ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОСТАНОВЛЕНИЕ
от 15 июня 2022 г. N 1066
О РАЗМЕЩЕНИИ ФИЗИЧЕСКИМИ ЛИЦАМИ СВОИХ БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ В ЕДИНОЙ ИНФОРМАЦИОННОЙ СИСТЕМЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБЕСПЕЧИВАЮЩЕЙ ОБРАБОТКУ, ВКЛЮЧАЯ СБОР И ХРАНЕНИЕ, БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ, ИХ ПРОВЕРКУ И ПЕРЕДАЧУ ИНФОРМАЦИИ О СТЕПЕНИ ИХ СООТВЕТСТВИЯ ПРЕДОСТАВЛЕННЫМ БИОМЕТРИЧЕСКИМ ПЕРСОНАЛЬНЫМ ДАННЫМ ФИЗИЧЕСКОГО ЛИЦА
В соответствии с частью 1.3 статьи 14.1 Федерального закона "Об информации, информационных технологиях и о защите информации" Правительство Российской Федерации постановляет:
1. Утвердить согласованные с Федеральной службой безопасности Российской Федерации, Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и Центральным банком Российской Федерации прилагаемые Правила размещения физическими лицами своих биометрических персональных данных в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица.
Пункт 1 действует с 30.09.2022 (пункт 6).
2. Министерству цифрового развития, связи и массовых коммуникаций Российской Федерации не позднее 30 июля 2022 г.:
обеспечить возможность применения прошедших в установленном порядке процедуру оценки соответствия шифровальных (криптографических) средств защиты информации (далее - средства криптографической защиты информации) при использовании федеральной государственной информационной системы "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме" и единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица (далее - единая биометрическая система);
обеспечить функционирование технического решения, используемого для проверки действительности документа, удостоверяющего личность гражданина Российской Федерации за пределами территории Российской Федерации, содержащего электронный носитель информации с записанными на нем персональными данными владельца паспорта, включая биометрические персональные данные, в соответствии с пунктом 11 Правил, утвержденных настоящим постановлением.
3. Рекомендовать оператору единой биометрической системы:
а) не позднее 30 июля 2022 г.:
по согласованию с Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации, Федеральной службой безопасности Российской Федерации разработать программу и методику для оценки алгоритмов проверок на обнаружение атаки на биометрическое предъявление в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р 58624.3-2019 (ИСО/МЭК 30107-3:2017) "Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 3. Испытания и протоколы испытаний", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 20 ноября 2019 г. N 1197-ст "Об утверждении национального стандарта Российской Федерации" и введенного в действие с 1 июня 2020 г.;
создать российское программное обеспечение, предназначенное для обработки биометрических персональных данных, входящее в состав единой биометрической системы, функционирующее с применением шифровальных (криптографических) средств, указанных в части 19.1 статьи 14.1 Федерального закона "Об информации, информационных технологиях и о защите информации" (далее - мобильное приложение);
организовать работы по оценке соответствия мобильного приложения;
б) не позднее 30 сентября 2022 г.:
утвердить по согласованию с Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации, Федеральной службой безопасности Российской Федерации системный проект технического решения по размещению физическими лицами своих биометрических персональных данных в единой биометрической системе, а также использованию указанных биометрических персональных данных в случаях, устанавливаемых Правительством Российской Федерации в соответствии с частью 1.3 статьи 14.1 Федерального закона "Об информации, информационных технологиях и о защите информации" (далее - системный проект);
обеспечить подключение мобильного приложения к федеральной государственной информационной системе "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме" и единой биометрической системе с применением прошедших в установленном порядке процедуру оценки соответствия средств криптографической защиты информации;
в) проводить анализ по программе и методике, указанным в абзаце втором подпункта "а" пункта 3 настоящего постановления, для оценки алгоритмов проверок на обнаружение атаки на биометрическое предъявление.
4. Федеральной службе безопасности Российской Федерации:
не позднее 60 дней со дня получения результатов работ, предусмотренных абзацем четвертым подпункта "а" пункта 3 настоящего постановления, необходимых для осуществления оценки соответствия мобильного приложения, провести указанную оценку;
не позднее 15 дней со дня получения системного проекта от оператора единой биометрической системы согласовать системный проект.
