и в информационных системах аккредитованных государственных органов, Центрального банка РФ в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц" (вместе с "Порядком обработки, включая сбор, хранение, биометрических персональных данных, в том числе требования к параметрам биометрических персональных данных", "Порядком размещения и обновления биометрических персональных данных в единой биометрической системе, а также случаи и сроки использования биометрических персональных данных при их размещении в единой биометрической системе в соответствии с частью 14 статьи 4 Федерального закона от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты РФ и признании утратившими силу отдельных положений законодательных актов РФ", "Порядком обработки, включая сбор, хранения и уничтожения биометрических персональных данных, векторов единой биометрической системы в информационных системах аккредитованных государственных органов, Центрального банка РФ в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц", "Порядком создания и передачи векторов единой биометрической системы в целях осуществления аутентификации", "Требованиями к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения идентификации и (или) аутентификации, а также порядок подтверждения соответствия информационных технологий и технических средств указанным требованиям") (Зарегистрировано в Минюсте России 30.05.2023 N 73620) - последняя редакция

МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ
И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ

ПРИКАЗ
от 12 мая 2023 г. N 453

О ПОРЯДКЕ
ОБРАБОТКИ БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ И ВЕКТОРОВ
ЕДИНОЙ БИОМЕТРИЧЕСКОЙ СИСТЕМЫ В ЕДИНОЙ БИОМЕТРИЧЕСКОЙ
СИСТЕМЕ И В ИНФОРМАЦИОННЫХ СИСТЕМАХ АККРЕДИТОВАННЫХ
ГОСУДАРСТВЕННЫХ ОРГАНОВ, ЦЕНТРАЛЬНОГО БАНКА РОССИЙСКОЙ
ФЕДЕРАЦИИ В СЛУЧАЕ ПРОХОЖДЕНИЯ ИМ АККРЕДИТАЦИИ, ОРГАНИЗАЦИЙ,
ОСУЩЕСТВЛЯЮЩИХ АУТЕНТИФИКАЦИЮ НА ОСНОВЕ БИОМЕТРИЧЕСКИХ
ПЕРСОНАЛЬНЫХ ДАННЫХ ФИЗИЧЕСКИХ ЛИЦ

В соответствии с пунктом 1 части 2 статьи 6 Федерального закона от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" и подпунктами 5.2.57 - 5.2.62 пункта 5 Положения о Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации, утвержденного постановлением Правительства Российской Федерации от 2 июня 2008 г. N 418, приказываю:

1. Утвердить по согласованию с Федеральной службой безопасности Российской Федерации и Центральным банком Российской Федерации:

Порядок обработки, включая сбор, хранение, биометрических персональных данных, в том числе требования к параметрам биометрических персональных данных, согласно приложению N 1 к настоящему приказу;

Порядок размещения и обновления биометрических персональных данных в единой биометрической системе, а также случаи и сроки использования биометрических персональных данных при их размещении в единой биометрической системе в соответствии с частью 14 статьи 4 Федерального закона от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" согласно приложению N 2 к настоящему приказу;

Порядок обработки, включая сбор, хранения и уничтожения биометрических персональных данных, векторов единой биометрической системы в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, согласно приложению N 3 к настоящему приказу;

Порядок создания и передачи векторов единой биометрической системы в целях осуществления аутентификации согласно приложению N 4 к настоящему приказу;

Требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения идентификации и (или) аутентификации, а также порядок подтверждения соответствия информационных технологий и технических средств указанным требованиям согласно приложению N 5 к настоящему приказу.

2. Признать утратившим силу приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 10.09.2021 N 930 "Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных, порядка размещения и обновления биометрических персональных данных в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации" (зарегистрирован Минюстом России 28 октября 2021 г., регистрационный N 65621).

3. Настоящий приказ вступает в силу по истечении десяти дней со дня его официального опубликования и действует до 1 июня 2029 г., за исключением пунктов 5 и 22 приложения N 1 к настоящему приказу, подпункта 4 пункта 2, пункта 4, подпункта 3 пункта 6, пунктов 8, 17 и 19 приложения N 2 к настоящему приказу, которые действуют до 1 января 2027 г.

Министр
М.И.ШАДАЕВ

Приложение N 1
к приказу Министерства
цифрового развития, связи
и массовых коммуникаций
Российской Федерации
от 12.05.2023 N 453

ПОРЯДОК
ОБРАБОТКИ, ВКЛЮЧАЯ СБОР, ХРАНЕНИЕ, БИОМЕТРИЧЕСКИХ
ПЕРСОНАЛЬНЫХ ДАННЫХ, В ТОМ ЧИСЛЕ ТРЕБОВАНИЯ К ПАРАМЕТРАМ
БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Обработка, включая сбор, хранение, биометрических персональных данных для идентификации и (или) аутентификации реализуется с применением информационных технологий и технических средств, имеющих подтверждение соответствия требованиям к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных, векторов единой биометрической системы <1> в целях проведения идентификации и (или) аутентификации, которое проводится федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных в соответствии с Требованиями к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения идентификации и (или) аутентификации, а также порядком подтверждения соответствия информационных технологий и технических средств указанным требованиям, содержащимися в приложении N 5 к настоящему приказу.

--------------------------------

<1> Пункт 3 статьи 2 Федерального закона от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" (далее - Федеральный закон N 572-ФЗ).

2. В соответствии с настоящим Порядком проводится обработка биометрических персональных данных следующих видов:

изображение лица человека, полученное с помощью фотовидеоустройств (далее - изображение лица);

запись голоса человека, полученная с помощью звукозаписывающих устройств (далее - запись голоса).

3. В единой биометрической системе <2> в целях осуществления идентификации осуществляется обработка записей голоса, собранных текстозависимым методом.

--------------------------------

<2> Пункт 4 статьи 2 Федерального закона N 572-ФЗ.

4. Параметры собираемых для размещения в единой биометрической системе биометрических персональных данных должны соответствовать требованиям, установленным пунктами 11 - 14 настоящего Порядка.

5. Параметры собираемых для размещения в региональном сегменте единой биометрической системы биометрических персональных данных должны соответствовать требованиям, установленным пунктами 12 и 14 настоящего Порядка.

6. В единой биометрической системе в результате обработки биометрических персональных данных осуществляется создание векторов единой биометрической системы в соответствии с Порядком создания и передачи векторов единой биометрической системы в целях осуществления аутентификации, содержащимся в приложении N 4 к настоящему приказу.

7. Сбор биометрических персональных данных для размещения в единой биометрической системе в соответствии с частью 1 статьи 4 Федерального закона N 572-ФЗ производится при личном присутствии физического лица уполномоченным работником банка, многофункционального центра предоставления государственных и муниципальных услуг (далее - многофункциональный центр) и иной организации в случаях, определенных федеральными законами (далее - организация), в соответствии с требованиями к параметрам биометрических персональных данных, установленными пунктами 11, 13 настоящего Порядка.

При сборе биометрических персональных данных в целях размещения в единой биометрической системе уполномоченный работник многофункционального центра подписывает собранные биометрические персональные данные своей усиленной квалифицированной электронной подписью.

При сборе биометрических персональных данных в целях размещения в единой биометрической системе уполномоченный работник банка и организации подписывает собранные биометрические персональные данные своей усиленной квалифицированной электронной подписью или усиленной неквалифицированной электронной подписью, которая создается и проверяется с использованием средств электронной подписи и средств удостоверяющего центра, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности в соответствии с частью 5 статьи 8 Федерального закона от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи", соответствующего банка или организации.

8. Банк, многофункциональный центр и организация при сборе биометрических персональных данных для размещения в единой биометрической системе определяют уполномоченных работников, осуществляющих сбор биометрических персональных данных (далее - уполномоченный работник), и осуществляют выдачу им сертификатов ключей проверки электронной подписи, используемой для подписания биометрических персональных данных в соответствии с пунктом 7 настоящего Порядка.

Уполномоченный работник осуществляет защищенное хранение выданного ему ключа электронной подписи, используемой для подписания биометрических персональных данных в соответствии с пунктом 7 настоящего Порядка, обеспечивающее конфиденциальность ключа электронной подписи и исключающее его несанкционированное изменение, добавление и удаление в соответствии с законодательством Российской Федерации в области электронной подписи.

Уполномоченный работник подписывает своей электронной подписью в соответствии с пунктом 7 настоящего Порядка биометрические персональные данные, собранные им, и информацию, указанную в пункте 16 настоящего Порядка.

9. Уполномоченный работник обязан соблюдать конфиденциальность ключа электронной подписи, используемой для подписания биометрических персональных данных в соответствии с пунктом 7 настоящего Порядка.

10. Обработка, включая сбор, биометрических персональных данных физического лица для размещения в единой биометрической системе, осуществляется после:

получения согласия на обработку персональных данных в единой системе идентификации и аутентификации <3> и биометрических персональных данных в единой биометрической системе по форме, утвержденной в соответствии с частью 2 статьи 4 Федерального закона N 572-ФЗ;

--------------------------------

<3> Пункт 5 статьи 2 Федерального закона N 572-ФЗ.

проведения идентификации физического лица в соответствии с требованиями, утвержденными согласно пункту 2 части 6 статьи 4 Федерального закона N 572-ФЗ.

Указанная в настоящем пункте идентификация не проводится при размещении биометрических персональных данных в региональном сегменте единой биометрической системы и в случаях, предусмотренных подпунктами 2 - 4 пункта 1 Порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также случаев и сроков использования биометрических персональных данных при их размещении в единой биометрической системе в соответствии с частью 14 статьи 4 Федерального закона от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации", содержащегося в приложении N 2 к настоящему приказу (далее - Порядок размещения и обновления).

