РОССИЙСКАЯ ФЕДЕРАЦИЯ
ФЕДЕРАЛЬНЫЙ ЗАКОН
О ВНЕСЕНИИ ИЗМЕНЕНИЙ В ОТДЕЛЬНЫЕ ЗАКОНОДАТЕЛЬНЫЕ АКТЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
(в ред. Федерального закона от 01.07.2021 N 266-ФЗ)
Принят
Государственной Думой
23 декабря 2020 года
Одобрен
Советом Федерации
25 декабря 2020 года
Статья 1
Внести в Федеральный закон от 7 августа 2001 года N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" (Собрание законодательства Российской Федерации, 2001, N 33, ст. 3418; 2002, N 44, ст. 4296; 2004, N 31, ст. 3224; 2006, N 31, ст. 3446; 2007, N 16, ст. 1831; N 49, ст. 6036; 2009, N 23, ст. 2776; 2010, N 30, ст. 4007; 2011, N 27, ст. 3873; N 46, ст. 6406; 2013, N 26, ст. 3207; N 52, ст. 6968; 2014, N 19, ст. 2311, 2315; N 23, ст. 2934; N 30, ст. 4219; 2015, N 1, ст. 37; N 18, ст. 2614; N 24, ст. 3367; N 27, ст. 3945, 4001; 2016, N 1, ст. 27, 43, 44; N 26, ст. 3860; N 27, ст. 4196; 2017, N 31, ст. 4830; 2018, N 1, ст. 54, 66; N 18, ст. 2560, 2576; N 53, ст. 8491; 2019, N 12, ст. 1222, 1223; N 27, ст. 3534, 3538; N 30, ст. 4152; N 31, ст. 4418, 4430; N 49, ст. 6953; N 51, ст. 7490; N 52, ст. 7798; 2020, N 9, ст. 1138; N 15, ст. 2239; N 29, ст. 4518; N 30, ст. 4738; N 31, ст. 5018) следующие изменения:
1) в статье 7:
а) в пункте 5:
в абзаце седьмом слово "ранее" исключить;
в абзаце восьмом слово "ранее" исключить, дополнить предложением следующего содержания: "Кредитная организация вправе открыть банковский счет (вклад) клиенту - юридическому лицу, созданному в соответствии с законодательством Российской Федерации, без личного присутствия его представителя также в случае, если представитель клиента - юридического лица, имеющий право без доверенности действовать от имени юридического лица и являющийся физическим лицом, был идентифицирован этой же кредитной организацией в порядке, установленном пунктом 5.8 настоящей статьи.";
абзац десятый после слов "банковский счет" дополнить словом "(вклад)", после слов "его представителя" дополнить словами "в соответствии с первым предложением абзаца восьмого настоящего пункта", после слов "банковского счета" дополнить словом "(вклада)";
б) в пункте 5.4:
в абзаце третьем слова "абзацем седьмым" заменить словами "абзацем восьмым";
абзац пятый изложить в следующей редакции:
"Организации, осуществляющие операции с денежными средствами или иным имуществом, вправе обновлять информацию о клиенте - физическом лице, а также о физическом лице, являющемся представителем клиента, выгодоприобретателем или бенефициарным владельцем, с использованием единой системы идентификации и аутентификации с их согласия.";
в) в пункте 5.6:
в абзаце первом первое предложение изложить в следующей редакции: "С согласия клиента - физического лица и на безвозмездной для него основе банк с универсальной лицензией, соответствующий критериям, установленным абзацами вторым - четвертым пункта 5.7 настоящей статьи, обязан, а банк с базовой лицензией, соответствующий критериям, установленным абзацами вторым - четвертым пункта 5.7 настоящей статьи, и включенный на основании его заявления в перечень банков, предусмотренный абзацем восьмым пункта 5.7 настоящей статьи, вправе после проведения идентификации при личном присутствии клиента - физического лица размещать или обновлять в электронной форме в единой системе идентификации и аутентификации сведения, необходимые для регистрации в ней, и сведения, предусмотренные абзацем вторым подпункта 1 пункта 1 настоящей статьи, а также в единой информационной системе персональных данных, обеспечивающей сбор, обработку, хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица (далее - единая биометрическая система), его биометрические персональные данные в соответствии с частью 1 статьи 14.1 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации".";
в абзаце втором слова "в соответствии с Федеральным законом" заменить словами "в соответствии со статьей 14.1 Федерального закона";
дополнить абзацем следующего содержания:
"Отказ клиента от размещения его биометрических персональных данных в единой биометрической системе не может служить основанием для отказа ему в обслуживании.";
г) дополнить пунктом 5.6-1 следующего содержания:
"5.6-1. Банк с универсальной лицензией, соответствующий критериям, установленным абзацами вторым - четвертым пункта 5.7 настоящей статьи, обязан обеспечить совершение действий, предусмотренных пунктом 5.6 настоящей статьи, в соответствии с условиями осуществления таких действий, установленными нормативным актом Центрального банка Российской Федерации.
Банк с базовой лицензией, соответствующий критериям, установленным абзацами вторым - четвертым пункта 5.7 настоящей статьи, вправе совершать действия, предусмотренные пунктом 5.6 настоящей статьи, после включения его на основании заявления в перечень банков, предусмотренный абзацем восьмым пункта 5.7 настоящей статьи, в соответствии с условиями осуществления таких действий, установленными нормативным актом Центрального банка Российской Федерации.";
д) в пункте 5.7:
в абзаце четвертом слова "предусмотренное пунктом 5.11 настоящей статьи" заменить словами "предусмотренное частью пятой статьи 74 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)";
в абзаце седьмом слова "предусмотренное пунктом 5.11 настоящей статьи" заменить словами "предусмотренное статьей 76.9-4 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)";
абзац восьмой изложить в следующей редакции:
"Центральный банк Российской Федерации размещает на своем официальном сайте в сети Интернет перечень банков, осуществляющих действия, предусмотренные пунктом 5.6 настоящей статьи. В указанный перечень включаются банки с универсальной лицензией, соответствующие критериям, установленным абзацами вторым - четвертым настоящего пункта, а также банки с базовой лицензией, соответствующие критериям, установленным абзацами вторым - четвертым настоящего пункта, и обратившиеся в Центральный банк Российской Федерации с заявлением об их включении в указанный перечень. Центральный банк Российской Федерации включает банк с базовой лицензией, соответствующий критериям, установленным абзацами вторым - четвертым настоящего пункта, в перечень банков, предусмотренный настоящим абзацем, не позднее пяти рабочих дней со дня получения заявления такого банка о его включении в указанный перечень. Центральный банк Российской Федерации размещает на своем официальном сайте в сети Интернет перечень операторов финансовой платформы, осуществляющих действия, предусмотренные пунктом 5.6 настоящей статьи. В указанный перечень включаются операторы финансовой платформы, соответствующие критериям, установленным абзацами шестым и седьмым настоящего пункта. В случае несоответствия банка, оператора финансовой платформы, включенных в перечни, предусмотренные настоящим абзацем, критериям, установленным настоящим пунктом, Центральный банк Российской Федерации исключает банк, оператора финансовой платформы из соответствующего перечня не позднее пяти рабочих дней со дня, когда указанные банк, оператор финансовой платформы перестали соответствовать указанным критериям.";
в абзаце девятом слова "Банки, соответствующие критериям, установленным абзацами вторым - четвертым настоящего пункта," заменить словами "Банки с универсальной лицензией, соответствующие критериям, установленным абзацами вторым - четвертым настоящего пункта, банки с базовой лицензией, соответствующие критериям, установленным абзацами вторым - четвертым настоящего пункта, и включенные на основании их заявлений в перечень банков, предусмотренный абзацем восьмым настоящего пункта,";
е) пункт 5.8 изложить в следующей редакции:
