ФЗ-572 «О биометрической идентификации физических лиц»

Полное название: Федеральный закон от 29.12.2022 № № 161-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации»

Принят: Государственной Думой 21 декабря 2022 года

Одобрен: Советом Федерации 23 декабря 2022 года

Подписан: Президентом РФ 29 декабря 2022 года

Действующая редакция: учитывает изменения, последние из которых внесены ФЗ от 28.12.2024 № 522-ФЗ

Что регулирует закон

Закон регулирует, как государство, банки и другие организации могут идентифицировать и аутентифицировать человека по его биометрии — изображению лица и записи голоса. До его принятия биометрию собирали разрозненно: банки — для удалённого открытия счетов, госорганы — для своих задач, частные компании — для собственных систем. Закон навёл порядок: создал единую государственную биометрическую систему (ЕБС), определил, кто и как может её использовать, какие права есть у гражданина и как защищены его данные.

Ключевые понятия

Аккредитованные государственные органы — государственные органы, владеющие информационными системами, обеспечивающими аутентификацию физических лиц.

Аккредитованные организацит — частные компании, прошедшие государственную проверку и получившая право оказывать услуги аутентификации по биометрии с использованием векторов ЕБС.

Биометрические персональные данные — изображение лица человека, полученное с фото- или видеоустройства, и запись его голоса со звукозаписывающего устройства. Только эти два вида данных размещаются в ЕБС; собирать и хранить, например, отпечатки пальцев или геномную информацию в системе запрещено.

Идентификация — процедура установления личности человека, ответ на вопрос «кто это?». Например, банк по фото из ЕБС определяет, что обратившийся клиент — Иванов И.И.

Аутентификация — процедура подтверждения, что человек является тем, за кого себя выдаёт, ответ на вопрос «это действительно он?». Например, при входе в мобильный банк по лицу система сверяет лицо с уже известным образцом конкретного клиента.

Единая биометрическая система (ЕБС) — государственная информационная система, в которой централизованно хранятся биометрические данные граждан, давших на это согласие. Оператором ЕБС является организация, определённая Правительством РФ (АО «Центр биометрических технологий»).

Единая система идентификации и аутентификации (ЕСИА) — система учётных записей Госуслуг. ЕБС работает в связке с ЕСИА: биометрия в одной системе, паспортные и иные данные — в другой.

Вектор ЕБС — результат математического преобразования биометрии в цифровой код. По вектору невозможно восстановить исходное фото или запись голоса — это защита на случай утечки. Именно векторы (а не сами фотографии) передаются банкам для сравнения.

Региональный сегмент ЕБС — часть системы, создаваемая по решению Правительства РФ для конкретного региона. Используется для аутентификации при получении региональных и муниципальных услуг.

Главный принцип — добровольность (ст. 3)

Сдача биометрии — это право, а не обязанность. Закон прямо запрещает банкам, страховым компаниям, МФЦ и любым другим организациям:

  • отказывать в услуге, продаже товара или работе из-за того, что клиент не хочет сдавать биометрию;

  • ставить объём услуг или количество товаров в зависимость от прохождения биометрической идентификации.

Если в банке отказывают в открытии счёта из-за нежелания сдать биометрию — это прямое нарушение закона, и такое решение можно оспорить.

За несовершеннолетних согласия и отказы дают законные представители.

Право отказа от сбора биометрии (ст. 3)

Любой гражданин может заранее запретить размещать свою биометрию в ЕБС. Сделать это можно двумя способами:

  • лично прийти в МФЦ и подать письменный отказ — там же выдадут письменное подтверждение;

  • подать отказ через портал Госуслуг.

Пока действует отказ, никто — ни банк, ни МФЦ, ни госорган — не вправе размещать биометрию гражданина в ЕБС. Отказ можно в любой момент отозвать тем же способом.

Если биометрия уже размещена в ЕБС, гражданин вправе через Госуслуги или оператора ЕБС:

  • отозвать ранее данное согласие;

  • потребовать заблокировать, удалить или уничтожить данные.

Оператор обязан выполнить требование.

Как банки используют биометрию (ст. 9-12)

Банки, иные кредитные и некредитные финансовые организации, субъекты НПС и профучастники финансового рынка (далее — организации финансового рынка) используют ЕБС для:

  • дистанционной идентификации клиента без личного присутствия (например, для удалённого открытия счёта, оформления кредита, открытия вклада в другом банке);

  • аутентификации — подтверждения, что действия в дистанционных каналах совершает именно клиент.

Контроль и надзор за применением организационных и технических мер защиты биометрии в финансовых организациях осуществляет Банк России. Банк России также вправе устанавливать требования к организации банками процесса сбора и размещения биометрии.

Для государственных органов, органов местного самоуправления и ЦБ РФ использование ЕБС бесплатно. С остальных (включая организации финансового рынка) оператор взимает плату по методике, утверждённой регулятором по согласованию с ЦБ РФ.

Как сдать биометрию (ст. 4)

Закон предусматривает три способа.

  • Через банк или МФЦ при личном визите. Сотрудник делает фото и запись голоса, проводит идентификацию по паспорту и со согласия клиента размещает данные в ЕБС. Это самый распространённый способ.