11. Параметры биометрических персональных данных изображения лица, размещаемых в единой биометрической системе, в том числе в соответствии с частью 9 статьи 4 Федерального закона N 572-ФЗ, для проведения идентификации и (или) аутентификации, должны соответствовать следующим требованиям:

цвета пикселей изображений фронтального типа должны быть представлены в 24-битовом цветовом пространстве RGB, в котором на каждый пиксель приходится по 8 битов на каждый компонент цвета: красный, зеленый и синий;

изменение интенсивности в области лица (от макушки до подбородка и от левого уха до правого уха) после преобразования к градациям серого должно находиться в диапазоне от 128 уровней до 255 уровней, при этом на лице не должно быть областей с насыщением (недостаточной или слишком большой экспозицией) - контраст изображения в области лица должен составлять от 0,3 до 0,95;

поворот головы должен быть не более 15° от фронтального положения, при этом на изображении лица должны быть видны левое и правое ухо (при их наличии) и скуловые точки (точки ZY (код 2.1, 2.2) в соответствии с пунктом 5.6.6 Национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 19794-5-2013 "Национальный стандарт Российской Федерации. Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица", утвержденного и введенного в действие приказом Федерального агентства по техническому регулированию и метрологии от 6 сентября 2013 г. N 987-ст <4> (далее - ГОСТ Р ИСО/МЭК 19794-5-2013);

--------------------------------

<4> С изменениями, внесенными приказами Федерального агентства по техническому регулированию и метрологии от 8 ноября 2018 г. N 947-ст "Об утверждении изменения к национальному стандарту Российской Федерации", от 25 ноября 2021 г. N 1607-ст "Об утверждении изменения национального стандарта Российской Федерации".

наклон головы должен быть не более 15° от фронтального положения, при этом на изображении лица линия, проходящая через скуловые точки (точки ZY) в соответствии с пунктом 5.6.6 ГОСТ Р ИСО/МЭК 19794-5-2013, должна располагаться между линией, проведенной через нижние точки крыла носа (точки SBAL (код 5.9, 5.10) в соответствии с пунктом 5.6.6 ГОСТ Р ИСО/МЭК 19794-5-2013), и линией, проведенной между центральными точками зрачка (точки Р (код 3.5, 3.6) в соответствии с пунктом 5.6.6 ГОСТ Р ИСО/МЭК 19794-5-2013);

отклонение головы должно быть не более 10° от фронтального положения;

расстояние между центрами глаз должно составлять не менее 120 пикселей;

не допускается наличие на изображении визуально различимой бочкообразной дисторсии и подушкообразной дисторсии;

изображение должно содержать полное изображение головы человека, верхушечную точку (точка V (код точки 1.1) в соответствии с пунктом 5.6.6 ГОСТ Р ИСО/МЭК 19794-5-2013) и низшую точку подбородка (точка GN (код точки 2.7) в соответствии с пунктом 5.6.6 ГОСТ Р ИСО/МЭК 19794-5-2013), в том числе в случае перекрытия указанных элементов волосяным покровом;

не допускается перекрытие волосами или посторонними предметами изображения лица по всей ширине от бровей до нижней губы, за исключением их перекрытия бородой и (или) усами;

на изображении должно присутствовать только одно лицо, наличие других лиц, фрагментов других лиц не допускается;

выражение лица должно быть нейтральным, рот закрыт, оба глаза открыты нормально для соответствующего физического лица (с учетом поведенческих факторов и (или) медицинских заболеваний);

лицо должно быть равномерно освещено в области левой и правой щек и носа (неравномерность яркости не более 0,3), не допускается наличие бликов и теней в области лица;

все точки полученного изображения лица (от макушки до подбородка по всей ширине лица) должны быть в фокусе;

в случае фотографирования человека в очках не допускается перекрытие оправой зрачков и радужной оболочки глаз, использование солнцезащитных или тонированных очков, наличие бликов на линзах очков;

изображение лица должно быть сохранено в формате .jpeg или .png; код сжатия: JPEG (0 x 00), PNG (0 x 03);

на изображении должны отсутствовать артефакты сжатия.

12. Параметры биометрических персональных данных изображения лица, размещаемых в единой биометрической системе в соответствии с подпунктом 3 пункта 1 Порядка размещения и обновления, должны соответствовать следующим требованиям:

цветное изображение, цвета пикселей которого должны быть представлены в 24-битовом цветовом пространстве RGB, в котором на каждый пиксель приходится по 8 битов на каждый компонент цвета (красный, зеленый и синий) или монохромное изображение, цвета пикселей которого должны быть представлены в 8-битовом цветовом пространстве;

цветовая насыщенность должна быть такой, чтобы после преобразования к градациям серого изменение интенсивности в области лица (от макушки до подбородка и от левого уха до правого уха) находилось в диапазоне от 128 уровней до 255 уровней, при этом на лице не должно быть областей с насыщением (недостаточной или слишком большой экспозицией) - контраст изображения в области лица должен составлять от 0,3 до 0,95;

отклонение головы должно быть не более 10° от фронтального положения;

расстояние между центрами глаз должно составлять не менее 45 пикселей;

лицо должно располагаться по центру изображения по вертикали и горизонтали;

не допускается перекрытие волосами или посторонними предметами изображения лица по всей ширине от бровей до нижней губы, за исключением перекрытия бородой и (или) усами;

на изображении должно присутствовать только одно лицо, наличие других лиц, фрагментов других лиц, изображений лиц не допускается;

выражение лица должно быть нейтральным, наличие мимики не допускается, рот закрыт (без улыбки), оба глаза открыты;

допускается кадрирование изображения;

все точки полученного изображения лица (от макушки до подбородка по всей ширине лица) должны быть в фокусе;

изображение должно быть сохранено в формате .png или .jpeg;

на изображении должны отсутствовать артефакты сжатия.

13. Параметры биометрических персональных данных записи голоса, размещаемых в единой биометрической системе, в том числе в соответствии с частью 9 статьи 4 Федерального закона N 572-ФЗ, для идентификации и (или) аутентификации должны соответствовать следующим требованиям:

отношение сигнал-шум для звука не менее 15 дБ;

глубина квантования не менее 16 бит;

частота дискретизации не менее 16 кГц;

запись голоса должна быть сохранена в формате RIFF (.wav);

код сжатия: PCM/uncompressed (0 x 0001);

количество каналов в записи голоса: 1 (монорежим) канал;

не допускается использовать шумоподавление;

на записи должен присутствовать голос одного человека;

произнесенное физическим лицом сообщение должно соответствовать последовательности букв и (или) цифр, сгенерированной программным обеспечением информационной системы органа или организации;

запись голоса должна содержать указанную последовательность полностью и не должна прерываться;

при осуществлении записи голоса эмоционально-психологическое состояние физического лица должно быть нормальным, не возбужденным, без явных признаков заболеваний, препятствующих произнесению сообщения, указанного в абзаце десятом настоящего пункта, или способных нарушить тембр и (или) звучание голоса;

сообщение, указанное в абзаце десятом настоящего пункта, должно быть произнесено физическим лицом на русском языке.

Запрещено получение биометрических персональных данных записи голоса путем перекодирования фонограмм, записанных с помощью технических средств телефонной сети общего пользования.

14. Параметры биометрических персональных данных записи голоса, размещаемых в единой биометрической системе в соответствии с подпунктом 3 пункта 1 Порядка размещения и обновления, должны соответствовать следующим требованиям:

отношение сигнал-шум для звука не менее 15 дБ;

глубина квантования не менее 16 бит;

частота дискретизации не менее 16 кГц;

запись голоса должна быть сохранена в формате RIFF (WAV);

код сжатия: PCM/uncompressed (0 x 0001);

количество каналов в записи голоса: 1 (монорежим) канал;

на записи должен присутствовать голос одного человека;

произнесенное физическим лицом сообщение должно соответствовать последовательности цифр;

на записи не должно быть слов, выражений, кроме тех, которые требуется произнести (последовательности цифр);

сообщение должно быть произнесено физическим лицом на русском языке.

15. Проверка параметров биометрических персональных данных, собранных уполномоченными работниками в целях размещения биометрических персональных данных в единой биометрической системе, на соответствие требованиям, установленным пунктами 11, 13 настоящего Порядка (далее - контроль качества), осуществляется банками, многофункциональными центрами и организациями в автоматизированном режиме с использованием программного обеспечения, предоставляемого оператором единой биометрической системы.

16. В случае если в процессе прохождения контроля качества, осуществляемого банками, многофункциональными центрами и организациями, установлено соответствие параметров биометрических персональных данных требованиям, указанным в пунктах 11, 13 настоящего Порядка, такие биометрические персональные данные, содержащие в том числе метку даты, времени и места, информацию о технических средствах, с использованием которых осуществлялся процесс сбора и обработки биометрических персональных данных, а также информацию о способе сбора биометрических персональных данных в единую биометрическую систему, подписываются усиленной электронной подписью банка, многофункционального центра, организации в соответствии с пунктом 11 Порядка размещения и обновления и передаются в единую биометрическую систему в автоматизированном режиме с использованием средств криптографической защиты информации, позволяющих обеспечить безопасность персональных данных от угроз, определенных для банков в соответствии с пунктом 1 части 4 статьи 7 Федерального закона N 572-ФЗ, для многофункциональных центров и организаций - в соответствии с пунктом 4 части 2 статьи 6 Федерального закона N 572-ФЗ, в том числе с использованием единой системы межведомственного электронного взаимодействия <5>.

--------------------------------

<5> Постановление Правительства Российской Федерации от 8 сентября 2010 г. N 697 "О единой системе межведомственного электронного взаимодействия".