"5.8. Кредитные организации и иные организации, осуществляющие операции с денежными средствами или иным имуществом, указанные в статье 5 настоящего Федерального закона, регулирование, контроль и надзор за которыми в соответствии с законодательством Российской Федерации осуществляет Центральный банк Российской Федерации, при приеме на обслуживание клиентов для совершения операций (сделок) вправе идентифицировать клиента - физическое лицо, представителя клиента - юридического лица, имеющего право без доверенности действовать от имени юридического лица и являющегося физическим лицом, без личного присутствия путем установления и подтверждения достоверности сведений о них, определенных настоящим Федеральным законом, с использованием единой системы идентификации и аутентификации и единой биометрической системы в порядке, установленном статьей 14.1 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", при соблюдении следующих условий:
клиент - физическое лицо, клиент - юридическое лицо, представитель клиента - юридического лица, имеющий право без доверенности действовать от имени юридического лица, бенефициарный владелец такого клиента не являются лицами, включенными в перечень организаций и физических лиц, в отношении которых имеются сведения об их причастности к экстремистской деятельности или терроризму;
клиент - физическое лицо, клиент - юридическое лицо, представитель клиента - юридического лица, имеющий право без доверенности действовать от имени юридического лица, бенефициарный владелец такого клиента не являются лицами, включенными в перечень организаций и физических лиц, в отношении которых имеются сведения об их причастности к распространению оружия массового уничтожения;
клиент - физическое лицо, клиент - юридическое лицо, представитель клиента - юридического лица, имеющий право без доверенности действовать от имени юридического лица, бенефициарный владелец такого клиента не являются лицами, в отношении которых межведомственным координационным органом, осуществляющим функции по противодействию финансированию терроризма, принято решение о замораживании (блокировании) денежных средств или иного имущества;
клиент - физическое лицо, клиент - юридическое лицо не являются лицами, в отношении которых в соответствии с частью четвертой статьи 8 настоящего Федерального закона вступившим в законную силу решением суда приостановлены операции с денежными средствами или иным имуществом;
у организации, указанной в абзаце первом настоящего пункта, в отношении клиента - физического лица, клиента - юридического лица или операции этого клиента отсутствуют подозрения в том, что они связаны с легализацией (отмыванием) доходов, полученных преступным путем, или финансированием терроризма;
у организации, указанной в абзаце первом настоящего пункта, отсутствуют основания полагать, что бенефициарным владельцем клиента - физического лица является иное физическое лицо;
в отношении клиента - юридического лица в едином государственном реестре юридических лиц отсутствует запись о недостоверности сведений о юридическом лице;
клиент - физическое лицо, клиент - юридическое лицо не являются лицами, в отношении которых имеется информация о применении к ним мер, предусмотренных пунктами 5.2 и (или) 11 настоящей статьи.
В случае возникновения у кредитной организации подозрений в том, что распоряжение о списании денежных средств с банковского счета клиента - юридического лица, направленное по информационно-телекоммуникационным сетям посредством программы для электронных вычислительных машин, применяемой клиентами с использованием технического устройства (мобильного телефона, смартфона или компьютера, включая планшетный компьютер) для получения услуг банка (далее - мобильное приложение), или посредством других способов дистанционного доступа к банковскому счету клиента, подано от имени этого клиента лицом, не уполномоченным распоряжаться денежными средствами, находящимися на указанном банковском счете, кредитная организация до исполнения указанного распоряжения вправе осуществить проверку соответствия биометрических персональных данных лица, уполномоченного распоряжаться денежными средствами, находящимися на банковском счете клиента, его биометрическим персональным данным, содержащимся в единой биометрической системе, в порядке, установленном статьей 14.1 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации". Кредитная организация осуществляет указанные действия в случае наличия у нее информации о том, что биометрические персональные данные лица, уполномоченного распоряжаться денежными средствами, находящимися на банковском счете клиента, содержатся в единой биометрической системе.
В случае возникновения сомнений в том, что за совершением операции или сделки обращается то физическое лицо либо тот представитель, которые были идентифицированы в порядке, предусмотренном настоящим пунктом, организация, указанная в абзаце первом настоящего пункта, предпринимает действия, предусмотренные подпунктом 3 пункта 1 настоящей статьи, в порядке, определенном правилами внутреннего контроля.";
ж) дополнить пунктом 5.8-1 следующего содержания:
"5.8-1. Банки с универсальной лицензией, соответствующие критериям, установленным абзацами вторым - четвертым пункта 5.7 настоящей статьи, обязаны обеспечить возможность клиентам - физическим лицам открывать счета (вклады) в рублях, а также получать кредиты в рублях без личного присутствия после проведения идентификации клиента - физического лица в порядке, предусмотренном пунктом 5.8 настоящей статьи. Такая возможность обеспечивается банком посредством своего официального сайта в сети Интернет, а также мобильного приложения, которое соответствует критериям, установленным Центральным банком Российской Федерации.";
Подпункт "ж" пункта 1 статьи 1 действует с 01.01.2022 (часть 2 статьи 5).
з) пункт 5.9 признать утратившим силу;
и) пункт 5.10 изложить в следующей редакции:
"5.10. Центральный банк Российской Федерации по согласованию с уполномоченным органом вправе установить в отношении организации из числа организаций, указанных в абзаце первом пункта 5.8 настоящей статьи, ограничения по операциям и сделкам, совершаемым такой организацией с клиентами, в отношении которых проведена идентификация в порядке, предусмотренном пунктом 5.8 настоящей статьи. Центральный банк Российской Федерации вправе устанавливать дифференцированные ограничения, указанные в настоящем пункте, в зависимости от видов организаций, в том числе от видов их лицензий. Информация об установленных ограничениях публикуется на официальном сайте Центрального банка Российской Федерации в сети Интернет.
В случае, если клиентом - физическим лицом, идентифицированным в порядке, предусмотренном пунктом 5.8 настоящей статьи, в организации из числа организаций, указанных в абзаце первом пункта 5.8 настоящей статьи, впоследствии совершена операция с денежными средствами или иным имуществом при его личном присутствии, операции и сделки, совершенные этим клиентом в указанной организации, не учитываются для ограничений, предусмотренных настоящим пунктом. Операции и сделки, совершенные клиентом - юридическим лицом в организации из числа организаций, указанных в абзаце первом пункта 5.8 настоящей статьи, не учитываются для ограничений, предусмотренных настоящим пунктом, в случае, если представитель клиента - юридического лица, имеющий право без доверенности действовать от имени юридического лица и идентифицированный в порядке, предусмотренном пунктом 5.8 настоящей статьи, совершил операцию с денежными средствами или иным имуществом при личном присутствии в этой организации.";
к) пункты 5.11 и 5.12 признать утратившими силу;
2) в части шестой статьи 9 слова "о банках," заменить словами "об организациях из числа организаций, указанных в абзаце первом пункта 5.8 статьи 7 настоящего Федерального закона,".
Статья 2
Внести в Федеральный закон от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (Собрание законодательства Российской Федерации, 2002, N 28, ст. 2790; 2004, N 31, ст. 3233; 2008, N 42, ст. 4699; 2011, N 27, ст. 3873; 2013, N 27, ст. 3438; N 30, ст. 4084; N 51, ст. 6695; N 52, ст. 6975; 2014, N 30, ст. 4219; N 52, ст. 7543; 2015, N 29, ст. 4348, 4357; 2016, N 1, ст. 50; N 27, ст. 4225; 2017, N 31, ст. 4830; 2018, N 18, ст. 2557; N 27, ст. 3950; N 31, ст. 4852; N 32, ст. 5115; N 53, ст. 8411; 2019, N 18, ст. 2198; N 29, ст. 3857; N 31, ст. 4418; N 52, ст. 7787; 2020, N 14, ст. 2021; N 30, ст. 4738; N 31, ст. 5018) следующие изменения:
1) статью 74:
а) дополнить новой частью пятой следующего содержания:
"В случае неоднократного в течение одного года нарушения кредитной организацией требований, предусмотренных статьей 6, статьей 7 (за исключением пункта 3), статьями 7.2, 7.3 и 7.5 Федерального закона от 7 августа 2001 года N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма", статьей 14.1 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", и (или) неоднократного в течение одного года нарушения требований нормативных актов Банка России, принятых в соответствии с указанными федеральными законами, Банк России вправе ввести запрет на проведение кредитной организацией идентификации, проводимой в порядке, предусмотренном пунктом 5.8 статьи 7 Федерального закона от 7 августа 2001 года N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма", на срок до одного года.";
б) части пятую - шестнадцатую считать соответственно частями шестой - семнадцатой;
2) главу X.1 дополнить статьей 76.9-4 следующего содержания:
В случае неоднократного в течение одного года нарушения некредитной финансовой организацией, осуществляющей операции с денежными средствами или иным имуществом и указанной в статье 5 Федерального закона от 7 августа 2001 года N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма", требований, предусмотренных статьей 6, статьей 7 (за исключением пункта 3), статьями 7.3 и 7.5 Федерального закона от 7 августа 2001 года N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма", статьей 14.1 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", и (или) неоднократного в течение одного года нарушения требований нормативных актов Банка России, принятых в соответствии с указанными федеральными законами, Банк России вправе ввести запрет на проведение соответствующей организацией идентификации, проводимой в порядке, предусмотренном пунктом 5.8 статьи 7 Федерального закона от 7 августа 2001 года N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма", на срок до одного года.".
Статья 3
Внести в Федеральный закон от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2012, N 31, ст. 4328; 2013, N 23, ст. 2870; N 27, ст. 3479; 2014, N 48, ст. 6645; 2015, N 29, ст. 4390; 2018, N 1, ст. 66; 2019, N 52, ст. 7798) следующие изменения:
1) статью 2 дополнить пунктами 21 и 22 следующего содержания:
"21) идентификация - совокупность мероприятий по установлению сведений о лице и их проверке, осуществляемых в соответствии с федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами, и сопоставлению данных сведений с уникальным обозначением (уникальными обозначениями) сведений о лице, необходимым для определения такого лица (далее - идентификатор);
22) аутентификация - совокупность мероприятий по проверке лица на принадлежность ему идентификатора (идентификаторов) посредством сопоставления его (их) со сведениями о лице, которыми располагает лицо, проводящее аутентификацию, и установлению правомерности владения лицом идентификатором (идентификаторами) посредством использования аутентифицирующего (аутентифицирующих) признака (признаков) в рамках процедуры аутентификации, в результате чего лицо считается установленным.";
2) в статье 14.1:
а) в наименовании слова "граждан Российской Федерации" заменить словами "физических лиц";
б) в части 1:
в абзаце первом слова "гражданина Российской Федерации" заменить словами "физического лица";
в пункте 1 слова "гражданина Российской Федерации" заменить словами "физического лица";
в пункте 2 слова "гражданина Российской Федерации" заменить словами "физического лица";
в) дополнить частью 1.1 следующего содержания:
"1.1. Единая биометрическая система является государственной информационной системой.";
Подпункт "в" пункта 2 статьи 3 действует с 30.12.2021 (часть 3 статьи 5).
г) в пункте 2 части 2 слова "гражданина Российской Федерации" заменить словами "физического лица";
д) часть 5 дополнить предложениями следующего содержания:
"Физическое лицо вправе подписать указанное согласие простой электронной подписью, ключ которой получен физическим лицом при личной явке в соответствии с правилами использования простой электронной подписи при обращении за получением государственных и муниципальных услуг в электронной форме, установленными Правительством Российской Федерации. Требования к проверке такой электронной подписи при хранении указанного согласия устанавливаются Правительством Российской Федерации. Указанное согласие, подписанное простой электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью данного физического лица.";
е) в части 6 слова "гражданина Российской Федерации" заменить словами "физического лица", слова "Федеральные органы исполнительной власти" заменить словами "Государственные органы", слова "гражданах Российской Федерации" заменить словами "физических лицах";
ж) в части 7 слова "гражданах Российской Федерации" заменить словами "физических лицах";
з) часть 8 после слов "персональных данных" дополнить словами ", информацию об организациях, разместивших такие сведения, и информацию о способе сбора";
и) часть 9 дополнить предложением следующего содержания:
"Размещение и обработка в единой биометрической системе сведений, отнесенных к государственной тайне, запрещены.";
к) часть 10 изложить в следующей редакции:
"10. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии со статьей 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", при обработке персональных данных в единой биометрической системе, а также за выполнением требований, установленных частями 18.3, 18.5, 18.6, 18.14, 18.15, 18.17, 18.18, 18.19, 18.20, 18.22, 18.25, 18.26, 18.27 настоящей статьи, за исключением контроля и надзора за выполнением организационных и технических мер по обеспечению безопасности персональных данных при использовании единой биометрической системы кредитными организациями, некредитными финансовыми организациями, которые осуществляют указанные в части первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" виды деятельности, субъектами национальной платежной системы (далее - организации финансового рынка), осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий, установленных законодательством Российской Федерации о персональных данных.";
л) дополнить частью 10.1 следующего содержания:
"10.1. Контроль и надзор за обработкой персональных данных в единой биометрической системе, а также в информационных системах государственных органов, органов местного самоуправления, организаций финансового рынка, иных организаций и индивидуальных предпринимателей, которые осуществляют обработку биометрических персональных данных при идентификации и (или) аутентификации, в том числе при взаимодействии с единой биометрической системой, осуществляются федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, в пределах полномочий, установленных законодательством Российской Федерации о персональных данных.";
м) в части 11 слово "банками" заменить словами "организациями финансового рынка", слова "персональных данных при использовании единой биометрической системы" заменить словами "биометрических персональных данных";
н) в части 12 слова "граждан Российской Федерации" заменить словами "физических лиц";
о) в части 13:
в абзаце первом слова "граждан Российской Федерации" заменить словами "физических лиц";
в пункте 1 слова "в целях идентификации" исключить, слова "в единой биометрической системе" заменить словами "в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц", слова "(в банковской сфере и иных сферах финансового рынка указанные требования устанавливаются по согласованию с Центральным банком Российской Федерации)" заменить словами ", при этом указанные требования устанавливаются по согласованию с федеральным органом исполнительной власти в области обеспечения безопасности (в банковской сфере и иных сферах финансового рынка указанные требования дополнительно согласовываются с Центральным банком Российской Федерации)";
в пункте 2 слова "в целях проведения идентификации" исключить, слова "(в банковской сфере и иных сферах финансового рынка формы подтверждения соответствия устанавливаются по согласованию с Центральным банком Российской Федерации)" заменить словами "(формы подтверждения соответствия устанавливаются по согласованию с федеральным органом исполнительной власти в области обеспечения безопасности, в банковской сфере и иных сферах финансового рынка указанные требования дополнительно согласовываются с Центральным банком Российской Федерации)";
в пункте 3 слово "разрабатывает" заменить словами "в отношении биометрических персональных данных, используемых в соответствии с частями 18, 18.2, 18.14, 18.17, 18.18 и 18.20 настоящей статьи, разрабатывает", слова "содержащимся в единой биометрической системе," заменить словами "содержащимся в информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных,", слова "а также" заменить словами "а в отношении биометрических персональных данных, используемых в соответствии с частями 18, 18.2 и 18.14 настоящей статьи, также";
дополнить пунктами 4 - 8 следующего содержания:
