Биометрические ПДн на сайте: когда нужна ЕБС и как с ней работать

Что такое биометрические ПДн в понимании ФЗ-152

Биометрические персональные данные – самый чувствительный класс персональных данных в российском законодательстве. Часть 1 статьи 11 ФЗ-152 даёт им определение: сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность. К биометрии относятся:

  • Изображение лица (в качестве, позволяющем идентификацию)
  • Голос (записи, позволяющие узнать говорящего)
  • Рисунок радужной оболочки глаза
  • Отпечатки пальцев
  • Динамика подписи
  • Геометрия руки
  • Походка (biometric gait analysis)
  • Рисунок вен ладони или пальца
  • ДНК

Биометрия становится биометрией только тогда, когда цель обработки – идентификация человека. Если клиника хранит фото пациента в карточке для визуального опознавания на приёме – это биометрия. Если фото используется только для украшения профиля и не применяется для идентификации – это обычные ПДн. Различие принципиальное, потому что правовой режим обработки биометрии существенно строже.

После поправок 2022 года и последующих уточнений 2024 года обработка биометрии без явного согласия и вне Единой биометрической системы (ЕБС) для большинства случаев стала невозможной. Частные операторы биометрии обязаны либо интегрироваться с ЕБС, либо получать уведомительное разрешение Минцифры на автономную обработку с жёсткими техническими и организационными требованиями.

Единая биометрическая система (ЕБС): что это и зачем

ЕБС – это государственная информационная система, оператором которой является «Ростелеком» (через дочернее АО «Центр биометрических технологий»). Назначение ЕБС:

  1. Централизованное хранение биометрических образцов граждан РФ
  2. Выполнение идентификации и верификации по запросу подключённых операторов
  3. Обеспечение единого стандарта защиты биометрии на государственном уровне

С 2023 года закон обязывает коммерческих операторов биометрии, принимающих биометрию от граждан для оказания услуг, подключаться к ЕБС и не хранить биометрические образцы локально. То есть банк, который раньше мог «сам» принимать лицо клиента для дистанционного открытия счёта, теперь в большинстве случаев обязан использовать идентификацию через ЕБС, а собственно образец лица хранится в ЕБС.

Правовые основания обработки биометрии

Статья 11 ФЗ-152 устанавливает принцип: обработка биометрических ПДн допускается только с письменного согласия субъекта, кроме отдельных исключений. Исключения прямо перечислены:

  • Правосудие, исполнение судебных актов
  • Исполнение полномочий органов государственной власти
  • Обеспечение обороны, безопасности, противодействия терроризму
  • Предупреждение и выявление преступлений
  • Идентификация в аэропортах, на транспорте (в рамках антитеррористических требований)

Для коммерческого сайта все эти исключения неприменимы. Значит единственное основание – письменное согласие субъекта, с требованиями статьи 9 ФЗ-152 плюс дополнительных условий статьи 11.

Когда сайту действительно нужна биометрия

Прежде чем внедрять биометрию на сайт, стоит задать вопрос: действительно ли это необходимо? Альтернативы в 9 из 10 случаев:

Задача Биометрическое решение Альтернатива
Идентификация клиента Лицо Паспорт + номер телефона (двухфакторная)
Вход в личный кабинет Face ID, отпечаток Пароль + SMS, приложение-генератор (TOTP)
Подтверждение сделки Голос («скажите кодовое слово») SMS-код, push-уведомление
Контроль доступа Распознавание лица на турникете Электронный пропуск, RFID-карта
Защита от обхода Прокторинг через камеру Жёсткая верификация личности до экзамена

Если альтернативный подход решает задачу, – имеет смысл отказаться от биометрии. Хранить и защищать биометрию сложнее и дороже, чем работать с обычными ПДн.