В случае если в процессе прохождения контроля качества, осуществляемого банками, многофункциональными центрами и организациями, установлено несоответствие параметров биометрических персональных данных требованиям, указанным в пунктах 11, 13 настоящего Порядка, банки, многофункциональные центры и организации обязаны направить информацию об указанных событиях в единую биометрическую систему в автоматизированном режиме с использованием в том числе единой системы межведомственного электронного взаимодействия, а также принять организационно-технические меры по повышению качества сбора биометрических персональных данных.

17. В единой биометрической системе контроль качества осуществляется с использованием программного обеспечения единой биометрической системы.

В случае если в процессе прохождения контроля качества установлено несоответствие параметров биометрических персональных данных требованиям, указанным в пунктах 11, 13 настоящего Порядка, оператор единой биометрической системы <6> в автоматизированном режиме с использованием в том числе единой системы межведомственного электронного взаимодействия направляет информацию об указанных событиях в банки, многофункциональные центры и организации, осуществляющие размещение в единой биометрической системе биометрических персональных данных. При получении указанной информации банки, многофункциональные центры и организации обязаны принять организационно-технические меры по повышению качества сбора биометрических персональных данных.

--------------------------------

<6> Постановление Правительства Российской Федерации от 16 декабря 2022 г. N 2326 "О возложении на акционерное общество "Центр Биометрических Технологий" функций оператора единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, а также о признании утратившими силу распоряжения Правительства Российской Федерации от 22 февраля 2018 г. N 293-р и пункта 4 изменений, которые вносятся в акты Правительства Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 24 июня 2021 г. N 982".

18. При обработке биометрических персональных данных в единой биометрической системе должны применяться организационные и технические меры по обеспечению безопасности персональных данных, установленные в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ), и использоваться шифровальные (криптографические) средства, позволяющие обеспечить безопасность персональных данных от угроз, определенных в соответствии с пунктом 4 части 2 статьи 6 Федерального закона N 572-ФЗ.

19. При обработке биометрических персональных данных в региональных сегментах единой биометрической системы <7> должны применяться организационные и технические меры по обеспечению безопасности персональных данных, установленные в соответствии с частью 4 статьи 19 Федерального закона N 152-ФЗ, и использоваться шифровальные (криптографические) средства, позволяющие обеспечить безопасность персональных данных от угроз, определенных в соответствии с частью 18 статьи 5 Федерального закона N 572-ФЗ <8>.

--------------------------------

<7> Пункт 11 статьи 2 Федерального закона N 572-ФЗ.

<8> Пункт 3 части 6 статьи 3 Федерального закона N 572-ФЗ.

20. Хранение биометрических персональных данных, размещенных в единой биометрической системе, осуществляется в соответствии с требованиями, установленными в соответствии со статьей 19 Федерального закона N 152-ФЗ, а также с использованием шифровальных (криптографических) средств, позволяющих обеспечить безопасность персональных данных от угроз, определенных в соответствии с пунктом 4 части 2 статьи 6 Федерального закона N 572-ФЗ, в течение не менее 50 лет со дня их размещения в единой биометрической системе, за исключением биометрических персональных данных, размещенных в единой биометрической системе в соответствии с подпунктом 3 пункта 1 Порядка размещения и обновления, которые хранятся не менее 5 лет со дня их размещения в единой биометрической системе.

21. Хранение биометрических персональных данных, размещенных в единой биометрической системе в соответствии с подпунктом 4 пункта 1 Порядка размещения и обновления, осуществляется отдельно от биометрических персональных данных, размещенных иными способами, предусмотренными пунктом 1 Порядка размещения и обновления.

22. Хранение биометрических персональных данных, размещаемых в региональном сегменте единой биометрической системы, осуществляется в соответствии с требованиями, установленными в соответствии со статьей 19 Федерального закона N 152-ФЗ, а также с использованием шифровальных (криптографических) средств, позволяющих обеспечить безопасность персональных данных от угроз, определенных в соответствии с частью 18 статьи 5 Федерального закона N 572-ФЗ.

Приложение N 2
к приказу Министерства
цифрового развития, связи
и массовых коммуникаций
Российской Федерации
от 12.05.2023 N 453

ПОРЯДОК
РАЗМЕЩЕНИЯ И ОБНОВЛЕНИЯ БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ
ДАННЫХ В ЕДИНОЙ БИОМЕТРИЧЕСКОЙ СИСТЕМЕ, А ТАКЖЕ СЛУЧАИ
И СРОКИ ИСПОЛЬЗОВАНИЯ БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРИ ИХ РАЗМЕЩЕНИИ В ЕДИНОЙ БИОМЕТРИЧЕСКОЙ СИСТЕМЕ
В СООТВЕТСТВИИ С ЧАСТЬЮ 14 СТАТЬИ 4 ФЕДЕРАЛЬНОГО ЗАКОНА
ОТ 29 ДЕКАБРЯ 2022 Г. N 572-ФЗ "ОБ ОСУЩЕСТВЛЕНИИ
ИДЕНТИФИКАЦИИ И (ИЛИ) АУТЕНТИФИКАЦИИ ФИЗИЧЕСКИХ ЛИЦ
С ИСПОЛЬЗОВАНИЕМ БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ,
О ВНЕСЕНИИ ИЗМЕНЕНИЙ В ОТДЕЛЬНЫЕ ЗАКОНОДАТЕЛЬНЫЕ
АКТЫ РОССИЙСКОЙ ФЕДЕРАЦИИ И ПРИЗНАНИИ УТРАТИВШИМИ
СИЛУ ОТДЕЛЬНЫХ ПОЛОЖЕНИЙ ЗАКОНОДАТЕЛЬНЫХ АКТОВ
РОССИЙСКОЙ ФЕДЕРАЦИИ"

1. Размещение биометрических персональных данных в единой биометрической системе <1>, за исключением размещения в региональных сегментах единой биометрической системы <2>, осуществляется:

--------------------------------

<1> Пункт 4 статьи 2 Федерального закона от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" (далее - Федеральный закон N 572-ФЗ).

<2> Пункт 11 статьи 2 Федерального закона N 572-ФЗ.

1) банками, многофункциональными центрами предоставления государственных и муниципальных услуг (далее - многофункциональный центр) и иными организациями в случаях, определенных федеральными законами (далее - организация), после проведения идентификации при личном присутствии физического лица с его согласия на безвозмездной основе, в соответствии с частью 1 статьи 4 Федерального закона N 572-ФЗ;

2) физическими лицами с использованием мобильного приложения единой биометрической системы <3> с применением пользовательского оборудования (оконечного оборудования), имеющего в своем составе идентификационный модуль, в соответствии с частью 9 статьи 4 Федерального закона N 572-ФЗ;

--------------------------------

<3> Пункт 8 статьи 2 Федерального закона N 572-ФЗ.

3) государственными органами, органами местного самоуправления, Центральным банком Российской Федерации, банками, иными кредитными организациями, некредитными финансовыми организациями, которые осуществляют указанные в части первой статьи 76.1 Федерального закона от 10 июля 2002 г. N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" виды деятельности, субъектами национальной платежной системы, лицами, оказывающими профессиональные услуги на финансовом рынке (далее - организации финансового рынка), иными организациями, индивидуальными предпринимателями, нотариусами (далее - органы и организации, индивидуальные предприниматели, нотариусы) в случае, если в информационных системах таких органов, организаций, индивидуальных предпринимателей, нотариусов в соответствии с федеральными законами собраны биометрические персональные данные, соответствующие всем видам или только одному из видов, размещаемым в единой биометрической системе, в соответствии с частью 14 статьи 4 Федерального закона N 572-ФЗ;

4) оператором регионального сегмента единой биометрической системы путем передачи биометрических персональных данных, размещенных в региональном сегменте единой биометрической системы в соответствии с пунктом 1 части 5 статьи 26 Федерального закона N 572-ФЗ.

2. Обновление биометрических персональных данных в единой биометрической системе осуществляется способами, указанными в подпунктах 1 и 2 пункта 1 настоящего Порядка.

3. Размещение и обновление биометрических персональных данных в региональном сегменте единой биометрической системе осуществляется физическими лицами с использованием регионального мобильного приложения единой биометрической системы с применением пользовательского оборудования (оконечного оборудования), имеющего в своем составе идентификационный модуль, в порядке, установленном в соответствии с пунктом 1 части 5 статьи 26 Федерального закона N 572-ФЗ.

4. Размещение и обновление биометрических персональных данных осуществляются в соответствии с законодательством Российской Федерации в области персональных данных, в том числе настоящим Порядком, а также Порядком обработки, включая сбор, хранение, биометрических персональных данных, в том числе требований к параметрам биометрических персональных данных, содержащимся в приложении N 1 к настоящему приказу (далее - Порядок обработки).

5. Размещение и обновление биометрических персональных данных в единой биометрической системе осуществляется с использованием шифровальных (криптографических) средств, позволяющих обеспечить безопасность персональных данных от угроз, определенных:

1) для государственных органов, органов местного самоуправления, Центрального банка Российской Федерации, организаций, за исключением организаций финансового рынка, индивидуальных предпринимателей, нотариусов в соответствии с пунктом 4 части 2 статьи 6 Федерального закона N 572-ФЗ;

2) для организаций финансового рынка в соответствии с пунктом 1 части 4 статьи 7 Федерального закона N 572-ФЗ;

3) для оператора регионального сегмента единой биометрической системы в соответствии с частью 18 статьи 5 Федерального закона N 572-ФЗ.

6. Размещение и обновление биометрических персональных данных в единой биометрической системе осуществляется с использованием в том числе единой системы межведомственного электронного взаимодействия <4>.