"4) по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, Центральным банком Российской Федерации и оператором единой биометрической системы определяет перечень угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица в единой биометрической системе, а также актуальных при взаимодействии государственных органов, органов местного самоуправления, индивидуальных предпринимателей, нотариусов и организаций, за исключением организаций финансового рынка, с единой биометрической системой, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных;
5) распространяет на безвозмездной основе для физических и юридических лиц программное средство криптографической защиты информации, имеющее подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, подлежащее использованию физическими лицами и юридическими лицами в целях получения услуг по аутентификации при взаимодействии с единой биометрической системой и иными информационными системами организаций, владеющих указанными иными информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающих услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц (далее - организации, осуществляющие идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц), если физическими лицами и юридическими лицами не используется иное средство криптографической защиты информации, имеющее подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности;
6) по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, и оператором единой биометрической системы определяет перечень угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица в информационных системах организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии государственных органов, органов местного самоуправления, индивидуальных предпринимателей, нотариусов и организаций, за исключением организаций финансового рынка, с указанными информационными системами, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных, и учетом вида аккредитации организации из числа организаций, указанных в частях 18.28 и 18.31 настоящей статьи;
7) обеспечивает возможность идентификации и (или) аутентификации физических лиц на основе биометрических персональных данных с использованием единой биометрической системы и единой системы идентификации и аутентификации для предоставления государственных услуг, исполнения государственных функций посредством заключения с многофункциональными центрами предоставления государственных и муниципальных услуг соглашений о взаимодействии с многофункциональными центрами предоставления государственных и муниципальных услуг в соответствии со статьей 18 Федерального закона от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг". Контроль и надзор за соблюдением многофункциональными центрами порядка размещения и обновления биометрических персональных данных в единой биометрической системе реализуют федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, в установленном Правительством Российской Федерации порядке;
8) осуществляет аккредитацию организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц.";
п) часть 14 изложить в следующей редакции:
"14. Центральный банк Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации физических лиц на основе биометрических персональных данных, и оператором единой биометрической системы определяет перечень угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, при взаимодействии организаций финансового рынка с единой биометрической системой с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных.";
р) дополнить частью 14.1 следующего содержания:
"14.1. Центральный банк Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации физических лиц на основе биометрических персональных данных, и оператором единой биометрической системы определяет перечень угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных, и учетом вида аккредитации организации из числа организаций, указанных в частях 18.28 и 18.31 настоящей статьи.";
с) в части 15:
в абзаце первом слова "в абзаце первом части 1 настоящей статьи" заменить словами "в части 1 настоящей статьи, а также", слова "гражданина Российской Федерации" заменить словами "физического лица";
в пункте 3 слова "гражданина Российской Федерации" заменить словами "физического лица";
т) в части 16:
пункт 1 изложить в следующей редакции:
"1) осуществляет передачу информации о результатах проверки соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой биометрической системе, в государственные органы, органы местного самоуправления, организации финансового рынка, иные организации, индивидуальным предпринимателям, а также нотариусам;";
дополнить пунктами 3 - 7 следующего содержания:
"3) по требованию физического лица блокирует или уничтожает его биометрические персональные данные в порядке, установленном Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных";
4) по мотивированному запросу федеральных органов исполнительной власти, уполномоченных в области безопасности, государственной защиты, государственной охраны, внешней разведки, обезличивает, блокирует, удаляет, уничтожает биометрические персональные данные физических лиц, вносит иные изменения в сведения, содержащиеся в единой биометрической системе, в случаях, предусмотренных законодательством Российской Федерации, а также предоставляет доступ к указанным сведениям в случаях, предусмотренных законодательством Российской Федерации для реализации указанными федеральными органами исполнительной власти своих полномочий;
5) по мотивированному запросу федерального органа исполнительной власти, осуществляющего функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, уточняет, блокирует, прекращает обработку и уничтожает персональные данные физических лиц, содержащиеся в единой биометрической системе, в случаях, предусмотренных законодательством Российской Федерации в области персональных данных;
6) вправе направить мотивированный запрос организации, осуществляющей идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, об обезличивании, о блокировании, об удалении, уничтожении биометрических персональных данных, а также о внесении иных изменений в сведения, содержащиеся в их информационных системах;
7) направляет в федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, а также размещает на своем официальном сайте в сети "Интернет" и поддерживает в актуальном состоянии перечень государственных органов, органов местного самоуправления, организаций финансового рынка, иных организаций, индивидуальных предпринимателей, нотариусов, использующих единую биометрическую систему. Порядок ведения указанного перечня определяется федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации физических лиц на основе биометрических персональных данных.";
у) в части 18:
абзац первый изложить в следующей редакции:
"18. Идентификация физического лица осуществляется, в том числе без его личного присутствия, государственными органами, органами местного самоуправления, организациями финансового рынка, иными организациями, индивидуальными предпринимателями, нотариусами в случаях, установленных федеральными законами, актами Правительства Российской Федерации и иными принятыми в соответствии с ними нормативными правовыми актами, путем установления и проверки достоверности сведений о нем с использованием:";
в пункте 1 слова "гражданине Российской Федерации" заменить словами "физическом лице";
в пункте 2 слова "гражданина Российской Федерации" заменить словами "физического лица";
ф) дополнить частями 18.1 - 18.37 следующего содержания:
"18.1. Федеральные органы исполнительной власти, уполномоченные в области безопасности, государственной защиты, государственной охраны и внешней разведки, вправе направлять мотивированный запрос оператору единой биометрической системы об обезличивании, о блокировании, об удалении, уничтожении биометрических персональных данных отдельных физических лиц в соответствии с законодательством Российской Федерации о государственной защите отдельных физических лиц, о внесении иных изменений в сведения, содержащиеся в единой биометрической системе, в случаях, предусмотренных законодательством Российской Федерации, а также обрабатывать указанные сведения в случаях и в порядке, которые предусмотрены законодательством Российской Федерации.
18.2. Государственные органы, органы местного самоуправления, организации финансового рынка, иные организации, индивидуальные предприниматели и нотариусы вправе использовать единую биометрическую систему для аутентификации физического лица, выразившего согласие на ее проведение, в целях совершения определенных действий или подтверждения волеизъявления либо подтверждения полномочия лица на совершение определенных действий.
18.3. Органы, организации, индивидуальные предприниматели и нотариусы, указанные в части 18.2 настоящей статьи, при использовании единой биометрической системы обязаны выполнять организационные и технические меры по обеспечению безопасности персональных данных, установленные в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", и использовать средства защиты информации, позволяющие обеспечить безопасность персональных данных посредством применения средства криптографической защиты информации, определенного в соответствии с пунктом 5 части 13 настоящей статьи, либо средств криптографической защиты информации, позволяющих обеспечить безопасность персональных данных от угроз, определенных для организаций финансового рынка в соответствии с частью 14 настоящей статьи, для иных организаций, органов, индивидуальных предпринимателей и нотариусов в соответствии с пунктом 4 части 13 настоящей статьи.
18.4. Контроль и надзор за выполнением органами, организациями, индивидуальными предпринимателями и нотариусами, указанными в части 18.2 настоящей статьи, организационных и технических мер по обеспечению безопасности персональных данных и использованием средств защиты информации, указанных в части 18.3 настоящей статьи, осуществляются в установленном Правительством Российской Федерации порядке федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных таких органов, организаций, индивидуальных предпринимателей и нотариусов.
