20 декабря депутаты Госдумы РФ приняли во втором чтении законопроект № 211535-8 «О государственной информационной системе "Единая информационная система персональных данных, обеспечивающая обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица"». Законопроект был серьезно доработан Комитетом по информационной политике, информационным технологиям и связи, а предлагаемый набор поправок финализировали на заседании комитета, которое прошло 19 декабря с участием Министра цифрового развития, связи и массовых коммуникаций РФ Максута Шадаева. Законодательная инициатива направлена на обеспечение полной защиты биометрических данных россиян. Оператором Единой биометрической системы станет организация, определенная правительством. Руководитель Минцифры России также принял участие в правительственном часе и ответил на все вопросы парламентариев и представителей непарламентских фракций касательно законопроекта.
Законопроект № 211535-8 устанавливает правовые основы обработки биометрических персональных данных, используемых для идентификации или аутентификации человека с применением единой биометрической системы, в том числе, с использованием государственных информационных систем. Банки, торговые сети и иные организации уже собрали огромные базы с биометрическими данных своих клиентов. У каждого такого игрока на рынке есть своя система защиты этих данных, однако многочисленные утечки даже из крупных компаний, которые неоднократно происходили в последние годы, показывают, что этой защиты явно недостаточно, а также отсутствует надлежащий контроль.
Законопроект, предлагая объединить все данные в государственном реестре под управлением профильного государственного ведомства, позволит исправить сложившееся положение. Специалисты подчеркивают, что меры, предлагаемые проектом, не приведут к созданию «цифровой тюрьмы», как бы на том ни настаивали отдельные критики цифровизации. Задача как раз в обратном – обезопасить более 60 млн. граждан страны, у которых эти данные уже собраны.
Председатель Комитета Госдумы РФ по информационной политике, информационным технологиям и связи Александр Хинштейн заявил, что, согласно проекту, и принимая во внимание чувствительность данной категории персональных данных, только сам гражданин вправе распоряжаться своими биометрическими данными, а их хранение должно быть надежно защищено государством в рамках «Единой биометрической системы».
«После внесения поправок ко второму чтению, можно сказать, что теперь это абсолютно новый законопроект — переработанный нами совместно со всеми заинтересованными ведомствами, экспертным сообществом, представителями РПЦ и СПЧ, а также при активном сотрудничестве с органами безопасности. Особо отмечу, что вводится запрет на принудительный сбор биометрии, как и ответственность за подобное принуждение, и запрет на любую дискриминацию людей, отказывающихся предоставлять свои биометрические данные», - сказал парламентарий. Александр Хинштейн также уточнил, что даже если человек уже согласился, но передумал, он сможет отозвать данное ранее согласие на обработку данных.
Единая биометрическая система – это государственная информационная система «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных», которая содержит биометрические персональные данные физических лиц, векторы единой биометрической системы и иную предусмотренную Федеральным законом от 27.07.2006 года № 152-ФЗ «О персональных данных» информацию, которая используется в целях осуществления идентификации и аутентификации с использованием биометрических персональных данных физических лиц, а также в иных правоотношениях, предусмотренных законодательством. Оператора системы определит правительство.
Операторами регионального сегмента единой биометрической системы станут органы исполнительной власти субъекта Российской Федерации или подведомственное им государственное учреждение (государственное унитарное предприятие). Такие операторы будут отвечать за создание, развитие, модернизацию и эксплуатацию регионального сегмента единой биометрической системы.
Если идентификация или аутентификация будут осуществляться с помощью единой биометрической системы или информационных систем госорганов, прошедших аккредитацию, то в их работе применят «векторную модель»: в соответствии с ней государственные органы не вправе хранить биометрические персональные данные, но должны использовать только векторы единой биометрической системы. Вектор биометрических параметров – это нумерованный набор параметров, имеющих идентичную интерпретацию и формат представления и являющихся отображением одного биометрического образа. Векторная модель данных – это штрихи, линии и направления, формирующие единый образ, а потом 3D-модель в виде «сетки», которая и станет идентификатором личности.
Член Комитета Госдумы РФ по информационной политике, информационным технологиям и связи Антон Немкин убежден, что защита персональных данных россиян – одна из важнейших задач государства, особенно это касается биометрических данных, поскольку их утечка создает повышенные риски для граждан, уверен депутат. «Компрометация или утеря биометрических данных – самое страшное, что может произойти, тем более в условиях постоянных кибератак, которым подвергается наша страна сегодня. Утечка может повлечь за собой серьезные риски для человека, так как отпечатки пальцев нельзя сменить, аннулировать или перевыпустить как тот или иной цифровой продукт. Хочу обратить особое внимание на то, что данные россиян будут храниться только в Едином государственном реестре, а все компании, их собравшие, обяжут передать эти сведения государству в полном объеме и закрыть эти архивы у себя. При этом и в государственном реестре данные будут хранить в зашифрованном векторном формате. Модель их криптозащиты будет представлять собой сложнейшую систему зашифровки данных, так, чтобы они были закрыты для свободного доступа как при передаче, так и при получении», - сказал парламентарий.
Напомним, что Постановление Правительства РФ № 1066 от 15.06.2022 «О размещении физическими лицами своих биометрических персональных данных в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица» содержит поручение Министерству цифрового развития, связи и массовых коммуникаций Российской Федерации не позднее 30 июля 2022 года обеспечить возможность применения прошедших в установленном порядке процедуру оценки соответствия шифровальных (криптографических) средств защиты информации (далее - средства криптографической защиты информации) при использовании федеральной государственной информационной системы "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме" и единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица (далее - единая биометрическая система).