--------------------------------

<4> Постановление Правительства Российской Федерации от 8 сентября 2010 г. N 697 "О единой системе межведомственного электронного взаимодействия".

7. Размещение и обновление биометрических персональных данных в региональном сегменте единой биометрической системы осуществляется с использованием шифровальных (криптографических) средств, позволяющих обеспечить безопасность персональных данных от угроз, определенных в соответствии с частью 18 статьи 5 Федерального закона N 572-ФЗ.

8. Банки, осуществляющие в соответствии с подпунктом 1 пункта 2 настоящего Порядка размещение и обновление биометрических персональных данных в единой биометрической системе, организации финансового рынка, осуществляющие в соответствии с подпунктом 3 пункта 1 настоящего Порядка размещение биометрических персональных данных в единой биометрической системе, должны обеспечивать:

1) информирование Центрального банка Российской Федерации о выявленных инцидентах, связанных с обеспечением защиты информации при размещении и обновлении биометрических персональных данных (далее - инциденты безопасности), которые привели или могут привести к нарушению или попыткам нарушения целостности, конфиденциальности и (или) доступности биометрических персональных данных. Информирование о выявленных инцидентах безопасности осуществляется не позднее одного рабочего дня со дня их выявления;

2) проведение не реже одного раза в 2 года оценки соответствия требованиям по защите информации на соответствие второму уровню защиты информации (стандартному), предусмотренному пунктом 6.7 раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 "Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденного и введенного в действие приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 г. N 882-ст, с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79, и информирование Центрального банка Российской Федерации о результатах такой оценки;

3) информирование уполномоченного органа по защите прав субъектов персональных данных об инцидентах безопасности, повлекших неправомерную передачу (предоставление, распространение, доступ) биометрических персональных данных. Информирование о выявленных инцидентах безопасности осуществляется не позднее одного рабочего дня со дня их выявления.

9. Многофункциональный центр и иная организация, осуществляющие в соответствии с подпунктом 1 пункта 1 настоящего Порядка размещение и обновление биометрических персональных данных в единой биометрической системе, должны обеспечивать:

1) информирование Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации о выявленных инцидентах безопасности, которые привели или могут привести к нарушению или попыткам нарушения целостности, конфиденциальности и (или) доступности защищаемой информации. Информирование о выявленных инцидентах безопасности осуществляется не позднее одного рабочего дня со дня их выявления;

2) ежегодное проведение оценки соответствия требованиям к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, установленным федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79, и информирование Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации о результатах такой оценки;

10. Размещение и обновление биометрических персональных данных в единой биометрической системе согласно подпункту 1 пункта 1 настоящего Порядка осуществляется в соответствии с требованиями к фиксированию действий, утвержденными в соответствии с пунктом 1 части 6 статьи 4 Федерального закона N 572-ФЗ.

11. Биометрические персональные данные, а также информация, указанная в пункте 16 Порядка обработки, размещаются и обновляются в единой биометрической системе уполномоченным работником банка, многофункционального центра и организации в соответствии с подпунктом 1 пункта 1 настоящего Порядка (далее - уполномоченный работник) и подписываются усиленной квалифицированной электронной подписью соответственно банка, многофункционального центра и организации, которая создается с использованием средств электронной подписи, позволяющих обеспечить безопасность персональных данных от угроз, определенных для банков в соответствии с пунктом 1 части 4 статьи 7 Федерального закона N 572-ФЗ, для многофункциональных центров и организаций - в соответствии с пунктом 4 части 2 статьи 6 Федерального закона N 572-ФЗ.

12. Размещение биометрических персональных данных в соответствии с подпунктом 1 пункта 1 настоящего Порядка в единой биометрической системе осуществляется, если физическое лицо прошло процедуру регистрации в единой системе идентификации и аутентификации <5> в соответствии с Положением о федеральной государственной информационной системе "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме", утвержденным приказом Министерства связи и массовых коммуникаций Российской Федерации от 13 апреля 2012 г. N 107 (зарегистрирован Минюстом России 26 апреля 2012 г., регистрационный N 23952) (далее - Положение) <6>, и при условии, что личность физического лица установлена в соответствии с подпунктом "з" пункта 6.1 Положения.

--------------------------------

<5> Пункт 5 статьи 2 Федерального закона N 572-ФЗ.

<6> С изменениями, внесенными приказами Минкомсвязи России от 31 августа 2012 г. N 218 (зарегистрирован Минюстом России 27 сентября 2012 г., регистрационный N 25546), от 23 июля 2015 г. N 278 (зарегистрирован Минюстом России 26 октября 2015 г., регистрационный N 39470) и от 7 июля 2016 г. N 307 (зарегистрирован Минюстом России 21 ноября 2016 г., регистрационный N 44379), приказом Минцифры России от 19 августа 2022 г. N 605 (зарегистрирован Минюстом России 21 ноября 2022 г., регистрационный N 71034).

В случае если физическое лицо не зарегистрировано в единой системе идентификации и аутентификации, уполномоченный работник после проведения идентификации физического лица осуществляет с его согласия процедуру регистрации в единой системе идентификации и аутентификации в соответствии с Положением.

Если сведения, необходимые для регистрации физического лица в единой системе идентификации и аутентификации, внесены в указанную систему, но процесс регистрации в соответствии с абзацем первым настоящего пункта не завершен, уполномоченное лицо перед сбором биометрических персональных данных с согласия физического лица размещает или обновляет в электронной форме в единой системе идентификации и аутентификации сведения, необходимые для регистрации в ней, а также устанавливает личность соответствующего физического лица и вносит в единую систему идентификации и аутентификации сведения о способе установления его личности в соответствии с Положением.

При наличии у физического лица учетной записи в единой системе идентификации и аутентификации уполномоченный работник осуществляет в соответствии с Порядком обработки сбор биометрических персональных данных и размещение их в единой биометрической системе.

13. Размещение биометрических персональных данных в единой биометрической системе в соответствии с подпунктом 2 пункта 1 настоящего Порядка осуществляется в порядке, установленном в соответствии с частью 11 статьи 4 Федерального закона N 572-ФЗ, и с соблюдением Порядка обработки.

14. Размещение биометрических персональных данных в единой биометрической системе в соответствии с подпунктом 3 пункта 1 настоящего Порядка осуществляется органами и организациями, индивидуальными предпринимателями, нотариусами с соблюдением требования, предусмотренного частью 15 статьи 4 Федерального закона N 572-ФЗ.

15. Перед размещением биометрических персональных данных в единой биометрической системе в соответствии с подпунктом 3 пункта 1 настоящего Порядка органы и организации, индивидуальные предприниматели, нотариусы предоставляют в единую систему идентификации и аутентификации содержащиеся в их информационных системах персональных данных сведения о физических лицах, чьи биометрические персональные данные подлежат размещению в единой биометрической системе. После сопоставления указанных сведений со сведениями, содержащимися в единой системе идентификации и аутентификации, из единой системы идентификации и аутентификации органам и организациям, индивидуальным предпринимателям, нотариусам передается идентификатор сведений о физическом лице в регистре физических лиц единой системы идентификации и аутентификации, биометрические персональные данные которого размещаются в единой биометрической системе (далее - идентификатор учетной записи в единой системе идентификации и аутентификации) (при наличии).

Биометрические персональные данные, содержащие в частности метку даты, времени и места размещения биометрических персональных данных в информационной системе органа и организации, индивидуального предпринимателя, нотариуса, идентификатор сведений о физическом лице, чьи биометрические персональные данные подлежат размещению в единой биометрической системе, содержащийся в информационной системе персональных данных органа и организации, индивидуального предпринимателя, нотариуса (далее - идентификатор в информационной системе органа или организации, индивидуального предпринимателя, нотариуса), идентификатор учетной записи в единой системе идентификации и аутентификации (при наличии), страховой номер индивидуального лицевого счета физического лица (при наличии) передаются органами и организациями, индивидуальными предпринимателями, нотариусами в единую биометрическую систему в том числе в автоматизированном режиме с использованием средств криптографической защиты информации, позволяющих обеспечить безопасность персональных данных от угроз, определенных в соответствии с пунктом 5 настоящего Порядка, в том числе с использованием единой системы межведомственного электронного взаимодействия. Биометрические персональные данные одного физического лица и сведения о таком физическом лице, указанные в настоящем абзаце, передаются в единую биометрическую систему отдельно от биометрических персональных данных иных физических лиц и сведений об иных физических лицах, содержащихся в информационных системах органов и организаций, индивидуальных предпринимателей, нотариусов и подлежащих размещению в единой биометрической системе в соответствии с подпунктом 3 пункта 1 настоящего Порядка.

В единой биометрической системе осуществляется проверка параметров биометрических персональных данных на соответствие требованиям, установленным пунктами 12, 14 Порядка обработки (далее - контроль качества) с использованием программного обеспечения единой биометрической системы.

В случае если в процессе прохождения контроля качества установлено соответствие параметров биометрических персональных данных требованиям, указанным в пунктах 12, 14 Порядка обработки, осуществляется размещение биометрических персональных данных в единой биометрической системе и создание векторов единой биометрической системы.

Если в процессе прохождения контроля качества установлено несоответствие параметров биометрических персональных данных требованиям, указанным в пунктах 12, 14 Порядка обработки, осуществляется размещение биометрических персональных данных в единой биометрической системе и создание векторов единой биометрической системы, которые используются исключительно органами или организациями, индивидуальными предпринимателями, нотариусами, разместившими такие биометрические персональные данные в единой биометрической системе, в случаях, предусмотренных абзацем десятым настоящего пункта.