5. Реализация настоящего постановления федеральными органами исполнительной власти осуществляется в пределах установленной предельной штатной численности работников их центральных аппаратов и территориальных органов, а также бюджетных ассигнований, предусмотренных указанным федеральным органам исполнительной власти в федеральном бюджете на руководство и управление в сфере установленных функций.
6. Настоящее постановление вступает в силу со дня его официального опубликования, за исключением пункта 1 настоящего постановления, вступающего в силу с 30 сентября 2022 г.
Председатель Правительства
Российской Федерации
М. МИШУСТИН
УТВЕРЖДЕНЫ
постановлением Правительства
Российской Федерации
от 15 июня 2022 г. N 1066
ПРАВИЛА
РАЗМЕЩЕНИЯ ФИЗИЧЕСКИМИ ЛИЦАМИ СВОИХ БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ В ЕДИНОЙ ИНФОРМАЦИОННОЙ СИСТЕМЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБЕСПЕЧИВАЮЩЕЙ ОБРАБОТКУ, ВКЛЮЧАЯ СБОР И ХРАНЕНИЕ, БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ, ИХ ПРОВЕРКУ И ПЕРЕДАЧУ ИНФОРМАЦИИ О СТЕПЕНИ ИХ СООТВЕТСТВИЯ ПРЕДОСТАВЛЕННЫМ БИОМЕТРИЧЕСКИМ ПЕРСОНАЛЬНЫМ ДАННЫМ ФИЗИЧЕСКОГО ЛИЦА
1. Настоящие Правила устанавливают порядок размещения физическими лицами своих биометрических персональных данных в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица (далее - единая биометрическая система).
2. В соответствии с настоящими Правилами использование российского программного обеспечения, предназначенного для обработки биометрических персональных данных, входящего в состав единой биометрической системы, функционирующего с применением шифровальных (криптографических) средств, указанных в части 19.1 статьи 14.1 Федерального закона "Об информации, информационных технологиях и о защите информации" (далее - мобильное приложение), осуществляется после проведения оператором единой биометрической системы автоматической проверки на отсутствие на пользовательском оборудовании (оконечном оборудовании), имеющем в своем составе идентификационный модуль (далее - мобильное устройство), вредоносного программного обеспечения.
Физические лица самостоятельно обеспечивают сохранность и неразглашение сведений, связанных с применением мобильного приложения, в том числе сведений, используемых ими для доступа к мобильному устройству и (или) мобильному приложению и их сервисам (логины, пароли, коды), а также самостоятельно отвечают за все действия, производимые ими с использованием мобильного приложения и сведений, используемых ими для доступа к мобильному приложению (логины, пароли, коды).
3. Размещение биометрических персональных данных в единой биометрической системе осуществляется при наличии учетной записи физического лица в федеральной государственной информационной системе "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме" (далее - единая система идентификации и аутентификации) и при условии, что личность указанного в такой записи лица ранее подтверждена при личной явке.
4. После автоматической проверки, осуществляемой оператором единой биометрической системы, соблюдения условия, предусмотренного пунктом 3 настоящих Правил, физическое лицо инициирует процесс размещения биометрических персональных данных в единой биометрической системе с применением мобильного приложения.
5. В единой биометрической системе размещаются сведения, предусмотренные подпунктами "а", "г", "д" и "з" состава сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, включая вид биометрических персональных данных, утвержденного постановлением Правительства Российской Федерации от 30 июня 2018 г. N 772 "Об определении состава сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, включая вид биометрических персональных данных, а также о внесении изменений в некоторые акты Правительства Российской Федерации".
6. Размещение биометрических персональных данных в единой биометрической системе осуществляется при наличии согласия физического лица на обработку его биометрических персональных данных.
Согласие на обработку персональных данных и биометрических персональных данных, указанных в пункте 5 настоящих Правил, физическое лицо вправе подписать простой электронной подписью, ключ которой получен при личной явке в соответствии с Правилами использования простой электронной подписи при оказании государственных и муниципальных услуг, утвержденными постановлением Правительства Российской Федерации от 25 января 2013 г. N 33 "Об использовании простой электронной подписи при оказании государственных и муниципальных услуг". Проверка такой электронной подписи при хранении указанного согласия осуществляется в соответствии с требованиями к проверке простой электронной подписи, которой в соответствии с частями 5 и 23 статьи 14.1 Федерального закона "Об информации, информационных технологиях и о защите информации" подписаны согласия на обработку персональных данных и биометрических персональных данных, при хранении указанных согласий, утвержденными постановлением Правительства Российской Федерации от 15 октября 2021 г. N 1754 "Об утверждении требований к проверке простой электронной подписи, которой в соответствии с частями 5 и 23 статьи 14.1 Федерального закона "Об информации, информационных технологиях и о защите информации" подписаны согласия на обработку персональных данных и биометрических персональных данных, при хранении указанных согласий".
7. Размещение в единой биометрической системе сведений, указанных в подпункте "а" состава сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, включая вид биометрических персональных данных, утвержденного постановлением Правительства Российской Федерации от 30 июня 2018 г. N 772 "Об определении состава сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, включая вид биометрических персональных данных, а также о внесении изменений в некоторые акты Правительства Российской Федерации", осуществляется физическими лицами самостоятельно путем сбора с применением мобильного приложения параметров биометрических персональных данных с последующим созданием биометрических образцов данных изображения лица и биометрических образцов данных голоса физического лица.
Собранные физическим лицом биометрические образцы, указанные в абзаце первом настоящего пункта, содержащие в том числе метку даты и времени, посредством мобильного приложения в автоматизированном режиме передаются в единую биометрическую систему, где осуществляется их проверка на соответствие требованиям, определенным порядком обработки, включая сбор и хранение, параметров биометрических персональных данных, установленным федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации физических лиц на основе биометрических персональных данных, в соответствии с пунктом 1 части 13 статьи 14.1 Федерального закона "Об информации, информационных технологиях и о защите информации" (далее соответственно - требования к образцам, контроль качества).
В случае если в процессе прохождения контроля качества установлено несоответствие биометрических образцов требованиям к образцам, размещение биометрических персональных данных в единой биометрической системе не осуществляется, о чем физическое лицо получает уведомление, направляемое на адрес электронной почты, содержащийся в единой системе идентификации и аутентификации, и (или) размещаемое в личном кабинете федеральной государственной информационной системы "Единый портал государственных и муниципальных услуг (функций)" (далее - личный кабинет), и (или) на мобильное устройство посредством специализированного программного обеспечения (далее - push-уведомление).
В случае если в процессе прохождения контроля качества установлено соответствие биометрических образцов требованиям к образцам, осуществляется размещение биометрических персональных данных в единой биометрической системе с указанием способа сбора указанных биометрических персональных данных, размещенных в соответствии с настоящими Правилами, о чем физическое лицо получает уведомление, направляемое на адрес электронной почты, содержащийся в единой системе идентификации и аутентификации, и (или) размещаемое в личном кабинете, и (или) push-уведомление.
8. Согласие физического лица на обработку персональных данных, содержащихся в единой системе идентификации и аутентификации, и биометрических персональных данных для проведения его идентификации и (или) аутентификации в соответствии с настоящими Правилами, предоставляемое в соответствии с требованиями части 4 статьи 9 Федерального закона "О персональных данных" лицу, использующему биометрические персональные данные, размещенные в единой биометрической системе физическими лицами, в случаях, устанавливаемых Правительством Российской Федерации в соответствии с частью 1.3 статьи 14.1 Федерального закона "Об информации, информационных технологиях и о защите информации", может быть подписано его простой электронной подписью, ключ которой получен при личной явке в соответствии с Правилами использования простой электронной подписи при оказании государственных и муниципальных услуг, утвержденными постановлением Правительства Российской Федерации от 25 января 2013 г. N 33 "Об использовании простой электронной подписи при оказании государственных и муниципальных услуг". Проверка такой электронной подписи при хранении указанного согласия осуществляется в соответствии с требованиями к проверке простой электронной подписи, которой в соответствии с частями 5 и 23 статьи 14.1 Федерального закона "Об информации, информационных технологиях и о защите информации" подписаны согласия на обработку персональных данных и биометрических персональных данных, при хранении указанных согласий, утвержденными постановлением Правительства Российской Федерации от 15 октября 2021 г. N 1754 "Об утверждении требований к проверке простой электронной подписи, которой в соответствии с частями 5 и 23 статьи 14.1 Федерального закона "Об информации, информационных технологиях и о защите информации" подписаны согласия на обработку персональных данных и биометрических персональных данных, при хранении указанных согласий".
