Приложение N 1

к приказу Министерства

цифрового развития, связи

и массовых коммуникаций

Российской Федерации

от 12.05.2023 N 453

ПОРЯДОК

ОБРАБОТКИ, ВКЛЮЧАЯ СБОР, ХРАНЕНИЕ, БИОМЕТРИЧЕСКИХ

ПЕРСОНАЛЬНЫХ ДАННЫХ, В ТОМ ЧИСЛЕ ТРЕБОВАНИЯ К ПАРАМЕТРАМ

БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Обработка, включая сбор, хранение, биометрических персональных данных для идентификации и (или) аутентификации реализуется с применением информационных технологий и технических средств, имеющих подтверждение соответствия требованиям к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных, векторов единой биометрической системы <1> в целях проведения идентификации и (или) аутентификации, которое проводится федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных в соответствии с Требованиями к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения идентификации и (или) аутентификации, а также порядком подтверждения соответствия информационных технологий и технических средств указанным требованиям, содержащимися в приложении N 5 к настоящему приказу.

--------------------------------

<1> Пункт 3 статьи 2 Федерального закона от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" (далее - Федеральный закон N 572-ФЗ).

2. В соответствии с настоящим Порядком проводится обработка биометрических персональных данных следующих видов:

изображение лица человека, полученное с помощью фотовидеоустройств (далее - изображение лица);

запись голоса человека, полученная с помощью звукозаписывающих устройств (далее - запись голоса).

3. В единой биометрической системе <2> в целях осуществления идентификации осуществляется обработка записей голоса, собранных текстозависимым методом.

--------------------------------

<2> Пункт 4 статьи 2 Федерального закона N 572-ФЗ.

4. Параметры собираемых для размещения в единой биометрической системе биометрических персональных данных должны соответствовать требованиям, установленным пунктами 11 - 14 настоящего Порядка.

5. Параметры собираемых для размещения в региональном сегменте единой биометрической системы биометрических персональных данных должны соответствовать требованиям, установленным пунктами 12 и 14 настоящего Порядка.

6. В единой биометрической системе в результате обработки биометрических персональных данных осуществляется создание векторов единой биометрической системы в соответствии с Порядком создания и передачи векторов единой биометрической системы в целях осуществления аутентификации, содержащимся в приложении N 4 к настоящему приказу.

7. Сбор биометрических персональных данных для размещения в единой биометрической системе в соответствии с частью 1 статьи 4 Федерального закона N 572-ФЗ производится при личном присутствии физического лица уполномоченным работником банка, многофункционального центра предоставления государственных и муниципальных услуг (далее - многофункциональный центр) и иной организации в случаях, определенных федеральными законами (далее - организация), в соответствии с требованиями к параметрам биометрических персональных данных, установленными пунктами 11, 13 настоящего Порядка.

При сборе биометрических персональных данных в целях размещения в единой биометрической системе уполномоченный работник многофункционального центра подписывает собранные биометрические персональные данные своей усиленной квалифицированной электронной подписью.

При сборе биометрических персональных данных в целях размещения в единой биометрической системе уполномоченный работник банка и организации подписывает собранные биометрические персональные данные своей усиленной квалифицированной электронной подписью или усиленной неквалифицированной электронной подписью, которая создается и проверяется с использованием средств электронной подписи и средств удостоверяющего центра, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности в соответствии с частью 5 статьи 8 Федерального закона от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи", соответствующего банка или организации.

8. Банк, многофункциональный центр и организация при сборе биометрических персональных данных для размещения в единой биометрической системе определяют уполномоченных работников, осуществляющих сбор биометрических персональных данных (далее - уполномоченный работник), и осуществляют выдачу им сертификатов ключей проверки электронной подписи, используемой для подписания биометрических персональных данных в соответствии с пунктом 7 настоящего Порядка.

Уполномоченный работник осуществляет защищенное хранение выданного ему ключа электронной подписи, используемой для подписания биометрических персональных данных в соответствии с пунктом 7 настоящего Порядка, обеспечивающее конфиденциальность ключа электронной подписи и исключающее его несанкционированное изменение, добавление и удаление в соответствии с законодательством Российской Федерации в области электронной подписи.

Уполномоченный работник подписывает своей электронной подписью в соответствии с пунктом 7 настоящего Порядка биометрические персональные данные, собранные им, и информацию, указанную в пункте 16 настоящего Порядка.