Размещение в единой биометрической системе биометрических персональных данных физического лица осуществляется органами и организациями, индивидуальными предпринимателями, нотариусами в соответствии с настоящим пунктом до истечения 3 лет со дня размещения указанных биометрических персональных данных в информационной системе органа и организации, индивидуального предпринимателя, нотариуса.

Если в единой биометрической системе в соответствии с настоящим пунктом размещены биометрические персональные данные физического лица, параметры которых соответствуют требованиям, указанным в пунктах 12, 14 Порядка обработки, идентификатор учетной записи в единой системе идентификации и аутентификации и идентификатор в информационной системе органа или организации, индивидуального предпринимателя, нотариуса, такие биометрические персональные данные и идентификаторы могут использоваться только в следующих случаях, предусмотренных для:

а) использования биометрических персональных данных, размещенных физическим лицом в единой биометрической системе с использованием мобильного приложения единой биометрической системы, согласие физического лица на размещение и обработку которых подписано простой электронной подписью, устанавливаемых Правительством Российской Федерации в соответствии с пунктом 2 части 13 статьи 4 Федерального закона N 572-ФЗ;

б) использования биометрических персональных данных, согласие физического лица на обработку которых подписано простой электронной подписью, правом создания (замены) и выдачи ключа которой в порядке, предусмотренном законодательством Российской Федерации в области использования электронных подписей, обладает организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц, устанавливаемых Правительством Российской Федерации в соответствии с частью 17 статьи 16 Федерального закона N 572-ФЗ.

Биометрические персональные данные, размещенные в единой биометрической системе в соответствии с настоящим пунктом, могут использоваться только органами или организациями, индивидуальными предпринимателями, нотариусами, разместившими такие биометрические персональные данные в единой биометрической системе, и исключительно в целях, для которых они были собраны в информационные системы таких органов и организаций, индивидуальных предпринимателей, нотариусов до их размещения в единой биометрической системе, если параметры таких биометрических персональных данных:

соответствуют требованиям пунктов 12, 14 Порядка обработки и размещены в единой биометрической системе вместе с идентификатором в информационной системе органа или организации, но без идентификатора учетной записи в единой системе идентификации и аутентификации;

не соответствуют требованиям пунктов 12, 14 Порядка обработки и размещены в единой биометрической системе вместе с идентификатором в информационной системе органа или организации, но без идентификатора учетной записи в единой системе идентификации и аутентификации;

не соответствуют требованиям пунктов 12, 14 Порядка обработки и размещены в единой биометрической системе вместе с идентификатором в информационной системе органа или организации, индивидуального предпринимателя, нотариуса и идентификатором учетной записи в единой системе идентификации и аутентификации.

В случае, если в единой биометрической системе в соответствии с настоящим пунктом несколькими органами и (или) организациями, и (или) индивидуальными предпринимателями, и (или) нотариусами размещены биометрические персональные данные одного физического лица, в случаях, установленных абзацами восьмым и девятым настоящего пункта, подлежат использованию биометрические персональные данные, соответствующие требованиям пунктов 12, 14 Порядка обработки, с наиболее поздней датой размещения в информационной системе таких органов и (или) организаций, и (или) индивидуальных предпринимателей, и (или) нотариусов.

Размещение биометрических персональных данных в единой биометрической системе в соответствии с настоящим пунктом осуществляется на безвозмездной основе.

16. Размещение биометрических персональных данных в единой биометрической системе в соответствии с подпунктом 4 пункта 1 настоящего Порядка осуществляется путем передачи биометрических персональных данных, размещенных в региональном сегменте единой биометрической системы в соответствии с пунктом 1 части 5 статьи 26 Федерального закона N 572-ФЗ, вместе со страховым номером индивидуального лицевого счета физического лица (при наличии), а также с одним из следующих идентификаторов:

идентификатором единой системы идентификации и аутентификации, полученным региональным сегментом единой биометрической системы в результате сопоставления сведений о физическом лице, содержащихся в государственной информационной системе персональных данных органа государственной власти субъекта Российской Федерации или иной информационной системе, со сведениями, содержащимися в единой системе идентификации и аутентификации, за исключением случая отсутствия сведений о физическом лице в единой системе идентификации и аутентификации;

идентификатором сведений о физическом лице, содержащимся в иной информационной системе, в случае отсутствия сведений о физическом лице в единой системе идентификации и аутентификации.

Биометрические персональные данные, размещенные в единой биометрической системе в соответствии с настоящим пунктом, применяются в случаях, установленных в соответствии с пунктом 10 части 5 статьи 26 Федерального закона N 572-ФЗ.

17. Обновление биометрических персональных данных в единой биометрической системе осуществляется физическим лицом добровольно в следующих случаях:

а) по истечении 5 лет со дня их размещения в указанной системе, а в случаях размещения в соответствии с подпунктом 3 пункта 1 настоящего Порядка - по истечении 2 лет со дня их размещения в указанной системе;

б) по инициативе физического лица.

18. Обновление биометрических персональных данных в региональном сегменте единой биометрической системы осуществляется физическим лицом добровольно в следующих случаях:

а) по истечении 5 лет со дня их размещения в региональном сегменте единой биометрической системы;

б) по инициативе физического лица.

В случае обновления биометрических персональных данных в региональном сегменте единой биометрической системы такие биометрические персональные данные подлежат передаче в единую биометрическую систему в соответствии с подпунктом 4 пункта 1 настоящего Порядка.

Приложение N 3
к приказу Министерства
цифрового развития, связи
и массовых коммуникаций
Российской Федерации
от 12.05.2023 N 453

ПОРЯДОК
ОБРАБОТКИ, ВКЛЮЧАЯ СБОР, ХРАНЕНИЯ И УНИЧТОЖЕНИЯ
БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ, ВЕКТОРОВ ЕДИНОЙ
БИОМЕТРИЧЕСКОЙ СИСТЕМЫ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
АККРЕДИТОВАННЫХ ГОСУДАРСТВЕННЫХ ОРГАНОВ, ЦЕНТРАЛЬНОГО БАНКА
РОССИЙСКОЙ ФЕДЕРАЦИИ В СЛУЧАЕ ПРОХОЖДЕНИЯ ИМ АККРЕДИТАЦИИ,
ОРГАНИЗАЦИЙ, ОСУЩЕСТВЛЯЮЩИХ АУТЕНТИФИКАЦИЮ НА ОСНОВЕ
БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ ФИЗИЧЕСКИХ ЛИЦ

1. В соответствии с настоящим Порядком обработка, включая сбор, хранение, биометрических персональных данных, векторов единой биометрической системы <1> реализуется с применением информационных технологий и технических средств, имеющих подтверждение соответствия требованиям к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения идентификации и (или) аутентификации, установленным Требованиями к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения идентификации и (или) аутентификации, а также порядком подтверждения соответствия информационных технологий и технических средств указанным требованиям, содержащимися в приложении N 5 к настоящему приказу.

--------------------------------

<1> Пункт 3 статьи 2 Федерального закона от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, - о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" (далее - Федеральный закон N 572-ФЗ).

2. В соответствии с настоящим Порядком проводится обработка биометрических персональных данных физического лица следующих видов:

изображение лица человека, полученное с помощью фотовидеоустройств;

запись голоса человека, полученная с помощью звукозаписывающих устройств.

3. В информационных системах аккредитованных государственных органов <2>, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц <3>, запрещено хранение используемых в целях аутентификации биометрических персональных данных, за исключением хранения таких данных для рассмотрения обращений субъектов персональных данных, предполагающих неправомерную обработку их биометрических персональных данных при проведении аутентификации и (или) оспаривающих результаты проведения аутентификации, в течение не более десяти суток с момента предоставления таких данных в целях проведения аутентификации <4>.

--------------------------------

<2> Пункт 1 статьи 2 Федерального закона N 572-ФЗ.

<3> Пункт 10 статьи 2 Федерального закона N 572-ФЗ.

<4> Часть 7 статьи 14, пункт 3 части 1 статьи 15 Федерального закона N 572-ФЗ.

4. При обработке, включая сбор, хранении биометрических персональных данных, векторов единой биометрической системы в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, должны:

1) применяться организационные и технические меры по обеспечению безопасности персональных данных, предусмотренные в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ);

2) использоваться шифровальные (криптографические) средства, позволяющие обеспечить безопасность персональных данных от угроз, определенных:

для аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации в соответствии с пунктом 4 части 2 статьи 6 Федерального закона N 572-ФЗ;

для организаций, за исключением банков, иных кредитных организаций, некредитных финансовых организаций, которые осуществляют указанные в части первой статьи 76.1 Федерального закона от 10 июля 2002 г. N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" виды деятельности, субъектов национальной платежной системы, лиц, оказывающих профессиональные услуги на финансовом рынке (далее - организации финансового рынка), в соответствии с пунктом 6 части 2 статьи 6 Федерального закона N 572-ФЗ;

для организаций финансового рынка в соответствии с пунктом 2 части 4 статьи 7 Федерального закона N 572-ФЗ;

3) использование для обработки биометрических персональных данных и векторов единой биометрической системы баз данных, находящихся исключительно на территории Российской Федерации, за исключением случаев, предусмотренных частью 21 статьи 3 Федерального закона N 572-ФЗ;

4) использование информационных технологий, предназначенных для обработки биометрических персональных данных, которые используются для создания векторов единой биометрической системы в единой биометрической системе.

5. По истечении срока, указанного в пункте 3 настоящего Порядка, аккредитованные государственные органы, Центральный банк Российской Федерации в случае прохождения им аккредитации, организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц, обязаны уничтожить биометрические персональные данные. Для уничтожения биометрических персональных данных применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция автоматического уничтожения информации по истечении определенного заданного срока.

