Минцифры доработало правила допуска компаний к биометрии граждан

Минцифры ужесточит требования для получения аккредитации компаниями, которые планируют собирать и обрабатывать биометрические данные. Это следует из проекта постановления правительства, опубликованного на портале нормативно-правовых актов. В частности, требуемый для этого размер собственного капитала компании увеличился в 10 раз, с 50 млн до 500 млн руб., а величина финансового обеспечения убытков в случае неверной аутентификации выросла в 2 раза – с 50 млн до 100 млн руб. Требования распространяются и на частные, и на государственные компании, следует из документа.

Проект разработан для того, чтобы привести в соответствие с ранее принятым законом требования, предъявляемые организациям, планирующим осуществлять аутентификацию на основе биометрических персональных данных (ПД) физлиц. Основные положения, определяющие порядок сбора биометрии, а также прекращения ее хранения и обработки, установлены постановлением правительства № 1799 от 20 октября 2021 г. Но в связи с принятием закона № 572, запрещающего принудительный сбор биометрии (принят 29 декабря 2022 г.), требования нуждаются в актуализации, говорится в сводном отчете Минцифры, опубликованном на портале.

В постановлении № 1799 также содержатся требования о минимальном размере собственных средств для заявителя, но критерии варьируются в зависимости от того, занимается лицо аутентификацией или идентификацией, замечает партнер коллегии адвокатов Pen & Paper Екатерина Токарева. Проект постановления убирает какое-либо различие между такими лицами, оставляя для них единые требования.

В сборе биометрии заинтересованы в основном кредитные организации, которые проверяют с ее помощью личность клиентов, говорит партнер и руководитель группы по работе с телекоммуникационными, медиа- и технологическими компаниями ДРТ Григорий Дубровский. Кроме того, потенциальные интересанты такой услуги – организации, для работы которых необходима идентификация клиента по паспорту, особенно если процесс нужно организовать в режиме онлайн, добавляет партнер департамента финансового консультирования компании ДРТ Антон Шульга. Это уже более широкий пласт, чем просто банки, замечает он. Но в случае, если компания не является организацией финансового рынка, к ней будут предъявляться дополнительные требования к подтверждению деловой репутации руководства организации и физлиц, имеющих право распоряжаться более 10% акций или долей, составляющих уставный капитал.

В настоящий момент сдать биометрию можно в отделении банка или в МФЦ. Изначально систему планировали использовать в банковском секторе – например, для открытия банковского счета или оформления кредита. В соответствии с новым законом, в МФЦ можно получить ряд услуг без паспорта, пройдя процедуру подтверждения личности по биометрии.

Вероятно, существенный рост прописанных в требованиях сумм связан с намерением заметно ограничить круг организаций, имеющих право осуществлять аутентификацию на основе биометрии, говорит директор по правовым инициативам Фонда развития интернет-инициатив (ФРИИ) Александра Орехович. Документ имеет скорее заградительную, чем защитную функцию, соглашается с ней главный юрисконсульт практики интеллектуальной собственности юридической компании ЭБР Кирилл Ляхманов.

В частности, правительство предполагает, что повышение минимальной планки капитала компании позволит обеспечить необходимый для биометрических ПД уровень безопасности, считает Ляхманов. Требование о капитале должно отсеять организации, которые не обладают необходимым бюджетом для защиты ПД физлиц, соглашается с ним Дубровский.

При этом механизм связи между капиталом и безопасностью данных в пояснительной записке к законопроекту не описан, замечает Ляхманов. Примеры прошлых утечек доказывают, что большой размер собственного капитала не гарантирует какой-либо безопасности данных, добавляет он. Более того, требования закроют рынок биометрических ПД для мелких игроков и приведут к дальнейшей консолидации таких данных у крупнейших банков из топ-4, заключает эксперт.