9. Уполномоченный работник обязан соблюдать конфиденциальность ключа электронной подписи, используемой для подписания биометрических персональных данных в соответствии с пунктом 7 настоящего Порядка.

10. Обработка, включая сбор, биометрических персональных данных физического лица для размещения в единой биометрической системе, осуществляется после:

получения согласия на обработку персональных данных в единой системе идентификации и аутентификации <3> и биометрических персональных данных в единой биометрической системе по форме, утвержденной в соответствии с частью 2 статьи 4 Федерального закона N 572-ФЗ;

--------------------------------

<3> Пункт 5 статьи 2 Федерального закона N 572-ФЗ.

проведения идентификации физического лица в соответствии с требованиями, утвержденными согласно пункту 2 части 6 статьи 4 Федерального закона N 572-ФЗ.

Указанная в настоящем пункте идентификация не проводится при размещении биометрических персональных данных в региональном сегменте единой биометрической системы и в случаях, предусмотренных подпунктами 2 - 4 пункта 1 Порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также случаев и сроков использования биометрических персональных данных при их размещении в единой биометрической системе в соответствии с частью 14 статьи 4 Федерального закона от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации", содержащегося в приложении N 2 к настоящему приказу (далее - Порядок размещения и обновления).

11. Параметры биометрических персональных данных изображения лица, размещаемых в единой биометрической системе, в том числе в соответствии с частью 9 статьи 4 Федерального закона N 572-ФЗ, для проведения идентификации и (или) аутентификации, должны соответствовать следующим требованиям:

цвета пикселей изображений фронтального типа должны быть представлены в 24-битовом цветовом пространстве RGB, в котором на каждый пиксель приходится по 8 битов на каждый компонент цвета: красный, зеленый и синий;

изменение интенсивности в области лица (от макушки до подбородка и от левого уха до правого уха) после преобразования к градациям серого должно находиться в диапазоне от 128 уровней до 255 уровней, при этом на лице не должно быть областей с насыщением (недостаточной или слишком большой экспозицией) - контраст изображения в области лица должен составлять от 0,3 до 0,95;

поворот головы должен быть не более 15° от фронтального положения, при этом на изображении лица должны быть видны левое и правое ухо (при их наличии) и скуловые точки (точки ZY (код 2.1, 2.2) в соответствии с пунктом 5.6.6 Национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 19794-5-2013 "Национальный стандарт Российской Федерации. Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица", утвержденного и введенного в действие приказом Федерального агентства по техническому регулированию и метрологии от 6 сентября 2013 г. N 987-ст <4> (далее - ГОСТ Р ИСО/МЭК 19794-5-2013);

--------------------------------

<4> С изменениями, внесенными приказами Федерального агентства по техническому регулированию и метрологии от 8 ноября 2018 г. N 947-ст "Об утверждении изменения к национальному стандарту Российской Федерации", от 25 ноября 2021 г. N 1607-ст "Об утверждении изменения национального стандарта Российской Федерации".

наклон головы должен быть не более 15° от фронтального положения, при этом на изображении лица линия, проходящая через скуловые точки (точки ZY) в соответствии с пунктом 5.6.6 ГОСТ Р ИСО/МЭК 19794-5-2013, должна располагаться между линией, проведенной через нижние точки крыла носа (точки SBAL (код 5.9, 5.10) в соответствии с пунктом 5.6.6 ГОСТ Р ИСО/МЭК 19794-5-2013), и линией, проведенной между центральными точками зрачка (точки Р (код 3.5, 3.6) в соответствии с пунктом 5.6.6 ГОСТ Р ИСО/МЭК 19794-5-2013);

отклонение головы должно быть не более 10° от фронтального положения;

расстояние между центрами глаз должно составлять не менее 120 пикселей;

не допускается наличие на изображении визуально различимой бочкообразной дисторсии и подушкообразной дисторсии;

изображение должно содержать полное изображение головы человека, верхушечную точку (точка V (код точки 1.1) в соответствии с пунктом 5.6.6 ГОСТ Р ИСО/МЭК 19794-5-2013) и низшую точку подбородка (точка GN (код точки 2.7) в соответствии с пунктом 5.6.6 ГОСТ Р ИСО/МЭК 19794-5-2013), в том числе в случае перекрытия указанных элементов волосяным покровом;

не допускается перекрытие волосами или посторонними предметами изображения лица по всей ширине от бровей до нижней губы, за исключением их перекрытия бородой и (или) усами;