6. Векторы единой биометрической системы хранятся с применением шифровальных (криптографических) средств, позволяющих обеспечить безопасность персональных данных от угроз, определенных:

1) для аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации в соответствии с пунктом 4 части 2 статьи 6 Федерального закона N 572-ФЗ;

2) для организаций, за исключением организации финансового рынка, в соответствии с пунктом 6 части 2 статьи 6 Федерального закона N 572-ФЗ;

3) для организаций финансового рынка в соответствии с пунктом 2 части 4 статьи 7 Федерального закона N 572-ФЗ.

7. Аккредитованные государственные органы, Центральный банк Российской Федерации в случае прохождения им аккредитации, организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц, блокируют, удаляют, уничтожают векторы единой биометрической системы при получении:

мотивированного запроса оператора единой биометрической системы о блокировании, об удалении, уничтожении векторов единой биометрической системы в случае отзыва субъектом персональных данных у оператора единой биометрической системы согласия на обработку биометрических персональных данных или получения оператором единой биометрической системы от субъекта персональных данных требования о блокировании, об удалении, уничтожении биометрических персональных данных и (или) векторов единой биометрической системы;

отзыва субъекта персональных данных согласия на обработку биометрических персональных данных или требования субъекта персональных данных о блокировании, об удалении, уничтожении биометрических персональных данных и (или) векторов единой биометрической системы.

8. Уничтожение векторов единой биометрической системы осуществляется с соблюдением статьи 21 Федерального закона N 152-ФЗ "О персональных данных".

9. Организации, в отношении которых была прекращена аккредитация в порядке, установленном в соответствии с частью 1 статьи 16 Федерального закона N 572-ФЗ, обязаны уничтожить векторы единой биометрической системы, обрабатываемые в их информационных системах, в течение семи рабочих дней после дня прекращения аккредитации. Для уничтожения векторов единой биометрической системы применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция автоматического уничтожения информации по истечении определенного заданного срока <5>.

--------------------------------

<5> Постановление Правительства Российской Федерации от 22 мая 2023 г. N 810 "Об утверждении Правил аккредитации организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, оснований ее приостановления и прекращения и признании утратившим силу постановления Правительства Российской Федерации от 20 октября 2021 г. N 1799". В соответствии с пунктом 3 постановления Правительства Российской Федерации от 22 мая 2023 г. N 810 данный акт действует до 1 июня 2029 г.

10. Использование векторов единой биометрической системы для целей аутентификации осуществляется до истечения срока, указанного в пункте 17 Порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также случаев и сроков использования биометрических персональных данных при их размещении в единой биометрической системе в соответствии с частью 14 статьи 4 Федерального закона от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации", утвержденных настоящим приказом, в соответствии с которым осуществляется обновление биометрических персональных данных, размещенных в единой биометрической системе, в результате преобразования которых получены соответствующие векторы единой биометрической системы.

По истечении срока, указанного в абзаце первом настоящего пункта, векторы единой биометрической системы должны быть удалены из информационных систем аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц.

11. Аккредитованные государственные органы, Центральный банк Российской Федерации в случае прохождения им аккредитации, организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц, должны обеспечивать информирование Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации о выявленных инцидентах, связанных с обеспечением защиты информации при обработке, включая сбор и хранение, биометрических персональных данных, векторов единой биометрической системы, которые привели или могут привести к нарушению или попыткам нарушения целостности, конфиденциальности и (или) доступности защищаемой информации, а также информирование уполномоченного органа по защите прав субъектов персональных данных об инцидентах, связанных с обеспечением защиты информации при обработке, включая сбор и хранение, биометрических персональных данных, векторов единой биометрической системы, повлекших неправомерную передачу (предоставление, распространение, доступ) биометрических персональных данных, векторов единой биометрической системы.

Приложение N 4
к приказу Министерства
цифрового развития, связи
и массовых коммуникаций
Российской Федерации
от 12.05.2023 N 453

ПОРЯДОК
СОЗДАНИЯ И ПЕРЕДАЧИ ВЕКТОРОВ ЕДИНОЙ БИОМЕТРИЧЕСКОЙ СИСТЕМЫ
В ЦЕЛЯХ ОСУЩЕСТВЛЕНИЯ АУТЕНТИФИКАЦИИ

1. Вектор единой биометрической системы <1> создается автоматически в соответствии с порядком и требованиями эксплуатационно-технической документации к информационным технологиям, предназначенным для обработки биометрических персональных данных, применяемым в единой биометрической системе <2>, в результате математического преобразования биометрических персональных данных физического лица, содержащихся в единой биометрической системе, которое производится с использованием информационных технологий, соответствующих требованиям к информационным технологиям, предназначенным для обработки биометрических персональных данных, установленным Требованиями к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения идентификации и (или) аутентификации, а также порядком подтверждения соответствия информационных технологий и технических средств указанным требованиям, содержащимися в приложении N 5 к настоящему приказу.

--------------------------------

<2> Пункт 4 статьи 2 Федерального закона N 572-ФЗ.

Вектор единой биометрической системы создается с использованием каждой из применяемых в единой биометрической системе информационных технологий, предназначенных для обработки биометрических персональных данных, за исключением случаев, когда с применением какой-либо информационной технологии не удалось создать вектор единой биометрической системы. Информация о том, что вектор единой биометрической системы не был создан, направляется оператором единой биометрической системы соответствующему физическому лицу при наличии в единой биометрической системе его контактных данных.

2. Аккредитованный государственный орган, Центральный банк Российской Федерации в случае прохождения им аккредитации, организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц (далее - аккредитованные органы и организации), оператор регионального сегмента единой биометрической системы сообщают оператору единой биометрической системы информацию о том, какие из используемых в единой биометрической системе информационных технологий, предназначенных для обработки биометрических персональных данных, используются в информационной системе соответствующего аккредитованного органа и организации, регионального сегмента единой биометрической системы <3>.

--------------------------------

<3> Пункт 11 статьи 2 Федерального закона N 572-ФЗ.

3. Векторы единой биометрической системы передаются аккредитованному органу и организации, в региональной сегмент единой биометрической системы для проведения аутентификации до дня получения оператором единой биометрической системы запроса, предусмотренного пунктом 12 настоящего Порядка.

Векторы единой биометрической системы передаются совместно с информацией, в том числе о способе размещения биометрических персональных данных, в результате преобразования которых были созданы передаваемые векторы единой биометрической системы, позволяющей определить перечень случаев, при которых допускается их использование для проведения аутентификации.

4. Для получения векторов единой биометрической системы аккредитованные органы и организации, оператор регионального сегмента единой биометрической системы:

предоставляют в единую систему идентификации и аутентификации <4> содержащиеся в их информационных системах персональных данных сведения о физическом лице, включая идентификаторы таких сведений. После сопоставления указанных сведений со сведениями о физических лицах, содержащимися в единой системе идентификации и аутентификации, из единой системы идентификации и аутентификации в информационную систему аккредитованных органа и организации, в региональный сегмент единой биометрической системы передается идентификатор сведений о физическом лице в регистре физических лиц единой системы идентификации и аутентификации (далее - идентификатор учетной записи в единой системе идентификации и аутентификации) (при наличии);

--------------------------------

<4> Пункт 5 статьи 2 Федерального закона N 572-ФЗ.

направляют оператору единой биометрической системы запрос, содержащий идентификатор учетной записи в единой системе идентификации и аутентификации (при наличии) и (или) идентификатор физического лица из своей информационной системы.

5. Оператор единой биометрической системы осуществляет передачу векторов единой биометрической системы аккредитованным органам и организациям, включенным в перечень, предусмотренный подпунктом "а" пункта 8 части 2 статьи 8 Федерального закона N 572-ФЗ.

Оператор единой биометрической системы осуществляет проверку факта создания вектора единой биометрической системы с использованием информационных технологий, соответствующих используемым аккредитованными органом и организацией, в региональном сегменте единой биометрической системы информационным технологиям для обработки векторов единой биометрической системы.

Информация о факте приостановления или прекращения аккредитации у государственного органа, Центрального банка Российской Федерации, организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, направляется Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации оператору единой биометрической системы.

6. В случае если с применением какой-либо информационной технологии, предназначенной для обработки биометрических персональных данных, не удалось создать вектор единой биометрической системы, и аккредитованным органом или организацией, оператором регионального сегмента единой биометрической системы был направлен запрос на получение вектора единой биометрической системы, созданного с использованием такой информационной технологии, информация о том, что вектор единой биометрической системы не был создан, направляется оператором единой биометрической системы аккредитованному органу или организации, оператору регионального сегмента единой биометрической системы.

7. При наличии соответствующего вектора единой биометрической системы оператор единой биометрической системы передает такой вектор в аккредитованные орган или организацию, региональный сегмент единой биометрической системы.

В случае отсутствия вектора единой биометрической системы, указанного в абзаце первом настоящего пункта, передача вектора единой биометрической системы не осуществляется.

8. Запрос и передача векторов единой биометрической системы осуществляются с применением шифровальных (криптографических) средств, позволяющих обеспечить безопасность персональных данных от угроз, определенных:

1) для аккредитованных органа и организации, за исключением банков, иных кредитных организаций, некредитных финансовых организаций, которые осуществляют указанные в части первой статьи 76.1 Федерального закона от 10 июля 2002 г. N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" виды деятельности, субъектов национальной платежной системы, лиц, оказывающих профессиональные услуги на финансовом рынке (далее - организации финансового рынка), в соответствии с пунктом 4 части 2 статьи 6 Федерального закона N 572-ФЗ;

2) для организаций финансового рынка в соответствии с пунктом 1 части 4 статьи 7 Федерального закона N 572-ФЗ;

9. В случае наличия в единой биометрической системе нескольких векторов единой биометрической системы, полученных в результате преобразования биометрических персональных данных одного физического лица с использованием одних и тех же информационных технологий, передаче подлежит приоритетный вектор единой биометрической системы.

