«Ъ» ознакомился с поправками к проекту приказа Минцифры, определяющего порядок сбора и хранения биометрических данных в ЕБС. Они были отправлены письмом в Аналитический центр при правительстве 2 августа.
В документе уточняется, что согласия субъекта данных на сбор и актуализацию биометрии в ЕБС и «иных информационных системах, обеспечивающих идентификацию и/или аутентификацию с использованием биометрических персональных данных», не требуется.
В пояснительной записке авторы поправок ссылаются на то, что размещение биометрии из ЕБС и иных информационных систем без согласия субъекта закреплено в поправках к закону «Об информации», принятых 6 июля.
Кроме того, поправки упрощают передачу данных из любых информационных систем (например, организаций финансового рынка) в ЕБС. Если раньше для передачи в ЕБС необходимо было, чтобы «слепок» содержал лицо и голос, то теперь, если биометрические данные содержат только изображение лица или голоса, то они все равно будут размещаться в государственной системе, но использовать их сможет только разместившая их организация.
Статус ГИС ЕБС (ее оператором выступает «Ростелеком») получила в конце 2021 года, когда был принят соответствующий закон. В прошлом году Минцифры планировало ускорить сбор биометрических данных россиян в систему, рассчитывая увеличить число биометрических «слепков» до 70 млн. При этом ЕБС со старта в 2019 году и на начало 2022 года собрала только 236,4 тыс. образцов. Из десятков миллионов образцов биометрических данных банков стандартам ЕБС соответствуют только около 10% данных — это всего лишь около 5 млн уникальных «слепков», рассказывали ранее источники «Ъ». Остальные по действующим нормам должны быть удалены.
Передача данных из КБС в ГИС ЕБС повысит безопасность обработки и хранения биометрических персональных данных, отметили в Минцифры.
В министерстве сообщили, что все организации обязаны уведомить гражданина о передаче его данных в ЕБС и убедиться в получении этой информации. Гражданин может обратиться в ЕБС и потребовать уничтожить его биометрические данные, добавили в Минцифры. Сбербанк и «Ростелеком» отказались от комментариев. ВТБ, Альфа-банк, Тинькофф-банк, Почта-банк, Россельхозбанк, Аналитический центр при правительстве не ответили «Ъ».
Чтобы обязать КБС передавать данные в ЕБС, требуется только одно — наличие голоса или изображения лица, от образцов больше не потребуется соответствия всем стандартам качества ЕБС, отметил юрист фирмы DRC Никита Истомин.
Кроме того, сбором и обновлением биометрии для передачи в ЕБС смогут заниматься «иные организации», перечень которых в документе не определен, отметил Ляхманов. «Оператор КБС, разместивший биометрические данные в ЕБС, не вправе давать их использовать другим операторам КБС. Это значит, что в ЕБС слепки одних и тех же людей, сдавших биометрию в различные организации, будут дублироваться», — полагает он. Хранение такого объема данных о человеке в единой системе, отмечает эксперт, делает последствия утечки катастрофическими.
Анастасия Гаврилюк, Ольга Шерункова