18.5. Перед использованием единой биометрической системы органы, организации, индивидуальные предприниматели и нотариусы, указанные в части 18.2 настоящей статьи, предоставляют в единую систему идентификации и аутентификации сведения о физических лицах, содержащиеся в их информационных системах персональных данных, включая идентификаторы таких сведений. Данные идентификаторы после их сопоставления со сведениями о физических лицах, содержащимися в единой системе идентификации и аутентификации, передаются из единой системы идентификации и аутентификации в единую биометрическую систему.
18.6. Аутентификация физического лица осуществляется органами, организациями, индивидуальными предпринимателями, нотариусами, указанными в части 18.2 настоящей статьи, одним из нижеуказанных способов путем проверки принадлежности этому физическому лицу идентификатора (идентификаторов) посредством сопоставления его (их) со сведениями:
1) о физическом лице, размещенными в единой системе идентификации и аутентификации, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица биометрическим персональным данным, содержащимся в единой биометрической системе, по указанному идентификатору (идентификаторам);
2) о физическом лице, размещенными в информационной системе персональных данных такого органа (организации, индивидуального предпринимателя, нотариуса), а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица биометрическим персональным данным, содержащимся в единой биометрической системе, по указанному идентификатору (идентификаторам).
18.7. Оператор единой биометрической системы не вправе предоставлять биометрические персональные данные физических лиц, содержащиеся в единой биометрической системе, за исключением случаев обработки биометрических персональных данных, предусмотренных частью 2 статьи 11 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных". Обработка персональных данных физического лица органами, организациями, индивидуальными предпринимателями и нотариусами, указанными в части 18.2 настоящей статьи, допускается только для цели, определенной при предоставлении данным физическим лицом оператору единой биометрической системы согласия на обработку его персональных данных.
18.8. Организации, за исключением организаций финансового рынка, индивидуальные предприниматели, указанные в части 18.2 настоящей статьи, должны соответствовать следующим критериям:
1) организация, а также ее единоличный исполнительный орган либо члены коллегиального исполнительного органа, индивидуальный предприниматель не включены в перечень организаций и физических лиц, в отношении которых имеются сведения об их причастности к экстремистской деятельности или терроризму, или в перечень организаций и физических лиц, в отношении которых имеются сведения об их причастности к распространению оружия массового уничтожения;
2) у единоличного исполнительного органа либо членов коллегиального исполнительного органа организации, индивидуального предпринимателя отсутствует неснятая или непогашенная судимость;
3) в отношении организации в едином государственном реестре юридических лиц отсутствует запись о недостоверности сведений о юридическом лице.
18.9. Подтверждение соответствия индивидуальных предпринимателей и организаций, за исключением организаций финансового рынка, указанных в части 18.2 настоящей статьи, критерию, указанному в пункте 1 части 18.8 настоящей статьи, осуществляется путем предоставления информации оператору единой биометрической системы по его запросу федеральным органом исполнительной власти, осуществляющим функции по противодействию легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма и финансированию распространения оружия массового уничтожения, в соответствии с порядком, определенным соглашением, заключенным оператором единой биометрической системы и федеральным органом исполнительной власти, осуществляющим функции по противодействию легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма и финансированию распространения оружия массового уничтожения. Подтверждение соответствия индивидуальных предпринимателей и организаций, за исключением организаций финансового рынка, указанных в части 18.2 настоящей статьи, критерию, указанному в пункте 3 части 18.8 настоящей статьи, осуществляется путем предоставления оператору единой биометрической системы по его запросу информации федеральным органом исполнительной власти, осуществляющим государственную регистрацию юридических лиц и физических лиц в качестве индивидуальных предпринимателей.
18.10. Подтверждение соответствия индивидуальных предпринимателей и организаций, за исключением организаций финансового рынка, указанных в части 18.2 настоящей статьи, критерию, указанному в пункте 2 части 18.8 настоящей статьи, осуществляется путем предоставления оператору единой биометрической системы справки об отсутствии неснятой или непогашенной судимости, выданной федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере внутренних дел.
18.11. Обработка биометрических персональных данных государственными органами, органами местного самоуправления, организациями финансового рынка, иными организациями, индивидуальными предпринимателями, нотариусами допускается после предоставления оператору единой биометрической системы документов, подтверждающих выполнение организационных и технических мер по обеспечению безопасности биометрических персональных данных и использование средств защиты информации, указанных в части 18.3 настоящей статьи, а также выполнение требований, установленных пунктом 1 части 13 настоящей статьи, в случае, если аутентификация физического лица осуществляется путем проверки принадлежности ему идентификатора (идентификаторов) посредством сопоставления его (их) со сведениями, указанными в пункте 1 части 18.6 настоящей статьи. В случае, если аутентификация физического лица осуществляется путем проверки принадлежности ему идентификатора (идентификаторов) посредством сопоставления его (их) со сведениями, указанными в пункте 2 части 18.6 настоящей статьи, обработка биометрических персональных данных допускается после предоставления оператору единой биометрической системы актов проверки, составленных федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, по результатам проверки в соответствии с частью 18.4 настоящей статьи.
18.12. Оператор единой биометрической системы обязан хранить указанные в частях 18.9 - 18.11 настоящей статьи информацию и документы на протяжении всего срока использования единой биометрической системы.
18.13. Федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, осуществляет контроль за выполнением оператором единой биометрической системы требований, указанных в частях 18.7, 18.9 - 18.12 настоящей статьи.
18.14. Обработка биометрических персональных данных для идентификации и (или) аутентификации в случаях, если проведение такой идентификации и (или) аутентификации необходимо для реализации установленных нормативными правовыми актами полномочий государственных органов, и (или) органов местного самоуправления, и (или) организаций, осуществляющих отдельные публичные полномочия, осуществляется с применением единой биометрической системы. В случае, если для реализации указанных в настоящей части полномочий необходима обработка видов биометрических персональных данных, не соответствующих размещаемым в единой биометрической системе, идентификация и (или) аутентификация для реализации указанных полномочий осуществляются с применением иных государственных информационных систем.
18.15. При обработке биометрических персональных данных в государственных информационных системах в соответствии с частью 18.14 настоящей статьи необходимо обеспечить применение организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", и использование средств защиты информации, позволяющих обеспечить безопасность персональных данных от угроз, определенных в соответствии с пунктом 6 части 13 настоящей статьи, а также выполнение требований, установленных пунктом 1 части 13 настоящей статьи. В случае, если обработка биометрических персональных данных осуществляется в интересах организаций финансового рынка, должны использоваться средства защиты информации, позволяющие обеспечить безопасность персональных данных от угроз, определенных в соответствии с частью 14.1 настоящей статьи.
18.16. Отказ физического лица от прохождения идентификации и (или) аутентификации с использованием его биометрических персональных данных не может служить основанием для отказа ему в оказании государственной или муниципальной услуги.
18.17. В информационных системах организаций финансового рынка, иных организаций, индивидуальных предпринимателей, нотариусов сбор и обработка используемых в целях идентификации и (или) аутентификации биометрических персональных данных, за исключением указанных в частях 18.18 и 18.20 настоящей статьи случаев, а также за исключением сбора и обработки биометрических персональных данных для размещения в единой биометрической системе в соответствии с федеральными законами, запрещены.
18.18. Сбор и обработка используемых для аутентификации биометрических персональных данных в информационных системах организаций, в том числе организаций финансового рынка, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, допускаются в случае одновременного выполнения следующих условий:
1) применение такими организациями организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", и использование средств защиты информации, позволяющих обеспечить безопасность персональных данных посредством применения средства криптографической защиты информации, определенного в соответствии с пунктом 5 части 13 настоящей статьи, либо средств криптографической защиты информации, позволяющих обеспечить безопасность персональных данных от угроз, определенных для организаций финансового рынка в соответствии с частью 14.1 настоящей статьи, для иных организаций в соответствии с пунктом 6 части 13 настоящей статьи, а также выполнение требований к сбору и обработке биометрических персональных данных, установленных в соответствии с пунктом 2 части 2 и пунктом 1 части 13 настоящей статьи;
2) наличие согласия физического лица на обработку его биометрических персональных данных в указанных целях, в том числе в интересах конкретного третьего лица;
3) прохождение указанными организациями аккредитации в соответствии с частями 18.28 - 18.30 настоящей статьи.
18.19. Размещение и обработка в информационных системах, осуществляющих обработку биометрических персональных данных, организаций финансового рынка, иных организаций, индивидуальных предпринимателей сведений, отнесенных к государственной тайне, запрещены в соответствии с законодательством Российской Федерации о государственной тайне.
18.20. Сбор и обработка используемых для идентификации либо идентификации и аутентификации биометрических персональных данных в информационных системах организаций, в том числе организаций финансового рынка, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, за исключением случаев реализации государственными органами, органами местного самоуправления своих функций, в том числе предоставления государственных и муниципальных услуг, допускаются в установленных Правительством Российской Федерации по согласованию с Центральным банком Российской Федерации случаях при одновременном выполнении следующих условий:
1) применение такими организациями организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", и использование средств защиты информации, позволяющих обеспечить безопасность персональных данных от угроз, определенных для организаций финансового рынка в соответствии с частью 14.1 настоящей статьи, для иных организаций в соответствии с пунктом 6 части 13 настоящей статьи, а также выполнение требований к сбору и обработке биометрических персональных данных, установленных в соответствии с пунктом 2 части 2 и пунктом 1 части 13 настоящей статьи;
2) выполнение требований настоящего Федерального закона и Федерального закона от 26 июля 2017 года N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", в том числе посредством выполнения требований о защите содержащейся в государственных информационных системах информации, установленных федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий, а также посредством автоматизированного информационного взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации для решения задач, касающихся обнаружения, предупреждения и ликвидации последствий компьютерных атак;
3) наличие согласия физического лица на обработку его биометрических персональных данных в указанных целях, в том числе в интересах конкретного третьего лица;
4) прохождение указанными организациями аккредитации в соответствии с частями 18.31 - 18.33 настоящей статьи.
18.21. Отказ физического лица от прохождения идентификации и (или) аутентификации с использованием его биометрических персональных данных не может служить основанием для отказа ему в обслуживании.
18.22. Организации финансового рынка, иные организации, осуществляющие идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, по мотивированному запросу оператора единой биометрической системы обезличивают, блокируют, удаляют, уничтожают биометрические персональные данные физических лиц, а также вносят иные изменения в сведения, содержащиеся в их информационных системах.
18.23. В случае, если при сборе и обработке в соответствии с федеральными законами организациями финансового рынка, иными организациями биометрических персональных данных собраны биометрические персональные данные, соответствующие видам, параметрам и порядку обработки биометрических персональных данных, установленному в соответствии с пунктом 1 части 13 настоящей статьи, размещаемым в единой биометрической системе биометрическим персональным данным, такие собираемые организациями финансового рынка, иными организациями биометрические персональные данные подлежат размещению в единой биометрической системе с согласия соответствующего субъекта персональных данных. Получение указанного в настоящей части согласия до размещения биометрических персональных данных в единой биометрической системе обеспечивается указанными в настоящей части организациями. Такие организации для получения указанного согласия должны в установленном Правительством Российской Федерации порядке обеспечить в отношении биометрических персональных данных, подлежащих размещению в единой биометрической системе, предоставление соответствующим субъектам персональных данных возможности дать указанное согласие. (в ред. Федерального закона от 01.07.2021 N 266-ФЗ)
18.24. Организации финансового рынка, иные организации, индивидуальные предприниматели вправе использовать информационные системы организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, соответствующих требованиям, указанным в части 18.18 настоящей статьи, для аутентификации физического лица, выразившего согласие на ее проведение, в целях совершения определенных действий или подтверждения волеизъявления либо подтверждения полномочия этого лица на совершение определенных действий.
18.25. Организации финансового рынка, иные организации, индивидуальные предприниматели, указанные в части 18.24 настоящей статьи, должны соответствовать требованиям, указанным в частях 18.3,18.6, 18.8 - 18.11 настоящей статьи.
18.26. В установленных Правительством Российской Федерации по согласованию с Центральным банком Российской Федерации случаях, за исключением случаев реализации государственными органами, органами местного самоуправления своих функций, в том числе предоставления государственных и муниципальных услуг, организации, за исключением организаций финансового рынка, индивидуальные предприниматели вправе использовать информационные системы организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, соответствующих требованиям, указанным в части 18.20 настоящей статьи, для идентификации либо идентификации и аутентификации физического лица, выразившего согласие на их проведение, в целях совершения определенных действий или подтверждения волеизъявления либо подтверждения полномочия этого лица на совершение определенных действий. При этом идентификация физического лица должна осуществляться путем установления и проверки достоверности сведений о нем с использованием сведений о физическом лице, размещенных в информационной системе соответствующей организации, сопоставленных со сведениями о таком физическом лице, содержащимися в единой системе идентификации и аутентификации, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой биометрической системе, либо в случае отсутствия таких данных в единой биометрической системе - с использованием информационных систем организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц.
18.27. Организации, индивидуальные предприниматели, указанные в части 18.26 настоящей статьи, должны соответствовать требованиям, указанным в частях 18.3, 18.8 - 18.11 настоящей статьи.
18.28. Аккредитация организаций, в том числе организаций финансового рынка, указанных в части 18.18 настоящей статьи, для осуществления аутентификации осуществляется в установленном Правительством Российской Федерации порядке без ограничения срока.
18.29. Предусмотренная частью 18.28 настоящей статьи аккредитация организаций, в том числе организации финансового рынка, осуществляется при условии выполнения ею следующих требований:
1) организация не является иностранным юридическим лицом, а также юридическим лицом, в уставном (складочном) капитале которого доля участия иностранных юридических лиц превышает 49 процентов, если иное не предусмотрено частями 18.30 и 18.33 настоящей статьи;
2) минимальный размер собственных средств (капитала) составляет не менее чем 50 миллионов рублей;
3) наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к результату аутентификации с использованием биометрических персональных данных, осуществленной организацией, в сумме не менее чем 50 миллионов рублей;
4) наличие лицензии на деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств;
5) наличие права собственности на аппаратные шифровальные (криптографические) средства, используемые для оказания организацией услуг по идентификации и (или) аутентификации с использованием биометрических персональных данных, имеющие подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности, и наличие права использования программных шифровальных (криптографических) средств на законных основаниях;
6) наличие в штате организации не менее двух работников, непосредственно осуществляющих деятельность по идентификации и аутентификации с использованием биометрических персональных данных, имеющих высшее образование в области информационных технологий или информационной безопасности;
7) соответствие требованиям к деловой репутации единоличного исполнительного органа или членов коллегиального исполнительного органа, установленным федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации физических лиц на основе биометрических персональных данных и уполномоченным на принятие решения об аккредитации;
8) в отношении организации в едином государственном реестре юридических лиц отсутствует запись о недостоверности сведений о юридическом лице;
9) соответствие дополнительным требованиям единоличного исполнительного органа:
а) наличие гражданства Российской Федерации;
б) лицо не включено в перечень организаций и физических лиц, в отношении которых имеются сведения об их причастности к экстремистской деятельности или терроризму, или перечень организаций и физических лиц, в отношении которых имеются сведения об их причастности к распространению оружия массового уничтожения;
в) отсутствие у лица неснятой или непогашенной судимости за совершение преступления;
г) лицо не привлекалось в течение пяти лет, предшествующих дню подачи заявления, к уголовной ответственности в соответствии со статьями 183 и 283 Уголовного кодекса Российской Федерации за незаконные получение и разглашение сведений, составляющих государственную, коммерческую, налоговую или банковскую тайну;
10) в отношении организации, претендующей на получение аккредитации, не была досрочно прекращена ее аккредитация в течение трех лет, предшествующих дню подачи заявления;
11) лицо, имеющее право действовать без доверенности от имени организации, претендующей на получение аккредитации, не являлось лицом, имевшим право действовать без доверенности от имени иной организации, осуществляющей идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, аккредитация которой досрочно прекращена в течение трех лет, предшествующих дню подачи заявления.
