Хабрахабр

Биометрические персональные данные россиян

Что по этому поводу нам говорит Роскомнадзор и как нам быть, если придется с ними работать. В свете скорого вступления в действие закона о биометрической идентификации клиентов банков хотелось бы вернуться немного назад и вспомнить, а чем собственно являются биометрические персональные данные.

Согласно Федеральному закону от 27.07.2006 N 152-ФЗ «О персональных данных», ст. 11:

«Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.»

Для детей у Роскомнадзора есть упрощенное объяснение:

Эти данные уникальны, принадлежат только одному человеку и никогда не повторяются. Биометрические персональные данные представляют собой сведения о наших биологических особенностях.

К таким данным относятся: Биометрические данные заложены в нас от рождения самой природой, они никем не присваиваются, это просто закодированная информация о человеке, которую люди научились считывать.

отпечаток пальца, рисунок радужной оболочки глаза, код ДНК, слепок голоса и пр.

О стандартах

В соответствии с приказом Федерального агентства по техническому регулированию и метрологии от 6 марта 2017 года №448 была организована деятельность технического комитета по стандартизации ТК 098 «Биометрия и биомониторинг».

N 448 (Положение о техническом комитете по стандартизации «Биометрия и биомониторинг») ТК призван решать следующие задачи: Согласно Приложению N 3 к приказу Федерального агентства по техническому регулированию и метрологии от 6 марта 2017 г.

  • формирование программы национальной стандартизации по закрепленной за ТК 098 областью деятельностью и контроль за реализацией этой программы;
  • рассмотрение предложений по применению международных и региональных стандартов на национальном и межгосударственном уровнях в закрепленной за ТК 098 области деятельности;
  • проведение экспертизы проектов национальных и межгосударственных стандартов и проектов изменений к действующим стандартам, а также представление их на утверждение (принятие) в Росстандарт;
  • участие в работе межгосударственного технического комитета по стандартизации (МТК) и международных технических комитетах (ИСО/ТК), которые имеют общую с ним область деятельности;
  • регулярная проверка действующих в Российской Федерации и закрепленных за ТК 098 национальных и межгосударственных стандартов с целью выявления необходимости их обновления или отмены;
  • оценка целесообразности утверждения закрепленных за ТК 098 предварительных национальных стандартов в качестве национальных стандартов Российской Федерации по результатам мониторинга их применения;
  • рассмотрение проектов международных стандартов в закрепленной за ТК 098 области деятельности и подготовка позиции Российской Федерации при голосовании по данным проектам;
  • рассмотрение предложений по разработке международных стандартов, в том числе на основе национальных и межгосударственных стандартов, закрепленных за ТК 098;
  • проведение экспертизы официальных переводов на русский язык международных и региональных стандартов, национальных стандартов и сводов правил иностранных государств в закрепленной за ТК 098 области деятельности и пр.

В данном ТК, по состоянию на 31.10.2017 г., отражен перечень действующих национальных стандартов в области биометрических технологий. Данный перечень сведен в таблицу, представленную ниже.

Обозначение национального стандарта

Наименование национального стандарта

1.

ГОСТ ISO/IEC 2382-37-2016*

Словарь. Информационные технологии. Биометрия (принят протоколом МГС №93-П от 22 ноября 2016 г.) Часть 37.

2.

ГОСТ ISO/IEC 19794-1-2015*

Биометрия. Информационные технологии. Часть 1. Форматы обмена биометри­ческими данными. Структура

3.

ГОСТ Р ИСО/МЭК 19794-2-2013

Биометрия. Информационные технологии. Часть 2. Форматы обмена биометри­ческими данными. Данные изображения отпечатка пальца — контрольные точки

4.

ГОСТ Р ИСО/МЭК 19794-3-2009

Идентификация биометрическая. Автоматическая идентификация. Часть 3. Форматы обмена биометрическими данными. Спектральные данные изображения отпечатка пальца

5.

ГОСТ Р ИСО/МЭК 19794-4-2014

Биометрия. Информационные технологии. Часть 4. Форматы обмена биометри­ческими данными. Данные изображения отпечатка пальца

6.

ГОСТ Р ИСО/МЭК 19794-5-2013

Биометрия. Информационные технологии. Часть 5. Форматы обмена биометри­ческими данными. Данные изображения лица

7.

ГОСТ Р ИСО/МЭК 19794-6-2014

Биометрия. Информационные технологии. Часть 6. Форматы обмена биометри­ческими данными. Данные изображения радужной оболочки глаза

8.

ГОСТ Р ИСО/МЭК 19794-7-2009

Идентификация биометрическая. Автоматическая идентификация. Часть 7. Форматы обмена биометрическими данными. Данные дина­мики подписи

9.

ГОСТ Р ИСО/МЭК 19794-8-2015

Биометрия. Информационные технологии. Часть 8. Форматы обмена биометри­ческими данными. Данные изображения отпечатка пальца — остов

10.

ГОСТ Р ИСО/МЭК 19794-9-2015

Биометрия. Информационные технологии. Часть 9. Форматы обмена биометри­ческими данными. Данные изображения сосудистого русла

11.