Сценарий 1. Сайт банка или финтеха, использующий ЕБС

Крупные банки и финтех-сервисы, предлагающие удалённое открытие счёта или подтверждение операций через биометрию, сегодня работают через ЕБС. Пользовательский путь:

  1. Клиент устанавливает приложение «Госуслуги Биометрия» или использует сайт banki.ebs.gosuslugi.ru
  2. Сдаёт биометрию (фото лица + короткая аудиозапись) – один раз, образец хранится в ЕБС
  3. При обращении к банку через сайт – банк запрашивает идентификацию через ЕБС
  4. Клиент подтверждает через приложение Госуслуг, биометрия сверяется системой
  5. Банк получает результат: «идентифицирован» или «не идентифицирован», но не сам биометрический образец

Что должно быть на сайте банка

  • Согласие на обработку ПДн в ходе идентификации через ЕБС (стандартный текст, утверждённый Минцифрой)
  • Политика в части использования ЕБС
  • Интеграция API ЕБС через сертифицированного вендора
  • Журналирование всех запросов идентификации

Сценарий 2. Частный оператор биометрии (без ЕБС)

С 2023 года частная обработка биометрии вне ЕБС становится скорее исключением, чем правилом. Но есть случаи, когда это допустимо:

  • Обработка биометрии в целях, не связанных с идентификацией (например, оценка эмоций для маркетинговых исследований – но здесь спорно)
  • Внутрикорпоративные системы (СКУД на предприятии, для сотрудников, которые дали согласие)
  • Научные исследования в рамках соответствующего правового режима
  • Эксперты, подключившие свои системы в рамках разрешения Минцифры

Требования к частному оператору биометрии

  1. Уведомление Минцифры о намерении обрабатывать биометрию (отдельная процедура)
  2. Подтверждение технических мер защиты – уровень УЗ-1 (максимальный)
  3. Аттестация ИСПДн при обработке свыше 100 000 субъектов
  4. Использование только сертифицированных СЗИ ФСТЭК для защиты биометрии
  5. Хранение биометрических образцов в зашифрованном виде с ключами в отдельном хранилище (HSM)
  6. Обязательное протоколирование всех операций с биометрией
  7. Запрет передачи биометрии третьим лицам (кроме чётко определённых целей с согласием)

Сценарий 3. Face ID и Touch ID на смартфонах

Когда пользователь заходит в мобильное приложение банка или магазина через Face ID или Touch ID, возникает вопрос: кто обрабатывает биометрию? Ответ: обработка происходит на устройстве пользователя (Secure Enclave на iPhone, TrustZone на Android), и биометрический образец не передаётся на сервер. Приложение получает только булев результат «пользователь подтверждён» или «нет».

Юридически: пользователь сам обрабатывает свои биометрические данные в рамках личных нужд, оператор – только получатель результата аутентификации. Это не считается обработкой биометрии сервисом с точки зрения ФЗ-152. Значит:

  • Дополнительного согласия на обработку биометрии не требуется
  • Достаточно политики, где указано, что приложение использует системные средства аутентификации устройства
  • На сайте – если авторизация через Face ID/Touch ID поддерживается в браузере (WebAuthn) – тот же принцип

Согласие на обработку биометрии: обязательные элементы

Если ваш проект всё же связан с обработкой биометрии, согласие должно включать:

  1. ФИО и адрес субъекта
  2. Наименование оператора, адрес, контакты
  3. Цель обработки биометрии (идентификация для оказания услуги X, верификация при операции Y)
  4. Перечень обрабатываемых биометрических данных (изображение лица, голос, отпечаток – что именно)
  5. Действия с биометрией (сбор, хранение, использование для верификации, передача в ЕБС – если применимо)
  6. Срок действия согласия и способ его отзыва
  7. Информацию о возможности отказа от биометрической обработки без потери доступа к услуге (кроме случаев, когда биометрия – единственный способ)
  8. Подпись субъекта (собственноручная или электронная подпись)

Важно: согласие на обработку биометрии должно быть отделено от общего согласия на обработку ПДн. Один чекбокс «согласен с политикой» недопустим – требуется отдельное решение субъекта именно по биометрии.

Технические требования к системе обработки биометрии

УЗ-1 как базовый уровень

Обработка биометрии вне ЕБС автоматически поднимает уровень защищённости до УЗ-1 (независимо от числа субъектов), что означает:

  • Использование сертифицированных СЗИ ФСТЭК класса не ниже 3
  • Аттестация информационной системы
  • Контроль недекларированных возможностей (НДВ) для ПО
  • Защищённый канал передачи (ГОСТ TLS)
  • Жёсткое разграничение доступа с использованием персональных USB-ключей или смарт-карт для администраторов
  • Специально оборудованное помещение для обработки (контролируемая зона)