18.30. Правительство Российской Федерации устанавливает особенности аккредитации иностранных юридических лиц, указанных в части 18.18 настоящей статьи, в том числе вправе предусмотреть иные, чем указанные в части 18.29 настоящей статьи, требования к ним.
18.31. Аккредитация организаций, в том числе организаций финансового рынка, указанных в части 18.20 настоящей статьи, для осуществления идентификации либо идентификации и аутентификации осуществляется в установленном Правительством Российской Федерации порядке без ограничения срока.
18.32. Предусмотренная частью 18.31 настоящей статьи аккредитация организации, в том числе организации финансового рынка, осуществляется при условии выполнения ею требований части 18.29 настоящей статьи, а также следующих дополнительных требований:
1) минимальный размер собственных средств (капитала) составляет не менее чем 500 миллионов рублей;
2) наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к результату идентификации либо идентификации и аутентификации с использованием биометрических персональных данных, осуществленных организацией, в сумме не менее чем 100 миллионов рублей;
3) подключение (доступ) организации к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
18.33. Правительство Российской Федерации устанавливает особенности аккредитации иностранных юридических лиц, указанных в части 18.20 настоящей статьи, в том числе вправе предусмотреть иные, чем указанные в части 18.32 настоящей статьи, требования к ним.
18.34. Федеральный государственный контроль (надзор) в сфере идентификации и (или) аутентификации осуществляется уполномоченным Правительством Российской Федерации федеральным органом исполнительной власти.
18.35. Предметом федерального государственного надзора в сфере идентификации и (или) аутентификации является соблюдение аккредитованными организациями, осуществляющими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, требований настоящей статьи и иных принимаемых в соответствии с ней нормативных правовых актов.
18.36. Организация и осуществление федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации регулируются Федеральным законом от 31 июля 2020 года N 248-ФЗ "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации".
18.37. Положение о федеральном государственном контроле (надзоре) в сфере идентификации и (или) аутентификации утверждается Правительством Российской Федерации исходя в том числе из того, что плановые проверки аккредитованных организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации проводятся не реже чем один раз в три года.";
Абзацы двадцатый - шестьдесят восьмой подпункта "ф" пункта 2 статьи 3 действуют с 01.01.2022 (часть 2 статьи 5).
х) часть 19 изложить в следующей редакции:
"19. При предоставлении биометрических персональных данных физического лица по каналам связи в единую биометрическую систему в целях проведения его идентификации и (или) аутентификации без личного присутствия посредством сети "Интернет" должны применяться шифровальные (криптографические) средства, позволяющие обеспечить безопасность передаваемых данных от угроз безопасности, актуальных при обработке биометрических персональных данных, определенных для государственных органов, органов местного самоуправления, индивидуальных предпринимателей, организаций и нотариусов в соответствии с пунктом 4 части 13 настоящей статьи, для организаций финансового рынка в соответствии с частью 14 настоящей статьи. Указанные шифровальные (криптографические) средства должны иметь подтверждение соответствия требованиям, установленным в соответствии со статьей 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных". Государственный орган, орган местного самоуправления, организация финансового рынка, иная организация, индивидуальный предприниматель, нотариус обязаны предложить использовать шифровальные (криптографические) средства, указанные в настоящей части, физическим лицам, обратившимся к ним в целях проведения идентификации без личного присутствия, и указать страницу сайта в сети "Интернет", с которой предоставляются эти средства.";
ц) дополнить частями 19.1 и 19.2 следующего содержания:
"19.1. При предоставлении биометрических персональных данных физического лица по каналам связи в целях проведения его идентификации и (или) аутентификации посредством сети "Интернет" должны применяться шифровальные (криптографические) средства, позволяющие обеспечить безопасность передаваемых данных от угроз безопасности, актуальных при обработке биометрических персональных данных, определенных для государственных органов, органов местного самоуправления, организаций, индивидуальных предпринимателей и нотариусов в соответствии с пунктами 4 и 6 части 13 настоящей статьи, для организаций финансового рынка в соответствии с частями 14 и 14.1 настоящей статьи. Указанные шифровальные (криптографические) средства должны иметь подтверждение соответствия требованиям, установленным в соответствии со статьей 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных". Государственный орган, орган местного самоуправления, организация финансового рынка, иная организация, индивидуальный предприниматель, нотариус обязаны предложить использовать шифровальные (криптографические) средства, указанные в настоящей части, физическим лицам, обратившимся к ним, и указать страницу сайта в сети "Интернет", с которой предоставляются эти средства.
19.2. Проведение государственным органом, органом местного самоуправления, организацией финансового рынка, иной организацией, индивидуальным предпринимателем, нотариусом идентификации и (или) аутентификации без личного присутствия физического лица в случае отказа такого лица использовать указанные в части 19.1 настоящей статьи шифровальные (криптографические) средства для предоставления своих биометрических персональных данных не допускается.";
Подпункт "ц" пункта 2 статьи 3 действует с 01.01.2022 (часть 2 статьи 5).
ч) части 20 - 22 изложить в следующей редакции:
"20. В случае, если физическое лицо для предоставления своих биометрических персональных данных в целях проведения идентификации без личного присутствия посредством сети "Интернет" использует мобильный телефон, смартфон или планшетный компьютер и отказывается от использования шифровальных (криптографических) средств, указанных в части 19 настоящей статьи, государственный орган, орган местного самоуправления, организация финансового рынка, иная организация, индивидуальный предприниматель, нотариус обязаны отказать такому лицу в проведении указанной идентификации.
21. В случае, если физическое лицо при предоставлении своих биометрических персональных данных в целях проведения идентификации без личного присутствия посредством сети "Интернет" использует иные устройства, в том числе персональный компьютер, и отказывается от использования шифровальных (криптографических) средств, указанных в части 19 настоящей статьи, государственный орган, орган местного самоуправления, организация финансового рынка, иная организация, индивидуальный предприниматель, нотариус уведомляют его о рисках, связанных с таким отказом. После подтверждения физическим лицом своего решения государственный орган, орган местного самоуправления, организация финансового рынка, иная организация, индивидуальный предприниматель, нотариус могут провести соответствующую идентификацию физического лица посредством сети "Интернет" без использования им указанных шифровальных (криптографических) средств.
22. Государственные органы, органы местного самоуправления, организации финансового рынка, иные организации, индивидуальные предприниматели, нотариусы при проведении идентификации физического лица с применением информационных технологий в соответствии с частью 18 настоящей статьи вправе подтверждать достоверность сведений, предусмотренных пунктом 1 части 18 настоящей статьи, с использованием информационных систем государственных органов, в том числе федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере внутренних дел, Пенсионного фонда Российской Федерации, Федерального фонда обязательного медицинского страхования и (или) государственной информационной системы, определенной Правительством Российской Федерации.";
ш) в части 23 слова "гражданина Российской Федерации" заменить словами "физического лица", после слов "его идентификации" дополнить словами "или аутентификации", слова "частью 18" заменить словами "частями 18, 18.2 и 18.7", после слов "ключ которой получен" дополнить словами "физическим лицом при личной явке", дополнить предложением следующего содержания: "Требования к проверке такой электронной подписи при хранении указанных согласий устанавливаются Правительством Российской Федерации.";
щ) часть 24 изложить в следующей редакции:
"24. Размер и порядок взимания оператором единой биометрической системы платы за использование единой биометрической системы определяются в договорах между оператором единой биометрической системы и организациями финансового рынка, иными организациями, индивидуальными предпринимателями, нотариусами в соответствии с методикой расчета взимания платы за использование единой биометрической системы, если иное не предусмотрено федеральными законами.";
э) дополнить частями 25 - 27 следующего содержания:
"25. Оператор единой биометрической системы определяет и выплачивает банкам и иным организациям, осуществившим размещение биометрических персональных данных физического лица в единой биометрической системе, часть платы, указанной в части 24 настоящей статьи, максимальный размер которой устанавливается федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации физических лиц на основе биометрических персональных данных, по согласованию с Центральным банком Российской Федерации.
