Биометрические персональные данные россиян



    В свете скорого вступления в действие закона о биометрической идентификации клиентов банков хотелось бы вернуться немного назад и вспомнить, а чем собственно являются биометрические персональные данные. Что по этому поводу нам говорит Роскомнадзор и как нам быть, если придется с ними работать.


    Согласно Федеральному закону от 27.07.2006 N 152-ФЗ «О персональных данных», ст. 11:
    «Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.»
    Для детей у Роскомнадзора есть упрощенное объяснение:
    Биометрические персональные данные представляют собой сведения о наших биологических особенностях. Эти данные уникальны, принадлежат только одному человеку и никогда не повторяются.

    Биометрические данные заложены в нас от рождения самой природой, они никем не присваиваются, это просто закодированная информация о человеке, которую люди научились считывать. К таким данным относятся:

    отпечаток пальца, рисунок радужной оболочки глаза, код ДНК, слепок голоса и пр.

    О стандартах


    В соответствии с приказом Федерального агентства по техническому регулированию и метрологии от 6 марта 2017 года №448 была организована деятельность технического комитета по стандартизации ТК 098 «Биометрия и биомониторинг».


    Согласно Приложению N 3 к приказу Федерального агентства по техническому регулированию и метрологии от 6 марта 2017 г. N 448 (Положение о техническом комитете по стандартизации «Биометрия и биомониторинг») ТК призван решать следующие задачи:


    • формирование программы национальной стандартизации по закрепленной за ТК 098 областью деятельностью и контроль за реализацией этой программы;
    • рассмотрение предложений по применению международных и региональных стандартов на национальном и межгосударственном уровнях в закрепленной за ТК 098 области деятельности;
    • проведение экспертизы проектов национальных и межгосударственных стандартов и проектов изменений к действующим стандартам, а также представление их на утверждение (принятие) в Росстандарт;
    • участие в работе межгосударственного технического комитета по стандартизации (МТК) и международных технических комитетах (ИСО/ТК), которые имеют общую с ним область деятельности;
    • регулярная проверка действующих в Российской Федерации и закрепленных за ТК 098 национальных и межгосударственных стандартов с целью выявления необходимости их обновления или отмены;
    • оценка целесообразности утверждения закрепленных за ТК 098 предварительных национальных стандартов в качестве национальных стандартов Российской Федерации по результатам мониторинга их применения;
    • рассмотрение проектов международных стандартов в закрепленной за ТК 098 области деятельности и подготовка позиции Российской Федерации при голосовании по данным проектам;
    • рассмотрение предложений по разработке международных стандартов, в том числе на основе национальных и межгосударственных стандартов, закрепленных за ТК 098;
    • проведение экспертизы официальных переводов на русский язык международных и региональных стандартов, национальных стандартов и сводов правил иностранных государств в закрепленной за ТК 098 области деятельности и пр.

    В данном ТК, по состоянию на 31.10.2017 г., отражен перечень действующих национальных стандартов в области биометрических технологий. Данный перечень сведен в таблицу, представленную ниже.


    Обозначение национального стандарта

    Наименование национального стандарта


    1.


    ГОСТ ISO/IEC 2382-37-2016*


    Информационные технологии. Словарь. Часть 37. Биометрия (принят протоколом МГС №93-П от 22 ноября 2016 г.)


    2.


    ГОСТ ISO/IEC 19794-1-2015*


    Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 1. Структура


    3.


    ГОСТ Р ИСО/МЭК 19794-2-2013


    Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 2. Данные изображения отпечатка пальца — контрольные точки


    4.


    ГОСТ Р ИСО/МЭК 19794-3-2009


    Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 3. Спектральные данные изображения отпечатка пальца


    5.


    ГОСТ Р ИСО/МЭК 19794-4-2014


    Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 4. Данные изображения отпечатка пальца


    6.


    ГОСТ Р ИСО/МЭК 19794-5-2013


    Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 5. Данные изображения лица


    7.


    ГОСТ Р ИСО/МЭК 19794-6-2014


    Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 6. Данные изображения радужной оболочки глаза


    8.


    ГОСТ Р ИСО/МЭК 19794-7-2009


    Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 7. Данные дина­мики подписи


    9.


    ГОСТ Р ИСО/МЭК 19794-8-2015


    Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 8. Данные изображения отпечатка пальца — остов


    10.


    ГОСТ Р ИСО/МЭК 19794-9-2015


    Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 9. Данные изображения сосудистого русла


    11.


    ГОСТ Р ИСО/МЭК 19794-10-2010


    Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 10. Данные гео­метрии контура кисти руки


    12.


    ГОСТ Р ИСО/МЭК 19794-11-2015


    Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 11. Обрабатываемые данные динамики под­писи


    13.