ГОСТ Р ИСО/МЭК 19794-10-2010

Идентификация биометрическая. Автоматическая идентификация. Часть 10. Форматы обмена биометрическими данными. Данные гео­метрии контура кисти руки

12.

ГОСТ Р ИСО/МЭК 19794-11-2015

Биометрия. Информационные технологии. Часть 11. Форматы обмена биометри­ческими данными. Обрабатываемые данные динамики под­писи

13.

ГОСТ Р ИСО/МЭК 19794-14-2017

Биометрия. Информационные технологии. Часть 14. Форматы обмена биометри­ческими данными. Данные ДНК

14.

ГОСТ Р ИСО/МЭК 19795-1-2007

Идентификация биометрическая. Автоматическая идентификация. Часть 1. Эксплуатационные испытания и протоколы испытаний в биометрии. Принципы и структура

15.

ГОСТ Р ИСО/МЭК 19795-2-2008

Идентификация биометрическая. Автоматическая идентификация. Эксплуатационные испытания и протоколы испытаний в биометрии.

Методы проведения технологического и сценарного испыта­ний Часть 2.

16.

ГОСТ Р ИСО/МЭК

ТО 19795-3-2009

Идентификация биометрическая. Автоматическая идентификация. Часть 3. Эксплуатационные испытания и протоколы испытаний в биометрии. Особенности проведения испытаний при различных биомет­рических модальностях

17.

ГОСТ Р ИСО/МЭК 19795-4-2011

Биометрия. Информационные технологии. Часть 4. Эксплуатационные испыта­ния и протоколы испытаний в биометрии. Испытания на сов­местимость

18.

ГОСТ Р ИСО/МЭК 19795-6-2015

Биометрия. Информационные технологии. Часть 6. Эксплуатационные испыта­ния и протоколы испытаний в биометрии. Методология про­ведения оперативных испытаний

19.

ГОСТ Р ИСО/МЭК 19784-1-2007

Идентификация биометрическая. Автоматическая идентификация. Часть 1. Биометрический программный интерфейс. Спецификация биометрического программного интерфейса

20.

ГОСТ Р ИСО/МЭК 19784-2-2010

Идентификация биометрическая. Автоматическая идентификация. Часть 2. Биометрический программный интерфейс. Интерфейс постав­щика биометрической функции архива

21.

ГОСТ Р ИСО/МЭК 19784-4-2014

Биометрия. Информационные технологии. Часть 4. Биометрический программ­ный интерфейс. Интерфейс поставщика функции биометриче­ского датчика

22.

ГОСТ Р ИСО/МЭК 19785-1-2008

Идентификация биометрическая. Автоматическая идентификация. Часть Единая структура форматов обмена биометрическими данными.

Спецификация элементов данных 1.

23.

ГОСТ Р ИСО/МЭК 19785-2-2008

Идентификация биометрическая. Автоматическая идентификация. Часть 2. Единая структура форматов обмена биометрическими данными. Процедуры действий регистрационного органа в области биометрии

24.

ГОСТ Р ИСО/МЭК 19785-4-2012

Биометрия. Информационные технологии. Часть 4. Единая структура форматов обмена биометрическими данными. Спецификация формата блока защиты информации

25.

ГОСТ Р ИСО/МЭК 24708-2013

Биометрия. Информационные технологии. Протокол межсетевого об­мена БиоАПИ

26.

ГОСТ Р ИСО/МЭК 24709-1-2009

Идентификация биометрическая. Автоматическая идентификация. Часть 1. Ис­пытания на соответствие биометрическому программному интерфейсу (БиоАПИ). Методы и процедуры

27.

ГОСТ Р ИСО/МЭК 24709-2-2011

Биометрия. Информационные технологии. Часть 2. Испытания на соответствие биометрическому программному интерфейсу (БиоАПИ). Те­стовые утверждения для поставщиков биометрических услуг

28.

ГОСТ Р ИСО/МЭК 24709-3-2013

Биометрия. Информационные технологии. Часть 3. Испытания на соответствие биометрическому программному интерфейсу (БиоАПИ). Те­стовые утверждения для инфраструктур БиоАПИ

29.

ГОСТ ISO/IEC 24713-1-2013*

Биометрические профили для взаимо­действия и обмена данными. Информационные технологии. Общая архитектура биометриче­ской системы и биометрические профили Часть 1.

30.

ГОСТ Р ИСО/МЭК 24713-2-2011

Биометрия. Информационные технологии. Часть 2. Биометрические профили для взаимодействия и обмена данными. Физический контроль доступа сотрудников аэропорта

31.

ГОСТ Р ИСО/МЭК 24713-3-2016

Биометрия. Информационные технологии. Часть 3. Биометрические профили для взаимодействия и обмена данными. Биометрическая вери­фикация и идентификация моряков

32.

ГОСТ Р ИСО/МЭК 29109-1-2012

Биометрия. Информационные технологии. Часть 1. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Обобщен­ная методология испытаний на соответствие

33.