  • Самостоятельно через мобильное приложение «Госуслуги Биометрия». Подходит тем, у кого есть биометрический загранпаспорт с электронным носителем — приложение считывает данные с чипа и подтверждает личность.

  • Без согласия гражданина (особый случай). Если банк, госорган или МФЦ ранее собрал биометрию по другим основаниям (например, до вступления закона в силу или в рамках других федеральных законов), он обязан передать её в ЕБС. Но гражданина уведомляют не позднее чем за 30 дней до размещения. Если он возразит — данные в ЕБС не попадут. Если уже попали — можно потребовать их уничтожить.

Как подписывается согласие на обработку персональных данных (ст. 10)

Согласие на обработку биометрии — юридически значимый документ, поэтому подписывается электронной подписью одного из видов:

  • усиленная квалифицированная электронная подпись;

  • усиленная неквалифицированная электронная подпись (выдаётся в инфраструктуре Госуслуг);

  • простая электронная подпись, ключ которой получен при личной явке (переходный механизм, действует до 1 января 2027 года).

Согласие, подписанное электронно, равнозначно бумажному аналогу собственноручной подписью.

Защита данных (ст. 3, 19)

В ЕБС применяется многоуровневая защита. Передача биометрии между гражданином, банком и системой идёт только через сертифицированные шифровальные (криптографические) средства, прошедшие государственную оценку соответствия. Оператор ЕБС бесплатно распространяет такое средство для всех пользователей.

Сами данные не покидают Россию: трансграничная передача биометрии при идентификации и аутентификации запрещена (за редким исключением — для аккредитованных госорганов и Банка России). Все базы данных ЕБС и аккредитованных организаций физически находятся на территории РФ.

Хранение данных «отдельно» от обычных персональных: фотография в ЕБС не связана напрямую с паспортными данными — связка идёт через ЕСИА, и компрометация одной системы не раскрывает другую.

Что должны делать частные компании, чтобы работать с биометрией (ст. 16, 17)

Чтобы оказывать услуги аутентификации, компания должна пройти бессрочную государственную аккредитацию, выполнив требования:

  • быть российским юрлицом, доля иностранного участия не более 49%;

  • иметь собственные средства не менее 500 млн рублей;

  • иметь финансовое обеспечение ответственности перед клиентами не менее 100 млн рублей;

  • размещать базы данных только на территории РФ;

  • иметь лицензию ФСБ на работу с шифровальными средствами;

  • соответствовать требованиям к деловой репутации руководства и собственников.

Кто контролирует исполнение закона (ст. 7, 18)

Контроль распределён между несколькими органами:

  • Банк России — за работой с биометрией в банках и других финансовых организациях;

  • Роскомнадзор — за соблюдением прав граждан как субъектов персональных данных;

  • ФСБ и ФСТЭК — за применением мер информационной безопасности и криптографии.

Стоимость использования ЕБС (ст. 12)

Для гражданина сдача и использование биометрии полностью бесплатны — оператор ЕБС не вправе брать с физических лиц плату.

Для государственных органов, органов местного самоуправления и Банка России использование ЕБС также бесплатно.

Банки и иные коммерческие пользователи платят оператору ЕБС по методике, утверждённой регулятором по согласованию с Банком России. Эта плата заложена в стоимость их услуг, но напрямую с клиента её брать нельзя.

Ответственность за нарушения (ст. 20)

За нарушение закона предусмотрена административная, гражданская и уголовная ответственность. Ответственность несут оператор ЕБС, операторы региональных сегментов, банки, иные организации и их должностные лица.

Гражданин, чьи права использования биометрии были нарушены вправе:

  • обратиться в Роскомнадзор;

  • обратиться в суд с иском о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации.

Значение закона

Закон 572-ФЗ открывает принципиально новые возможности для клиентов банков и при этом устанавливает чёткие границы того, что банк может и не может делать.

Удобство. Имея биометрию в ЕБС, клиент может открыть счёт, оформить вклад или взять кредит в любом банке страны, не посещая офис. Биометрическая идентификация заменяет паспорт практически во всех ситуациях, кроме тех, где закон прямо требует оригинал документа.

Защита от мошенников. Аутентификация по лицу и голосу — это дополнительный барьер. Украсть пароль или перехватить SMS можно, а подделать биометрию при наличии современных систем защиты от deepfake и обязательной криптографии — гораздо сложнее.

Юридическая защита. Биометрия принципиально добровольна. Если банк отказывает в обслуживании из-за отказа от биометрической идентификации, ставит её обязательным условием получения услуги или собирает биометрию без явного согласия — это нарушение закона, обжалуемое через Роскомнадзор и суд.

Контроль над своими данными. В любой момент через Госуслуги можно проверить, кому даны согласия, отозвать их и потребовать удалить биометрию из системы. Можно полностью запретить сбор биометрии превентивно — через МФЦ или Госуслуги.

Защита от утечек. В ЕБС хранятся векторы (математическое преобразование), а не исходные фотографии. Базы данных находятся только в России, передача за рубеж запрещена. К работе с системой допущены только финансово устойчивые и проверенные на лояльность компании.

ЕвроКредит.руФинансовый словарь572-ФЗ