    ГОСТ Р ИСО/МЭК 19794-14-2017


    Информационные технологии. Биометрия. Форматы обмена биометри­ческими данными. Часть 14. Данные ДНК


    14.


    ГОСТ Р ИСО/МЭК 19795-1-2007


    Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 1. Принципы и структура


    15.


    ГОСТ Р ИСО/МЭК 19795-2-2008


    Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии.


    Часть 2. Методы проведения технологического и сценарного испыта­ний


    16.


    ГОСТ Р ИСО/МЭК


    ТО 19795-3-2009


    Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 3. Особенности проведения испытаний при различных биомет­рических модальностях


    17.


    ГОСТ Р ИСО/МЭК 19795-4-2011


    Информационные технологии. Биометрия. Эксплуатационные испыта­ния и протоколы испытаний в биометрии. Часть 4. Испытания на сов­местимость


    18.


    ГОСТ Р ИСО/МЭК 19795-6-2015


    Информационные технологии. Биометрия. Эксплуатационные испыта­ния и протоколы испытаний в биометрии. Часть 6. Методология про­ведения оперативных испытаний


    19.


    ГОСТ Р ИСО/МЭК 19784-1-2007


    Автоматическая идентификация. Идентификация биометрическая. Биометрический программный интерфейс. Часть 1. Спецификация биометрического программного интерфейса


    20.


    ГОСТ Р ИСО/МЭК 19784-2-2010


    Автоматическая идентификация. Идентификация биометрическая. Биометрический программный интерфейс. Часть 2. Интерфейс постав­щика биометрической функции архива


    21.


    ГОСТ Р ИСО/МЭК 19784-4-2014


    Информационные технологии. Биометрия. Биометрический программ­ный интерфейс. Часть 4. Интерфейс поставщика функции биометриче­ского датчика


    22.


    ГОСТ Р ИСО/МЭК 19785-1-2008


    Автоматическая идентификация. Идентификация биометрическая. Единая структура форматов обмена биометрическими данными. Часть


    1. Спецификация элементов данных


    23.


    ГОСТ Р ИСО/МЭК 19785-2-2008


    Автоматическая идентификация. Идентификация биометрическая. Единая структура форматов обмена биометрическими данными. Часть 2. Процедуры действий регистрационного органа в области биометрии


    24.


    ГОСТ Р ИСО/МЭК 19785-4-2012


    Информационные технологии. Биометрия. Единая структура форматов обмена биометрическими данными. Часть 4. Спецификация формата блока защиты информации


    25.


    ГОСТ Р ИСО/МЭК 24708-2013


    Информационные технологии. Биометрия. Протокол межсетевого об­мена БиоАПИ


    26.


    ГОСТ Р ИСО/МЭК 24709-1-2009


    Автоматическая идентификация. Идентификация биометрическая. Ис­пытания на соответствие биометрическому программному интерфейсу (БиоАПИ). Часть 1. Методы и процедуры


    27.


    ГОСТ Р ИСО/МЭК 24709-2-2011


    Информационные технологии. Биометрия. Испытания на соответствие биометрическому программному интерфейсу (БиоАПИ). Часть 2. Те­стовые утверждения для поставщиков биометрических услуг


    28.


    ГОСТ Р ИСО/МЭК 24709-3-2013


    Информационные технологии. Биометрия. Испытания на соответствие биометрическому программному интерфейсу (БиоАПИ). Часть 3. Те­стовые утверждения для инфраструктур БиоАПИ


    29.


    ГОСТ ISO/IEC 24713-1-2013*


    Информационные технологии. Биометрические профили для взаимо­действия и обмена данными. Часть 1. Общая архитектура биометриче­ской системы и биометрические профили


    30.


    ГОСТ Р ИСО/МЭК 24713-2-2011


    Информационные технологии. Биометрия. Биометрические профили для взаимодействия и обмена данными. Часть 2. Физический контроль доступа сотрудников аэропорта


    31.


    ГОСТ Р ИСО/МЭК 24713-3-2016


    Информационные технологии. Биометрия. Биометрические профили для взаимодействия и обмена данными. Часть 3. Биометрическая вери­фикация и идентификация моряков


    32.


    ГОСТ Р ИСО/МЭК 29109-1-2012


    Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 1. Обобщен­ная методология испытаний на соответствие


    33.


    ГОСТ Р ИСО/МЭК 29109-4-2015


    Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 4. Данные изображения отпечатка пальца


    34.


    ГОСТ Р ИСО/МЭК 29109-5-2013


    Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 5. Данные изображения лица


    35.


    ГОСТ Р ИСО/МЭК 29109-6-2016


    Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 6. Данные изображения радужной оболочки глаза


    36.


    ГОСТ Р ИСО/МЭК 29109-7-2016


    Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 7. Данные ди­намики подписи


    37.


    ГОСТ Р ИСО/МЭК 29109-8-2016


    Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 8. Данные изображения отпечатка пальца — остов


    38.


    ГОСТ Р ИСО/МЭК 29109-9-2017


    Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 9. Данные изображения сосудистого русла


    39.


    ГОСТ Р ИСО/МЭК 29109-10-2017


    Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Часть 10. Данные геометрии контура кисти руки


    40.


    ГОСТ Р ИСО/МЭК 29794-1-2012


    Информационные технологии. Биометрия. Качество биометрических образцов. Часть 1. Структура


    41.


    ГОСТ Р ИСО/МЭК 29141-2012


    Информационные технологии. Биометрия. Одновременное получение изображений отпечатков десяти пальцев с помощью БиоАПИ


    42.


    ГОСТ Р 54412-2011/ISO/IEC TR 24741:2007


    Информационные технологии. Биометрия. Обучающая программа по биометрии


    Как видим, перечень довольно обширный, но и это еще не все. Кроме непосредственно биометрических технологий, так же касаются биометрии и стандарты на машиносчитываемые паспортно-визовые документы, а так же на идентификационные карты с биометрическими данными. Приводить в рамках данной статьи их не будем, при желании ознакомиться с ними, все это можно найти на сайте ТК 098.


    О разъяснениях Роскомнадзора


    Выпущенные в свет разъяснения Роскомнадзора, которые как раз поднимали «…вопросы отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки.», многими были проигнорированы и зря. До сих пор возникает много вопросов, ответы на которые можно было найти в разъяснениях, не закапываясь в ГОСТы. Поэтому предлагаю еще раз пройти по основным тезисам, а для кого-то ознакомиться с ними впервые.


    Исходя из определения, приведенного выше, в контексте Федерального закона «О персональных данных» отнесение сведений персонального характера к биометрическим персональным данным и их последующая обработка должны рассматриваться в рамках проводимых оператором мероприятий, направленных на установление личности конкретного лица, если иное не предусмотрено федеральными законами и принятыми на их основе нормативными правовыми актами.


    Т.е., если пользователь, допустим, ставит свою фотографию на какую-нибудь аватарку, то мы не считаем это биометрическими данными, т.к. по аватарке мы не определяем личность пользователя. Тем не менее, есть случаи, когда фотографию прямо относят к биометрическим персональным данным.

    «Согласно пункту 6 Перечня персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию, утвержденного постановлением Правительства Российской Федерации 4 марта 2010 г. № 125, цветное цифровое фотографическое изображение лица владельца документа является биометрическими персональными данными владельца документа.»

    В случаях, когда сканирование паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом, например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных и ст. 11 Федерального закона «О персональных данных» не регулируются. Соответственно, обработка сведений, в данных случаях, осуществляется в соответствии с общими требованиями, установленными Федеральным законом «О персональных данных».


    Не являются биометрическим персональными данными рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека, и находящиеся в истории болезни (медицинской карте) пациента (не имеет значения, бумажной или электронной), поскольку они не используются оператором (медицинским учреждением) для установления личности пациента. Но в случае их передачи по запросу субъектов оперативно-розыскной деятельности, органов следствия и дознания в рамках проводимых ими мероприятий указанные сведения становятся биометрическими персональными данными, поскольку используются операторами — органами следствия и дознания в целях установления личности конкретного лица. Т.е. в органы следствия передаются сведения медицинского характера, а там они уже становятся биометрическими персональными данными.


    Аналогичным подходом нужно руководствоваться и при получении иных сведений, которые можно отнести к биометрическим персональным данным. Таким образом, если мы используем полученные сведения характеризующие физиологические и биологические особенности человека для установления личности, то у нас биометрия, если нет – иное.


    Главное, что в случае обработки биометрических персональных данных необходимо помнить:

    «В соответствии с ч. 1 ст. 11 Федерального закона «О персональных данных» обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных.»