ГОСТ Р ИСО/МЭК 29109-4-2015

Биометрия. Информационные технологии. Часть 4. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Данные изображения отпечатка пальца

34.

ГОСТ Р ИСО/МЭК 29109-5-2013

Биометрия. Информационные технологии. Часть 5. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Данные изображения лица

35.

ГОСТ Р ИСО/МЭК 29109-6-2016

Биометрия. Информационные технологии. Часть 6. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Данные изображения радужной оболочки глаза

36.

ГОСТ Р ИСО/МЭК 29109-7-2016

Биометрия. Информационные технологии. Часть 7. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Данные ди­намики подписи

37.

ГОСТ Р ИСО/МЭК 29109-8-2016

Биометрия. Информационные технологии. Часть 8. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Данные изображения отпечатка пальца — остов

38.

ГОСТ Р ИСО/МЭК 29109-9-2017

Биометрия. Информационные технологии. Часть 9. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Данные изображения сосудистого русла

39.

ГОСТ Р ИСО/МЭК 29109-10-2017

Биометрия. Информационные технологии. Часть 10. Методология испытаний на соответствие форматам обмена биометрическими данными, опреде­ленным в комплексе стандартов ИСО/МЭК 19794. Данные геометрии контура кисти руки

40.

ГОСТ Р ИСО/МЭК 29794-1-2012

Биометрия. Информационные технологии. Часть 1. Качество биометрических образцов. Структура

41.

ГОСТ Р ИСО/МЭК 29141-2012

Биометрия. Информационные технологии. Одновременное получение изображений отпечатков десяти пальцев с помощью БиоАПИ

42.

ГОСТ Р 54412-2011/ISO/IEC TR 24741:2007

Биометрия. Информационные технологии. Обучающая программа по биометрии

Кроме непосредственно биометрических технологий, так же касаются биометрии и стандарты на машиносчитываемые паспортно-визовые документы, а так же на идентификационные карты с биометрическими данными. Как видим, перечень довольно обширный, но и это еще не все. Приводить в рамках данной статьи их не будем, при желании ознакомиться с ними, все это можно найти на сайте ТК 098.

О разъяснениях Роскомнадзора

До сих пор возникает много вопросов, ответы на которые можно было найти в разъяснениях, не закапываясь в ГОСТы. Выпущенные в свет разъяснения Роскомнадзора, которые как раз поднимали «…вопросы отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки.», многими были проигнорированы и зря. Поэтому предлагаю еще раз пройти по основным тезисам, а для кого-то ознакомиться с ними впервые.

Исходя из определения, приведенного выше, в контексте Федерального закона «О персональных данных» отнесение сведений персонального характера к биометрическим персональным данным и их последующая обработка должны рассматриваться в рамках проводимых оператором мероприятий, направленных на установление личности конкретного лица, если иное не предусмотрено федеральными законами и принятыми на их основе нормативными правовыми актами.

по аватарке мы не определяем личность пользователя. Т.е., если пользователь, допустим, ставит свою фотографию на какую-нибудь аватарку, то мы не считаем это биометрическими данными, т.к. Тем не менее, есть случаи, когда фотографию прямо относят к биометрическим персональным данным.

№ 125, цветное цифровое фотографическое изображение лица владельца документа является биометрическими персональными данными владельца документа.» «Согласно пункту 6 Перечня персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию, утвержденного постановлением Правительства Российской Федерации 4 марта 2010 г.

11 Федерального закона «О персональных данных» не регулируются. В случаях, когда сканирование паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом, например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных и ст. Соответственно, обработка сведений, в данных случаях, осуществляется в соответствии с общими требованиями, установленными Федеральным законом «О персональных данных».

Но в случае их передачи по запросу субъектов оперативно-розыскной деятельности, органов следствия и дознания в рамках проводимых ими мероприятий указанные сведения становятся биометрическими персональными данными, поскольку используются операторами — органами следствия и дознания в целях установления личности конкретного лица. Не являются биометрическим персональными данными рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека, и находящиеся в истории болезни (медицинской карте) пациента (не имеет значения, бумажной или электронной), поскольку они не используются оператором (медицинским учреждением) для установления личности пациента. в органы следствия передаются сведения медицинского характера, а там они уже становятся биометрическими персональными данными. Т.е.

Таким образом, если мы используем полученные сведения характеризующие физиологические и биологические особенности человека для установления личности, то у нас биометрия, если нет – иное. Аналогичным подходом нужно руководствоваться и при получении иных сведений, которые можно отнести к биометрическим персональным данным.

Главное, что в случае обработки биометрических персональных данных необходимо помнить:

1 ст. «В соответствии с ч. 11 Федерального закона «О персональных данных» обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных.»

P.S. По ссылке вы можете скачать наш White Paper о Федеральном Законе №152.
Это книга, которая была опубликована с целью помочь устранить путаницу в вопросах обработки персональных данных и ясно описать процесс приведения ИС персональных данных в соответствии с законодательством России. Тема раскрывается «с нуля». Это помогает удовлетворить потребности широкого круга читателей.

Показать больше

Похожие публикации

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»