Шифрование биометрических образцов

  1. Использование сертифицированного СКЗИ (КриптоПро, ViPNet, Домен-К)
  2. Шифрование на уровне приложения, а не только диска
  3. Ключи шифрования – в аппаратном модуле (HSM)
  4. Ротация ключей – не реже раза в год
  5. Резервные копии биометрических образцов – также в зашифрованном виде, с отдельным процессом управления ключами

Защита от спуфинга

Атаки на биометрические системы развиваются быстро: фотографии лица с экрана, маски, голосовые дипфейки. Система обработки биометрии должна включать:

  • Liveness detection (определение «живого человека»): движение глаз, микроизменения, требование выполнить случайный жест
  • Challenge-response: пользователь должен произнести случайную фразу, сгенерированную в момент обращения
  • Анти-морфинговую защиту для голоса
  • Регулярное обновление моделей распознавания

Случаи, когда сайту категорически нельзя собирать биометрию

  1. Форма обратной связи с загрузкой селфи для «верификации реальности клиента» – необоснованная биометрия, альтернативы есть
  2. Голосовой чат-бот, сохраняющий записи голоса клиента «для улучшения качества» – нужно либо получить согласие, либо сразу удалять после обработки
  3. Система контроля доступа к внутренним материалам через распознавание лица, без согласия пользователя и без подключения к ЕБС
  4. Приложение лояльности с идентификацией клиента по лицу на входе в магазин без ЕБС-интеграции
  5. Корпоративная система «анти-списывания» на основе видеонаблюдения и распознавания лиц без согласия

Права субъекта в отношении биометрии

Субъект имеет особые права в отношении своих биометрических данных:

  • Право запросить копию биометрического образца (в стандартном формате, если технически возможно)
  • Право потребовать удаления биометрии – исполняется немедленно (не в общий срок 10 дней)
  • Право отозвать согласие – в любой момент, без обоснования
  • Право получить информацию о всех случаях использования биометрии (идентификация, верификация, отказ)
  • Право оспорить решение, принятое на основе биометрии
  • Право на уничтожение биометрии по завершении цели обработки

Штрафы за нарушения в области биометрии

Нарушение Норма Штраф (ЮЛ)
Обработка биометрии без согласия ч.2 ст.13.11 КоАП 300 000 – 700 000 ₽
Повторное нарушение ч.5 ст.13.11 КоАП 1 000 000 – 1 500 000 ₽
Утечка биометрии (даже одного субъекта) ч.1 ст.13.11.3 КоАП от 15 000 000 ₽
Отказ от подключения к ЕБС (для обязанных субъектов) ч.1 ст.13.11.2 КоАП До 500 000 ₽
Отсутствие защиты ИСПДн уровня УЗ-1 ч.6 ст.13.11 КоАП 15 000 – 75 000 ₽

Пошаговая стратегия для сайта, планирующего работу с биометрией

  1. Определите, действительно ли биометрия необходима или есть альтернатива
  2. Если биометрия нужна и это связано с идентификацией граждан РФ – планируйте интеграцию с ЕБС
  3. Оцените объём – если более 100 000 субъектов, готовьтесь к аттестации ИСПДн
  4. Сформулируйте цели обработки максимально узко
  5. Выделите защиту биометрии в отдельную ИСПДн
  6. Составьте модель угроз именно для биометрии
  7. Выберите сертифицированные СЗИ и СКЗИ
  8. Разработайте формы письменного согласия с требованиями статьи 11 ФЗ-152
  9. Обновите политику конфиденциальности, указав источник, цели, сроки обработки биометрии
  10. Настройте процедуру удаления биометрии по запросу субъекта
  11. Подайте уведомление в РКН с пометкой об обработке биометрии
  12. При необходимости – подайте уведомление в Минцифры (для частного оператора биометрии)
  13. Проведите пентест и оценку защищённости перед запуском
  14. Обучите персонал работе с биометрией – не только айтишников, но и саппорт, который общается с клиентами по поводу отзыва согласия

Биометрия в 2026 году – это область максимального регуляторного давления. Ошибки здесь дороги вдвойне: и в штрафах, и в репутации. Поэтому массовая практика – избегать частной обработки биометрии, работать через ЕБС или отказаться от биометрии в пользу альтернативных методов верификации. Сайтам малого и среднего бизнеса почти всегда удаётся закрыть задачу без биометрии.