    P.S. По ссылке вы можете скачать наш White Paper о Федеральном Законе №152.
    Это книга, которая была опубликована с целью помочь устранить путаницу в вопросах обработки персональных данных и ясно описать процесс приведения ИС персональных данных в соответствии с законодательством России. Тема раскрывается «с нуля». Это помогает удовлетворить потребности широкого круга читателей.
    Cloud4Y
    #1 Корпоративный облачный провайдер

    Comments 19

      +3
      Вот интересно: собственноручная подпись — это биометрика. Считается ли согласие на обработку биометрики подписанное биометрикой достаточным для обработки хотя бы этого согласия?
        0
        Помнится в том документе ФСТЭК на который в статье дана ссылка, данный случай рассматривается.
          0
          В разъяснениях РКН говорится:

          Также не является биометрическими персональными данными фотографическое изображение, содержащиеся в личном деле работника, а также подпись лица, наличие которой в различных договорных отношениях является обязательным требованием, и почерк, в том числе анализируемый уполномоченными органами в рамках почерковедческой экспертизы. Все они не могут рассматриваться как биометрические персональные данные, поскольку действия с использованием указанных данных направлены на подтверждение их принадлежности конкретному физическому лицу, чья личность уже определена и чьи персональные данные уже имеются в распоряжении оператора.
          0
          Надеюсь отпечатки не будут считаться биометрическими данными, их же подделать любой школьник сегодня может.
            0
            Статью прочитайте, в ней четко написано в каких случаях да, а в каких нет
              0
              Модели угроз вашим процедурам идентификации и аутентификации — ваши проблемы в общем случае. Если не используете отпечатки пальцев для них, а просто решили чтобы на аватарках юзеров отпечатки только были, то это не биометрика в контексте поста.
              0

              У меня вопросов появилось больше, чем ответов. Когда я визу делал, брали отпечатки пальцев. Получается, что у меня взяли эти биометрические данные и кто знает, что они потом с ними там сделали. Знакомого полиция поймала за распитием сидра в парке, в отделении у него взяли отпечатки. Так вот где гарантии, что все это не будет слито и продано мошенникам?

                0
                А гарантий нет)
                  0
                  На самом деле, многих беспокоит другой вопрос.
                  Пример. У вас взяли отпечатки, а потом эти отпечатки нашли на месте преступления. Ну были вы там, за некоторое время до преступления. А вызовут вас, и как знать, как оно повернется дальше.
                  Другой пример. Вы сделали ДНК-тест, а потом кто-то где-то снасильничал. Пробы совпали на в значительной мере, и у вас будут большие проблемы. А то, что это ваш отец где-то в молодости нагулял ребенка, про которого он никогда (и вы — никогда) даже не слышали, ну так кого это волнует?
                  0

                  Если я разблокирую телефон отпечатком пальца кто обрабатывает мою биометрию?
                  Я? Вендор аппарата? Сервер нацбезопасности?

                    +1
                    Если локально ваши пальцы остаются, то вы и обрабатываете — аппаратные средства ваши, на программные у вас лицензия (по умолчанию).
                      +1
                      Скорее всего, никто кроме вас. При сбросе телефона разблокировка по отпечатку слетает вместе с фотками и контактами и тд (но, в отличие от них, из облака потом не восстанавливается). По крайней мере, у сяоми.
                        0
                        Я даже рискну предположить, что эти данные могут не покидать внутренней памяти сенсора (и быть не доступными из ОС). Но это уже вольные фантазии, как я бы сам делал датчик отпечатков, который не стремно использовать.
                      +1

                      [paranoid mode]Ключевое слово — "если локально"[/paranoid mode]

                        0

                        Следствие получает данные, которые автоматом становятся биометрическими, но письменного согласия на их обработку нет, потому что они не считались биометрическими… Как обычно, дыра в законе для нужд следсьвия?

                          0
                          Поясните по абзацу
                          В случаях, когда сканирование паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом, например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных

                          на третьей странице паспорта фотография с фамилией именем отчеством годом и местом рождения, ее сохранение где либо помимо паспорта уже по факту в любом случае является идентификацией (установлением личности), а вы говорите не считается, как так получается?
                            0
                            Идентификацию работник банка, например, проводит обычно у себя в мозгу, сканирование это уже архивация. Но в теории может быть, что после сканирования какой-то софт свереяет фотографию с изображениями из других источников (хоть база мошенников, хоть изображение с камеры, которая мотрит на клиента) и тогда это будет биометрия по идее.
                            0
                            если мы используем полученные сведения характеризующие физиологические и биологические особенности человека для установления личности, то у нас биометрия, если нет – иное.

                            А что такое установление личности?
                            Вот если мы храним базу фотографий людей подписанных их паспортными данными, чисто из художественных соображений это установление личности? По вашему получается нет и можно собирать и хранить абы как?
                            А когда злоумышленник завладевает этой базой и может выбрать и легко найти понравившуюся ему жертву, то какой смысл в законе?
                              0
                              Не абы как, а как обычные персональные данные, как раз для противодействия злоумышленникам в вашем случае. А биометрические данные означают, что вы используете эти фотографии для установления личности, например, приходит клиент к оператору, а у оператора эта фотография на экране и он должен сравнить, преже чем давать или принимать деньги.

                            Only users with full accounts can post comments. Log in, please.