Вектор единой биометрической системы, созданный на основании биометрических персональных данных, размещенных в единой биометрической системе в соответствии с частью 1 статьи 4 Федерального закона N 572-ФЗ, является приоритетным по отношению к векторам единой биометрической системы, созданным на основании биометрических персональных данных, размещенных в единой биометрической системе в соответствии с частями 9 или 14 статьи 4 или пунктом 10 части 5 статьи 26 Федерального закона N 572-ФЗ.

Вектор единой биометрической системы, созданный на основании биометрических персональных данных, размещенных в единой биометрической системе в соответствии с частью 9 статьи 4 Федерального закона N 572-ФЗ, является приоритетным по отношению к вектору единой биометрической системы, созданному на основании биометрических персональных данных, размещенных в единой биометрической системе в соответствии с частью 14 статьи 4 или пунктом 10 части 5 статьи 26 Федерального закона N 572-ФЗ.

Вектор единой биометрической системы, созданный на основании биометрических персональных данных, размещенных в единой биометрической системе в соответствии с частью 14 статьи 4 Федерального закона N 572-ФЗ, является приоритетным по отношению к вектору единой биометрической системы, созданному на основании биометрических персональных данных, размещенных в единой биометрической системе в соответствии с пунктом 10 части 5 статьи 26 Федерального закона N 572-ФЗ.

10. В случае если в аккредитованные органы или организации, региональный сегмент единой биометрической системы был передан вектор единой биометрической системы, после чего в единой биометрической системе были размещены биометрические персональные данные, в результате преобразования которых был создан более приоритетный вектор единой биометрической системы, оператор единой биометрической системы передает в аккредитованные органы и организации, региональный сегмент единой биометрической системы более приоритетный вектор единой биометрической системы.

В случае получения вектора единой биометрической системы или нескольких векторов единой биометрической системы, полученных в результате преобразования биометрических персональных данных одного физического лица, аккредитованные органы и организации, оператор регионального сегмента единой биометрической системы обязаны прекратить обработку и удалить иные ранее полученные векторы единой биометрической системы, полученные в результате преобразования биометрических персональных данных такого физического лица.

11. Запрос на передачу векторов единой биометрической системы направляется аккредитованными органами и организациями оператору единой биометрической системы при наличии согласия физического лица на обработку его биометрических персональных данных, предоставленного такому органу или организации в соответствии с Федеральным законом N 572-ФЗ.

12. В случае прекращения обработки векторов единой биометрической системы в аккредитованных органах или организациях, региональном сегменте единой биометрической системы, отзыва физическим лицом у аккредитованных органов или организаций, оператора регионального сегмента единой биометрической системы согласия на обработку биометрических персональных данных в целях проведения его аутентификации, предоставленного таким органам или организациям, оператору регионального сегмента единой биометрической системы в соответствии с Федеральным законом N 572-ФЗ, получения требования субъекта персональных данных об удалении, уничтожении биометрических персональных данных и (или) векторов единой биометрической системы аккредитованные органы и организации, оператор регионального сегмента единой биометрической системы направляют оператору единой биометрической системы запрос на прекращение получения векторов единой биометрической системы, полученных в результате преобразования биометрических персональных данных указанного физического лица, с подтверждением уничтожения ранее переданных векторов единой биометрической системы.

13. Передача вектора единой биометрической системы оператору регионального сегмента единой биометрической системы осуществляется после получения мотивированного запроса о предоставлении векторов единой биометрической системы для осуществления аутентификации физических лиц, давших согласие на размещение и обработку персональных данных в единой системе идентификации и аутентификации и биометрических персональных данных в единой биометрической системе в соответствии с частями 2 и 3 статьи 4 Федерального закона N 572-ФЗ, содержащего в том числе перечень случаев, при которых планируется использование векторов единой биометрической системы для осуществления аутентификации.

14. Аккредитованные органы и организации, оператор регионального сегмента единой биометрической системы не вправе передавать векторы единой биометрической системы третьим лицам.

Приложение N 5
к приказу Министерства
цифрового развития, связи
и массовых коммуникаций
Российской Федерации
от 12.05.2023 N 453

ТРЕБОВАНИЯ
К ИНФОРМАЦИОННЫМ ТЕХНОЛОГИЯМ И ТЕХНИЧЕСКИМ СРЕДСТВАМ,
ПРЕДНАЗНАЧЕННЫМ ДЛЯ ОБРАБОТКИ БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ
ДАННЫХ, ВЕКТОРОВ ЕДИНОЙ БИОМЕТРИЧЕСКОЙ СИСТЕМЫ В ЦЕЛЯХ
ПРОВЕДЕНИЯ ИДЕНТИФИКАЦИИ И (ИЛИ) АУТЕНТИФИКАЦИИ, А ТАКЖЕ
ПОРЯДОК ПОДТВЕРЖДЕНИЯ СООТВЕТСТВИЯ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
И ТЕХНИЧЕСКИХ СРЕДСТВ УКАЗАННЫМ ТРЕБОВАНИЯМ

1. Информационные технологии и технические средства, предназначенные для обработки изображения лица человека, полученного с помощью фотовидеоустройств (далее - изображение лица), при размещении биометрических персональных данных в единой биометрической системе <1> в соответствии с частью 1 статьи 4 Федерального закона N 572-ФЗ в целях проведения идентификации и (или) аутентификации, должны соответствовать следующим требованиям:

--------------------------------

а) для регистрации изображения лица необходимо использовать фото- или видеокамеру (далее - камера), эквивалентное фокусное расстояние которой должно составлять от 26,7 до 100 мм при расположении физического лица на расстоянии 0,3 - 1,0 м от камеры;

б) в целях обеспечения выполнения требований пункта 11 Порядка обработки, включая сбор, хранение, биометрических персональных данных, в том числе требований к параметрам биометрических персональных данных, содержащегося в приложении N 1 к настоящему приказу (далее - Порядок обработки), используются камеры со следующими характеристиками:

разрешение получаемого изображения: не менее 1280 x 720 пикселей;

наличие режима автоматической корректировки баланса белого цвета;

в) используемые источники освещения должны создавать в области лица освещенность:

для камер без автоматической коррекции освещенности - не менее 300 лк;

для камер с автоматической коррекцией освещенности - не менее 100 лк;

г) не допускается использование ретуши и (или) редактирования изображения;

д) допускается кадрирование изображения;

е) фотографирование человека должно производиться с помощью средств автоматизации, позволяющих обеспечить расположение изображения головы в кадре в соответствии с требованиями пункта 11 Порядка обработки.

2. Информационные технологии и технические средства, предназначенные для обработки записи голоса человека, полученной с помощью звукозаписывающих устройств (далее - запись голоса), при размещении биометрических персональных данных в единой биометрической системе в соответствии с частью 1 статьи 4 Федерального закона N 572-ФЗ в целях проведения идентификации и (или) аутентификации, должны соответствовать следующим требованиям:

а) для регистрации записи голоса необходимо использовать микрофон со следующими характеристиками:

тип: конденсаторный, без автоматической регулировки усиления;

отсутствие шумоподавления;

диапазон частот: не уже чем от 100 до 10000 Гц;

б) в целях обеспечения выполнения требований пункта 13 Порядка обработки используются микрофоны со следующими характеристиками:

соотношение сигнал/шум: не менее 58 дБ;

чувствительность: не менее -30 дБ или не менее -60 дБ при отсутствии нелинейных искажений амплитудно-частотных характеристик микрофона в диапазоне от 100 до 5000 Гц, превышающих отклонение более чем на 7 дБ;

форма диаграммы направленности: суперкардиоида или гиперкардиоида.

3. Вероятность ложного совпадения предоставленных государственным органом, органом местного самоуправления, Центральным банком Российской Федерации, банком, иной кредитной организацией, некредитной финансовой организацией, которые осуществляют указанные в части первой статьи 76.1 Федерального закона от 10 июля 2002 г. N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" виды деятельности, субъектом национальной платежной системы, лицами, оказывающими профессиональные услуги на финансовом рынке (далее - организации финансового рынка), иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных изображения лица одного физического лица и векторов единой биометрической системы другого физического лица должна составлять не более 0,0001.

Вероятность ложного несовпадения предоставленных государственным органом, органом местного самоуправления, Центральным банком Российской Федерации, организацией финансового рынка, иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных изображения лица одного физического лица и векторов единой биометрической системы этого же физического лица должна составлять не более 0,01.

Вероятность ложного совпадения предоставленных государственным органом, органом местного самоуправления, Центральным банком Российской Федерации, организацией финансового рынка, иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных записи голоса одного физического лица и векторов единой биометрической системы другого физического лица должна составлять не более 0,1.

Вероятность ложного несовпадения предоставленных государственным органом, органом местного самоуправления, Центральным банком Российской Федерации, организацией финансового рынка, иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных записи голоса данных одного физического лица и векторов единой биометрической системы этого же физического лица должна составлять не более 0,1.

Вероятность ложноположительной биометрической идентификации предоставленных государственным органом, органом местного самоуправления, Центральным банком Российской Федерации, организацией финансового рынка, иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных изображения лица физических лиц, в отношении которых отсутствуют соответствующие векторы единой биометрической системы, при поиске предоставленных биометрических персональных данных одного физического лица по 1 миллиону векторов единой биометрической системы должна составлять не более 0,0001.

