Регулирование / Новости
персональные данные регуляторика
27.2.2023

Правила использования биометрических ПД предложили изменить

Опубликован проект постановления правительства РФ, которым определяются случаи, при которых аутентификация на основе биометрических персональных данных (ПД) с использованием информационных систем организаций не допускается, и перечень случаев использования биометрических ПД, согласие на обработку которых подписано простой электронной подписью (ЭП).

Согласно пояснительной записке к документу, физическое лицо вправе подписать согласие на обработку биометрии для проведения его аутентификации простой ЭП, правом создания (замены) и выдачи ключа которой обладает организация, осуществляющая аутентификацию на основе биометрических ПД физлиц. При этом перечень случаев, в которых допускается использование биометрических ПД, согласие физического лица на обработку которых подписано указанной простой электронной подписью (ПЭП), должен быть установлен правительством РФ.

В перечень случаев для аутентификации вошли, в основном, случаи, связанные с осуществлением государственных функций, при которых для обеспечения максимально надежной и безопасной аутентификации целесообразно использование государственной информационной системы – единой биометрической системы (ЕБС).

Перечень случаев для ПЭП формировался исходя из принципа, что работа с ней будет осуществляться по установленным правительством РФ правилам и является достаточно безопасным механизмом, в связи с чем перечень охватывает довольно широкий список сценариев и жизненных ситуаций.

Пунктом 3 проекта постановления предусмотрен отлагательный срок вступления в силу, поскольку статья 16 ФЗ вступает в силу с 1 июня 2023 года.

Также на regulation.gov.ru опубликован доработанный по итогам общественного обсуждения проект постановления правительства РФ, о котором говорится выше. По итогам общественного обсуждения в текст проекта постановления внесен ряд корректировок, в том числе, перечень случаев, при которых аутентификация на основе биометрических ПД с использованием информсистем организаций не допускается, дополнен случаями:

  • когда в соответствии с законодательством требуется предъявление документа, удостоверяющего личность;
  • получения информированного добровольного согласия на медицинское вмешательство или отказа от медицинского вмешательства, а также отражающих состояние здоровья пациента медицинских документов (их копии) и выписок из них;
  • проведения медицинских осмотров с использованием медицинских изделий, обеспечивающих автоматизированную дистанционную передачу информации о состоянии здоровья работников и дистанционный контроль состояния их здоровья.

В перечне случаев использования биометрических ПД, согласие на обработку которых подписано простой ЭП:

  • скорректированы условия проведения организациями финансового рынка аутентификации клиента — физического лица;
  • добавлена возможность аутентификации физического лица при взаимодействии с помощью телефонной связи (использование колл-центров);
  • исключена возможность прохода на территории госорганов посредством использования информационных систем, обеспечивающих функционирование контрольно-пропускных пунктов.
Изображение: Adobe Stock

Еще по теме

Каким стал профиль современных киберугроз

Готовы ли госкорпорации тратить из бюджетов не менее 70% на ПО-вендоров

Зачем операторам связи упростят доступ в многоквартирные дома

Как бизнес будет работать с биометрической информацией в новых условиях

Как попасть и не выпасть из реестра провайдеров хостинга

Какие меры безопасности примут провайдеры для борьбы с нелегальными доменами

ФСТЭК, НКЦКИ и Минцифры обозначили приоритеты в защите КИИ, госинформсистем и персональных данных

Почему безопасность «с пеленок» станет неотъемлемой частью всех киберсистем

Власти и участники телеком-рынка оценили перспективы защищенности суверенной информационной инфраструктуры

Что сейчас обсуждают специалисты по защите персональных данных

Почему компаниям не надо быть святее Папы Римского при защите персональной информации

Чего ожидать от нейросетей и как избежать необратимых последствий

Что нужно знать юристу, решившему работать в ИТ-компании

Зачем ИТ-отрасли нужен единый межведомственный орган по регулированию

Как организовать защиту персональных сведений в медицинской организации