на изображении должно присутствовать только одно лицо, наличие других лиц, фрагментов других лиц не допускается;

выражение лица должно быть нейтральным, рот закрыт, оба глаза открыты нормально для соответствующего физического лица (с учетом поведенческих факторов и (или) медицинских заболеваний);

лицо должно быть равномерно освещено в области левой и правой щек и носа (неравномерность яркости не более 0,3), не допускается наличие бликов и теней в области лица;

все точки полученного изображения лица (от макушки до подбородка по всей ширине лица) должны быть в фокусе;

в случае фотографирования человека в очках не допускается перекрытие оправой зрачков и радужной оболочки глаз, использование солнцезащитных или тонированных очков, наличие бликов на линзах очков;

изображение лица должно быть сохранено в формате .jpeg или .png; код сжатия: JPEG (0 x 00), PNG (0 x 03);

на изображении должны отсутствовать артефакты сжатия.

12. Параметры биометрических персональных данных изображения лица, размещаемых в единой биометрической системе в соответствии с подпунктом 3 пункта 1 Порядка размещения и обновления, должны соответствовать следующим требованиям:

цветное изображение, цвета пикселей которого должны быть представлены в 24-битовом цветовом пространстве RGB, в котором на каждый пиксель приходится по 8 битов на каждый компонент цвета (красный, зеленый и синий) или монохромное изображение, цвета пикселей которого должны быть представлены в 8-битовом цветовом пространстве;

цветовая насыщенность должна быть такой, чтобы после преобразования к градациям серого изменение интенсивности в области лица (от макушки до подбородка и от левого уха до правого уха) находилось в диапазоне от 128 уровней до 255 уровней, при этом на лице не должно быть областей с насыщением (недостаточной или слишком большой экспозицией) - контраст изображения в области лица должен составлять от 0,3 до 0,95;

поворот головы должен быть не более 15° от фронтального положения, при этом на изображении лица должны быть видны левое и правое ухо (при их наличии) и скуловые точки (точки ZY (код 2.1, 2.2) в соответствии с пунктом 5.6.6 ГОСТ Р ИСО/МЭК 19794-5-2013;

наклон головы должен быть не более 15° от фронтального положения, при этом на изображении лица линия, проходящая через скуловые точки (точки ZY) в соответствии с пунктом 5.6.6 ГОСТ Р ИСО/МЭК 19794-5-2013, должна располагаться между линией, проведенной через нижние точки крыла носа (точки SBAL (код 5.9, 5.10) в соответствии с пунктом 5.6.6 ГОСТ Р ИСО/МЭК 19794-5-2013), и линией, проведенной между центральными точками зрачка (точки Р (код 3.5, 3.6) в соответствии с пунктом 5.6.6 ГОСТ Р ИСО/МЭК 19794-5-2013);

отклонение головы должно быть не более 10° от фронтального положения;

расстояние между центрами глаз должно составлять не менее 45 пикселей;

не допускается наличие на изображении визуально различимой бочкообразной дисторсии и подушкообразной дисторсии;

лицо должно располагаться по центру изображения по вертикали и горизонтали;

изображение должно содержать полное изображение головы человека, верхушечную точку (точка V (код точки 1.1) в соответствии с пунктом 5.6.6 ГОСТ Р ИСО/МЭК 19794-5-2013) и низшую точку подбородка (точка GN (код точки 2.7) в соответствии с пунктом 5.6.6 ГОСТ Р ИСО/МЭК 19794-5-2013), в том числе в случае перекрытия указанных элементов волосяным покровом;

не допускается перекрытие волосами или посторонними предметами изображения лица по всей ширине от бровей до нижней губы, за исключением перекрытия бородой и (или) усами;

на изображении должно присутствовать только одно лицо, наличие других лиц, фрагментов других лиц, изображений лиц не допускается;

выражение лица должно быть нейтральным, наличие мимики не допускается, рот закрыт (без улыбки), оба глаза открыты;

лицо должно быть равномерно освещено в области левой и правой щек и носа (неравномерность яркости не более 0,3), не допускается наличие бликов и теней в области лица;

допускается кадрирование изображения;

все точки полученного изображения лица (от макушки до подбородка по всей ширине лица) должны быть в фокусе;

в случае фотографирования человека в очках не допускается перекрытие оправой зрачков и радужной оболочки глаз, использование солнцезащитных или тонированных очков, наличие бликов на линзах очков;

изображение должно быть сохранено в формате .png или .jpeg;

на изображении должны отсутствовать артефакты сжатия.

