menu
+7 (495) 777-66-90
Продукты
Продукты
Privacy Box
Privacy Check
close
Menu
02
База знаний
05
Документы
События
Услуги
01
Защита персональных данных по 152-ФЗ
Защита критической информационной инфраструктуры (КИИ) по 187-ФЗ
Ежемесячная поддержка и аутсорсинг функции ответственного
Защита от утечек
Международное privacy: GDPR, CCPA, Казахстан, ОАЭ, Беларусь
О нас
04
О компании
Наши реквизиты
Что о нас говорят
Лицензии и награды
Вакансии
2024
Web design by Jekyll&Hyde
Web development by Ivan Romanov
Контакты
Москва,
ул. Земляной Вал, 8, SOK Земляной Вал
Youtube
telegram
VC
ОСТАВИТЬ ЗАЯВКУ
+7 (499) 372-06-52
info@b-152.ru
phone
e-mail:
info@b-152.ru
Облачная безопасность
Обучение
03
Курс DPO
Контакты
Курс "Персональные данные. Старт"
Защита данных по требованиям ЦБ

Регулирование обработки персональных данных в Единой биометрической системе (ЕБС): полный разбор

лонгриды
13.01.2023
14/08/25
Максим Шаманаев,
Б-152
Лонгриды
События /
Регулирование обработки персональных данных в ЕБС
Статья посвящена правовому регулированию и практическим аспектам обработки биометрических персональных данных в Единой биометрической системе (ЕБС) в России, включая требования законодательства, роли участников системы, технические стандарты и меры безопасности.
Введение: почему биометрия и ЕБС — это отдельная и важная тема
Содержание
Биометрические персональные данные: понятие, особенности и правовое регулирование
Федеральное законодательство и подзаконные акты по биометрии и ЕБС
Основные участники Единой биометрической системы и их роли
Архитектурные модели подключения к ЕБС
Особенности хранения и передачи биометрии
Технические требования и особенности оборудования
Работа с подрядчиками и арендуемыми помещениями
Обязанности по уведомлению в Роскомнадзор
Ответственность за нарушения и штрафы
Практические советы и рекомендации для организаций
Заключение: почему соблюдение правил работы с ЕБС — залог успеха
Заключение: почему соблюдение правил работы с ЕБС — залог успеха
Практические советы и рекомендации для организаций
Ответственность за нарушения и штрафы
Обязанности по уведомлению в Роскомнадзор
Работа с подрядчиками и арендуемыми помещениями
Технические требования и особенности оборудования
Особенности хранения и передачи биометрии
Архитектурные модели подключения к ЕБС
Основные участники Единой биометрической системы и их роли
Федеральное законодательство и подзаконные акты по биометрии и ЕБС
Биометрические персональные данные: понятие, особенности и правовое регулирование
Содержание
Введение: почему биометрия и ЕБС — это отдельная и важная тема

Введение: почему биометрия и ЕБС — это отдельная и важная тема

В современном мире биометрические технологии становятся неотъемлемой частью цифровой идентификации и аутентификации личности. Использование биометрических персональных данных (БПД) в России регулируется особо строго ввиду высокой чувствительности такой информации: ее нельзя изменить, как пароль, и утечка биометрии несет серьезные риски для субъекта данных.
С 2019 года в России действует государственная Единая биометрическая система (ЕБС) — централизованный оператор, через который должна проходить вся обработка биометрии, используемой для идентификации и аутентификации. Это позволяет упорядочить и обеспечить высокий уровень защиты данных, снизить риски неправомерного использования и утечек, а также повысить доверие к технологиям биометрии.
Однако работа с ЕБС связана с большим числом юридических, технических и организационных требований, нарушение которых грозит значительными штрафами и репутационными потерями. В этой статье подробно рассмотрим: что такое биометрия с точки зрения закона, какие нормативы регулируют ЕБС, кто участвует в системе, как строится архитектура взаимодействия, каковы технические требования и риски, а также как организовать работу с подрядчиками и обеспечить соответствие требованиям Роскомнадзора.

Биометрические персональные данные: понятие, особенности и правовое регулирование

Что такое биометрические персональные данные?
Согласно статье 11 Федерального закона № 152-ФЗ «О персональных данных», биометрические персональные данные — это сведения, характеризующие биологические особенности человека, на основании которых можно идентифицировать личность. Таким образом, биометрия — это не просто фото или запись голоса, а именно те данные, которые используются для автоматизированного установления личности.
Важное уточнение дает Федеральный закон № 572-ФЗ «О Единой биометрической системе»: биометрия — это данные, которые применяются именно для идентификации или аутентификации. Если, например, фотография используется просто для визуальной проверки без автоматической обработки, то это не считается биометрией.
  • Отпечатки пальцев
  • Изображение лица, используемое для распознавания
  • Запись голоса для голосовой аутентификации
  • Геометрия руки, радужная оболочка глаза и др.
Примеры биометрических данных
В отличие от прочих персональных данных, биометрия уникальна и постоянна, ее нельзя заменить или изменить при компрометации. Это делает биометрические данные высокорисковыми с точки зрения защиты и требует строгих мер безопасности и контроля.
Почему биометрия — особая категория ПДн?