Вероятность ложноотрицательной биометрической идентификации предоставленных государственным органом, органом местного самоуправления, Центральным банком Российской Федерации, организацией финансового рынка, иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных изображения лица физических лиц, в отношении которых созданы соответствующие векторы единой биометрической системы, при поиске предоставленных биометрических персональных данных одного физического лица по 1 миллиону векторов единой биометрической системы должна составлять не более 0,01.

Вероятность ложноположительной биометрической идентификации предоставленных государственным органом, органом местного самоуправления, Центральным банком Российской Федерации, организацией финансового рынка, иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных записи голоса физических лиц, в отношении которых отсутствуют соответствующие векторы единой биометрической системы, при поиске предоставленных биометрических персональных данных одного физического лица по 1 миллиону векторов единой биометрической системы должна составлять не более 0,1.

Вероятность ложноотрицательной биометрической идентификации предоставленных государственным органом, органом местного самоуправления, Центральным банком Российской Федерации, организацией финансового рынка, иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных записи голоса физических лиц, в отношении которых созданы соответствующие векторы единой биометрической системы, при поиске предоставленных биометрических персональных данных одного физического лица по 1 миллиону векторов единой биометрической системы должна составлять не более 0,1.

Вероятность ошибки классификации предоставленных государственным органом, органом местного самоуправления, Центральным банком Российской Федерации, организацией финансового рынка, иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных при атаке на единую биометрическую систему, информационную систему аккредитованного государственного органа, Центрального банка Российской Федерации в случае прохождения им аккредитации, организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц (далее - аккредитованные органы и организации), региональный сегмент единой биометрической системы как подлинных биометрических персональных данных должна составлять не более 0,01.

Техническая оценка, проводимая оператором единой биометрической системы в соответствии с пунктом 4 настоящих Требований, для определения указанных в настоящем пункте вероятностей осуществляется в соответствии с программой и методикой испытаний, соответствующей:

разделам 6 - 10, приложениям B, C, D, E, F Национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 19795-1-2007 "Национальный стандарт Российской Федерации. Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 1. Принципы и структура", утвержденного и введенного в действие приказом Федерального агентства по техническому регулированию и метрологии от 25 декабря 2008 г. N 403-ст <2>;

--------------------------------

<2> С изменением, внесенным приказом Федерального агентства по техническому регулированию и метрологии от 25 ноября 2021 г. N 1609-ст "Об утверждении изменения национального стандарта Российской Федерации".

разделам 6 - 8, приложениям B, D, E, F Национального стандарта Российской Федерации ГОСТ Р 58292-2018 (ИСО/МЭК 19795-2:2007) "Национальный стандарт Российской Федерации. Информационные технологии. Биометрия. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 2. Методы проведения технологического и сценарного испытаний", утвержденного и введенного в действие приказом Федерального агентства по техническому регулированию и метрологии от 30 ноября 2018 г. N 1049-ст <3>;

--------------------------------

<3> С изменением, внесенным приказом Федерального агентства по техническому регулированию и метрологии от 25 ноября 2021 г. N 1606-ст "Об утверждении изменения национального стандарта Российской Федерации".

разделам 3, 5 Национального стандарта Российской Федерации ГОСТ Р 58624.1-2019 (ИСО/МЭК 30107-1:2016) "Национальный стандарт Российской Федерации. Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 1. Структура", утвержденного и введенного в действие приказом Федерального агентства по техническому регулированию и метрологии от 31 октября 2019 г. N 850-ст <4>;

--------------------------------

<4> С изменением, внесенным приказом Федерального агентства по техническому регулированию и метрологии от 14 ноября 2022 г. N 1280-ст "Об утверждении изменения национального стандарта Российской Федерации".

разделам 6 - 12, приложению A Национального стандарта Российской Федерации ГОСТ Р 58624.3-2019 (ИСО/МЭК 30107-3:2017) "Национальный стандарт Российской Федерации. Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 3. Испытания и протоколы испытаний", утвержденного и введенного в действие приказом Федерального агентства по техническому регулированию и метрологии от 20 ноября 2019 г. N 1197-ст <5>.

--------------------------------

<5> С изменением, внесенным приказом Федерального агентства по техническому регулированию и метрологии от 14 ноября 2022 г. N 1281-ст "Об утверждении изменения национального стандарта Российской Федерации".

4. Информационные технологии, предназначенные для обработки векторов единой биометрической системы, должны пройти техническую оценку на соответствие требованиям, установленным пунктами 3 и 5 настоящих Требований, проводимую оператором единой биометрической системы согласно положению о единой биометрической системе, в том числе о ее региональных сегментах, утверждаемым в соответствии с частью 3 статьи 3 Федерального закона N 572-ФЗ, путем проведения эксплуатационных испытаний.

Сведения об информационных технологиях, предназначенных для обработки векторов единой биометрической системы, успешно прошедших эксплуатационные испытания, с указанием возможных случаев использования таких информационных технологий размещаются на официальном сайте оператора единой биометрической системы. В случае использования аккредитованными органами и организациями, оператором регионального сегмента единой биометрической системы информационных технологий, предназначенных для обработки векторов единой биометрической системы, сведения о которых размещены на официальном сайте оператора единой биометрической системы, проведение повторных эксплуатационных испытаний таких информационных технологий не требуется, за исключением их применения в случаях, отличных от случаев, указанных на официальном сайте оператора единой биометрической системы, либо если с даты проведения эксплуатационных испытаний таких информационных технологий требования к эксплуатационным испытаниям были изменены.

Используемые в аккредитованных органах и организациях, региональном сегменте единой биометрической системы информационные технологии, предназначенные для обработки векторов единой биометрической системы, должны соответствовать информационным технологиям, которые прошли указанную в абзаце первом настоящего пункта техническую оценку и применятся в единой биометрической системе, а также обеспечивать совместимость векторов единой биометрической системы с информационными технологиями, применяемыми в единой биометрической системе.

5. Информационные технологии, предназначенные для обработки векторов единой биометрической системы, должны соответствовать следующим требованиям:

соответствие наименования, модели и типа информационных технологий наименованию, модели и типу информационных технологий, применяемым в единой биометрической системе;

тестирование API (программный интерфейс приложения) должно закончиться без ошибок согласно спецификации единой биометрической системы;

вероятность отказа биометрической регистрации на выборке не менее 30 тысяч биометрических персональных данных, содержащихся в единой биометрической системе, - не более 0,001.

6. В целях обеспечения подтверждения соответствия информационных технологий и технических средств требованиям, предусмотренным настоящими Требованиями, банки, многофункциональные центры предоставления государственных и муниципальных услуг и иные организации, размещающие биометрические персональные данные в единой биометрической системе в соответствии с частью 1 статьи 4 Федерального закона N 572-ФЗ, аккредитованные органы и организации, оператор регионального сегмента единой биометрической системы направляют в федеральный орган исполнительной власти, осуществляющий регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных (далее - уполномоченный орган) следующие сведения и документы:

документы, подтверждающие право на использование информационных технологий, предназначенных для обработки векторов единой биометрической системы, и технических средств, предназначенных для обработки изображения лица и записи голоса;

наименование, модель и тип технических средств, предназначенных для обработки изображения лица и записи голоса, а также эксплуатационные документы на указанные технические средства;

наименование, версию, модальность и планируемые случаи использования информационных технологий, предназначенных для обработки векторов единой биометрической системы;

протокол эксплуатационных испытаний информационных технологий, предназначенных для обработки векторов единой биометрической системы, проводимых в соответствии с пунктом 4 настоящих Требований.

Сведения и документы, предусмотренные настоящим пунктом, могут быть направлены на бумажном носителе или в виде электронного документа, подписанного усиленной квалифицированной электронной подписью банка, многофункционального центра предоставления государственных и муниципальных услуг, иной организации, размещающей биометрические персональные данные в единой биометрической системе, аккредитованного органа и организации, оператора регионального сегмента единой биометрической системы.

7. Подтверждение соответствия Требованиям к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения аутентификации (далее - подтверждение соответствия), осуществляется уполномоченным органом не позднее 60 календарных дней со дня получения документов и сведений, указанных в пункте 6 настоящих Требований.

8. Уполномоченный орган подтверждает соответствие информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных, векторов единой биометрической системы, по форме, определенной в соответствии с пунктом 2 части 2 статьи 6 Федерального закона N 572-ФЗ.

Подтверждение соответствия информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных, векторов единой биометрической системы, направляется уполномоченным органом в банки, многофункциональные центры предоставления государственных и муниципальных услуг и иные организации, размещающие биометрические персональные данные в единой биометрической системе в соответствии с частью 1 статьи 4 Федерального закона N 572-ФЗ, аккредитованные органы и организации, оператору регионального сегмента единой биометрической системы не позднее 3 дней со дня его подписания уполномоченным органом.

9. Основанием для принятия уполномоченным органом решения о несоответствии информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения аутентификации, настоящим Требованиям является несоответствие информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения аутентификации, хотя бы одному из требований, предусмотренных пунктами 1 - 3, 5 настоящих Требований.

Не позднее 3 дней с даты принятия решения о несоответствии информационных технологий и технических средств, указанного в абзаце первом настоящего пункта, уполномоченный орган направляет в банки, многофункциональные центры предоставления государственных и муниципальных услуг и иные организации, размещающие биометрические персональные данные в единой биометрической системе в соответствии с частью 1 статьи 4 Федерального закона N 572-ФЗ, аккредитованные органы и организации, оператору регионального сегмента единой биометрической системы уведомление о несоответствии информационных технологий и технических средств требованиям, предусмотренным настоящими Требованиями.