13. Параметры биометрических персональных данных записи голоса, размещаемых в единой биометрической системе, в том числе в соответствии с частью 9 статьи 4 Федерального закона N 572-ФЗ, для идентификации и (или) аутентификации должны соответствовать следующим требованиям:

отношение сигнал-шум для звука не менее 15 дБ;

глубина квантования не менее 16 бит;

частота дискретизации не менее 16 кГц;

запись голоса должна быть сохранена в формате RIFF (.wav);

код сжатия: PCM/uncompressed (0 x 0001);

количество каналов в записи голоса: 1 (монорежим) канал;

не допускается использовать шумоподавление;

на записи должен присутствовать голос одного человека;

произнесенное физическим лицом сообщение должно соответствовать последовательности букв и (или) цифр, сгенерированной программным обеспечением информационной системы органа или организации;

запись голоса должна содержать указанную последовательность полностью и не должна прерываться;

при осуществлении записи голоса эмоционально-психологическое состояние физического лица должно быть нормальным, не возбужденным, без явных признаков заболеваний, препятствующих произнесению сообщения, указанного в абзаце десятом настоящего пункта, или способных нарушить тембр и (или) звучание голоса;

сообщение, указанное в абзаце десятом настоящего пункта, должно быть произнесено физическим лицом на русском языке.

Запрещено получение биометрических персональных данных записи голоса путем перекодирования фонограмм, записанных с помощью технических средств телефонной сети общего пользования.

14. Параметры биометрических персональных данных записи голоса, размещаемых в единой биометрической системе в соответствии с подпунктом 3 пункта 1 Порядка размещения и обновления, должны соответствовать следующим требованиям:

отношение сигнал-шум для звука не менее 15 дБ;

глубина квантования не менее 16 бит;

частота дискретизации не менее 16 кГц;

запись голоса должна быть сохранена в формате RIFF (WAV);

код сжатия: PCM/uncompressed (0 x 0001);

количество каналов в записи голоса: 1 (монорежим) канал;

на записи должен присутствовать голос одного человека;

произнесенное физическим лицом сообщение должно соответствовать последовательности цифр;

на записи не должно быть слов, выражений, кроме тех, которые требуется произнести (последовательности цифр);

сообщение должно быть произнесено физическим лицом на русском языке.

Запрещено получение биометрических персональных данных записи голоса путем перекодирования фонограмм, записанных с помощью технических средств телефонной сети общего пользования.

15. Проверка параметров биометрических персональных данных, собранных уполномоченными работниками в целях размещения биометрических персональных данных в единой биометрической системе, на соответствие требованиям, установленным пунктами 11, 13 настоящего Порядка (далее - контроль качества), осуществляется банками, многофункциональными центрами и организациями в автоматизированном режиме с использованием программного обеспечения, предоставляемого оператором единой биометрической системы.

16. В случае если в процессе прохождения контроля качества, осуществляемого банками, многофункциональными центрами и организациями, установлено соответствие параметров биометрических персональных данных требованиям, указанным в пунктах 11, 13 настоящего Порядка, такие биометрические персональные данные, содержащие в том числе метку даты, времени и места, информацию о технических средствах, с использованием которых осуществлялся процесс сбора и обработки биометрических персональных данных, а также информацию о способе сбора биометрических персональных данных в единую биометрическую систему, подписываются усиленной электронной подписью банка, многофункционального центра, организации в соответствии с пунктом 11 Порядка размещения и обновления и передаются в единую биометрическую систему в автоматизированном режиме с использованием средств криптографической защиты информации, позволяющих обеспечить безопасность персональных данных от угроз, определенных для банков в соответствии с пунктом 1 части 4 статьи 7 Федерального закона N 572-ФЗ, для многофункциональных центров и организаций - в соответствии с пунктом 4 части 2 статьи 6 Федерального закона N 572-ФЗ, в том числе с использованием единой системы межведомственного электронного взаимодействия <5>.

--------------------------------

<5> Постановление Правительства Российской Федерации от 8 сентября 2010 г. N 697 "О единой системе межведомственного электронного взаимодействия".

В случае если в процессе прохождения контроля качества, осуществляемого банками, многофункциональными центрами и организациями, установлено несоответствие параметров биометрических персональных данных требованиям, указанным в пунктах 11, 13 настоящего Порядка, такие биометрические персональные данные в единую биометрическую систему не передаются.