Федеральное законодательство и подзаконные акты по биометрии и ЕБС

Федеральный закон №152-ФЗ
Общее регулирование обработки всех персональных данных, включая биометрические, с базовыми требованиями по получению согласия, ограничению целей, обеспечению безопасности, уведомлению Роскомнадзора.
Специализированный закон, вводящий институт Единой биометрической системы (ЕБС) как обязательного централизованного оператора обработки биометрии. Закон закрепляет:
  • Обязательное хранение биометрии только в ЕБС
  • Требование личного присутствия субъекта при сборе данных
  • Запрет на локальное хранение биометрии за исключением временного хранения не более 10 дней по запросу субъекта
  • Установление ролей участников экосистемы ЕБС: операторы сбора, пользователи, интеграторы, оператор ЕБС, субъекты персональных данных
  • Введение обязательной аккредитации операторов сбора биометрии
Федеральный закон №572-ФЗ
Приказ Минцифры №453
Определяет порядок сбора, передачи, защиты биометрических данных, а также требования к оборудованию и программному обеспечению, используемому для работы с биометрией.
ГОСТ и стандарты информационной безопасности
Устанавливают технические требования к средствам защиты, криптографическим механизмам, журналированию и изоляции среды.
Постановление Правительства РФ №883
Регламентирует функционирование ЕБС, порядок взаимодействия участников и центра биометрических технологий.

Основные участники Единой биометрической системы и их роли

Оператор сбора биометрических данных
Пользователь ЕБС
Организация, которая использует ЕБС для сверки биометрии с целью идентификации, но не собирает первичные данные.
Например: сервисы оплаты через биометрию, службы безопасности, онлайн-сервисы. Для работы пользователю достаточно иметь договор с оператором ЕБС или интегратором, не требуется аккредитация сбора.
Интегратор (шлюз)
Физические лица, чьи биометрические данные собираются и обрабатываются в ЕБС для целей идентификации и аутентификации.
Субъекты персональных данных
Государственный оператор, обеспечивающий централизованное хранение, обработку, защиту данных, функционирование всей системы. Центр несет ответственность за устойчивость, доступность и безопасность ЕБС.
Компания, обеспечивающая техническую маршрутизацию и защиту каналов связи между операторами, пользователями и ЕБС.
Ростелеком — типичный пример интегратора. Интегратор не хранит биометрию, а только передает данные по защищенным каналам.
Оператор Единой биометрической системы (Центр биометрических технологий)
Компания, которая непосредственно собирает биометрию у субъектов, преобразует её в биометрические векторы и передает в ЕБС.
Примеры: банки, МФЦ, государственные учреждения. Для деятельности требуется обязательная аккредитация в Минцифры, сертифицированное оборудование и ПО, обеспечение безопасности среды и журнализация действий.

Архитектурные модели подключения к ЕБС

Модель встроенного модуля
Биометрический модуль интегрируется в существующую информационную систему компании, например в CRM или кадровую систему. Требует изоляции от внешних сетей, аккредитации, соблюдения всех требований безопасности. Подходит для крупных организаций с развитой IT-инфраструктурой.
Модель выделенного рабочего места (АРМ)
Отдельная компьютерная станция с предустановленным сертифицированным ПО и оборудованием (камера, микрофон), физически изолированная от других сетей. Подходит для организаций без возможности интегрировать модуль в ИТ-систему.
Облачное решение
Использование сертифицированного облачного сервиса, предоставляющего сбор, обработку и передачу биометрии в ЕБС. Уменьшает нагрузку на собственную инфраструктуру компании, но требует доверия и контроля над провайдером.
Подходит для пользователей, которые не собирают биометрию, а лишь сверяют данные с ЕБС. Сбор первичных биометрических данных здесь не осуществляется.
Взаимодействие через интегратора (шлюз)

Технические требования и особенности оборудования

Для легальной и безопасной работы с биометрией оборудование должно:
  • Обеспечивать высокое качество изображения и звука, в том числе 3D-съёмку и другие технологии, исключающие подмену (спуфинг)
  • Быть сертифицированным по российским стандартам, включено в реестр Минцифры и ФСТЭК/ФСБ
  • Использовать средства криптографической защиты информации для передачи и хранения данных
  • Работать в изолированной сети без доступа в интернет, исключать удалённый доступ
  • Обеспечивать журналирование всех операций с данными, включая сбор, передачу и проверку
  • Обязательно использование liveness detection класса АА (Приказ Минцифры № 42−2024), обеспечивающего:
  • FAR (False Acceptance Rate) < 0.001%;
  • Защиту от deepfake-атак по стандарту ГОСТ Р 58 937−2025;
  • Анализ 3D-карты лица и микродвижений кожи.
Особенно важен выбор камеры и микрофона: недопустимо использовать обычные веб-камеры и встроенные микрофоны ноутбуков. Рекомендуются специализированные моноблочные устройства с защитой от подмены.