9. В процессе размещения в соответствии с настоящими Правилами в единой биометрической системе биометрических персональных данных единой биометрической системой в автоматизированном режиме с использованием соответствующего программного обеспечения, обеспечивающего обнаружение атак на биометрическое предъявление методом пассивного обнаружения витальности в соответствии с требованиями пункта 6.2.2 раздела 6 национального стандарта Российской Федерации ГОСТ Р 58624.1-2019 (ИСО/МЭК 30107-1:2016) "Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 1. Структура", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 20 ноября 2019 г. N 1197-ст "Об утверждении национального стандарта Российской Федерации" и введенного в действие с 1 июня 2020 г., осуществляется проверка на обнаружение атаки на биометрическое предъявление.
Оценка программного обеспечения для обнаружения атаки на биометрическое предъявление осуществляется в соответствии с программой и методикой для оценки алгоритмов проверок на обнаружение атаки на биометрическое предъявление, указанных в абзаце втором подпункта "а" пункта 3 постановления Правительства Российской Федерации от 15 июня 2022 г. N 1066 "О размещении физическими лицами своих биометрических персональных данных в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица".
В случае наличия у оператора единой биометрической системы обоснованного сомнения относительно соответствия сведений, указанных в подпунктах "а" и "г" состава сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, включая вид биометрических персональных данных, утвержденного постановлением Правительства Российской Федерации от 30 июня 2018 г. N 772 "Об определении состава сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, включая вид биометрических персональных данных, а также о внесении изменений в некоторые акты Правительства Российской Федерации", физическому лицу, размещающему биометрические персональные данные в единой биометрической системе, размещение указанных в пункте 5 настоящих Правил сведений в единой биометрической системе не осуществляется, о чем физическое лицо получает уведомление, направляемое на адрес электронной почты, содержащийся в единой системе идентификации и аутентификации, и (или) размещаемое в личном кабинете, и (или) push-уведомление.
10. Размещение в единой биометрической системе сведений, указанных в подпунктах "г", "д" и "з" состава сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, включая вид биометрических персональных данных, утвержденного постановлением Правительства Российской Федерации от 30 июня 2018 г. N 772 "Об определении состава сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, включая вид биометрических персональных данных, а также о внесении изменений в некоторые акты Правительства Российской Федерации", осуществляется путем их автоматического предоставления из единой системы идентификации и аутентификации.
11. Подтверждение личности физического лица, размещающего биометрические персональные данные в единой биометрической системе, а также автоматическая проверка размещаемых в единой биометрической системе биометрических персональных данных осуществляются оператором единой биометрической системы с использованием документа, удостоверяющего личность гражданина Российской Федерации за пределами территории Российской Федерации, содержащего электронный носитель информации с записанными на нем персональными данными владельца паспорта, включая биометрические персональные данные, путем установления соответствия размещаемых физическим лицом биометрических персональных данных его биометрическим персональным данным, записанным на электронном носителе информации, а также проверки соответствия персональных данных владельца паспорта сведениям, размещенным в единой системе идентификации и аутентификации.
Указанное в абзаце первом настоящего пункта подтверждение личности физического лица осуществляется оператором единой биометрической системы с использованием технического решения, указанного в абзаце третьем пункта 2 постановления Правительства Российской Федерации от 15 июня 2022 г. N 1066 "О размещении физическими лицами своих биометрических персональных данных в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица".
12. Реализация настоящих Правил осуществляется с применением средств криптографической защиты информации, позволяющих обеспечить безопасность персональных данных от угроз, определенных в соответствии с пунктом 4 части 13 и частью 14 статьи 14.1 Федерального закона "Об информации, информационных технологиях и о защите информации".
13. Физические лица получают уведомления, направляемые на адрес электронной почты, содержащийся в единой системе идентификации и аутентификации, и (или) размещаемые в личном кабинете, и (или) push-уведомления о любых действиях, совершаемых с их биометрическими персональными данными:
а) при размещении биометрических персональных данных в единой биометрической системе в соответствии с настоящими Правилами;
б) при использовании биометрических персональных данных в случаях, устанавливаемых Правительством Российской Федерации в соответствии с частью 1.3 статьи 14.1 Федерального закона "Об информации, информационных технологиях и о защите информации".
Правила размещения физическими лицами своих биометрических персональных данных в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица действуют с 30.09.2022 (пункт 6).