В случае если в процессе прохождения контроля качества, осуществляемого банками, многофункциональными центрами и организациями, установлено несоответствие параметров биометрических персональных данных требованиям, указанным в пунктах 11, 13 настоящего Порядка, банки, многофункциональные центры и организации обязаны направить информацию об указанных событиях в единую биометрическую систему в автоматизированном режиме с использованием в том числе единой системы межведомственного электронного взаимодействия, а также принять организационно-технические меры по повышению качества сбора биометрических персональных данных.

17. В единой биометрической системе контроль качества осуществляется с использованием программного обеспечения единой биометрической системы.

В случае если в процессе прохождения контроля качества установлено несоответствие параметров биометрических персональных данных требованиям, указанным в пунктах 11, 13 настоящего Порядка, размещение биометрических персональных данных в единой биометрической системе не осуществляется.

В случае если в процессе прохождения контроля качества установлено несоответствие параметров биометрических персональных данных требованиям, указанным в пунктах 11, 13 настоящего Порядка, оператор единой биометрической системы <6> в автоматизированном режиме с использованием в том числе единой системы межведомственного электронного взаимодействия направляет информацию об указанных событиях в банки, многофункциональные центры и организации, осуществляющие размещение в единой биометрической системе биометрических персональных данных. При получении указанной информации банки, многофункциональные центры и организации обязаны принять организационно-технические меры по повышению качества сбора биометрических персональных данных.

--------------------------------

<6> Постановление Правительства Российской Федерации от 16 декабря 2022 г. N 2326 "О возложении на акционерное общество "Центр Биометрических Технологий" функций оператора единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, а также о признании утратившими силу распоряжения Правительства Российской Федерации от 22 февраля 2018 г. N 293-р и пункта 4 изменений, которые вносятся в акты Правительства Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 24 июня 2021 г. N 982".

18. При обработке биометрических персональных данных в единой биометрической системе должны применяться организационные и технические меры по обеспечению безопасности персональных данных, установленные в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ), и использоваться шифровальные (криптографические) средства, позволяющие обеспечить безопасность персональных данных от угроз, определенных в соответствии с пунктом 4 части 2 статьи 6 Федерального закона N 572-ФЗ.

19. При обработке биометрических персональных данных в региональных сегментах единой биометрической системы <7> должны применяться организационные и технические меры по обеспечению безопасности персональных данных, установленные в соответствии с частью 4 статьи 19 Федерального закона N 152-ФЗ, и использоваться шифровальные (криптографические) средства, позволяющие обеспечить безопасность персональных данных от угроз, определенных в соответствии с частью 18 статьи 5 Федерального закона N 572-ФЗ <8>.

--------------------------------

<7> Пункт 11 статьи 2 Федерального закона N 572-ФЗ.

<8> Пункт 3 части 6 статьи 3 Федерального закона N 572-ФЗ.

20. Хранение биометрических персональных данных, размещенных в единой биометрической системе, осуществляется в соответствии с требованиями, установленными в соответствии со статьей 19 Федерального закона N 152-ФЗ, а также с использованием шифровальных (криптографических) средств, позволяющих обеспечить безопасность персональных данных от угроз, определенных в соответствии с пунктом 4 части 2 статьи 6 Федерального закона N 572-ФЗ, в течение не менее 50 лет со дня их размещения в единой биометрической системе, за исключением биометрических персональных данных, размещенных в единой биометрической системе в соответствии с подпунктом 3 пункта 1 Порядка размещения и обновления, которые хранятся не менее 5 лет со дня их размещения в единой биометрической системе.

21. Хранение биометрических персональных данных, размещенных в единой биометрической системе в соответствии с подпунктом 4 пункта 1 Порядка размещения и обновления, осуществляется отдельно от биометрических персональных данных, размещенных иными способами, предусмотренными пунктом 1 Порядка размещения и обновления.

22. Хранение биометрических персональных данных, размещаемых в региональном сегменте единой биометрической системы, осуществляется в соответствии с требованиями, установленными в соответствии со статьей 19 Федерального закона N 152-ФЗ, а также с использованием шифровальных (криптографических) средств, позволяющих обеспечить безопасность персональных данных от угроз, определенных в соответствии с частью 18 статьи 5 Федерального закона N 572-ФЗ.