Введение: почему биометрия и ЕБС — это отдельная и важная тема

В современном мире биометрические технологии становятся неотъемлемой частью цифровой идентификации и аутентификации личности. Использование биометрических персональных данных (БПД) в России регулируется особо строго ввиду высокой чувствительности такой информации: ее нельзя изменить, как пароль, и утечка биометрии несет серьезные риски для субъекта данных.

С 2019 года в России действует государственная Единая биометрическая система (ЕБС) — централизованный оператор, через который должна проходить вся обработка биометрии, используемой для идентификации и аутентификации. Это позволяет упорядочить и обеспечить высокий уровень защиты данных, снизить риски неправомерного использования и утечек, а также повысить доверие к технологиям биометрии.

Однако работа с ЕБС связана с большим числом юридических, технических и организационных требований, нарушение которых грозит значительными штрафами и репутационными потерями. В этой статье подробно рассмотрим: что такое биометрия с точки зрения закона, какие нормативы регулируют ЕБС, кто участвует в системе, как строится архитектура взаимодействия, каковы технические требования и риски, а также как организовать работу с подрядчиками и обеспечить соответствие требованиям Роскомнадзора.

Биометрические персональные данные: понятие, особенности и правовое регулирование

Что такое биометрические персональные данные?

Согласно статье 11 Федерального закона №152-ФЗ «О персональных данных», биометрические персональные данные — это сведения, характеризующие биологические особенности человека, на основании которых можно идентифицировать личность. Таким образом, биометрия — это не просто фото или запись голоса, а именно те данные, которые используются для автоматизированного установления личности.

Важное уточнение дает Федеральный закон №572-ФЗ «О Единой биометрической системе»: биометрия — это данные, которые применяются именно для идентификации или аутентификации. Если, например, фотография используется просто для визуальной проверки без автоматической обработки, то это не считается биометрией.

Примеры биометрических данных

• Отпечатки пальцев
• Изображение лица, используемое для распознавания
• Запись голоса для голосовой аутентификации
• Геометрия руки, радужная оболочка глаза и др.

Почему биометрия — особая категория ПДн?

В отличие от прочих персональных данных, биометрия уникальна и постоянна, ее нельзя заменить или изменить при компрометации. Это делает биометрические данные высокорисковыми с точки зрения защиты и требует строгих мер безопасности и контроля.

Федеральное законодательство и подзаконные акты по биометрии и ЕБС

Федеральный закон №152-ФЗ

Общее регулирование обработки всех персональных данных, включая биометрические, с базовыми требованиями по получению согласия, ограничению целей, обеспечению безопасности, уведомлению Роскомнадзора.

Федеральный закон №572-ФЗ

Специализированный закон, вводящий институт Единой биометрической системы (ЕБС) как обязательного централизованного оператора обработки биометрии. Закон закрепляет:

• Обязательное хранение биометрии только в ЕБС
• Требование личного присутствия субъекта при сборе данных
• Запрет на локальное хранение биометрии за исключением временного хранения не более 10 дней по запросу субъекта
• Установление ролей участников экосистемы ЕБС: операторы сбора, пользователи, интеграторы, оператор ЕБС, субъекты персональных данных
• Введение обязательной аккредитации операторов сбора биометрии

Приказ Минцифры №453

Определяет порядок сбора, передачи, защиты биометрических данных, а также требования к оборудованию и программному обеспечению, используемому для работы с биометрией.

Постановление Правительства РФ №883

Регламентирует функционирование ЕБС, порядок взаимодействия участников и центра биометрических технологий.

ГОСТ и стандарты информационной безопасности

Устанавливают технические требования к средствам защиты, криптографическим механизмам, журналированию и изоляции среды.

Основные участники Единой биометрической системы и их роли

Оператор сбора биометрических данных

Компания, которая непосредственно собирает биометрию у субъектов, преобразует её в биометрические векторы и передает в ЕБС.

Примеры: банки, МФЦ, государственные учреждения. Для деятельности требуется обязательная аккредитация в Минцифры, сертифицированное оборудование и ПО, обеспечение безопасности среды и журнализация действий.

Пользователь ЕБС

Организация, которая использует ЕБС для сверки биометрии с целью идентификации, но не собирает первичные данные. 

Например: сервисы оплаты через биометрию, службы безопасности, онлайн-сервисы. Для работы пользователю достаточно иметь договор с оператором ЕБС или интегратором, не требуется аккредитация сбора.

Интегратор (шлюз)

Компания, обеспечивающая техническую маршрутизацию и защиту каналов связи между операторами, пользователями и ЕБС.

Ростелеком — типичный пример интегратора. Интегратор не хранит биометрию, а только передает данные по защищенным каналам.

Оператор Единой биометрической системы (Центр биометрических технологий)

Государственный оператор, обеспечивающий централизованное хранение, обработку, защиту данных, функционирование всей системы. Центр несет ответственность за устойчивость, доступность и безопасность ЕБС.

Субъекты персональных данных

Физические лица, чьи биометрические данные собираются и обрабатываются в ЕБС для целей идентификации и аутентификации.

Архитектурные модели подключения к ЕБС

Модель встроенного модуля

Биометрический модуль интегрируется в существующую информационную систему компании, например в CRM или кадровую систему. Требует изоляции от внешних сетей, аккредитации, соблюдения всех требований безопасности. Подходит для крупных организаций с развитой IT-инфраструктурой.

Модель выделенного рабочего места (АРМ)

Отдельная компьютерная станция с предустановленным сертифицированным ПО и оборудованием (камера, микрофон), физически изолированная от других сетей. Подходит для организаций без возможности интегрировать модуль в ИТ-систему.

Облачное решение

Использование сертифицированного облачного сервиса, предоставляющего сбор, обработку и передачу биометрии в ЕБС. Уменьшает нагрузку на собственную инфраструктуру компании, но требует доверия и контроля над провайдером.

Взаимодействие через интегратора (шлюз)

Подходит для пользователей, которые не собирают биометрию, а лишь сверяют данные с ЕБС. Сбор первичных биометрических данных здесь не осуществляется.

Технические требования и особенности оборудования

Для легальной и безопасной работы с биометрией оборудование должно:

• Обеспечивать высокое качество изображения и звука, в том числе 3D-съёмку и другие технологии, исключающие подмену (спуфинг)
• Быть сертифицированным по российским стандартам, включено в реестр Минцифры и ФСТЭК/ФСБ
• Использовать средства криптографической защиты информации для передачи и хранения данных
• Работать в изолированной сети без доступа в интернет, исключать удалённый доступ
• Обеспечивать журналирование всех операций с данными, включая сбор, передачу и проверку
• Обязательно использование liveness detection класса АА (Приказ Минцифры №42-2024), обеспечивающего:
  • FAR (False Acceptance Rate) < 0.001%;
  • Защиту от deepfake-атак по стандарту ГОСТ Р 58937-2025;
  • Анализ 3D-карты лица и микродвижений кожи.

Особенно важен выбор камеры и микрофона: недопустимо использовать обычные веб-камеры и встроенные микрофоны ноутбуков. Рекомендуются специализированные моноблочные устройства с защитой от подмены.

Особенности хранения и передачи биометрии

Согласно ФЗ-572 (ст. 3.5 в ред. 2024 г.), хранение исходных биометрических данных вне ЕБС полностью запрещено. Допустимо только:

• Буферизация данных перед передачей в ЕБС/КБС — не более 24 часов в зашифрованном виде (ГОСТ Р 34.13-2024);
• Кеширование векторов КБС на стороне пользователя — до 30 дней для ускорения верификации.

В ЕБС хранятся не исходные изображения и записи, а преобразованные математические векторы (биометрические шаблоны), которые невозможно обратить в исходные данные.. Это повышает безопасность хранения.

Принципиально важно, что такие векторы, сгенерированные через ЕБС или аккредитованную КБС (коммерческую биометрическую систему), не считаются биометрическими персональными данными в смысле ст. 11 ФЗ-152, если соответствуют критериям Приказа Минцифры №42-2024 (п. 8):

• Не позволяют реконструировать исходный биометрический образец;
• Используются строго для верификации (1:1 сравнения), а не идентификации (1:N поиска).
• Это позволяет легально хранить их в локальных корпоративных системах (например, СКУД).»

Передача данных между операторами, пользователями, интеграторами и ЕБС должна происходить по сертифицированным защищенным каналам с использованием ГОСТ-шифрования.

Работа с подрядчиками и арендуемыми помещениями

Важный аспект — взаимодействие с подрядчиками, которые могут обеспечивать физическую безопасность, эксплуатацию оборудования или обслуживание систем сбора биометрии.

Подрядчик, осуществляющий обработку биометрии по поручению без самостоятельных целей, является обработчиком и должен иметь договор поручения с оператором. В противном случае он считается отдельным оператором с соответствующей ответственностью.

Передача биометрии подрядчикам без согласия субъекта или без договора — нарушение закона с риском крупных штрафов.

При аренде помещений, где используется биометрия, необходимо контролировать, чтобы арендодатель и сторонние службы соблюдали требования по обработке и защите данных, иначе риски утечки возрастают.

Обязанности по уведомлению в Роскомнадзор

Оператор, работающий с биометрией, обязан уведомлять Роскомнадзор о факте обработки таких данных, указывать:

• Вид и цели обработки (идентификация, аутентификация);
• Место хранения биометрии (обычно указывать, что хранение осуществляется в ЕБС);
• Используемые подрядчики и интеграторы;
• Наличие согласия субъектов на обработку.

Неполные или недостоверные уведомления могут привести к внеплановым проверкам и штрафам.

Ответственность за нарушения и штрафы

С 30 мая 2025 года штрафы за нарушения, связанные с биометрией, существенно выросли:

• На юридические лица — от 3 до 18 миллионов рублей за однократное нарушение;
• За повторные — до 20 миллионов рублей и возможна приостановка деятельности до 90 суток;
• На должностных лиц — сотни тысяч рублей;

Причины штрафов включают:

• Хранение исходной биометрии вне ЕБС/КБС (ст. 13.11.1 КоАП);
• Отсутствие договора с КБС для корпоративных систем (ст. 13.11.6 КоАП);
• Несоблюдение требований безопасности;
• Утечка биометрических данных.

Практические советы и рекомендации для организаций

Чтобы обеспечить законность и безопасность работы с биометрией через ЕБС, компаниям рекомендуется:

• С самого начала чётко определить свои роли и обязанности в обработке биометрии, оформить их документально.
• Получить обязательную аккредитацию оператора сбора биометрии либо работать через аккредитованных партнеров.
• Использовать только сертифицированное оборудование и программное обеспечение, соответствующее требованиям приказа Минцифры №453 и ГОСТ.
• Организовать сбор биометрии исключительно с личным присутствием субъекта данных.
• Обеспечить защиту каналов связи, изоляцию среды, контроль доступа и журналирование операций с биометрией.
• Установить строгий контроль за временным локальным хранением биометрии (не более 10 дней по запросу субъекта).
• Работать с подрядчиками только на основании договоров поручения, контролировать соблюдение ими требований.
• Своевременно и полноценно уведомлять Роскомнадзор о факте обработки биометрических данных.
• Проводить внутренние аудиты и периодическую оценку рисков, используя специализированные чек-листы.
• Планировать обучение сотрудников, ответственных за биометрию, и обеспечивать их понимание нормативных требований.

Заключение: почему соблюдение правил работы с ЕБС — залог успеха

Единая биометрическая система — это ключевой инструмент цифровой идентификации в России. Она обеспечивает централизованное, контролируемое и защищенное хранение биометрических данных, что позволяет использовать новые технологии с минимальными рисками.

Однако работа с биометрией требует высокой компетенции, тщательного соблюдения законодательства, серьезного технического обеспечения и организованного взаимодействия с подрядчиками и государственными органами.

Компании, которые внимательно подходят к этим задачам, получают не только юридическую защиту от штрафов, но и повышают доверие клиентов и партнеров, укрепляют свою репутацию и повышают уровень кибербезопасности.

Открытость к новым требованиям, регулярные аудиты и системный подход к управлению биометрическими данными — ключ к успешной и безопасной работе с ЕБС в долгосрочной перспективе.