Особенности хранения и передачи биометрии

Согласно ФЗ-572 (ст. 3.5 в ред. 2024 г.), хранение исходных биометрических данных вне ЕБС полностью запрещено. Допустимо только:
  • Буферизация данных перед передачей в ЕБС/КБС — не более 24 часов в зашифрованном виде (ГОСТ Р 34.13−2024);
  • Кеширование векторов КБС на стороне пользователя — до 30 дней для ускорения верификации.
В ЕБС хранятся не исходные изображения и записи, а преобразованные математические векторы (биометрические шаблоны), которые невозможно обратить в исходные данные. Это повышает безопасность хранения.
Принципиально важно, что такие векторы, сгенерированные через ЕБС или аккредитованную КБС (коммерческую биометрическую систему), не считаются биометрическими персональными данными в смысле ст. 11 ФЗ-152, если соответствуют критериям Приказа Минцифры № 42−2024 (п. 8):
  • Не позволяют реконструировать исходный биометрический образец;
  • Используются строго для верификации (1:1 сравнения), а не идентификации (1:N поиска).
  • Это позволяет легально хранить их в локальных корпоративных системах (например, СКУД).
Передача данных между операторами, пользователями, интеграторами и ЕБС должна происходить по сертифицированным защищенным каналам с использованием ГОСТ-шифрования.

Работа с подрядчиками и арендуемыми помещениями

Важный аспект — взаимодействие с подрядчиками, которые могут обеспечивать физическую безопасность, эксплуатацию оборудования или обслуживание систем сбора биометрии.
Подрядчик, осуществляющий обработку биометрии по поручению без самостоятельных целей, является обработчиком и должен иметь договор поручения с оператором. В противном случае он считается отдельным оператором с соответствующей ответственностью.
Передача биометрии подрядчикам без согласия субъекта или без договора — нарушение закона с риском крупных штрафов.
При аренде помещений, где используется биометрия, необходимо контролировать, чтобы арендодатель и сторонние службы соблюдали требования по обработке и защите данных, иначе риски утечки возрастают.

Обязанности по уведомлению в Роскомнадзор

Оператор, работающий с биометрией, обязан уведомлять Роскомнадзор о факте обработки таких данных, указывать:
  • Вид и цели обработки (идентификация, аутентификация);
  • Место хранения биометрии (обычно указывать, что хранение осуществляется в ЕБС);
  • Используемые подрядчики и интеграторы;
  • Наличие согласия субъектов на обработку.
Неполные или недостоверные уведомления могут привести к внеплановым проверкам и штрафам.

Ответственность за нарушения и штрафы

С 30 мая 2025 года штрафы за нарушения, связанные с биометрией, существенно выросли:
  • На юридические лица — от 3 до 18 миллионов рублей за однократное нарушение;
  • За повторные — до 20 миллионов рублей и возможна приостановка деятельности до 90 суток;
  • На должностных лиц — сотни тысяч рублей;
Причины штрафов включают:
  • Хранение исходной биометрии вне ЕБС/КБС (ст. 13.11.1 КоАП);
  • Отсутствие договора с КБС для корпоративных систем (ст. 13.11.6 КоАП);
  • Несоблюдение требований безопасности;
  • Утечка биометрических данных.

Практические советы и рекомендации для организаций

Чтобы обеспечить законность и безопасность работы с биометрией через ЕБС, компаниям рекомендуется:
  • С самого начала чётко определить свои роли и обязанности в обработке биометрии, оформить их документально.
  • Получить обязательную аккредитацию оператора сбора биометрии либо работать через аккредитованных партнеров.
  • Использовать только сертифицированное оборудование и программное обеспечение, соответствующее требованиям приказа Минцифры № 453 и ГОСТ.
  • Организовать сбор биометрии исключительно с личным присутствием субъекта данных.
  • Обеспечить защиту каналов связи, изоляцию среды, контроль доступа и журналирование операций с биометрией.
  • Установить строгий контроль за временным локальным хранением биометрии (не более 10 дней по запросу субъекта).
  • Работать с подрядчиками только на основании договоров поручения, контролировать соблюдение ими требований.
  • Своевременно и полноценно уведомлять Роскомнадзор о факте обработки биометрических данных.
  • Проводить внутренние аудиты и периодическую оценку рисков, используя специализированные чек-листы.
  • Планировать обучение сотрудников, ответственных за биометрию, и обеспечивать их понимание нормативных требований.

Заключение: почему соблюдение правил работы с ЕБС — залог успеха

Единая биометрическая система — это ключевой инструмент цифровой идентификации в России. Она обеспечивает централизованное, контролируемое и защищенное хранение биометрических данных, что позволяет использовать новые технологии с минимальными рисками.
Однако работа с биометрией требует высокой компетенции, тщательного соблюдения законодательства, серьезного технического обеспечения и организованного взаимодействия с подрядчиками и государственными органами.
Компании, которые внимательно подходят к этим задачам, получают не только юридическую защиту от штрафов, но и повышают доверие клиентов и партнеров, укрепляют свою репутацию и повышают уровень кибербезопасности.
Открытость к новым требованиям, регулярные аудиты и системный подход к управлению биометрическими данными — ключ к успешной и безопасной работе с ЕБС в долгосрочной перспективе.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме