РОССИЙСКАЯ ФЕДЕРАЦИЯ
ФЕДЕРАЛЬНЫЙ ЗАКОН
Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации
Принят Государственной Думой 21 декабря 2022 года
Одобрен Советом Федерации 23 декабря 2022 года
Статья 1. Сфера действия настоящего Федерального закона
1. Настоящий Федеральный закон регулирует отношения, возникающие при осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных с использованием государственной информационной системы "Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных", а также при ее взаимодействии в целях осуществления аутентификации с использованием биометрических персональных данных физических лиц с информационными системами аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц.
2. Положения настоящего Федерального закона не распространяются:
1) на отношения, возникающие при осуществлении идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц в целях:
а) оперативно-разыскной, контрразведывательной или разведывательной деятельности;
б) обороны страны, обеспечения безопасности государства и охраны правопорядка, реализации внешней политики;
в) функционирования государственной системы миграционного и регистрационного учета, а также изготовления, оформления и контроля обращения документов, удостоверяющих личность;
г) обеспечения санитарно-эпидемиологического благополучия;
2) на отношения, возникающие при осуществлении идентификации и (или) аутентификации в случае, если при осуществлении идентификации и (или) аутентификации проверка соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в информационной системе государственного органа, органа местного самоуправления, Центрального банка Российской Федерации, организации, индивидуального предпринимателя, нотариуса, не осуществляется автоматизированным способом, а осуществляется с участием уполномоченного должностного лица.
Статья 2. Основные понятия, используемые в настоящем Федеральном законе
В настоящем Федеральном законе используются следующие основные понятия:
1) аккредитованные государственные органы - государственные органы, владеющие информационными системами, обеспечивающими аутентификацию физических лиц с использованием векторов единой биометрической системы, и (или) осуществляющие функции их оператора, прошедшие аккредитацию на право владения такими информационными системами и (или) осуществления функций их операторов в порядке, установленном в соответствии с настоящим Федеральным законом;
2) аутентификация - совокупность мероприятий по проверке лица на принадлежность ему идентификаторов посредством сопоставления их со сведениями о лице, которыми располагает лицо, проводящее аутентификацию, и установлению правомерности владения лицом идентификаторами посредством использования аутентифицирующих признаков в рамках процедуры аутентификации, в результате чего лицо считается установленным;
3) вектор единой биометрической системы - персональные данные, полученные в результате математического преобразования биометрических персональных данных физического лица, содержащихся в единой биометрической системе, которое произведено с использованием информационных технологий и технических средств, соответствующих требованиям, определенным в соответствии с подпунктом "е" пункта 1 части 2 статьи 6 настоящего Федерального закона;
4) единая биометрическая система - государственная информационная система "Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных", которая содержит биометрические персональные данные физических лиц, векторы единой биометрической системы и иную предусмотренную в соответствии с частью 16 статьи 4 настоящего Федерального закона информацию, которая используется в целях осуществления идентификации, аутентификации с использованием биометрических персональных данных физических лиц, а также в иных правоотношениях в случаях, установленных законодательством Российской Федерации, и оператором которой является определенная Правительством Российской Федерации организация;
5) единая система идентификации и аутентификации - федеральная государственная информационная система "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме", обеспечивающая санкционированный доступ к информации, содержащейся в информационных системах;
6) идентификатор - уникальное обозначение сведений о лице, необходимое для определения такого лица;
7) идентификация - совокупность мероприятий по установлению сведений о лице и их проверке, осуществляемых в соответствии с федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами, и сопоставлению данных сведений с идентификатором;
8) мобильное приложение единой биометрической системы - российская программа для электронных вычислительных машин, предназначенная для обработки биометрических персональных данных, входящая в состав единой биометрической системы, предоставляемая на безвозмездной основе ее оператором, функционирующая с применением шифровальных (криптографических) средств, указанных в части 1 статьи 19 настоящего Федерального закона;
9) оператор регионального сегмента единой биометрической системы - орган исполнительной власти субъекта Российской Федерации или подведомственное ему государственное учреждение либо государственное унитарное предприятие, определяемые высшим исполнительным органом субъекта Российской Федерации, осуществляющие создание, развитие, модернизацию и эксплуатацию регионального сегмента единой биометрической системы и являющиеся владельцами технических средств, в том числе программно-технических средств, а также программ для электронных вычислительных машин, предназначенных для обработки биометрических персональных данных, векторов единой биометрической системы, используемых в региональном сегменте единой биометрической системы;
10) организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц, - организации, владеющие информационными системами, обеспечивающими аутентификацию на основе биометрических персональных данных физических лиц, и (или) оказывающие услуги по аутентификации на основе биометрических персональных данных физических лиц, применяющие для этих целей векторы единой биометрической системы и прошедшие аккредитацию в порядке, установленном в соответствии с настоящим Федеральным законом;
11) региональный сегмент единой биометрической системы - элемент единой биометрической системы, который содержит предусмотренную в соответствии с частью 16 статьи 4 и статьей 5 настоящего Федерального закона информацию, оператором которого является орган исполнительной власти субъекта Российской Федерации или подведомственное ему государственное учреждение либо государственное унитарное предприятие, осуществляющие создание, развитие, модернизацию, эксплуатацию и иные полномочия оператора такого сегмента, который используется для осуществления аутентификации и в котором используются предназначенные для обработки биометрических персональных данных, векторов единой биометрической системы технические средства, в том числе программно-технические средства, и программы для электронных вычислительных машин.
Статья 3. Общие положения
1. Единая биометрическая система используется для осуществления идентификации и (или) аутентификации физических лиц государственными органами, органами местного самоуправления, Центральным банком Российской Федерации, банками, иными кредитными организациями, некредитными финансовыми организациями, которые осуществляют указанные в части первой статьи 761 Федерального закона от 10 июля 2002 года № 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" виды деятельности, субъектами национальной платежной системы, лицами, оказывающими профессиональные услуги на финансовом рынке (далее - организации финансового рынка), иными организациями, индивидуальными предпринимателями, нотариусами.
2. Единая биометрическая система может использоваться в иных правоотношениях в случаях, установленных законодательством Российской Федерации.
3. Положение о единой биометрической системе, в том числе о ее региональных сегментах, утверждается Правительством Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и Центральным банком Российской Федерации.
4. В единой биометрической системе размещаются и обрабатываются биометрические персональные данные следующих видов:
1) изображение лица человека, полученное с помощью фотовидеоустройств;
2) запись голоса человека, полученная с помощью звукозаписывающих устройств.
5. К векторам единой биометрической системы не применяются положения статьи 11 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных" и меры по обеспечению безопасности биометрических персональных данных при их обработке, установленные в соответствии со статьей 19 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных".
6. При обработке биометрических персональных данных в единой биометрической системе, в том числе в ее региональных сегментах, их взаимодействии с иными информационными системами должны применяться организационные и технические меры по обеспечению безопасности персональных данных, установленные в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных", и использоваться шифровальное (криптографическое) средство, определенное пунктом 5 части 2 статьи 6 настоящего Федерального закона, либо шифровальные (криптографические) средства, позволяющие обеспечить безопасность персональных данных от угроз, определенных:
1) для государственных органов, органов местного самоуправления, Центрального банка Российской Федерации, организаций, за исключением организаций финансового рынка, индивидуальных предпринимателей, нотариусов в соответствии с пунктом 4 части 2 статьи 6 настоящего Федерального закона;
2) для организаций финансового рынка в соответствии с пунктом 1 части 4 статьи 7 настоящего Федерального закона;
3) для органов государственной власти субъектов Российской Федерации, подведомственных им организаций, органов местного самоуправления, подведомственных им организаций, иных организаций, указанных в частях 15 и 16 статьи 5 настоящего Федерального закона, в соответствии с частью 18 статьи 5 настоящего Федерального закона.
7. Банки, многофункциональные центры предоставления государственных и муниципальных услуг и иные организации, размещающие сведения в единой биометрической системе, государственные органы, органы местного самоуправления, Центральный банк Российской Федерации, организации, индивидуальные предприниматели, нотариусы, использующие единую биометрическую систему в целях идентификации и (или) аутентификации, органы государственной власти субъектов Российской Федерации, подведомственные им организации, органы местного самоуправления, подведомственные им организации, иные организации, использующие региональные сегменты единой биометрической системы в целях аутентификации, а также оператор единой биометрической системы, оператор регионального сегмента единой биометрической системы при обработке соответственно биометрических персональных данных, векторов единой биометрической системы осуществляют свои функции в соответствии с законодательством Российской Федерации о персональных данных и требованиями настоящего Федерального закона.
8. В единой биометрической системе, в том числе в ее региональных сегментах, в информационных системах, на право владения которыми и (или) осуществления функций операторов которых были аккредитованы в соответствии с настоящим Федеральным законом государственные органы, Центральный банк Российской Федерации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, организаций финансового рынка, иных организаций, индивидуальных предпринимателей, нотариусов запрещена в целях осуществления идентификации и (или) аутентификации обработка, включая сбор и хранение, геномной информации, сведений, отнесенных к государственной тайне, а также сведений, позволяющих отнести физических лиц к отдельным категориям физических лиц, участие которых в правоотношениях регулируется Законом Российской Федерации от 21 июля 1993 года № 5473-I "Об учреждениях и органах уголовно-исполнительной системы Российской Федерации", Федеральным законом от 15 июля 1995 года № 103-ФЗ "О содержании под стражей подозреваемых и обвиняемых в совершении преступлений", Федеральным законом от 3 апреля 1995 года № 40-ФЗ "О федеральной службе безопасности", Федеральным законом от 20 апреля 1995 года № 45-ФЗ "О государственной защите судей, должностных лиц правоохранительных и контролирующих органов", Федеральным законом от 12 августа 1995 года № 144-ФЗ "Об оперативно-розыскной деятельности", Федеральным законом от 10 января 1996 года № 5-ФЗ "О внешней разведке", Федеральным законом от 27 мая 1996 года № 57-ФЗ "О государственной охране", Федеральным законом от 20 августа 2004 года № 119-ФЗ "О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства", Федеральным законом от 7 февраля 2011 года № 3-ФЗ "О полиции", Федеральным законом от 3 июля 2016 года № 226-ФЗ "О войсках национальной гвардии Российской Федерации".
9. Федеральные органы исполнительной власти, уполномоченные в области безопасности, деятельности войск национальной гвардии Российской Федерации, обеспечения государственной защиты, государственной охраны и внешней разведки, исполнения уголовных наказаний в отношении осужденных, вправе:
1) направлять мотивированный запрос оператору единой биометрической системы, оператору регионального сегмента единой биометрической системы о блокировании, об удалении, уничтожении биометрических персональных данных отдельных физических лиц, указанных в части 8 настоящей статьи, о внесении изменений в сведения, содержащиеся в единой биометрической системе, региональном сегменте единой биометрической системы, в случаях, предусмотренных законодательством Российской Федерации;
2) обрабатывать указанные в пункте 1 настоящей части сведения в случаях и в порядке, которые предусмотрены законодательством Российской Федерации.
10. Принадлежащие Российской Федерации исключительные и иные интеллектуальные права на созданные или приобретенные за счет средств федерального бюджета программы для электронных вычислительных машин и иные результаты интеллектуальной деятельности, а также приравненные к ним средства индивидуализации, связанные с модернизацией и развитием единой биометрической системы, могут быть отчуждены (переданы) только оператору единой биометрической системы. Оператор единой биометрической системы не вправе отчуждать (передавать) указанные права третьим лицам. В случае прекращения осуществления функций оператора единой биометрической системы указанные права подлежат отчуждению (передаче) Российской Федерации.
11. Предоставление физическими лицами своих биометрических персональных данных в целях, предусмотренных настоящим Федеральным законом, не может быть обязательным.
12. Государственные органы, органы местного самоуправления, Центральный банк Российской Федерации, организации финансового рынка, иные организации, индивидуальные предприниматели, нотариусы не вправе обусловливать оказание предоставляемых ими государственных, муниципальных и иных услуг, выполнение государственных, муниципальных функций, продажу товаров, выполнение работ, а также объем предоставляемых услуг (работ), выполняемых государственных, муниципальных функций, количество продаваемых товаров обязательным прохождением идентификации и (или) аутентификации с применением биометрических персональных данных.
13. Отказ физического лица от прохождения идентификации и (или) аутентификации с использованием его биометрических персональных данных не может служить основанием для отказа ему в оказании государственной, муниципальной или иной услуги, выполнении государственных, муниципальных функций, продаже товаров, выполнении работ или отказа в приеме на обслуживание.
14. Физическое лицо, зарегистрированное в единой системе идентификации и аутентификации, в порядке, устанавливаемом Правительством Российской Федерации по согласованию с федеральным органом исполнительной власти в области обеспечения безопасности, с использованием федеральной государственной информационной системы "Единый портал государственных и муниципальных услуг (функций)" вправе:
1) предоставить согласие на размещение и обработку биометрических персональных данных, размещаемых в единой биометрической системе в соответствии с частью 9 статьи 4 настоящего Федерального закона;
2) ознакомиться со сведениями о согласиях, предоставленных оператору единой биометрической системы;
3) ознакомиться со сведениями о согласиях на обработку биометрических персональных данных в целях проведения его идентификации, предоставленных государственным органам, органам местного самоуправления, Центральному банку Российской Федерации, организациям финансового рынка, иным организациям, индивидуальным предпринимателям, нотариусам, указанным в части 1 статьи 9 настоящего Федерального закона;
4) ознакомиться со сведениями о согласиях на обработку биометрических персональных данных в целях проведения его аутентификации, предоставленных оператору регионального сегмента единой биометрической системы, аккредитованному государственному органу, Центральному банку Российской Федерации в случае прохождения им аккредитации, организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, а также государственным органам, органам местного самоуправления, Центральному банку Российской Федерации, организации финансового рынка, иной организации, индивидуальному предпринимателю, нотариусу, указанным в части 1 статьи 10 настоящего Федерального закона, подписанных:
а) усиленной квалифицированной электронной подписью;
б) усиленной неквалифицированной электронной подписью, сертификат ключа проверки которой создан и используется в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме, в установленном Правительством Российской Федерации порядке, предусматривающем в том числе порядок проверки такой электронной подписи, и при условии организации взаимодействия физического лица с такой инфраструктурой с применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации (далее - усиленная неквалифицированная электронная подпись);
в) простой электронной подписью, ключ которой получен физическим лицом при личной явке в соответствии с правилами использования простой электронной подписи при обращении за получением государственных и муниципальных услуг в электронной форме, установленными Правительством Российской Федерации;
5) отозвать указанные в пунктах 1 - 4 настоящей части согласия;
6) направить оператору единой биометрической системы требование о блокировании, об удалении, уничтожении биометрических персональных данных и (или) векторов единой биометрической системы;
7) ознакомиться со сведениями о представленном им отказе от сбора и размещения его биометрических персональных данных в целях проведения идентификации и (или) аутентификации, а также в случае отзыва такого отказа ознакомиться со сведениями об отзыве.
15. В случае отзыва субъектом персональных данных у оператора единой биометрической системы согласия на обработку биометрических персональных данных или получения от субъекта персональных данных требования о блокировании, об удалении, уничтожении биометрических персональных данных и (или) векторов единой биометрической системы с учетом требований, установленных Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных", с использованием федеральной государственной информационной системы "Единый портал государственных и муниципальных услуг (функций)", а также иными способами, предусмотренными Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных", оператор единой биометрической системы, а также оператор регионального сегмента единой биометрической системы, аккредитованный государственный орган, Центральный банк Российской Федерации в случае прохождения им аккредитации, организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц, блокируют, удаляют, уничтожают биометрические персональные данные и (или) векторы единой биометрической системы.
16. Физическое лицо при личном присутствии в многофункциональном центре предоставления государственных и муниципальных услуг вправе представить в письменной форме в данный многофункциональный центр отказ от сбора и размещения его биометрических персональных данных в целях проведения идентификации и (или) аутентификации, а также отозвать в письменной форме ранее представленный отказ. Физическое лицо, представившее отказ от сбора и размещения его биометрических персональных данных в целях проведения идентификации и (или) аутентификации, получает при личном присутствии в многофункциональном центре предоставления государственных и муниципальных услуг письменное подтверждение представления такого отказа.
17. Правительство Российской Федерации определяет:
1) форму отказа от сбора и размещения биометрических персональных данных в целях проведения идентификации и (или) аутентификации, а также форму отзыва такого отказа;
2) порядок представления отказа от сбора и размещения биометрических персональных данных в целях проведения идентификации и (или) аутентификации, а также порядок отзыва такого отказа;
3) форму и порядок письменного подтверждения многофункциональным центром предоставления государственных и муниципальных услуг представления физическим лицом отказа от сбора и размещения биометрических персональных данных в целях проведения идентификации и (или) аутентификации, а также форму и порядок письменного подтверждения многофункциональным центром предоставления государственных и муниципальных услуг представления физическим лицом отзыва такого отказа.
18. В случае представления физическим лицом отказа от сбора и размещения биометрических персональных данных в целях проведения идентификации и (или) аутентификации сбор и размещение его биометрических персональных данных в единой биометрической системе запрещены до момента отзыва физическим лицом ранее представленного отказа.
19. Согласие на обработку биометрических персональных данных несовершеннолетних, отказ от сбора и размещения их биометрических персональных данных, а также отзыв таких согласия и отказа дается (представляется) законными представителями несовершеннолетних.
20. Законодательством Российской Федерации может быть установлено, что при осуществлении идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц должна быть осуществлена дополнительная аутентификация физического лица способами, установленными законодательством Российской Федерации.
21. Запрещается осуществление идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, при которых необходима трансграничная передача биометрических персональных данных, за исключением аутентификации, осуществляемой аккредитованными государственными органами или Центральным банком Российской Федерации в случае прохождения им аккредитации.
22. В целях развития в Российской Федерации технологий идентификации и аутентификации с использованием биометрических персональных данных физических лиц, определения стратегических направлений развития указанных технологий, обеспечения недискриминационного доступа к единой биометрической системе, мониторинга практики применения настоящего Федерального закона Правительством Российской Федерации образовывается Координационный совет по развитию цифровых технологий идентификации и аутентификации на основе биометрических персональных данных (далее - Координационный совет). Координационный совет является постоянно действующим органом. Положение о Координационном совете и его состав, включающий в том числе представителей общественности, централизованных религиозных организаций и экспертного сообщества, утверждаются Правительством Российской Федерации.
Статья 4. Размещение сведений в единой биометрической системе и в единой системе идентификации и аутентификации
1. Банки, многофункциональные центры предоставления государственных и муниципальных услуг и иные организации в случаях, определенных федеральными законами, после проведения идентификации при личном присутствии физического лица с его согласия на безвозмездной основе размещают в электронной форме:
1) биометрические персональные данные физического лица - в единой биометрической системе;
2) сведения о физическом лице, биометрические персональные данные которого размещаются в единой биометрической системе, которые необходимы для регистрации физического лица в единой системе идентификации и аутентификации, и иные сведения, если такие сведения предусмотрены федеральными законами, - в единой системе идентификации и аутентификации.
2. Форма согласия на размещение и обработку персональных данных в единой системе идентификации и аутентификации и биометрических персональных данных в единой биометрической системе, в том числе на передачу векторов единой биометрической системы, утверждается Правительством Российской Федерации. Физическое лицо вправе подписать указанное согласие усиленной неквалифицированной электронной подписью.
3. Согласие физического лица на размещение и обработку биометрических персональных данных, размещаемых в единой биометрической системе в соответствии с частью 9 настоящей статьи, может быть подписано простой электронной подписью, правом создания (замены) и выдачи ключа которой в порядке, предусмотренном законодательством Российской Федерации в области использования электронных подписей, обладает оператор единой биометрической системы. Требования к проверке такой электронной подписи при хранении указанного согласия устанавливаются Правительством Российской Федерации.
4. Не допускается использование биометрических персональных данных, согласие физического лица на размещение и обработку которых подписано простой электронной подписью, указанной в части 3 настоящей статьи, в не установленных в соответствии с пунктом 2 части 13 настоящей статьи случаях.
5. Указанное в частях 2 и 3 настоящей статьи согласие, подписанное усиленной неквалифицированной электронной подписью или простой электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью данного физического лица.
6. Правительство Российской Федерации устанавливает требования:
1) к фиксированию действий при размещении сведений, указанных в пунктах 1 и 2 части 1 настоящей статьи;
2) к проведению банками, многофункциональными центрами предоставления государственных и муниципальных услуг и иными организациями, указанными в части 1 настоящей статьи, идентификации физического лица, за исключением банков и иных организаций, проводящих такую идентификацию в порядке, установленном Федеральным законом от 7 августа 2001 года № 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма".
7. Сведения, указанные в пунктах 1 и 2 части 1 настоящей статьи, размещаются соответственно в единой биометрической системе и в единой системе идентификации и аутентификации уполномоченным сотрудником банка, многофункционального центра предоставления государственных и муниципальных услуг или иной организации и подписываются усиленной квалифицированной электронной подписью таких банка, многофункционального центра предоставления государственных и муниципальных услуг или иной организации.
8. Федеральные законы, устанавливающие обязанность банков, многофункциональных центров предоставления государственных и муниципальных услуг и иных организаций по размещению сведений, указанных в пунктах 1 и 2 части 1 настоящей статьи, должны предусматривать осуществление контроля и надзора за соответствующими действиями, а также определение органа государственной власти, уполномоченного на их осуществление. В отношении организаций финансового рынка такие контроль и надзор осуществляются Центральным банком Российской Федерации.
9. Физические лица вправе размещать с использованием мобильного приложения единой биометрической системы свои биометрические персональные данные в единой биометрической системе с применением пользовательского оборудования (оконечного оборудования), имеющего в своем составе идентификационный модуль.
10. Физические лица вправе размещать с использованием российской программы для электронных вычислительных машин, предназначенной для обработки биометрических персональных данных, предоставляемой на безвозмездной основе оператором регионального сегмента и (или) оператором единой биометрической системы, функционирующей с применением шифровальных (криптографических) средств, указанных в части 1 статьи 19 настоящего Федерального закона, предназначенной для размещения биометрических персональных данных в региональном сегменте единой биометрической системы (далее - региональное мобильное приложение единой биометрической системы), свои биометрические персональные данные в региональном сегменте единой биометрической системы с применением пользовательского оборудования (оконечного оборудования), имеющего в своем составе идентификационный модуль, в соответствии с пунктами 1 и 2 части 5 статьи 26 настоящего Федерального закона. Биометрические персональные данные, размещенные в региональном сегменте единой биометрической системы в соответствии с настоящей частью, передаются в единую биометрическую систему в порядке, предусмотренном пунктом 3 части 5 статьи 26 настоящего Федерального закона.
11. Правительство Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, устанавливает порядок размещения физическими лицами своих биометрических персональных данных в единой биометрической системе с использованием мобильного приложения единой биометрической системы, включая необходимость использования учетной записи в единой системе идентификации и аутентификации или в государственной информационной системе персональных данных государственного органа, если такая государственная информационная система в установленном Правительством Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, порядке обеспечивает взаимодействие с единой системой идентификации и аутентификации, при условии совпадения сведений о физическом лице в указанных информационных системах или необходимость наличия идентификаторов, размещенных в иной информационной системе, если иная информационная система в установленном Правительством Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, порядке обеспечивает взаимодействие с единой системой идентификации и аутентификации, при условии совпадения сведений о физическом лице в указанных информационных системах либо отсутствия сведений о физическом лице в единой системе идентификации и аутентификации.
12. Размещение физическими лицами своих биометрических персональных данных в единой биометрической системе с использованием мобильного приложения единой биометрической системы осуществляется в случае, если личность физического лица при таком размещении подтверждена с использованием документа, удостоверяющего личность гражданина Российской Федерации за пределами территории Российской Федерации, содержащего электронный носитель информации с записанными на нем персональными данными владельца паспорта, включая биометрические персональные данные, государственной системы миграционного и регистрационного учета, а также изготовления, оформления и контроля обращения документов, удостоверяющих личность, если иное не установлено Правительством Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности.
13. Правительство Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, устанавливает:
1) случаи и сроки использования биометрических персональных данных, размещенных физическим лицом в единой биометрической системе с использованием мобильного приложения единой биометрической системы, в том числе случаи и сроки использования биометрических персональных данных, размещенных в единой биометрической системе при отсутствии сведений о физическом лице в единой системе идентификации и аутентификации;
2) случаи и сроки использования биометрических персональных данных, размещенных физическим лицом в единой биометрической системе с использованием мобильного приложения единой биометрической системы, согласие физического лица на размещение и обработку которых подписано простой электронной подписью;
3) случаи и сроки использования биометрических персональных данных, размещенных в единой биометрической системе с использованием мобильного приложения единой биометрической системы без подтверждения личности физического лица с использованием документа, удостоверяющего личность гражданина Российской Федерации за пределами территории Российской Федерации, содержащего электронный носитель информации с записанными на нем персональными данными владельца паспорта, включая биометрические персональные данные, государственной системы миграционного и регистрационного учета, а также изготовления, оформления и контроля обращения документов, удостоверяющих личность.
14. В случае, если в информационных системах государственных органов, органов местного самоуправления, Центрального банка Российской Федерации, организаций финансового рынка, иных организаций, индивидуальных предпринимателей, нотариусов в соответствии с федеральными законами собраны биометрические персональные данные, соответствующие всем видам или только одному из видов, размещаемым в единой биометрической системе, за исключением случаев, указанных в части 2 статьи 1 и части 8 статьи 3 настоящего Федерального закона, указанные государственные органы, органы местного самоуправления, Центральный банк Российской Федерации, организации финансового рынка, иные организации, индивидуальные предприниматели, нотариусы обязаны разместить в соответствии с порядком размещения и обновления биометрических персональных данных, установленным в соответствии с подпунктом "б" пункта 1 части 2 статьи 6 настоящего Федерального закона, такие биометрические персональные данные в единой биометрической системе без получения ими согласия соответствующего субъекта персональных данных на это размещение, а также на их обработку оператором единой биометрической системы.
15. Указанные в части 14 настоящей статьи государственные органы, органы местного самоуправления, Центральный банк Российской Федерации, организации финансового рынка, иные организации, индивидуальные предприниматели, нотариусы не позднее чем за 30 дней до планируемого размещения биометрических персональных данных в единой биометрической системе обязаны уведомить субъекта персональных данных в любой позволяющей подтвердить факт получения уведомления форме о таком размещении. В случае получения до истечения указанного в настоящей части срока возражения от субъекта персональных данных против размещения его персональных данных в единой биометрической системе такое размещение не осуществляется. Субъект персональных данных вправе обратиться к оператору единой биометрической системы с требованием о блокировании или об уничтожении его биометрических персональных данных с учетом требований, установленных Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных".
16. Состав сведений, размещаемых в единой биометрической системе, в том числе в ее региональных сегментах, включая информацию о способе размещения, в том числе информацию о государственных органах, об органах местного самоуправления, о Центральном банке Российской Федерации, многофункциональных центрах предоставления государственных и муниципальных услуг, об организациях финансового рынка, иных организациях, индивидуальных предпринимателях, о нотариусах, разместивших такие сведения, определяется Правительством Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности.
17. Порядок регистрации физического лица в единой системе идентификации и аутентификации, включая состав сведений, необходимых для регистрации физического лица в указанной системе, порядок и сроки проверки и обновления сведений, размещаемых в единой системе идентификации и аутентификации, с использованием государственных информационных систем устанавливаются Правительством Российской Федерации. Федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере внутренних дел, иные государственные органы, органы государственных внебюджетных фондов направляют в единую систему идентификации и аутентификации сведения о физических лицах в целях их обновления в соответствии с указанным порядком.
Статья 5. Региональные сегменты единой биометрической системы
1. В составе единой биометрической системы по решению Правительства Российской Федерации, принятому на основании предложения уполномоченного органа в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных, согласованного с федеральным органом исполнительной власти в области обеспечения безопасности, федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, и оператором единой биометрической системы, могут быть образованы региональные сегменты. Указанное в настоящей части предложение формируется на основании обращения высшего исполнительного органа соответствующего субъекта Российской Федерации.
2. Порядок и сроки рассмотрения предусмотренного частью 1 настоящей статьи обращения и предусмотренных частями 1 и 22 настоящей статьи предложений устанавливаются Правительством Российской Федерации.
3. Создание, развитие, модернизация и эксплуатация региональных сегментов единой биометрической системы осуществляются в порядке, установленном оператором соответствующего регионального сегмента единой биометрической системы по согласованию с уполномоченным органом в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных и федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и за счет соответствующего оператора регионального сегмента единой биометрической системы.
4. Региональные сегменты единой биометрической системы должны соответствовать требованиям, предъявляемым к единой биометрической системе с учетом особенностей, предусмотренных настоящей статьей.
5. Согласие физического лица на обработку персональных данных и биометрических персональных данных в целях проведения его аутентификации с использованием регионального сегмента единой биометрической системы предоставляется органам государственной власти субъектов Российской Федерации, подведомственным им организациям, органам местного самоуправления, подведомственным им организациям, иным организациям, указанным в частях 15 и 16 настоящей статьи, в соответствии с требованиями части 4 статьи 9 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных" и может быть подписано:
1) усиленной неквалифицированной электронной подписью;
2) простой электронной подписью, правом создания (замены) и выдачи ключа которой в порядке, предусмотренном законодательством Российской Федерации в области использования электронных подписей, обладает оператор регионального сегмента единой биометрической системы. Требования к проверке такой электронной подписи при хранении указанного согласия устанавливаются Правительством Российской Федерации.
6. Не допускается использование биометрических персональных данных, согласие физического лица на обработку которых в целях проведения его аутентификации подписано простой электронной подписью, в не установленных в соответствии с частью 12 настоящей статьи случаях.
7. Указанное в части 5 настоящей статьи согласие, подписанное усиленной неквалифицированной электронной подписью или простой электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью данного физического лица.
8. Оператор регионального сегмента единой биометрической системы:
1) осуществляет передачу информации о результатах проверки соответствия предоставленных биометрических персональных данных физического лица соответствующим векторам единой биометрической системы, содержащимся в региональном сегменте единой биометрической системы, указанным в частях 15 и 16 настоящей статьи органам государственной власти субъектов Российской Федерации, подведомственным им организациям, органам местного самоуправления, подведомственным им организациям, иным организациям, предоставляющим услуги, организация оказания которых регулируется нормативными правовыми актами субъекта Российской Федерации;
2) не ранее чем за шесть месяцев до планируемого использования для осуществления аутентификации направляет оператору единой биометрической системы мотивированный запрос о предоставлении векторов единой биометрической системы для осуществления аутентификации физических лиц, давших согласие на размещение и обработку персональных данных в единой системе идентификации и аутентификации и биометрических персональных данных в единой биометрической системе в соответствии с частями 2 и 3 статьи 4 настоящего Федерального закона;
3) не вправе предоставлять третьим лицам содержащиеся в региональном сегменте единой биометрической системы векторы единой биометрической системы;
4) по мотивированному запросу, направленному в соответствии с законодательством Российской Федерации, предоставляет в федеральный орган исполнительной власти в области обеспечения безопасности и федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере внутренних дел, в целях обеспечения обороны страны и безопасности государства, охраны правопорядка, транспортной безопасности и противодействия терроризму сведения, содержащиеся в региональном сегменте единой биометрической системы. Порядок такого предоставления устанавливается Правительством Российской Федерации;
5) по требованию физического лица блокирует или уничтожает его биометрические персональные данные, векторы единой биометрической системы с учетом требований, установленных Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных";
6) по мотивированному запросу федеральных органов исполнительной власти, уполномоченных в области безопасности, деятельности войск национальной гвардии Российской Федерации, обеспечения государственной защиты, государственной охраны, внешней разведки, блокирует, удаляет, уничтожает биометрические персональные данные физических лиц, вносит изменения в сведения, содержащиеся в региональном сегменте единой биометрической системы, в случаях, предусмотренных законодательством Российской Федерации, а также предоставляет доступ к таким сведениям в случаях, предусмотренных законодательством Российской Федерации, для реализации указанными федеральными органами исполнительной власти своих полномочий;
7) по мотивированному запросу уполномоченного органа по защите прав субъектов персональных данных уточняет, блокирует, прекращает обработку и уничтожает персональные данные физических лиц, содержащиеся в региональном сегменте единой биометрической системы, включая биометрические персональные данные, векторы единой биометрической системы, в случаях, предусмотренных законодательством Российской Федерации в области персональных данных;
8) направляет перечень органов государственной власти субъектов Российской Федерации, подведомственных им организаций, органов местного самоуправления, подведомственных им организаций, иных организаций, использующих региональный сегмент единой биометрической системы в целях аутентификации, в уполномоченный орган по защите прав субъектов персональных данных, предоставляет указанный перечень оператору единой биометрической системы для размещения на его официальном сайте в информационно-телекоммуникационной сети "Интернет" и обеспечивает поддержание его в актуальном состоянии;
9) по мотивированному запросу органов государственной власти субъектов Российской Федерации, подведомственных им организаций, органов местного самоуправления, подведомственных им организаций, иных организаций, использующих региональный сегмент единой биометрической системы в соответствии с частями 15 и 16 настоящей статьи, основанному на обращении субъекта персональных данных, предполагающего неправомерную обработку его биометрических персональных данных при предоставлении информации о степени соответствия предоставленных биометрических персональных данных физического лица вектору единой биометрической системы, содержащемуся в региональном сегменте единой биометрической системы, и (или) оспаривающего результаты проведения аутентификации, вправе в порядке, установленном Правительством Российской Федерации, направить мотивированный запрос оператору единой биометрической системы о предоставлении информации о результатах проверки соответствия предоставленных органом или организацией биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой биометрической системе, при условии передачи оператору единой биометрической системы оператором регионального сегмента единой биометрической системы биометрических персональных данных;
10) по мотивированному запросу оператора единой биометрической системы, направленному в соответствии с законодательством Российской Федерации, блокирует, удаляет, уничтожает биометрические персональные данные и векторы единой биометрической системы, а также вносит изменения в сведения, содержащиеся в региональном сегменте единой биометрической системы.
9. В региональных сегментах единой биометрической системы допускается обработка, включая хранение, векторов единой биометрической системы, полученных из единой биометрической системы в соответствии с пунктом 2 части 8 настоящей статьи.
10. В региональных сегментах единой биометрической системы запрещено хранение биометрических персональных данных, за исключением хранения для рассмотрения обращений субъектов персональных данных, предполагающих неправомерную обработку их биометрических персональных данных при проведении аутентификации и (или) оспаривающих результаты проведения аутентификации, в течение не более десяти суток с момента предоставления таких данных в целях проведения аутентификации в соответствии с частями 15 и 16 настоящей статьи.
11. По истечении срока, указанного в части 10 настоящей статьи, оператор регионального сегмента единой биометрической системы обязан уничтожить биометрические персональные данные. Для уничтожения биометрических персональных данных применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция автоматического уничтожения информации по истечении определенного заданного срока.
12. Использование региональных сегментов единой биометрической системы, а также предоставление в соответствии с пунктом 2 части 8 настоящей статьи векторов единой биометрической системы допускается для аутентификации при предоставлении государственных услуг органами исполнительной власти субъекта Российской Федерации, предоставлении муниципальных услуг, а также при предоставлении иных услуг организациями, если оказание таких услуг регулируется нормативными правовыми актами субъекта Российской Федерации. Правительство Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и высшим исполнительным органом соответствующего субъекта Российской Федерации устанавливает случаи использования соответствующего регионального сегмента единой биометрической системы и предоставления векторов единой биометрической системы. Указанные случаи предусматривают в том числе случаи использования региональных сегментов единой биометрической системы при отсутствии сведений о физическом лице в единой системе идентификации и аутентификации, а также случаи использования биометрических персональных данных, согласие физического лица на обработку которых в целях проведения его аутентификации подписано простой электронной подписью, указанной в пункте 2 части 5 настоящей статьи.
13. Региональные сегменты единой биометрической системы могут использоваться в иных правоотношениях в случаях, установленных федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами.
14. Перед использованием регионального сегмента единой биометрической системы органы государственной власти субъектов Российской Федерации, подведомственные им организации, органы местного самоуправления, подведомственные им организации, иные организации, указанные в части 15 настоящей статьи, предоставляют в единую систему идентификации и аутентификации сведения о физических лицах, содержащиеся в их информационных системах персональных данных, включая идентификаторы таких сведений. Данные идентификаторы и сведения сопоставляются со сведениями о физических лицах, содержащимися в единой системе идентификации и аутентификации, и после такого сопоставления данные идентификаторы передаются из единой системы идентификации и аутентификации в региональный сегмент единой биометрической системы, за исключением случая отсутствия сведений о физическом лице в единой системе идентификации и аутентификации.
15. Аутентификация физического лица с использованием регионального сегмента единой биометрической системы осуществляется органами государственной власти соответствующего субъекта Российской Федерации, подведомственными им организациями, органами местного самоуправления данного субъекта Российской Федерации, подведомственными им организациями, иными организациями, предоставляющими услуги, организация оказания которых регулируется нормативными правовыми актами субъекта Российской Федерации, которые имеют место нахождения на территории данного субъекта Российской Федерации.
16. Использование в целях аутентификации регионального сегмента единой биометрической системы на территории иного субъекта Российской Федерации возможно только организациями, оказывающими услуги по перевозке пассажиров, в случаях, предусмотренных пунктом 9 статьи 95 Кодекса внутреннего водного транспорта Российской Федерации, статьей 931 Федерального закона от 10 января 2003 года № 18-ФЗ "Устав железнодорожного транспорта Российской Федерации", частью 25 статьи 20 Федерального закона от 8 ноября 2007 года № 259-ФЗ "Устав автомобильного транспорта и городского наземного электрического транспорта", частью 7 статьи 12 Федерального закона от 29 декабря 2017 года № 442-ФЗ "О внеуличном транспорте и о внесении изменений в отдельные законодательные акты Российской Федерации".
17. Аутентификация физического лица с использованием регионального сегмента единой биометрической системы осуществляется при условии выполнения требования, предусмотренного частью 14 настоящей статьи, путем проверки принадлежности этому физическому лицу идентификаторов одним из следующих способов:
1) посредством сопоставления их со сведениями о физическом лице, размещенными в единой системе идентификации и аутентификации, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица векторам единой биометрической системы, содержащимся в региональном сегменте единой биометрической системы, по указанным идентификаторам;
2) посредством сопоставления их со сведениями о физическом лице, размещенными в государственной информационной системе персональных данных органа государственной власти соответствующего субъекта Российской Федерации, если такая государственная информационная система в установленном Правительством Российской Федерации порядке обеспечивает взаимодействие с единой системой идентификации и аутентификации, при условии совпадения сведений о физическом лице в указанных информационных системах, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица векторам единой биометрической системы, содержащимся в региональном сегменте единой биометрической системы, по указанным идентификаторам;
3) посредством сопоставления их с идентификаторами, размещенными в иной информационной системе, если такая информационная система в установленном Правительством Российской Федерации порядке обеспечивает взаимодействие с единой системой идентификации и аутентификации, при условии совпадения сведений о физическом лице в указанных информационных системах либо отсутствия сведений о физическом лице в единой системе идентификации и аутентификации, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица векторам единой биометрической системы, содержащимся в региональном сегменте единой биометрической системы, по указанным идентификаторам.
18. Перечень угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в региональном сегменте единой биометрической системы, а также актуальных при взаимодействии единой биометрической системы, информационных систем органов государственной власти субъектов Российской Федерации, подведомственных им организаций, органов местного самоуправления, подведомственных им организаций, иных организаций с региональным сегментом единой биометрической системы, определяется для каждого регионального сегмента единой биометрической системы на основе перечня, устанавливаемого в соответствии с пунктом 4 части 2 статьи 6 настоящего Федерального закона, федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных, по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, и оператором единой биометрической системы с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных.
19. Оператор единой биометрической системы вправе осуществлять мониторинг региональных сегментов единой биометрической системы, в том числе в части соблюдения операторами соответствующих региональных сегментов единой биометрической системы требований к их функционированию и использованию, установленных настоящим Федеральным законом.
20. В случае выявления в рамках мониторинга несоблюдения оператором регионального сегмента единой биометрической системы требований, установленных частями 6 и 7 статьи 3, частями 4, 8 - 13, 15 - 18 настоящей статьи, статьей 19 настоящего Федерального закона, и (или) требований, установленных в соответствии с частью 3 статьи 3, пунктами 1 и 3 части 2 статьи 6 настоящего Федерального закона, оператор единой биометрической системы информирует оператора регионального сегмента единой биометрической системы о выявленных нарушениях, а также уполномоченный орган в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных о несоблюдении оператором регионального сегмента единой биометрической системы соответствующих требований для оценки указанным уполномоченным органом целесообразности формирования предложения об исключении регионального сегмента единой биометрической системы из состава единой биометрической системы в порядке, установленном частью 21 настоящей статьи.
21. Оценка целесообразности формирования предложения об исключении регионального сегмента единой биометрической системы из состава единой биометрической системы осуществляется уполномоченным органом в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных совместно с федеральным органом исполнительной власти в области обеспечения безопасности, федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, и оператором единой биометрической системы с учетом рассмотрения мотивированной позиции оператора регионального сегмента единой биометрической системы.
22. В случае несоблюдения оператором регионального сегмента единой биометрической системы требований, предусмотренных частями 6 и 7 статьи 3, частями 4, 8 - 13, 15 - 18 настоящей статьи, статьей 19 настоящего Федерального закона, а также требований, установленных в соответствии с частью 3 статьи 3, пунктами 1 и 3 части 2 статьи 6 настоящего Федерального закона, по решению Правительства Российской Федерации, принимаемому на основании предложения уполномоченного органа в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных, согласованного с федеральным органом исполнительной власти в области обеспечения безопасности, федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, и оператором единой биометрической системы, региональный сегмент единой биометрической системы исключается из состава единой биометрической системы.
23. В случае исключения регионального сегмента единой биометрической системы из состава единой биометрической системы оператор регионального сегмента единой биометрической системы обязан уничтожить векторы единой биометрической системы и биометрические персональные данные, содержащиеся в региональном сегменте единой биометрической системы. Для уничтожения векторов единой биометрической системы и биометрических персональных данных применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция автоматического уничтожения информации по истечении определенного заданного срока.
Статья 6. Уполномоченный орган, осуществляющий регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных
1. Правительство Российской Федерации определяет федеральный орган исполнительной власти, осуществляющий регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных.
2. Федеральный орган исполнительной власти, осуществляющий регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных:
1) определяет:
а) порядок обработки, включая сбор, хранение, биометрических персональных данных, в том числе требования к параметрам биометрических персональных данных;
б) порядок размещения и обновления биометрических персональных данных в единой биометрической системе;
в) случаи и сроки использования биометрических персональных данных при их размещении в единой биометрической системе в соответствии с частью 14 статьи 4 настоящего Федерального закона;
г) порядок обработки, включая сбор, хранения и уничтожения биометрических персональных данных, векторов единой биометрической системы в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц;
д) порядок создания и передачи векторов единой биометрической системы в целях осуществления аутентификации;
е) требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения идентификации и (или) аутентификации, а также порядок подтверждения соответствия информационных технологий и технических средств указанным требованиям;
2) определяет формы подтверждения соответствия информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных, векторов единой биометрической системы, требованиям, определенным в соответствии с подпунктом "е" пункта 1 настоящей части, и публикует перечень технологий и средств, имеющих подтверждение соответствия. Формы подтверждения соответствия устанавливаются по согласованию с федеральным органом исполнительной власти в области обеспечения безопасности. В банковской сфере и иных сферах финансового рынка указанные требования дополнительно согласовываются с Центральным банком Российской Федерации;
3) в отношении биометрических персональных данных, используемых в соответствии со статьями 5, 9, 10, 14 и 16 настоящего Федерального закона, разрабатывает и утверждает методики проверки соответствия предоставленных биометрических персональных данных физического лица соответствующим векторам единой биометрической системы, а в отношении биометрических персональных данных, используемых в соответствии со статьей 9 и частями 1 и 2 статьи 14 настоящего Федерального закона, также определяет степень взаимного соответствия указанных биометрических персональных данных и векторов единой биометрической системы, достаточную для проведения идентификации и (или) аутентификации, предусмотренных настоящим Федеральным законом. В банковской сфере и иных сферах финансового рынка указанные методики дополнительно согласовываются с Центральным банком Российской Федерации;
4) по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, Центральным банком Российской Федерации и оператором единой биометрической системы определяет перечень угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в единой биометрической системе, а также актуальных при взаимодействии информационных систем государственных органов, органов местного самоуправления, Центрального банка Российской Федерации, организаций, за исключением организаций финансового рынка, индивидуальных предпринимателей, нотариусов с единой биометрической системой, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных;
5) распространяет на безвозмездной основе для физических и юридических лиц шифровальное (криптографическое) средство, соответствующее требованиям к шифровальным (криптографическим) средствам, указанным в части 1 статьи 19 настоящего Федерального закона. Указанное шифровальное (криптографическое) средство может использоваться физическими и юридическими лицами в целях аутентификации при взаимодействии с единой биометрической системой, информационными системами организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, если физическими и юридическими лицами не используется иное шифровальное (криптографическое) средство, соответствующее требованиям к шифровальным (криптографическим) средствам, указанным в части 1 статьи 19 настоящего Федерального закона;
6) по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, и оператором единой биометрической системы определяет перечень угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением организаций финансового рынка, и единой биометрической системы, а также актуальных при взаимодействии информационных систем государственных органов, органов местного самоуправления, Центрального банка Российской Федерации, организаций, за исключением организаций финансового рынка, индивидуальных предпринимателей, нотариусов с указанными информационными системами, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных;
7) обеспечивает возможность идентификации и (или) аутентификации физических лиц на основе биометрических персональных данных с использованием единой биометрической системы и единой системы идентификации и аутентификации для предоставления государственных услуг, исполнения государственных функций посредством заключения с многофункциональными центрами предоставления государственных и муниципальных услуг соглашений о взаимодействии с многофункциональными центрами предоставления государственных и муниципальных услуг в соответствии со статьей 18 Федерального закона от 27 июля 2010 года № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг";
8) осуществляет аккредитацию государственных органов, указанных в пункте 2 части 2 статьи 14 настоящего Федерального закона, Центрального банка Российской Федерации, а также организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц;
9) осуществляет подтверждение соответствия информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных в целях проведения идентификации и (или) аутентификации, требованиям, установленным в соответствии с подпунктом "е" пункта 1 настоящей части;
10) определяет порядок и сроки направления, в том числе с использованием федеральной государственной информационной системы "Единый портал государственных и муниципальных услуг (функций)", оператору регионального сегмента единой биометрической системы, аккредитованному государственному органу, Центральному банку Российской Федерации в случае прохождения им аккредитации, организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, запроса о блокировании, об удалении, уничтожении векторов единой биометрической системы в случае отзыва субъектом персональных данных у оператора единой биометрической системы согласия на обработку биометрических персональных данных или получения от субъекта персональных данных требования о блокировании, об удалении, уничтожении биометрических персональных данных и (или) векторов единой биометрической системы с учетом требований, установленных Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных", а также порядок подтверждения осуществления таких блокирования, удаления, уничтожения векторов единой биометрической системы.
3. Указанные в пункте 1 части 2 настоящей статьи порядки и требования устанавливаются по согласованию с федеральным органом исполнительной власти в области обеспечения безопасности. В банковской сфере и иных сферах финансового рынка указанные порядки и требования дополнительно согласовываются с Центральным банком Российской Федерации.
Статья 7. Полномочия федеральных органов исполнительной власти и Центрального банка Российской Федерации
1. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий, установленных законодательством Российской Федерации о персональных данных, осуществляют контроль и надзор:
1) за применением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии со статьей 19 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных", при обработке персональных данных в единой биометрической системе, в том числе в ее региональных сегментах;
2) за выполнением требований, установленных частями 6 и 8 статьи 3, частями 11 и 12 статьи 4, частью 4, пунктами 6 и 10 части 8, частями 14, 17 и 18 статьи 5, пунктами 5 и 9 части 2 статьи 8, частью 2 статьи 9, частями 5, 6 и 15 статьи 10, статьями 13 - 16 настоящего Федерального закона, за исключением контроля и надзора за применением организационных и технических мер по обеспечению безопасности персональных данных при использовании единой биометрической системы организациями финансового рынка.
2. Уполномоченный орган по защите прав субъектов персональных данных, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, осуществляют контроль и надзор за соблюдением многофункциональными центрами предоставления государственных и муниципальных услуг порядка размещения и обновления биометрических персональных данных в единой биометрической системе в установленном Правительством Российской Федерации порядке.
3. Уполномоченный орган по защите прав субъектов персональных данных осуществляет:
1) контроль и надзор за обработкой персональных данных, включая биометрические персональные данные и векторы единой биометрической системы, в единой биометрической системе, в том числе в ее региональных сегментах, в информационных системах аккредитованных государственных органов и организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, а также в информационных системах государственных органов, органов местного самоуправления, Центрального банка Российской Федерации, организаций финансового рынка, иных организаций, индивидуальных предпринимателей, нотариусов, которые используют единую биометрическую систему, в том числе ее региональные сегменты, информационные системы организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, в пределах полномочий, установленных законодательством Российской Федерации о персональных данных;
2) контроль за выполнением оператором единой биометрической системы, оператором регионального сегмента единой биометрической системы требований, указанных в пункте 3 части 2 статьи 8 и пункте 3 части 8 статьи 5 настоящего Федерального закона соответственно, частях 8 - 14 статьи 10 настоящего Федерального закона;
3) контроль за выполнением организациями, осуществляющими аутентификацию на основе биометрических персональных данных физических лиц, требований, указанных в частях 8 - 14 статьи 16 настоящего Федерального закона.
4. Центральный банк Российской Федерации:
1) по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных, и оператором единой биометрической системы определяет перечень угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица при взаимодействии информационных систем организаций финансового рынка с единой биометрической системой с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных;
2) по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных, и оператором единой биометрической системы определяет перечень угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии информационных систем организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных;
3) осуществляет контроль и надзор за применением организациями финансового рынка организационных и технических мер по обеспечению безопасности биометрических персональных данных;
4) по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных, вправе установить требования к организации банками процесса сбора и размещения биометрических персональных данных физического лица в единой биометрической системе, осуществляемых в соответствии с порядками, установленными в соответствии с подпунктами "а" и "б" пункта 1 части 2 статьи 6 настоящего Федерального закона, требования к применению банками единой биометрической системы посредством их официального сайта в сети "Интернет", а также их мобильного приложения в соответствии с Федеральным законом от 7 августа 2001 года № 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма".
Статья 8. Оператор единой биометрической системы
1. Функции оператора единой биометрической системы осуществляет определенная Правительством Российской Федерации организация, соответствующая следующим требованиям:
1) является российским юридическим лицом;
2) является владельцем технических средств, предназначенных для обработки информации, содержащейся в единой биометрической системе, в том числе программно-технических средств и средств защиты информации, соответствующих требованиям законодательства Российской Федерации об информации, информационных технологиях и о защите информации, в области персональных данных, а также о техническом регулировании, за исключением технических средств региональных сегментов единой биометрической системы;
3) обладает исключительным правом на программу для электронных вычислительных машин, обеспечивающую функционирование единой биометрической системы и обработку содержащейся в ней информации, за исключением программ для электронных вычислительных машин региональных сегментов единой биометрической системы.
2. Оператор единой биометрической системы:
1) осуществляет передачу информации о результатах проверки соответствия предоставленных биометрических персональных данных физического лица соответствующим векторам единой биометрической системы, содержащимся в единой биометрической системе, в государственные органы, органы местного самоуправления, Центральный банк Российской Федерации, организации финансового рынка, иные организации, индивидуальным предпринимателям, нотариусам;
2) осуществляет передачу векторов единой биометрической системы в целях осуществления аутентификации оператору регионального сегмента единой биометрической системы, аккредитованным государственным органам, Центральному банку Российской Федерации в случае прохождения им аккредитации, организациям, осуществляющим аутентификацию на основе биометрических персональных данных физических лиц;
3) не вправе предоставлять третьим лицам биометрические персональные данные физических лиц, содержащиеся в единой биометрической системе, за исключением случаев, указанных в пункте 4 настоящей части;
4) по мотивированному запросу, направленному в соответствии с законодательством Российской Федерации, предоставляет в федеральный орган исполнительной власти в области обеспечения безопасности и федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере внутренних дел, в целях обеспечения обороны страны, безопасности государства, охраны правопорядка, транспортной безопасности и противодействия терроризму сведения, содержащиеся в единой биометрической системе. Порядок такого предоставления устанавливается Правительством Российской Федерации;
5) по мотивированному запросу федеральных органов исполнительной власти, уполномоченных в области безопасности, деятельности войск национальной гвардии Российской Федерации, обеспечения государственной защиты, государственной охраны, внешней разведки, блокирует, удаляет, уничтожает биометрические персональные данные физических лиц, вносит изменения в сведения, содержащиеся в единой биометрической системе, в случаях, предусмотренных законодательством Российской Федерации, а также предоставляет доступ к указанным сведениям в случаях, предусмотренных законодательством Российской Федерации, для реализации указанными федеральными органами исполнительной власти своих полномочий;
6) по мотивированному запросу уполномоченного органа по защите прав субъектов персональных данных уточняет, блокирует, прекращает обработку и уничтожает персональные данные физических лиц, содержащиеся в единой биометрической системе, включая биометрические персональные данные и векторы единой биометрической системы, в случаях, предусмотренных законодательством Российской Федерации в области персональных данных;
7) вправе направить мотивированный запрос в соответствии с законодательством Российской Федерации оператору регионального сегмента единой биометрической системы, аккредитованному государственному органу, Центральному банку Российской Федерации в случае прохождения им аккредитации, организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, о блокировании, об удалении, уничтожении векторов единой биометрической системы, а также о внесении изменений в сведения, содержащиеся в региональном сегменте единой биометрической системы, информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, в том числе с использованием федеральной государственной информационной системы "Единый портал государственных и муниципальных услуг (функций)", в том числе в случае отзыва субъектом персональных данных согласия на обработку биометрических персональных данных или получения от субъекта персональных данных требования о блокировании, об удалении, уничтожении биометрических персональных данных и (или) векторов единой биометрической системы с учетом требований, установленных Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных";
8) направляет в уполномоченный орган по защите прав субъектов персональных данных, а также размещает на своем официальном сайте в сети "Интернет" и поддерживает в актуальном состоянии в порядке, установленном федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных, перечни, в которые включены:
а) аккредитованные государственные органы, Центральный банк Российской Федерации в случае прохождения им аккредитации, организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц;
б) государственные органы, органы местного самоуправления, Центральный банк Российской Федерации, организации финансового рынка, иные организации, индивидуальные предприниматели, нотариусы, использующие единую биометрическую систему в целях идентификации и (или) аутентификации;
в) органы государственной власти субъектов Российской Федерации, подведомственные им организации, органы местного самоуправления, подведомственные им организации, иные организации, использующие региональные сегменты единой биометрической системы в целях аутентификации;
9) по мотивированному запросу оператора регионального сегмента единой биометрической системы, аккредитованного государственного органа, Центрального банка Российской Федерации в случае прохождения им аккредитации, организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, основанному на обращении субъекта персональных данных, предполагающего неправомерную обработку его биометрических персональных данных при проведении аутентификации и (или) оспаривающего результаты проведения аутентификации, в порядке, установленном Правительством Российской Федерации, предоставляет информацию о результатах проверки соответствия предоставленных оператором регионального сегмента единой биометрической системы, аккредитованным государственным органом, Центральным банком Российской Федерации в случае прохождения им аккредитации, организацией, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой биометрической системе, при условии передачи оператором регионального сегмента единой биометрической системы, аккредитованным государственным органом, Центральным банком Российской Федерации в случае прохождения им аккредитации, организацией, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, или субъектом персональных данных биометрических персональных данных.
Статья 9. Осуществление идентификации с использованием единой биометрической системы
1. Идентификация физического лица осуществляется, в том числе без его личного присутствия, государственными органами, органами местного самоуправления, Центральным банком Российской Федерации, организациями финансового рынка, иными организациями, индивидуальными предпринимателями, нотариусами в случаях, установленных федеральными законами, актами Правительства Российской Федерации и иными принятыми в соответствии с ними нормативными правовыми актами, путем установления и проверки достоверности сведений о нем с использованием:
1) информации о степени соответствия предоставленных биометрических персональных данных физического лица соответствующим векторам единой биометрической системы, содержащимся в единой биометрической системе;
2) сведений о физическом лице, биометрические персональные данные которого содержатся в единой биометрической системе, размещенных в единой системе идентификации и аутентификации, в порядке, установленном Правительством Российской Федерации.
2. Взаимодействие государственных органов, органов местного самоуправления, Центрального банка Российской Федерации, организаций финансового рынка, иных организаций, индивидуальных предпринимателей, нотариусов с единой биометрической системой допускается после предоставления оператору единой биометрической системы документов, подтверждающих:
1) применение организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных";
2) использование шифровальных (криптографических) средств, позволяющих обеспечить безопасность персональных данных от угроз, определенных:
а) для государственных органов, органов местного самоуправления, Центрального банка Российской Федерации, организаций, за исключением организаций финансового рынка, индивидуальных предпринимателей, нотариусов в соответствии с пунктом 4 части 2 статьи 6 настоящего Федерального закона;
б) для организаций финансового рынка в соответствии с пунктом 1 части 4 статьи 7 настоящего Федерального закона;
3) выполнение требований, установленных в соответствии с пунктом 1 части 2 статьи 6 настоящего Федерального закона.
3. Согласие физического лица на обработку персональных данных и биометрических персональных данных в целях проведения его идентификации предоставляется государственным органам, органам местного самоуправления, Центральному банку Российской Федерации, организациям финансового рынка, иным организациям, индивидуальным предпринимателям, нотариусам, указанным в части 1 настоящей статьи, в соответствии с требованиями части 4 статьи 9 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных" и может быть подписано усиленной неквалифицированной электронной подписью. Указанное согласие, подписанное усиленной неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью данного физического лица.
4. Государственные органы, органы местного самоуправления, Центральный банк Российской Федерации, организации финансового рынка, иные организации, индивидуальные предприниматели, нотариусы при проведении идентификации физического лица в соответствии с частью 1 настоящей статьи вправе подтверждать достоверность сведений, предусмотренных пунктом 2 части 1 настоящей статьи, с использованием информационной системы федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере внутренних дел, информационных систем иных государственных органов, Фонда пенсионного и социального страхования Российской Федерации, Федерального фонда обязательного медицинского страхования и (или) государственной информационной системы, определенной Правительством Российской Федерации.
5. В случаях, установленных федеральными законами, государственные органы, органы местного самоуправления, Центральный банк Российской Федерации, организации финансового рынка, иные организации, индивидуальные предприниматели, нотариусы вправе обновлять информацию о физических лицах, идентифицированных в соответствии с настоящей статьей, с использованием сведений, полученных из единой системы идентификации и аутентификации.
Статья 10. Осуществление аутентификации с использованием единой биометрической системы
1. Государственные органы, органы местного самоуправления, Центральный банк Российской Федерации, организации финансового рынка, иные организации, индивидуальные предприниматели, нотариусы вправе использовать единую биометрическую систему для аутентификации физического лица, выразившего согласие на ее проведение, в целях совершения определенных действий или подтверждения волеизъявления либо подтверждения полномочия лица на совершение определенных действий.
2. Согласие физического лица на обработку персональных данных и биометрических персональных данных в целях проведения его аутентификации с использованием единой биометрической системы предоставляется государственным органам, органам местного самоуправления, Центральному банку Российской Федерации, организациям финансового рынка, иным организациям, индивидуальным предпринимателям, нотариусам, указанным в части 1 настоящей статьи, в соответствии с требованиями части 4 статьи 9 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных" и может быть подписано:
1) усиленной неквалифицированной электронной подписью;
2) простой электронной подписью, правом создания (замены) и выдачи ключа которой в порядке, предусмотренном законодательством Российской Федерации в области использования электронных подписей, обладает государственный орган, орган местного самоуправления, Центральный банк Российской Федерации, организация финансового рынка, иная организация, индивидуальный предприниматель, нотариус, указанные в части 1 настоящей статьи. Требования к проверке такой электронной подписи при хранении указанного согласия устанавливаются Правительством Российской Федерации.
3. Не допускается использование биометрических персональных данных, согласие физического лица на обработку которых в целях проведения его аутентификации подписано простой электронной подписью, указанной в пункте 2 части 2 настоящей статьи, в не установленных Правительством Российской Федерации в соответствии с пунктом 2 части 13 статьи 4 настоящего Федерального закона случаях.
4. Указанное в части 2 настоящей статьи согласие, подписанное усиленной неквалифицированной электронной подписью или простой электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью данного физического лица.
5. Перед использованием единой биометрической системы государственные органы, органы местного самоуправления, Центральный банк Российской Федерации, организации финансового рынка, иные организации, индивидуальные предприниматели, нотариусы, указанные в части 1 настоящей статьи, предоставляют в единую систему идентификации и аутентификации сведения о физических лицах, содержащиеся в их информационных системах персональных данных, включая идентификаторы таких сведений. Данные идентификаторы и сведения сопоставляются со сведениями о физических лицах, содержащимися в единой системе идентификации и аутентификации, и после такого сопоставления данные идентификаторы передаются из единой системы идентификации и аутентификации в единую биометрическую систему, за исключением случая отсутствия сведений о физическом лице в единой системе идентификации и аутентификации в соответствии с частью 9 статьи 4 настоящего Федерального закона.
6. Аутентификация физического лица осуществляется государственными органами, органами местного самоуправления, Центральным банком Российской Федерации, организациями финансового рынка, иными организациями, индивидуальными предпринимателями, нотариусами, указанными в части 1 настоящей статьи, при условии выполнения требования, предусмотренного частью 5 настоящей статьи, одним из следующих способов путем проверки принадлежности этому физическому лицу идентификаторов посредством сопоставления их:
1) со сведениями о физическом лице, размещенными в единой системе идентификации и аутентификации, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица векторам единой биометрической системы, содержащимся в единой биометрической системе, по указанным идентификаторам;
2) со сведениями о физическом лице, размещенными соответственно в государственной информационной системе персональных данных государственного органа, информационной системе персональных данных органа местного самоуправления, информационной системе персональных данных Центрального банка Российской Федерации, информационной системе персональных данных организации финансового рынка, иной организации, или индивидуального предпринимателя, или нотариуса, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица векторам единой биометрической системы, содержащимся в единой биометрической системе, по указанным идентификаторам.
7. Организации, индивидуальные предприниматели, указанные в части 1 настоящей статьи и частях 15 и 16 статьи 5 настоящего Федерального закона, должны соответствовать следующим критериям:
1) организация, а также ее единоличный исполнительный орган либо члены коллегиального исполнительного органа, индивидуальный предприниматель не включены в перечень организаций и физических лиц, в отношении которых имеются сведения об их причастности к экстремистской деятельности или терроризму, или в перечни организаций и физических лиц, связанных с террористическими организациями и террористами или с распространением оружия массового уничтожения, указанные в Федеральном законе от 7 августа 2001 года № 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма";
2) у единоличного исполнительного органа либо членов коллегиального исполнительного органа организации, индивидуального предпринимателя отсутствует неснятая или непогашенная судимость;
3) в отношении организации в едином государственном реестре юридических лиц отсутствует запись о недостоверности сведений о юридическом лице.
8. Подтверждение соответствия индивидуальных предпринимателей и организаций, за исключением организаций финансового рынка, указанных в части 1 настоящей статьи или частях 15 и 16 статьи 5 настоящего Федерального закона, критерию, указанному в пункте 1 части 7 настоящей статьи, осуществляется путем проверки оператором единой биометрической системы или оператором регионального сегмента единой биометрической системы отсутствия сведений о таких индивидуальных предпринимателях и организациях в соответствующих перечнях, размещенных федеральным органом исполнительной власти, осуществляющим функции по противодействию легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма и финансированию распространения оружия массового уничтожения, на своем официальном сайте в сети "Интернет" в соответствии с Федеральным законом от 7 августа 2001 года № 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма".
9. Подтверждение соответствия индивидуальных предпринимателей и организаций, за исключением организаций финансового рынка, указанных в части 1 настоящей статьи или частях 15 и 16 статьи 5 настоящего Федерального закона, критерию, указанному в пункте 3 части 7 настоящей статьи, осуществляется путем предоставления оператору единой биометрической системы или оператору регионального сегмента единой биометрической системы по их запросу информации федеральным органом исполнительной власти, осуществляющим государственную регистрацию юридических лиц и физических лиц в качестве индивидуальных предпринимателей.
10. Подтверждение соответствия индивидуальных предпринимателей и организаций, за исключением организаций финансового рынка, указанных в части 1 настоящей статьи или частях 15 и 16 статьи 5 настоящего Федерального закона, критерию, указанному в пункте 2 части 7 настоящей статьи, осуществляется путем предоставления оператору единой биометрической системы или оператору регионального сегмента единой биометрической системы справки об отсутствии неснятой или непогашенной судимости, выданной федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере внутренних дел.
11. Взаимодействие государственных органов, органов местного самоуправления, Центрального банка Российской Федерации, организаций финансового рынка, иных организаций, индивидуальных предпринимателей, нотариусов с единой биометрической системой, организаций, указанных в частях 15 и 16 статьи 5 настоящего Федерального закона, с региональным сегментом единой биометрической системы допускается после предоставления оператору единой биометрической системы и оператору регионального сегмента единой биометрической системы соответственно документов, подтверждающих применение организационных и технических мер по обеспечению безопасности биометрических персональных данных и использование шифровальных (криптографических) средств, указанных в пункте 2 части 15 настоящей статьи, а также выполнение требований, установленных в соответствии с пунктом 1 части 2 статьи 6 настоящего Федерального закона, в случае, если аутентификация физического лица осуществляется путем проверки принадлежности ему идентификаторов посредством сопоставления их со сведениями, указанными в пункте 1 части 6 настоящей статьи, для единой биометрической системы, со сведениями, указанными в пунктах 1 и 2 части 17 статьи 5 настоящего Федерального закона, для регионального сегмента единой биометрической системы.
12. В случае, если аутентификация физического лица осуществляется путем проверки принадлежности ему идентификаторов посредством сопоставления их со сведениями, указанными в пункте 2 части 6 настоящей статьи, для единой биометрической системы, со сведениями, указанными в пункте 3 части 17 статьи 5 настоящего Федерального закона, для регионального сегмента единой биометрической системы, обработка биометрических персональных данных допускается после предоставления оператору единой биометрической системы и оператору регионального сегмента единой биометрической системы соответственно актов проверки, составленных федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, по результатам проверки в соответствии с частью 1 статьи 7 настоящего Федерального закона.
13. Оператор единой биометрической системы обязан хранить указанные в частях 8 - 12 настоящей статьи информацию и документы на протяжении всего срока использования единой биометрической системы.
14. Оператор регионального сегмента единой биометрической системы обязан хранить указанные в частях 8 - 12 настоящей статьи информацию и документы на протяжении всего срока использования регионального сегмента единой биометрической системы.
15. Государственные органы, органы местного самоуправления, Центральный банк Российской Федерации, организации финансового рынка, иные организации, индивидуальные предприниматели, нотариусы, указанные в части 1 настоящей статьи, органы государственной власти субъектов Российской Федерации, подведомственные им организации, органы местного самоуправления, подведомственные им организации, иные организации, указанные в частях 15 и 16 статьи 5 настоящего Федерального закона, при использовании соответственно единой биометрической системы, регионального сегмента единой биометрической системы обязаны:
1) применять организационные и технические меры по обеспечению безопасности персональных данных, предусмотренные в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных";
2) использовать шифровальное (криптографическое) средство, определенное пунктом 5 части 2 статьи 6 настоящего Федерального закона, либо шифровальные (криптографические) средства, позволяющие обеспечить безопасность персональных данных от угроз, определенных:
а) для государственных органов, органов местного самоуправления, Центрального банка Российской Федерации, организаций, за исключением организаций финансового рынка, индивидуальных предпринимателей, нотариусов в соответствии с пунктом 4 части 2 статьи 6 настоящего Федерального закона;
б) для организаций финансового рынка в соответствии с пунктом 1 части 4 статьи 7 настоящего Федерального закона;
в) для органов государственной власти субъектов Российской Федерации, подведомственных им организаций, органов местного самоуправления, подведомственных им организаций, иных организаций, указанных в частях 15 и 16 статьи 5 настоящего Федерального закона, в соответствии с частью 18 статьи 5 настоящего Федерального закона.
Статья 11. Использование единой биометрической системы и единой системы идентификации и аутентификации при предъявлении документов, удостоверяющих личность физического лица
1. Действия по идентификации и (или) аутентификации физического лица с использованием единой биометрической системы (за исключением региональных сегментов единой биометрической системы) и единой системы идентификации и аутентификации с соблюдением требований, предусмотренных настоящим Федеральным законом, приравниваются к действиям по предъявлению документов, удостоверяющих личность такого физического лица, в том числе в случаях, если такое предъявление требуется в соответствии с нормативными правовыми актами Российской Федерации, нормативными правовыми актами субъектов Российской Федерации, муниципальными правовыми актами, за исключением случаев, если в соответствии с законодательством Российской Федерации требуется предъявление оригинала документа, удостоверяющего личность физического лица.
2. Если нормативными правовыми актами Российской Федерации, нормативными правовыми актами субъектов Российской Федерации, муниципальными правовыми актами предусматривается получение, использование и (или) сохранение сведений о документе, удостоверяющем личность физического лица, такие сведения могут быть получены из единой системы идентификации и аутентификации после идентификации и аутентификации указанного физического лица с использованием единой биометрической системы.
Статья 12. Взимание платы за использование единой биометрической системы, в том числе ее региональных сегментов
1. Размер и порядок взимания оператором единой биометрической системы платы за использование единой биометрической системы определяются в договорах между оператором единой биометрической системы с организациями финансового рынка, иными организациями, индивидуальными предпринимателями, нотариусами в соответствии с методикой расчета взимания платы за использование единой биометрической системы, если иное не предусмотрено федеральными законами.
2. Размер и порядок взимания оператором регионального сегмента единой биометрической системы платы за использование регионального сегмента единой биометрической системы определяются в договорах между оператором регионального сегмента единой биометрической системы и организациями, указанными в частях 15 и 16 статьи 5 настоящего Федерального закона, в соответствии с методикой расчета взимания платы за использование региональных сегментов единой биометрической системы, если иное не предусмотрено федеральными законами.
3. Методика расчета взимания платы за использование единой биометрической системы, в том числе ее региональных сегментов, утверждается федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных, по согласованию с Центральным банком Российской Федерации.
4. Плата за использование государственными органами, органами местного самоуправления, Центральным банком Российской Федерации единой биометрической системы, в том числе ее региональных сегментов, не взимается.
Статья 13. Осуществление идентификации и (или) аутентификации при проходе на территории организаций
1. Идентификация и (или) аутентификация с использованием биометрических персональных данных физических лиц при проходе на территории организаций посредством использования информационных систем, обеспечивающих функционирование контрольно-пропускных пунктов, в том числе организаций оборонно-промышленного, атомного энергопромышленного, ядерного оружейного, химического, топливно-энергетического комплексов, организаций, относящихся к объектам транспортной инфраструктуры, субъектам критической информационной инфраструктуры, на территории объектов, совершение террористического акта на которых может привести к возникновению чрезвычайных ситуаций с опасными социально-экономическими последствиями согласно категорированию, проводимому в соответствии с правилами, утвержденными Правительством Российской Федерации, режимных объектов в соответствии с перечнем сведений, отнесенных к государственной тайне, определенных Президентом Российской Федерации, осуществляются с использованием единой биометрической системы.
2. Аутентификация с использованием биометрических персональных данных физических лиц при проходе на территории организаций посредством использования информационных систем, обеспечивающих функционирование контрольно-пропускных пунктов, за исключением организаций оборонно-промышленного, атомного энергопромышленного, ядерного оружейного, химического, топливно-энергетического комплексов, организаций, относящихся к объектам транспортной инфраструктуры, за исключением инфраструктуры городского общественного транспорта, в том числе внеуличного, субъектам критической информационной инфраструктуры, на территории объектов, совершение террористического акта на которых может привести к возникновению чрезвычайных ситуаций с опасными социально-экономическими последствиями согласно категорированию, проводимому в соответствии с правилами, утвержденными Правительством Российской Федерации, режимных объектов в соответствии с перечнем сведений, отнесенных к государственной тайне, определенных Президентом Российской Федерации, может осуществляться с использованием региональных сегментов единой биометрической системы в случаях, установленных Правительством Российской Федерации в соответствии с частью 12 статьи 5 настоящего Федерального закона, информационных систем аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, с применением векторов единой биометрической системы.
3. Аутентификация с использованием биометрических персональных данных физических лиц при проходе посредством использования информационных систем, обеспечивающих функционирование контрольно-пропускных пунктов, на территории государственных органов и организаций, относящихся к субъектам критической информационной инфраструктуры, являющихся аккредитованными государственными органами, Центральным банком Российской Федерации в случае прохождения им аккредитации, организациями, осуществляющими аутентификацию на основе биометрических персональных данных физических лиц, если такая аутентификация осуществляется ими в отношении своих сотрудников, может осуществляться с применением векторов единой биометрической системы с использованием соответственно информационных систем аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации или организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, а в случаях, установленных Правительством Российской Федерации в соответствии с частью 12 статьи 5 настоящего Федерального закона, - регионального сегмента единой биометрической системы.
4. Аутентификация с использованием биометрических персональных данных физических лиц при проходе посредством использования информационных систем, обеспечивающих функционирование контрольно-пропускных пунктов, на территории организаций, относящихся к объектам транспортной инфраструктуры городского общественного транспорта, в том числе внеуличного, может осуществляться с использованием регионального сегмента единой биометрической системы, если такое использование предусмотрено в установленных Правительством Российской Федерации в соответствии с частью 12 статьи 5 настоящего Федерального закона случаях, а также решением Правительства Российской Федерации, принятом в соответствии с частью 1 статьи 5 настоящего Федерального закона.
Статья 14. Взаимодействие с единой биометрической системой в целях осуществления идентификации и (или) аутентификации для реализации полномочий государственных органов, органов местного самоуправления, Центрального банка Российской Федерации, организаций, осуществляющих отдельные публичные полномочия
1. Обработка биометрических персональных данных для идентификации в случаях, если проведение такой идентификации необходимо для реализации установленных нормативными правовыми актами полномочий государственных органов, органов местного самоуправления, Центрального банка Российской Федерации, организаций, осуществляющих в соответствии с федеральными законами отдельные публичные полномочия, осуществляется с применением единой биометрической системы.
2. Обработка биометрических персональных данных для аутентификации в случаях, если проведение такой аутентификации необходимо для реализации указанных в части 1 настоящей статьи полномочий, может осуществляться одним из следующих способов:
1) с применением единой биометрической системы в соответствии со статьей 10 настоящего Федерального закона или регионального сегмента единой биометрической системы в соответствии со статьей 5 настоящего Федерального закона;
2) путем проверки принадлежности физическому лицу идентификаторов посредством сопоставления их со сведениями о физическом лице, размещенными в единой системе идентификации и аутентификации, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица векторам единой биометрической системы, содержащимся в информационной системе аккредитованного государственного органа, информационной системе Центрального банка Российской Федерации в случае прохождения им аккредитации, по указанным идентификаторам;
3) путем проверки принадлежности физическому лицу идентификаторов посредством сопоставления их со сведениями о физическом лице, размещенными в государственной информационной системе персональных данных аккредитованного государственного органа, информационной системе персональных данных Центрального банка Российской Федерации в случае прохождения им аккредитации, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица векторам единой биометрической системы, содержащимся в информационной системе аккредитованного государственного органа, информационной системе Центрального банка Российской Федерации в случае прохождения им аккредитации, по указанным идентификаторам.
3. Перед использованием единой биометрической системы в соответствии с пунктом 3 части 2 настоящей статьи аккредитованные государственные органы, Центральный банк Российской Федерации в случае прохождения им аккредитации предоставляют в единую систему идентификации и аутентификации сведения о физических лицах, содержащиеся в государственной информационной системе персональных данных аккредитованного государственного органа, информационной системе персональных данных Центрального банка Российской Федерации, включая идентификаторы таких сведений. Данные идентификаторы и сведения сопоставляются со сведениями о физических лицах, содержащимися в единой системе идентификации и аутентификации, и после такого сопоставления данные идентификаторы передаются из единой системы идентификации и аутентификации в единую биометрическую систему, а также в информационную систему аккредитованного государственного органа, информационную систему Центрального банка Российской Федерации в случае прохождения им аккредитации.
4. Для прохождения аккредитации государственным органам, Центральному банку Российской Федерации при обработке, включая хранение в соответствии с частью 7 настоящей статьи, биометрических персональных данных в информационных системах государственных органов, Центрального банка Российской Федерации необходимо обеспечить:
1) применение организационных и технических мер по обеспечению безопасности персональных данных, предусмотренных в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных";
2) использование шифровальных (криптографических) средств, позволяющих обеспечить безопасность персональных данных от угроз, определенных в соответствии с пунктом 4 части 2 статьи 6 настоящего Федерального закона;
3) выполнение требований, установленных в соответствии с пунктом 1 части 2 статьи 6 настоящего Федерального закона;
4) использование для обработки биометрических персональных данных, включая их хранение в соответствии с частью 7 настоящей статьи, и векторов единой биометрической системы баз данных, находящихся исключительно на территории Российской Федерации, за исключением случаев, предусмотренных частью 21 статьи 3 настоящего Федерального закона.
5. Государственные органы, Центральный банк Российской Федерации, владеющие информационными системами, обеспечивающими аутентификацию физических лиц с использованием векторов единой биометрической системы, вправе привлекать для осуществления функций оператора таких информационных систем организации, соответствующие требованиям, установленным Правительством Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности.
6. Аккредитация государственных органов, Центрального банка Российской Федерации для осуществления аутентификации осуществляется без ограничения срока. Требования для прохождения такой аккредитации, помимо установленных настоящей статьей, порядок осуществления такой аккредитации, основания ее приостановления и прекращения устанавливаются Правительством Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности.
7. В информационных системах аккредитованных государственных органов, информационных системах Центрального банка Российской Федерации в случае прохождения им аккредитации запрещено хранение используемых в соответствии с частями 1 и 2 настоящей статьи биометрических персональных данных, за исключением хранения данных для рассмотрения обращений субъектов персональных данных, предполагающих неправомерную обработку их биометрических персональных данных при проведении аутентификации и (или) оспаривающих результаты проведения аутентификации, в течение не более десяти суток с момента предоставления таких данных в целях проведения аутентификации в соответствии с пунктами 2 и 3 части 2 настоящей статьи.
8. Аккредитованные государственные органы, Центральный банк Российской Федерации в случае прохождения им аккредитации не вправе передавать векторы единой биометрической системы третьим лицам.
9. По истечении срока, указанного в части 7 настоящей статьи, аккредитованные государственные органы, Центральный банк Российской Федерации в случае прохождения им аккредитации обязаны уничтожить биометрические персональные данные. Для уничтожения биометрических персональных данных применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция автоматического уничтожения информации по истечении определенного заданного срока.
10. Аккредитованные государственные органы, Центральный банк Российской Федерации в случае прохождения им аккредитации по мотивированному запросу оператора единой биометрической системы, направленному в соответствии с законодательством Российской Федерации, блокируют, удаляют, уничтожают векторы единой биометрической системы.
11. Аккредитованный государственный орган, Центральный банк Российской Федерации в случае прохождения им аккредитации при получении поданного в течение срока, указанного в части 7 настоящей статьи, обращения субъекта персональных данных, предполагающего неправомерную обработку его биометрических персональных данных при проведении аутентификации и (или) оспаривающего результаты проведения аутентификации, вправе в порядке, установленном Правительством Российской Федерации, направить мотивированный запрос оператору единой биометрической системы о предоставлении информации о результатах проверки соответствия предоставленных аккредитованным государственным органом, Центральным банком Российской Федерации в случае прохождения им аккредитации биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой биометрической системе, при условии передачи оператору единой биометрической системы аккредитованным государственным органом, Центральным банком Российской Федерации в случае прохождения им аккредитации или субъектом персональных данных биометрических персональных данных.
Статья 15. Обработка биометрических персональных данных вне единой биометрической системы
1. В информационных системах организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, организаций финансового рынка, иных организаций, индивидуальных предпринимателей, нотариусов:
1) запрещена обработка, включая сбор и хранение, используемых в целях идентификации биометрических персональных данных, за исключением обработки, включая сбор, биометрических персональных данных для размещения в единой биометрической системе в соответствии с федеральными законами;
2) запрещена обработка, включая сбор, используемых в целях аутентификации биометрических персональных данных, за исключением обработки в целях подтверждения соответствия предоставленных биометрических персональных данных физического лица соответствующим векторам единой биометрической системы при соблюдении условий, установленных частями 1 и 3 статьи 16 настоящего Федерального закона, а также за исключением обработки, включая сбор, биометрических персональных данных для размещения в единой биометрической системе в соответствии с федеральными законами;
3) запрещено хранение используемых в соответствии с частью 1 статьи 16 настоящего Федерального закона в целях аутентификации биометрических персональных данных, за исключением хранения таких данных для рассмотрения обращений субъектов персональных данных, предполагающих неправомерную обработку их биометрических персональных данных при проведении аутентификации и (или) оспаривающих результаты проведения аутентификации, в течение не более десяти суток с момента предоставления таких данных в целях проведения аутентификации в соответствии с частью 1 статьи 16 настоящего Федерального закона.
2. По истечении срока, указанного в пункте 3 части 1 настоящей статьи, организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц, обязана уничтожить биометрические персональные данные. Для уничтожения биометрических персональных данных применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция автоматического уничтожения информации по истечении определенного заданного срока.
3. Организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц, в случае получения поданного в течение срока, указанного в пункте 3 части 1 настоящей статьи, обращения субъекта персональных данных, предполагающего неправомерную обработку его биометрических персональных данных при проведении аутентификации и (или) оспаривающего результаты проведения аутентификации в порядке, установленном Правительством Российской Федерации, вправе направить мотивированный запрос оператору единой биометрической системы о предоставлении информации о результатах проверки соответствия предоставленных такой организацией биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой биометрической системе, при условии передачи оператору единой биометрической системы такой организацией или субъектом персональных данных биометрических персональных данных физического лица.
Статья 16. Осуществление аутентификации с использованием информационных систем организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц
1. Обработка в соответствии с пунктами 2 и 3 части 1 статьи 15 настоящего Федерального закона используемых для аутентификации биометрических персональных данных в информационных системах организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, допускается с использованием векторов единой биометрической системы, в том числе с использованием векторов, являющихся результатом обработки биометрических персональных данных, размещенных в единой биометрической системе в соответствии с частью 9 статьи 4 настоящего Федерального закона.
2. Правительство Российской Федерации по согласованию с федеральным органом исполнительной власти в области обеспечения безопасности и Центральным банком Российской Федерации устанавливает случаи, при которых аутентификация с использованием информационных систем организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, не допускается.
3. Указанная в части 1 настоящей статьи обработка допускается при одновременном выполнении следующих условий:
1) применение организациями, осуществляющими аутентификацию на основе биометрических персональных данных физических лиц, организационных и технических мер по обеспечению безопасности персональных данных, предусмотренных в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных";
2) использование шифровального (криптографического) средства, определенного пунктом 5 части 2 статьи 6 настоящего Федерального закона, либо шифровальных (криптографических) средств, позволяющих обеспечить безопасность персональных данных от угроз, определенных:
а) для организаций, за исключением организаций финансового рынка, в соответствии с пунктом 6 части 2 статьи 6 настоящего Федерального закона;
б) для организаций финансового рынка в соответствии с пунктом 2 части 4 статьи 7 настоящего Федерального закона;
3) выполнение требований к обработке, включая сбор, биометрических персональных данных, установленных в соответствии с пунктом 1 части 2 статьи 6 настоящего Федерального закона;
4) выполнение требований настоящего Федерального закона и Федерального закона от 26 июля 2017 года № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", в том числе посредством выполнения требований о защите содержащейся в государственных информационных системах информации, установленных федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий, а также посредством автоматизированного информационного взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации для решения задач, касающихся обнаружения, предупреждения и ликвидации последствий компьютерных атак;
5) наличие согласия физического лица на обработку биометрических персональных данных в целях проведения его аутентификации;
6) прохождение указанными организациями аккредитации в соответствии со статьей 17 настоящего Федерального закона.
4. Организации финансового рынка, иные организации, индивидуальные предприниматели вправе использовать информационные системы организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, соответствующих требованиям, указанным в частях 1 и 3 настоящей статьи, для аутентификации физического лица, выразившего согласие на ее проведение, в целях совершения этим лицом определенных действий, либо подтверждения волеизъявления этого лица, либо подтверждения полномочия этого лица на совершение определенных действий.
5. Организации финансового рынка, иные организации, индивидуальные предприниматели при использовании информационных систем иных организаций для аутентификации обязаны применять организационные и технические меры по обеспечению безопасности персональных данных, предусмотренные в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных", а также использовать средства криптографической защиты информации, указанные в пункте 2 части 3 настоящей статьи.
6. Перед осуществлением аутентификации в соответствии с частью 7 настоящей статьи организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц, организации финансового рынка, иные организации, индивидуальные предприниматели, указанные в части 4 настоящей статьи, предоставляют в единую систему идентификации и аутентификации сведения о физических лицах, содержащиеся в их информационных системах персональных данных, включая идентификаторы таких сведений. Данные идентификаторы и сведения сопоставляются со сведениями о физических лицах, содержащимися в единой системе идентификации и аутентификации, и после такого сопоставления данные идентификаторы передаются из единой системы идентификации и аутентификации в информационную систему организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц.
7. Аутентификация физического лица осуществляется организациями финансового рынка, иными организациями, индивидуальными предпринимателями, указанными в части 4 настоящей статьи, при условии выполнения требований, предусмотренных частями 5 и 6 настоящей статьи, одним из следующих способов путем проверки принадлежности этому физическому лицу идентификаторов посредством сопоставления их:
1) со сведениями о физическом лице, размещенными в единой системе идентификации и аутентификации, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица векторам единой биометрической системы, имеющимся у организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, по указанным идентификаторам;
2) со сведениями о физическом лице, размещенными соответственно в информационной системе персональных данных организации финансового рынка, иной организации, индивидуального предпринимателя, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица векторам единой биометрической системы, имеющимся у организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, по указанным идентификаторам.
8. Организации, индивидуальные предприниматели, указанные в части 4 настоящей статьи, должны соответствовать следующим критериям:
1) организация, а также ее единоличный исполнительный орган либо члены коллегиального исполнительного органа, индивидуальный предприниматель не включены в перечень организаций и физических лиц, в отношении которых имеются сведения об их причастности к экстремистской деятельности или терроризму, или в перечни организаций и физических лиц, связанных с террористическими организациями и террористами или с распространением оружия массового уничтожения, указанные в Федеральном законе от 7 августа 2001 года № 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма";
2) у единоличного исполнительного органа либо членов коллегиального исполнительного органа организации, индивидуального предпринимателя отсутствует неснятая или непогашенная судимость;
3) в отношении организации в едином государственном реестре юридических лиц отсутствует запись о недостоверности сведений о юридическом лице.
9. Подтверждение соответствия индивидуальных предпринимателей и организаций, за исключением организаций финансового рынка, указанных в части 4 настоящей статьи, критерию, указанному в пункте 1 части 8 настоящей статьи, осуществляется путем проверки организацией, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, отсутствия сведений о таких индивидуальных предпринимателях и организациях в соответствующих перечнях, размещенных федеральным органом исполнительной власти, осуществляющим функции по противодействию легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма и финансированию распространения оружия массового уничтожения, на своем официальном сайте в сети "Интернет" в соответствии с Федеральным законом от 7 августа 2001 года № 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма".
10. Подтверждение соответствия индивидуальных предпринимателей и организаций, за исключением организаций финансового рынка, указанных в части 4 настоящей статьи, критерию, указанному в пункте 3 части 8 настоящей статьи, осуществляется путем предоставления организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, по ее запросу информации федеральным органом исполнительной власти, осуществляющим государственную регистрацию юридических лиц и физических лиц в качестве индивидуальных предпринимателей.
11. Подтверждение соответствия индивидуальных предпринимателей и организаций, за исключением организаций финансового рынка, указанных в части 4 настоящей статьи, критерию, указанному в пункте 2 части 8 настоящей статьи, осуществляется путем предоставления организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, справки об отсутствии неснятой или непогашенной судимости, выданной федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере внутренних дел.
12. Использование организациями финансового рынка, иными организациями, индивидуальными предпринимателями информационных систем организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, в целях аутентификации допускается после предоставления организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, актов проверки, составленных федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, по результатам проверки в соответствии с частью 1 статьи 7 настоящего Федерального закона, а в отношении организаций финансового рынка - Центральным банком Российской Федерации по результатам проверки в соответствии с пунктом 3 части 4 статьи 7 настоящего Федерального закона.
13. Организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц, обязана хранить указанные в частях 9 - 12 настоящей статьи информацию и документы на протяжении всего срока использования ее информационной системы.
14. Организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц, не вправе передавать векторы единой биометрической системы третьим лицам.
15. Организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц, по мотивированному запросу оператора единой биометрической системы, направленному в соответствии с законодательством Российской Федерации, блокируют, удаляют, уничтожают векторы единой биометрической системы, а также вносят изменения в сведения, содержащиеся в их информационных системах.
16. Физическое лицо вправе подписать согласие на обработку биометрических персональных данных в целях проведения его аутентификации:
1) усиленной неквалифицированной электронной подписью;
2) простой электронной подписью, правом создания (замены) и выдачи ключа которой в порядке, предусмотренном законодательством Российской Федерации в области использования электронных подписей, обладает организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц. Требования к проверке такой простой электронной подписи при хранении указанного согласия устанавливаются Правительством Российской Федерации.
17. Не допускается использование биометрических персональных данных, согласие физического лица на обработку которых подписано простой электронной подписью, указанной в пункте 2 части 16 настоящей статьи, в случаях, которые не установлены Правительством Российской Федерации по согласованию с федеральным органом исполнительной власти в области обеспечения безопасности.
18. Указанное в части 16 настоящей статьи согласие, подписанное усиленной неквалифицированной электронной подписью или простой электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью данного физического лица.
Статья 17. Аккредитация организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц
1. Аккредитация организаций, указанных в части 1 статьи 16 настоящего Федерального закона, для осуществления аутентификации осуществляется без ограничения срока. Порядок осуществления такой аккредитации, основания ее приостановления и прекращения устанавливаются Правительством Российской Федерации.
2. Предусмотренная частью 1 настоящей статьи аккредитация организаций осуществляется при условии выполнения ею следующих требований:
1) организация не является иностранным юридическим лицом, а также юридическим лицом, в уставном (складочном) капитале которого доля участия иностранных юридических лиц превышает 49 процентов;
2) минимальный размер собственных средств (капитала) составляет не менее чем 500 миллионов рублей;
3) наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к результату аутентификации на основе биометрических персональных данных, осуществленной организацией, в сумме не менее чем 100 миллионов рублей;
4) использование для обработки биометрических персональных данных и векторов единой биометрической системы баз данных, находящихся исключительно на территории Российской Федерации;
5) подключение (доступ) организации к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;
6) наличие лицензии на деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд организации);
7) наличие права собственности или иного вещного права на аппаратные шифровальные (криптографические) средства, используемые для оказания организацией услуг по аутентификации на основе биометрических персональных данных, имеющие подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности, и наличие права использования программных шифровальных (криптографических) средств, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности, на законных основаниях;
8) наличие в штате организации не менее двух работников, непосредственно осуществляющих деятельность по аутентификации на основе биометрических персональных данных, имеющих высшее образование в области информационных технологий или информационной безопасности;
9) соответствие требованиям к деловой репутации единоличного исполнительного органа, а также членов коллегиального исполнительного органа и (или) физических лиц - учредителей (участников) организации, имеющих право распоряжаться более 10 процентами акций (долей), составляющих уставный капитал организации, установленным федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных и уполномоченным на принятие решения об аккредитации. Настоящее требование не предъявляется к организациям финансового рынка, организациям, в уставном (складочном) капитале которых доля участия Российской Федерации, субъекта Российской Федерации, муниципального образования превышает 50 процентов;
10) в отношении организации в едином государственном реестре юридических лиц отсутствует запись о недостоверности сведений о юридическом лице;
11) соответствие дополнительным требованиям единоличного исполнительного органа:
а) наличие гражданства Российской Федерации;
б) сведения о лице не включены в перечень организаций и физических лиц, в отношении которых имеются сведения об их причастности к экстремистской деятельности или терроризму, или в перечни организаций и физических лиц, связанных с террористическими организациями и террористами или с распространением оружия массового уничтожения, указанные в Федеральном законе от 7 августа 2001 года № 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма";
в) отсутствие у лица неснятой или непогашенной судимости за совершение преступления;
г) лицо не привлекалось в течение пяти лет, предшествующих дню подачи заявления, к уголовной ответственности в соответствии со статьями 183 и 283 Уголовного кодекса Российской Федерации за незаконные получение и разглашение сведений, составляющих государственную, коммерческую, налоговую или банковскую тайну;
12) в отношении организации, претендующей на получение аккредитации, не была досрочно прекращена ее аккредитация в течение трех лет, предшествующих дню подачи заявления;
13) лицо, имеющее право действовать без доверенности от имени организации, претендующей на получение аккредитации, не являлось лицом, имевшим право действовать без доверенности от имени иной организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, аккредитация которой досрочно прекращена в течение трех лет, предшествующих дню подачи заявления.
3. Организации, в отношении которых была прекращена аккредитация в порядке, установленном Правительством Российской Федерации в соответствии с частью 1 настоящей статьи, обязаны уничтожить векторы единой биометрической системы, обрабатываемые в их информационных системах, в течение семи рабочих дней после дня прекращения аккредитации. Для уничтожения векторов единой биометрической системы применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция автоматического уничтожения информации по истечении определенного заданного срока.
Статья 18. Федеральный государственный контроль (надзор) в сфере идентификации и (или) аутентификации
1. Федеральный государственный контроль (надзор) в сфере идентификации и (или) аутентификации осуществляется уполномоченным Правительством Российской Федерации федеральным органом исполнительной власти.
2. Предметом федерального государственного надзора в сфере идентификации и (или) аутентификации является соблюдение аккредитованными организациями, осуществляющими аутентификацию на основе биометрических персональных данных физических лиц, аккредитованными государственными органами, Центральным банком Российской Федерации в случае прохождения им аккредитации требований настоящего Федерального закона и иных принимаемых в соответствии с ним нормативных правовых актов.
3. Организация и осуществление федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации регулируются Федеральным законом от 31 июля 2020 года № 248-ФЗ "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации".
4. Положение о федеральном государственном контроле (надзоре) в сфере идентификации и (или) аутентификации утверждается Правительством Российской Федерации, исходя в том числе из того, что плановые контрольные (надзорные) мероприятия в отношении аккредитованных организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации проводятся не реже чем один раз в три года, за исключением плановых контрольных (надзорных) мероприятий в отношении объектов контроля, отнесенных к категории низкого риска.
Статья 19. Применение шифровальных (криптографических) средств при обработке биометрических персональных данных
1. При предоставлении биометрических персональных данных физического лица по каналам связи в целях проведения его идентификации и (или) аутентификации, в том числе посредством сети "Интернет", должны применяться шифровальные (криптографические) средства, позволяющие обеспечить безопасность передаваемых данных от угроз безопасности, актуальных при обработке биометрических персональных данных, определенных:
1) для государственных органов, органов местного самоуправления, Центрального банка Российской Федерации, организаций, за исключением организаций финансового рынка, индивидуальных предпринимателей, нотариусов в соответствии с пунктами 4 и 6 части 2 статьи 6 настоящего Федерального закона;
2) для организаций финансового рынка в соответствии с пунктами 1 и 2 части 4 статьи 7 настоящего Федерального закона;
3) для органов государственной власти субъектов Российской Федерации, подведомственных им организаций, органов местного самоуправления, подведомственных им организаций, иных организаций, указанных в частях 15 и 16 статьи 5 настоящего Федерального закона, в соответствии с частью 18 статьи 5 настоящего Федерального закона.
2. Указанные в части 1 настоящей статьи шифровальные (криптографические) средства должны пройти процедуру оценки соответствия требованиям, установленным законодательством Российской Федерации в области обеспечения безопасности информации. Государственный орган, орган местного самоуправления, Центральный банк Российской Федерации, организация финансового рынка, иная организация, индивидуальный предприниматель, нотариус обязаны предложить использовать шифровальные (криптографические) средства, указанные в части 1 настоящей статьи, физическим лицам, обратившимся к ним, и указать страницу сайта в сети "Интернет", с которой предоставляются эти средства.
3. Проведение государственным органом, органом местного самоуправления, Центральным банком Российской Федерации, организацией финансового рынка, иной организацией, индивидуальным предпринимателем, нотариусом идентификации и (или) аутентификации без личного присутствия физического лица в случае отказа такого лица использовать указанные в части 1 настоящей статьи шифровальные (криптографические) средства для предоставления своих биометрических персональных данных не допускается.
Статья 20. Ответственность за нарушение требований настоящего Федерального закона
1. Оператор единой биометрической системы, оператор регионального сегмента единой биометрической системы, их должностные лица несут административную, гражданскую и уголовную ответственность в соответствии с законодательством Российской Федерации за нарушение требований настоящего Федерального закона и неисполнение обязанностей, установленных настоящим Федеральным законом.
2. Лица, виновные в нарушении требований настоящего Федерального закона в части обработки, включая сбор и хранение, биометрических персональных данных, несут административную, гражданскую и уголовную ответственность в соответствии с законодательством Российской Федерации.
3. Лица, размещающие в соответствии с частями 1 и 14 статьи 4 настоящего Федерального закона в электронной форме сведения, необходимые для регистрации физического лица в единой системе идентификации и аутентификации и (или) единой биометрической системе, несут дисциплинарную, гражданскую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации за достоверность сведений, размещенных в указанных системах.
4. Лица, права и законные интересы которых были нарушены в связи с недостоверностью сведений, размещенных в единой системе идентификации и аутентификации и (или) единой биометрической системе, вправе обратиться в установленном порядке в уполномоченный орган по защите прав субъектов персональных данных, а также за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации.
Статья 21. О внесении изменения в Кодекс внутреннего водного транспорта Российской Федерации
Статью 95 Кодекса внутреннего водного транспорта Российской Федерации (Собрание законодательства Российской Федерации, 2001, № 11, ст. 1001; 2012, № 31, ст. 4320; 2014, № 49, ст. 6928; 2020, № 24, ст. 3740) дополнить пунктом 9 следующего содержания:
"9. Аутентификация пассажиров при перевозке пассажиров и их багажа внутренним водным транспортом по транспортным или экскурсионно-прогулочным маршрутам между субъектом Российской Федерации, в котором создан и эксплуатируется региональный сегмент государственной информационной системы "Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных" (далее - единая биометрическая система), и иными субъектами Российской Федерации в пределах двухсот километров от границы субъекта Российской Федерации, в котором создан и эксплуатируется региональный сегмент единой биометрической системы, может осуществляться с использованием регионального сегмента единой биометрической системы.".
Статья 22. О внесении изменения в Федеральный закон "Устав железнодорожного транспорта Российской Федерации"
Главу VI Федерального закона от 10 января 2003 года № 18-ФЗ "Устав железнодорожного транспорта Российской Федерации" (Собрание законодательства Российской Федерации, 2003, № 2, ст. 170) дополнить статьей 931 следующего содержания:
"Статья 931. Аутентификация пассажиров при организации транспортного обслуживания населения при перевозках пригородными поездами по маршрутам между субъектом Российской Федерации, в котором создан и эксплуатируется региональный сегмент государственной информационной системы "Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных" (далее - единая биометрическая система), и иными субъектами Российской Федерации в пределах двухсот километров от границы субъекта Российской Федерации, в котором создан и эксплуатируется региональный сегмент единой биометрической системы, может осуществляться с использованием регионального сегмента единой биометрической системы.".
Статья 23. О внесении изменения в Федеральный закон "Устав автомобильного транспорта и городского наземного электрического транспорта"
Статью 20 Федерального закона от 8 ноября 2007 года № 259-ФЗ "Устав автомобильного транспорта и городского наземного электрического транспорта" (Собрание законодательства Российской Федерации, 2007, № 46, ст. 5555; 2021, № 9, ст. 1473) дополнить частью 25 следующего содержания:
"25. Аутентификация пассажиров при организации транспортного обслуживания населения при перевозках по межрегиональным или смежным межрегиональным маршрутам регулярных перевозок между субъектом Российской Федерации, в котором создан и эксплуатируется региональный сегмент государственной информационной системы "Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных" (далее - единая биометрическая система), и иными субъектами Российской Федерации в пределах двухсот километров от границы субъекта Российской Федерации, в котором создан и эксплуатируется региональный сегмент единой биометрической системы, может осуществляться с использованием регионального сегмента единой биометрической системы.".
Статья 24. О внесении изменения в Федеральный закон "О внеуличном транспорте и о внесении изменений в отдельные законодательные акты Российской Федерации"
Статью 12 Федерального закона от 29 декабря 2017 года № 442-ФЗ "О внеуличном транспорте и о внесении изменений в отдельные законодательные акты Российской Федерации" (Собрание законодательства Российской Федерации, 2018, № 1, ст. 26; 2022, № 48, ст. 8326) дополнить частью 7 следующего содержания:
"7. Аутентификация пассажиров при организации транспортного обслуживания населения при перевозках внеуличным транспортом по межрегиональным маршрутам между субъектом Российской Федерации, в котором создан и эксплуатируется региональный сегмент государственной информационной системы "Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных" (далее - единая биометрическая система), и иными субъектами Российской Федерации в пределах двухсот километров от границы субъекта Российской Федерации, в котором создан и эксплуатируется региональный сегмент единой биометрической системы, может осуществляться с использованием регионального сегмента единой биометрической системы.".
Статья 25. О признании утратившими силу отдельных положений законодательных актов
1. Признать утратившими силу:
1) пункты 19, 21 и 22 статьи 2, статью 141, части 11 и 12 статьи 17 Федерального закона от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3448; 2018, № 1, ст. 66);
2) статью 8 Федерального закона от 31 декабря 2017 года № 482-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации" (Собрание законодательства Российской Федерации, 2018, № 1, ст. 66);
3) статью 3 Федерального закона от 27 декабря 2019 года № 480-ФЗ "О внесении изменений в Основы законодательства Российской Федерации о нотариате и отдельные законодательные акты Российской Федерации" (Собрание законодательства Российской Федерации, 2019, № 52, ст. 7798);
4) подпункты "а" - "у", абзацы первый - девятнадцатый, двадцать второй, двадцать восьмой, тридцать четвертый - тридцать шестой подпункта "ф", подпункты "х" - "э" пункта 2 статьи 3, части 4 - 6 и 8 статьи 5 Федерального закона от 29 декабря 2020 года № 479-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации" (Собрание законодательства Российской Федерации, 2021, № 1, ст. 18);
5) пункт 4 статьи 3 и статью 4 Федерального закона от 1 июля 2021 года № 266-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации" (Собрание законодательства Российской Федерации, 2021, № 27, ст. 5094);
6) пункт 1 статьи 2 Федерального закона от 30 декабря 2021 года № 441-ФЗ "О внесении изменений в статью 153 Федерального закона "Об информации, информационных технологиях и о защите информации" и статьи 3 и 5 Федерального закона "О внесении изменений в отдельные законодательные акты Российской Федерации" (Собрание законодательства Российской Федерации, 2022, № 1, ст. 10);
7) статью 9 Федерального закона от 28 июня 2022 года № 219-ФЗ "О внесении изменений в Федеральный закон "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" и отдельные законодательные акты Российской Федерации" (Собрание законодательства Российской Федерации, 2022, № 27, ст. 4620);
8) пункт 2 статьи 1 Федерального закона от 14 июля 2022 года № 325-ФЗ "О внесении изменений в статьи 14 и 141 Федерального закона "Об информации, информационных технологиях и о защите информации" и статью 5 Федерального закона "О внесении изменений в отдельные законодательные акты Российской Федерации" (Собрание законодательства Российской Федерации, 2022, № 29, ст. 5292).
2. Абзацы двадцатый, двадцать первый, двадцать третий - двадцать седьмой, двадцать девятый - тридцать третий, тридцать седьмой - шестьдесят восьмой подпункта "ф" пункта 2 статьи 3 Федерального закона от 29 декабря 2020 года № 479-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации" (Собрание законодательства Российской Федерации, 2021, № 1, ст. 18) исключить.
Статья 26. Заключительные положения
1. Предусмотренная частью 14 статьи 4 настоящего Федерального закона обязанность по размещению биометрических персональных данных в единой биометрической системе распространяется на биометрические персональные данные, собранные государственными органами, органами местного самоуправления, Центральным банком Российской Федерации, организациями финансового рынка, иными организациями, индивидуальными предпринимателями, нотариусами до дня вступления в силу настоящего Федерального закона.
2. Государственные органы, органы местного самоуправления, Центральный банк Российской Федерации, организации финансового рынка, иные организации, индивидуальные предприниматели, нотариусы, указанные в части 14 статьи 4 настоящего Федерального закона, обязаны обеспечить размещение биометрических персональных данных в единой биометрической системе в срок до 30 сентября 2023 года.
3. После дня вступления в силу части 7 статьи 14, пунктов 1 и 3 части 1 статьи 15 настоящего Федерального закона и при условии размещения биометрических персональных данных в единой биометрической системе в соответствии с частью 14 статьи 4 настоящего Федерального закона биометрические персональные данные, хранящиеся в информационных системах государственных органов, органов местного самоуправления, Центрального банка Российской Федерации, организаций финансового рынка, иных организаций, индивидуальных предпринимателей, нотариусов подлежат уничтожению. Для уничтожения биометрических персональных данных применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция автоматического уничтожения информации по истечении определенного заданного срока. Указанные органы и организации, индивидуальные предприниматели, нотариусы в течение 30 дней направляют информацию о факте уничтожения биометрических персональных данных в уполномоченный орган по защите прав субъектов персональных данных.
4. В случае, если после дня вступления в силу частей 1 - 4, пунктов 4 - 8 и 10 части 8, частей 13, 14, 18 - 23 статьи 5 настоящего Федерального закона, высший исполнительный орган субъекта Российской Федерации направит в уполномоченный орган в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных обращение об образовании регионального сегмента единой биометрической системы, предусмотренное частью 1 статьи 5 настоящего Федерального закона, либо уполномоченный орган в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных направит в Правительство Российской Федерации соответствующее предложение, предусмотренное частью 1 статьи 5 настоящего Федерального закона, и в случае, если информационная система, которую планируется включить в состав единой биометрической системы в качестве ее регионального сегмента, уже создана и функционирует на территории этого субъекта Российской Федерации, функционирование такой информационной системы может осуществляться без учета требований, установленных настоящим Федеральным законом, до отказа уполномоченного органа в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных в формировании соответствующего предложения либо в случае формирования указанного предложения до принятия решения Правительства Российской Федерации в порядке и сроки, которые предусмотрены частью 2 статьи 5 настоящего Федерального закона.
5. Установить, что до дня вступления в силу частей 5 - 7, пунктов 1 - 3 и 9 части 8, частей 9 - 12, 15 - 17 статьи 5 настоящего Федерального закона:
1) физические лица вправе с использованием регионального мобильного приложения единой биометрической системы размещать свои биометрические персональные данные в региональном сегменте единой биометрической системы с применением пользовательского оборудования (оконечного оборудования), имеющего в своем составе идентификационный модуль, в порядке, установленном Правительством Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, принимаемом в соответствии с частью 11 статьи 4 настоящего Федерального закона;
2) размещение физическими лицами своих биометрических персональных данных в региональном сегменте единой биометрической системы с использованием регионального мобильного приложения единой биометрической системы осуществляется в случае, если личность физического лица при размещении подтверждена с использованием документа, удостоверяющего личность гражданина Российской Федерации за пределами территории Российской Федерации, содержащего электронный носитель информации с записанными на нем персональными данными владельца паспорта, включая биометрические персональные данные, государственной системы миграционного и регистрационного учета, а также изготовления, оформления и контроля обращения документов, удостоверяющих личность, если иное не установлено актами Правительства Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, принимаемыми в соответствии с частью 12 статьи 4 настоящего Федерального закона. Использование таких биометрических персональных данных региональными сегментами единой биометрической системы и единой биометрической системой допускается только в целях аутентификации в случаях, установленных в соответствии с пунктом 10 настоящей части;
3) биометрические персональные данные, размещенные в региональном сегменте единой биометрической системы в соответствии с пунктом 1 настоящей части, передаются в единую биометрическую систему вместе с идентификатором единой системы идентификации и аутентификации, полученным региональным сегментом единой биометрической системы в результате сопоставления сведений о физическом лице, содержащихся в государственной информационной системе персональных данных органа государственной власти субъекта Российской Федерации или иной информационной системе, со сведениями, содержащимися в единой системе идентификации и аутентификации, за исключением случая отсутствия сведений о физическом лице в единой системе идентификации и аутентификации, и хранятся в ней отдельно от биометрических персональных данных, размещенных иными способами;
4) оператор регионального сегмента единой биометрической системы:
а) осуществляет передачу информации о результатах проверки соответствия предоставленных биометрических персональных данных физического лица соответствующим векторам единой биометрической системы, которые созданы в региональном сегменте единой биометрической системы или переданы в него из единой биометрической системы, в органы государственной власти соответствующего субъекта Российской Федерации, подведомственные им организации, органы местного самоуправления данного субъекта Российской Федерации, подведомственные им организации, иным организациям, предоставляющим услуги, организация оказания которых регулируется нормативными правовыми актами субъекта Российской Федерации, которые имеют место нахождения на территории данного субъекта Российской Федерации;
б) не ранее чем за шесть месяцев до планируемого использования для осуществления аутентификации направляет оператору единой биометрической системы мотивированный запрос о предоставлении векторов единой биометрической системы для осуществления аутентификации физических лиц, давших согласие на размещение и обработку персональных данных в единой системе идентификации и аутентификации и биометрических персональных данных в единой биометрической системе в соответствии с частями 2 и 3 статьи 4 настоящего Федерального закона;
в) не вправе предоставлять третьим лицам содержащиеся в региональном сегменте единой биометрической системы биометрические персональные данные физических лиц, векторы единой биометрической системы, за исключением случаев, предусмотренных пунктом 4 части 8 статьи 5 настоящего Федерального закона;
г) по мотивированному запросу органов государственной власти субъектов Российской Федерации, подведомственных им организаций, органов местного самоуправления, подведомственных им организаций, иных организаций, использующих региональный сегмент единой биометрической системы в соответствии с пунктом 10 настоящей части, основанному на обращении субъекта персональных данных, предполагающего неправомерную обработку его биометрических персональных данных при предоставлении информации о степени соответствия предоставленных биометрических персональных данных физического лица вектору единой биометрической системы, содержащемуся в региональном сегменте единой биометрической системы, и (или) оспаривающего результаты проведения аутентификации, вправе в порядке, установленном Правительством Российской Федерации, направить мотивированный запрос оператору единой биометрической системы о предоставлении информации о результатах проверки соответствия предоставленных органом государственной власти субъекта Российской Федерации, подведомственной ему организацией, органом местного самоуправления, подведомственной ему организацией, иной организацией биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой биометрической системе, при условии передачи оператору единой биометрической системы оператором регионального сегмента биометрических персональных данных;
д) обязан обеспечить физическим лицам, чьи биометрические персональные данные размещены в единой биометрической системе, возможность прохождения аутентификации с использованием регионального сегмента единой биометрической системы в случаях, определенных в соответствии с пунктом 10 настоящей части, с использованием векторов единой биометрической системы. Неисполнение оператором регионального сегмента единой биометрической системы указанной обязанности может являться основанием для исключения регионального сегмента из состава единой биометрической системы в соответствии с частью 22 статьи 5 настоящего Федерального закона;
е) в случае исключения регионального сегмента из состава единой биометрической системы оператор регионального сегмента единой биометрической системы обязан уничтожить векторы единой биометрической системы и биометрические персональные данные, содержащиеся в таком региональном сегменте. Для уничтожения векторов единой биометрической системы и биометрических персональных данных применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция автоматического уничтожения информации по истечении определенного заданного срока;
5) в региональных сегментах единой биометрической системы допускается обработка, включая хранение, биометрических персональных данных, а также векторов единой биометрической системы, полученных из единой биометрической системы в соответствии с подпунктом "б" пункта 4 настоящей части;
6) согласие физического лица на размещение его биометрических персональных данных в региональном сегменте единой биометрической системы, на передачу его биометрических персональных данных в единую биометрическую систему из региональных сегментов единой биометрической системы, на обработку таких биометрических персональных данных в единой биометрической системе, а также согласие на обработку персональных данных и биометрических персональных данных в целях проведения его аутентификации в соответствии с пунктом 10 настоящей части может быть подписано:
а) усиленной неквалифицированной электронной подписью;
б) простой электронной подписью, правом создания (замены) и выдачи ключа которой в порядке, предусмотренном законодательством Российской Федерации в области использования электронных подписей, обладают органы и организации, указанные в пунктах 11 и 12 настоящей части. Требования к проверке такой электронной подписи при хранении указанного согласия устанавливаются Правительством Российской Федерации;
7) не допускается использование биометрических персональных данных, согласие физического лица на размещение и обработку которых в целях проведения его аутентификации подписано простой электронной подписью, указанной в подпункте "б" пункта 6 настоящей части, в не установленных Правительством Российской Федерации в соответствии с пунктом 10 настоящей части случаях;
8) указанное в пункте 6 настоящей части согласие, подписанное усиленной неквалифицированной электронной подписью или простой электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью физического лица;
9) Правительство Российской Федерации устанавливает порядок получения указанного в пункте 6 настоящей части согласия, а также форму согласия физического лица на размещение его биометрических персональных данных в региональном сегменте единой биометрической системы;
10) использование региональных сегментов единой биометрической системы, предоставление в соответствии с подпунктом "б" пункта 4 настоящей части векторов единой биометрической системы, а также использование единой биометрической системы с применением биометрических персональных данных, размещенных в порядке, предусмотренном пунктом 1 настоящей части, допускается для аутентификации физических лиц при предоставлении государственных услуг органами исполнительной власти субъектов Российской Федерации, предоставлении муниципальных услуг, а также при предоставлении иных услуг организациями, если оказание таких услуг регулируется нормативными правовыми актами соответствующего субъекта Российской Федерации. Правительство Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и высшим исполнительным органом соответствующего субъекта Российской Федерации устанавливает случаи использования соответствующего регионального сегмента единой биометрической системы, предоставления векторов единой биометрической системы, а также использования единой биометрической системы с применением биометрических персональных данных, размещенных в порядке, предусмотренном пунктом 1 настоящей части. Указанные случаи предусматривают в том числе случаи использования региональных сегментов единой биометрической системы при отсутствии сведений о физическом лице в единой системе идентификации и аутентификации, а также случаи использования биометрических персональных данных, согласие физического лица на обработку которых в целях проведения его аутентификации подписано простой электронной подписью;
11) аутентификация физического лица с использованием регионального сегмента единой биометрической системы осуществляется органами государственной власти соответствующего субъекта Российской Федерации, подведомственными им организациями, органами местного самоуправления данного субъекта Российской Федерации, подведомственными им организациями, иными организациями, предоставляющими услуги, организация оказания которых регулируется нормативными правовыми актами субъекта Российской Федерации, которые имеют место нахождения на территории данного субъекта Российской Федерации;
12) использование в целях аутентификации регионального сегмента единой биометрической системы на территории иного субъекта Российской Федерации возможно только организациями, оказывающими услуги по перевозке пассажиров, в случаях, предусмотренных пунктом 9 статьи 95 Кодекса внутреннего водного транспорта Российской Федерации, статьей 931 Федерального закона от 10 января 2003 года № 18-ФЗ "Устав железнодорожного транспорта Российской Федерации", частью 25 статьи 20 Федерального закона от 8 ноября 2007 года № 259-ФЗ "Устав автомобильного транспорта и городского наземного электрического транспорта", частью 7 статьи 12 Федерального закона от 29 декабря 2017 года № 442-ФЗ "О внеуличном транспорте и о внесении изменений в отдельные законодательные акты Российской Федерации";
13) аутентификация физического лица с использованием регионального сегмента единой биометрической системы осуществляется при условии выполнения требования, предусмотренного частью 14 статьи 5 настоящего Федерального закона, путем проверки принадлежности физическому лицу идентификаторов одним из нижеуказанных способов:
а) посредством сопоставления их со сведениями о физическом лице, размещенными в единой системе идентификации и аутентификации, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица соответствующим векторам единой биометрической системы, которые созданы в региональном сегменте единой биометрической системы или переданы в него из единой биометрической системы, по указанным идентификаторам;
б) посредством сопоставления их со сведениями о физическом лице, размещенными в государственной информационной системе персональных данных органа государственной власти соответствующего субъекта Российской Федерации, если такая государственная информационная система в установленном Правительством Российской Федерации порядке обеспечивает взаимодействие с единой системой идентификации и аутентификации, при условии совпадения сведений о физическом лице в указанных информационных системах, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица соответствующим векторам единой биометрической системы, которые созданы в региональном сегменте единой биометрической системы или переданы в него из единой биометрической системы, по указанным идентификаторам;
в) посредством сопоставления их с идентификаторами, размещенными в иной информационной системе, если такая информационная система в установленном Правительством Российской Федерации порядке обеспечивает взаимодействие с единой системой идентификации и аутентификации, при условии совпадения сведений о физическом лице в указанных информационных системах, за исключением случая отсутствия сведений о физическом лице в единой системе идентификации и аутентификации, а также на основании информации о степени соответствия предоставленных биометрических персональных данных физического лица соответствующим векторам единой биометрической системы, которые созданы в региональном сегменте единой биометрической системы или переданы в него из единой биометрической системы, по указанным идентификаторам;
14) федеральный орган исполнительной власти, осуществляющий регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных, устанавливает предусмотренные подпунктами "а" и "б" пункта 1 части 2 статьи 6 настоящего Федерального закона порядок обработки, включая сбор и хранение, биометрических персональных данных, в том числе требования к параметрам биометрических персональных данных, порядок размещения и обновления биометрических персональных данных в единой биометрической системе, в том числе в ее региональных сегментах.
6. После дня вступления в силу части 10 статьи 5 настоящего Федерального закона оператор регионального сегмента единой биометрической системы обязан уничтожить биометрические персональные данные, хранящиеся в региональном сегменте единой биометрической системы. Для уничтожения биометрических персональных данных применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция автоматического уничтожения информации по истечении определенного заданного срока.
7. В случае, если на день вступления в силу статьи 14 и пункта 6 части 3 статьи 16 настоящего Федерального закона государственные органы владеют информационными системами, обеспечивающими аутентификацию физических лиц на основе биометрических персональных данных физических лиц, и (или) осуществляют функции их оператора, Центральный банк Российской Федерации владеет информационными системами, обеспечивающими аутентификацию физических лиц на основе биометрических персональных данных физических лиц, и (или) осуществляет функции их оператора, организации владеют информационными системами, обеспечивающими аутентификацию на основе биометрических персональных данных физических лиц, и (или) оказывают услуги по аутентификации на основе биометрических персональных данных физических лиц и если такие информационные системы, обеспечивающие аутентификацию физических лиц на основе биометрических персональных данных физических лиц, уже созданы и функционируют, функционирование таких информационных систем в течение ста восьмидесяти дней после дня вступления в силу статьи 14 и пункта 6 части 3 статьи 16 настоящего Федерального закона может осуществляться без учета требований, установленных статьями 14 - 16 настоящего Федерального закона, частью 3 настоящей статьи, до принятия уполномоченным органом в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных решения об аккредитации или об отказе в аккредитации в порядке, установленном статьями 14 и 17 настоящего Федерального закона.
8. Биометрические персональные данные, собранные указанными в части 7 настоящей статьи государственными органами и организациями в их информационные системы после дня вступления в силу статьи 14 и пункта 6 части 3 статьи 16 настоящего Федерального закона, подлежат размещению в единой биометрической системе в соответствии с частью 14 статьи 4 настоящего Федерального закона в течение тридцати дней после принятия уполномоченным органом в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных решений об их аккредитации.
9. До 1 сентября 2024 года действие настоящего Федерального закона распространяется на виды биометрических персональных данных, соответствующие всем видам или только одному из видов, размещаемых в единой биометрической системе в соответствии с частью 4 статьи 3 настоящего Федерального закона. С 1 сентября 2024 года положения части 4 статьи 3 настоящего Федерального закона не применяются и действие настоящего Федерального закона распространяется на виды биометрических персональных данных, определенные Правительством Российской Федерации по согласованию с федеральным органом исполнительной власти в области обеспечения безопасности и Координационным советом.
10. Со дня вступления в силу настоящего Федерального закона до 1 января 2025 года физическое лицо вправе подписать указанное в части 2 статьи 4, части 3 статьи 9, части 2 статьи 10, части 16 статьи 16 настоящего Федерального закона, а также в пункте 6 части 5 настоящей статьи согласие простой электронной подписью, ключ которой получен физическим лицом при личной явке в соответствии с правилами использования простой электронной подписи при обращении за получением государственных и муниципальных услуг в электронной форме, установленными Правительством Российской Федерации. Требования к проверке такой электронной подписи при хранении указанного согласия устанавливаются Правительством Российской Федерации. Указанное согласие, подписанное простой электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью данного физического лица.
11. До 1 января 2025 года в отношении организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, не применяются положения пункта 4 части 3 статьи 16 настоящего Федерального закона в части выполнения требований о защите содержащейся в государственных информационных системах информации.
12. Положения части 10 статьи 4 настоящего Федерального закона применяются до 1 января 2027 года.
13. До приведения правовых актов Российской Федерации, принятых на основании статьи 141 Федерального закона от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации", в соответствие с настоящим Федеральным законом указанные правовые акты применяются постольку, поскольку они не противоречат настоящему Федеральному закону или издаваемым в соответствии с ним иным правовым актам Российской Федерации, но не позднее чем до 1 января 2025 года.
14. Единая биометрическая система, предусмотренная настоящим Федеральным законом, создана как государственная информационная система "Единая информационная система персональных данных, обеспечивающая обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица" в соответствии со статьей 141 Федерального закона от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации".
15. В соответствии с частью 14 настоящей статьи в случаях, если федеральными законами или иными правовыми актами, вступившими в силу до дня вступления в силу настоящего Федерального закона, предусмотрено использование государственной информационной системы "Единая информационная система персональных данных, обеспечивающая обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица", используется единая биометрическая система в соответствии с настоящим Федеральным законом. Указанные федеральные законы, иные правовые акты подлежат приведению в соответствие с настоящим Федеральным законом до 1 июня 2024 года.
16. В соответствии с частью 14 настоящей статьи все решения, принятые до дня вступления в силу настоящего Федерального закона в отношении государственной информационной системы "Единая информационная система персональных данных, обеспечивающая обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица", применяются в отношении единой биометрической системы, в том числе:
1) действуют без переоформления или повторной выдачи все разрешения, лицензии, сертификаты, иные разрешительные документы, связанные с функционированием информационной системы и ранее выданные уполномоченными федеральными органами исполнительной власти, включая федеральный орган исполнительной власти в области обеспечения безопасности, федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, а также соглашения, заключенные в отношении государственной информационной системы "Единая информационная система персональных данных, обеспечивающая обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица";
2) действуют в отношении единой биометрической системы без повторной дачи согласия субъектов персональных данных и (или) их законных представителей, связанные с обработкой персональных данных и биометрических персональных данных в государственной информационной системе "Единая информационная система персональных данных, обеспечивающая обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица".
17. В соответствии с частью 14 настоящей статьи уполномоченный орган в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных обеспечивает финансирование функционирования и (или) развития единой биометрической системы, за исключением регионального сегмента единой биометрической системы, в соответствии с законодательством Российской Федерации о контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд.
Статья 27. Порядок вступления в силу настоящего Федерального закона
1. Настоящий Федеральный закон вступает в силу со дня его официального опубликования, за исключением положений, для которых настоящей статьей установлены иные сроки вступления их в силу.
2. Части 16 и 17 статьи 3, части 1 - 4, пункты 4 - 8 и 10 части 8, части 13, 14, 18 - 23 статьи 5, пункт 7 части 2 статьи 8, статьи 13 - 18, 21 - 24, часть 5 статьи 26 настоящего Федерального закона вступают в силу с 1 июня 2023 года.
3. Часть 14 статьи 3 настоящего Федерального закона вступает в силу с 1 января 2024 года.
4. Части 5 - 7, пункты 1 - 3 и 9 части 8, части 9 - 12, 15 - 17 статьи 5 настоящего Федерального закона вступают в силу с 1 января 2027 года.
5. К нормативным правовым актам Российской Федерации, устанавливающим обязательные требования и предусмотренным настоящим Федеральным законом, не применяются положения части 1 статьи 3 Федерального закона от 31 июля 2020 года № 247-ФЗ "Об обязательных требованиях в Российской Федерации".
Президент Российской Федерации В.Путин
Москва, Кремль
29 декабря 2022 года
№ 572-ФЗ