26. Методика расчета взимания платы за использование единой биометрической системы утверждается федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации физических лиц на основе биометрических персональных данных, по согласованию с Центральным банком Российской Федерации.
27. Действия по идентификации и (или) аутентификации физического лица с использованием единой биометрической системы и единой системы идентификации и аутентификации с соблюдением требований, предусмотренных настоящей статьей, приравниваются к действиям по проверке документов, удостоверяющих личность такого физического лица, в том числе в случаях, если указанная проверка требуется в соответствии с нормативными правовыми актами Российской Федерации, нормативными правовыми актами субъектов Российской Федерации, муниципальными правовыми актами. При этом, если нормативными правовыми актами Российской Федерации, нормативными правовыми актами субъектов Российской Федерации, муниципальными правовыми актами предусматривается получение, использование и (или) сохранение сведений о документе, удостоверяющем личность физического лица, такие сведения могут быть получены из единой системы идентификации и аутентификации после идентификации и аутентификации указанного физического лица с использованием единой биометрической системы. Предъявление документа, удостоверяющего личность физического лица, в этом случае не требуется.";
3) статью 17 дополнить частью 1.2 следующего содержания:
"1.2. Лица, размещающие в соответствии со статьей 14.1 настоящего Федерального закона в электронной форме сведения, необходимые для регистрации физического лица в единой системе идентификации и аутентификации и (или) единой биометрической системе, несут дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации за достоверность сведений, размещаемых в указанных системах. Лица, права и законные интересы которых были нарушены в связи с недостоверностью сведений, размещенных в единой системе идентификации и аутентификации и (или) единой биометрической системе, вправе обратиться в установленном порядке в уполномоченный орган по защите прав субъектов персональных данных, а также за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации.".
Статья 4
Внести в Федеральный закон от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг" (Собрание законодательства Российской Федерации, 2010, N 31, ст. 4179; 2011, N 27, ст. 3873, 3880; N 49, ст. 7061; 2012, N 31, ст. 4322; 2013, N 27, ст. 3477; N 51, ст. 6679; N 52, ст. 6952; 2015, N 10, ст. 1393; 2016, N 27, ст. 4294; N 52, ст. 7482; 2017, N 50, ст. 7555; 2018, N 1, ст. 63; N 9, ст. 1283; N 18, ст. 2557; N 30, ст. 4539; 2019, N 29, ст. 3851; 2020, N 9, ст. 1127; N 31, ст. 5027) следующие изменения:
1) статью 7 дополнить частями 10 и 11 следующего содержания:
"10. В целях предоставления государственных и муниципальных услуг установление личности заявителя может осуществляться в ходе личного приема посредством предъявления паспорта гражданина Российской Федерации либо иного документа, удостоверяющего личность, в соответствии с законодательством Российской Федерации или посредством идентификации и аутентификации в органах, предоставляющих государственные услуги, органах, предоставляющих муниципальные услуги, многофункциональных центрах с использованием информационных технологий, предусмотренных частью 18 статьи 14.1 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации".
11. При предоставлении государственных и муниципальных услуг в электронной форме идентификация и аутентификация могут осуществляться посредством:
1) единой системы идентификации и аутентификации или иных государственных информационных систем, если такие государственные информационные системы в установленном Правительством Российской Федерации порядке обеспечивают взаимодействие с единой системой идентификации и аутентификации, при условии совпадения сведений о физическом лице в указанных информационных системах;
2) единой системы идентификации и аутентификации и единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица.";
2) в статье 16:
а) часть 1 дополнить пунктом 7.3 следующего содержания:
"7.3) в порядке, установленном статьей 14.1 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", размещение или обновление в единой системе идентификации и аутентификации сведений, необходимых для регистрации физических лиц в данной системе, размещение биометрических персональных данных в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица (далее - единая биометрическая система), с использованием программно-технических комплексов. Правительством Российской Федерации устанавливаются требования к организационным и техническим условиям осуществления таких размещения или обновления по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности. Источником финансового обеспечения расходных обязательств субъектов Российской Федерации, вытекающих из положений настоящего пункта, являются субсидии из федерального бюджета, предоставляемые субъектам Российской Федерации в порядке, устанавливаемом Правительством Российской Федерации.";
б) пункт 2.1 части 4 после слов "в соответствии с законодательством Российской Федерации" дополнить словами "либо устанавливать личность заявителя, проводить его идентификацию, аутентификацию с использованием информационных систем, указанных в частях 10 и 11 статьи 7 настоящего Федерального закона";
в) пункт 1.1 части 5 дополнить словами ", за исключением случаев, если такие документы, информация и (или) сведения формируются с использованием информационно-технологической и коммуникационной инфраструктуры на основании документов, информации и (или) сведений, полученных из информационных систем, не относящихся к ведению многофункционального центра".
Статья 5
1. Настоящий Федеральный закон вступает в силу с 1 января 2021 года, за исключением положений, для которых настоящей статьей установлены иные сроки вступления их в силу.
2. Подпункт "ж" пункта 1 статьи 1, абзацы двадцатый - шестьдесят восьмой подпункта "ф" и подпункт "ц" пункта 2 статьи 3 настоящего Федерального закона вступают в силу с 1 января 2022 года.
3. Подпункт "в" пункта 2 статьи 3 настоящего Федерального закона вступает в силу по истечении одного года после дня официального опубликования настоящего Федерального закона.
4. До истечения указанного в части 3 настоящей статьи срока федеральный орган исполнительной власти, осуществляющий регулирование в сфере идентификации физических лиц на основе биометрических персональных данных, и оператор единой биометрической системы обеспечивают преобразование данной системы в государственную информационную систему в рамках соглашения, заключаемого в порядке, установленном законодательством Российской Федерации.
5. Положения части 24 статьи 14.1 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (в редакции настоящего Федерального закона) применяются по истечении одного года после дня вступления в силу настоящего Федерального закона.
6. До истечения одного года со дня вступления в силу настоящего Федерального закона размер и порядок взимания оператором единой биометрической системы платы за использование единой биометрической системы, предусмотренные частью 24 статьи 14.1 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", определяются в договорах между оператором единой биометрической системы и государственными органами, органами местного самоуправления, организациями финансового рынка, иными организациями, индивидуальными предпринимателями, нотариусами в соответствии с методикой расчета взимания платы за использование единой биометрической системы, если иное не предусмотрено федеральными законами.
7. По истечении одного месяца со дня вступления в силу настоящего Федерального закона Центральный банк Российской Федерации исключает из перечня банков, предусмотренного абзацем восьмым пункта 5.7 статьи 7 Федерального закона от 7 августа 2001 года N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма", банки с базовой лицензией, не обратившиеся в Центральный банк Российской Федерации с заявлением об их включении в указанный перечень.
8. Части 19, 20 и 21 статьи 14.1 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации" действуют до 31 декабря 2021 года включительно.