Не имеешь полмиллиарда рублей? Не получишь биометрию россиян!


Доступ к биометрическим данным граждан в России будет ужесточен – Минцифры запрещает компаниям с собственным капиталом меньше 500 млн руб. оперировать такими сведениями. Причина – неспособность организаций обеспечить полноценную защиту персональной информации людей.

Минцифры России собирается ужесточить требования по аккредитации компаний, которые хотят собирать и обрабатывать биометрические персональные данные (ПД). Об этом говорится в проекте постановления правительства, который появился на портале нормативно-правовых актов.

В документе установлен «порог» – размер собственного капитала организации, имеющей право использовать биометрию, должен достигать 500 млн руб. вместо 50 млн руб., как было раньше. Кроме того, величина финансового обеспечения убытков в случае неправильной аутентификации (или утечки информации) увеличена в два раза – с 50 млн руб. до 100 млн руб. Этим критериям должны соответствовать компании – если они хотят получить аккредитацию Минцифры на право проводить аутентификацию на основе биометрических ПД россиян.

Также ведомство будет требовать от организаций предоставить документы о том, что при обработке персональной информации будет использоваться исключительно Единая биометрическая система (ЕБС) баз данных, которые находятся на территории России.

Организации должны будут подтвердить свое право собственности на аппаратные шифровальные (криптографические) средства, которые используются для аутентификации пользователей. Кроме того, в штате компании должно быть не меньше двух сотрудников, которые работают с биометрическими данными, и имеют при этом высшее образование в области ИТ или информационной безопасности.

Также запросят документы, подтверждающие, что заявитель является организацией финансового рынка, организацией, в уставном капитале которой доля участия Российской Федерации, субъекта страны или мунобразования превышает 50%. Также нужно предоставлять доказательства добросовестности бенефициаров (чтобы проверить деловую репутацию единоличного исполнительного органа, членов коллегиального исполнительного органа или физлиц-учредителей, которые владеют более 10% акций или долей, составляющих уставный капитал).

В случае принятия документ вступит в силу с 1 июня 2023 г. и будет действовать до 1 июня 2029 г.

Руководитель компании «Интернет-розыск» Игорь Бедеров отметил, что у компаний с крупным уставным капиталом, как правило, высокий оборот.

«Мы помним, что вопрос утечек персональных данных, особенно биометрии, будет ужесточен, введут оборотные штрафы, – сказал эксперт. – Этим постановлением Минцифры перекрыло свои риски, связанные с тем, что компании-операторы ПД могут создавать отдельные предприятия с низким оборотом именно для обработки ПД, уходя таким образом от крупных оборотных штрафов. Финансовое обеспечение – это абсолютно правильно, должен быть в компании предусмотрен бюджет на возмещение ущерба пострадавшим от утечки людям».

Так, объем утечек персональных данных россиян в 2022 г. вырос в 40 раз – пострадали почти 100 млн россиян. В 2022 г. из базы данных службы доставки СДЭК утекли два файла: один на 466 млн строк, второй – на 822 млн. У «Яндекс.еды» утекли 50 млн записей, из них 6,8 млн уникальных наборов данных из России и Казахстана. В мае 2022 г. то же случилось с Delivery Club, в сеть угодила база заказов на 350 млн строк. Затем были опубликованы сведения о 30 млн клиентов сети медицинских лабораторий «Гемотест», 110 тыс. строк с данными сотрудников «Ростелекома» и 10 млн записей из базы данных «Почты России».

Опрошенные эксперты сообщили, что Минцифры, поднимая планку уставного капитала и бюджет на покрытие ущерба в случае утечки, серьезно ограничивает круг организаций, которые могут проводить аутентификацию на основе биометрии. Теперь это будет доступно лишь очень крупным компаниям и банкам. Рынок ПД этого типа для мелких компаний будет закрыт.

Партнер департамента финансового консультирования компании ДРТ Антон Шульга объяснил «Ведомостям», что сейчас сбор биометрии, в основном, интересует кредитные организации, которые с ее помощью проводят верификацию. Но потенциально она нужна всем компаниям, которые проводят идентификацию клиентов по паспорту – особенно онлайн. Главный юрисконсульт практики интеллектуальной собственности юридической компании ЭБР Кирилл Ляхманов заметил, что механизм связи между капиталом и кибербезопасностью никак не описывается. По его словам, примеры прошлых крупных утечек информации говорят о том, что большой размер собственного капитала вовсе не гарантирует, что данные будут в безопасности.

Проект постановления разработали для того, чтобы привести в соответствие требования, прописанные в законе № 572, принятом 29 декабря 2022 г.

Закон посвящен «Единой биометрической системе», которая содержит биометрические персональные данные физических лиц, векторы единой биометрической системы и другую информацию для идентификации физлиц. В октябре 2022 г. Президент Владимир Путин поручил назначить организацией, обеспечивающей развитие цифровых технологий идентификации и аутентификации, «Центр биометрических технологий». В ней «Ростелеком» получил 49%, государство – 26%, ЦБ – 25%.

Глава комитета Госдумы по информационной политике, ИТ и связи Александр Хинштейн объяснял, что закон посвящен запрету принудительной сдачи биометрических данных и изъятию биометрических данных россиян из коммерческого оборота государству. Чиновник уточнял, что судьба данных около 70 млн россиян, которыми сейчас распоряжаются банки, фитнес-клубы и управляющие компания, неясна – а единая государственная база поможет их безопасно хранить.

Как объяснили опрошенные юристы, владеть системами, которые хранят и подгружают в ЕБС персональные данные, теперь будут исключительно госорганы. Оператором биометрической информации в региональном сегменте также может быть только госучреждение или ГУП – их тоже ожидает предварительная аккредитация.

Право собирать биометрию россиян теперь есть только у банков, но для этого им надо оформить аккредитацию у Минцифры. ПД, которые они копили у себя годами, они передадут в ЕБС, а затем получат обратно в зашифрованном виде. Коммерческие компании, заключив договор с ЕБС, смогут получать сведения из этой базы, но это будут не сами данные, а набор идентификаторов – таким образом, при утечке информации из этой компании никто не получит полного доступа к биометрии ее клиентов.

В ЕБС будут вносить и обрабатывать изображения лица человека и запись его голоса, запрещено собирать геномную информацию. Использовать и хранить биометрию разрешается только на территории России, трансграничная передача запрещена. Также закон запрещает собирать биометрию принудительно и отказывать в предоставлении услуг людям, которые отказались от этого формата (за этот пункт активно выступала Русская православная церковь). Согласиться на сбор и обработку биометрии можно на портале «Госуслуги», а отказаться (причем в любой момент, даже спустя год после дачи согласия) – в МФЦ.

В декабре 2022 г. также стало известно, что российские многофункциональные центры (МФЦ) скоро начнут принимать россиян без паспорта – используя биометрию для идентификации личности.

Оставьте отзыв

Ваш емейл адрес не будет опубликован. Обязательные поля отмечены *