<Письмо> Минцифры России от 27.04.2021 N П24-2-200-15039
МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ
И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ
ПИСЬМО
от 27 апреля 2021 г. N П24-2-200-15039
О РАССМОТРЕНИИ ОБРАЩЕНИЯ
Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (далее - Министерство) в пределах своей компетенции рассмотрело вопросы, касающиеся порядка применения положений Федерального закона от 29 декабря 2020 г. N 479-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации", и направляет ответы на них согласно приложению.
Директор Департамента
реализации стратегических проектов
Ю.В.ПАРФЕНОВ
Приложение
ВОПРОСЫ
ПО ПРИМЕНЕНИЮ ФЕДЕРАЛЬНОГО ЗАКОНА ОТ 29.12.2020 N 479-ФЗ
"О ВНЕСЕНИИ ИЗМЕНЕНИЙ В ОТДЕЛЬНЫЕ ЗАКОНОДАТЕЛЬНЫЕ АКТЫ
РОССИЙСКОЙ ФЕДЕРАЦИИ"
N N п/п
Вопросы НСФР
Позиция Минцифры России
1.
В соответствии с частью 18.5 статьи 14.1 Закона N 149-ФЗ (в редакции Закона N 479-ФЗ) перед использованием единой биометрической системы (далее - ЕБС) органы, организации, индивидуальные предприниматели и нотариусы, указанные в части 18.2 статьи 14.1 Закона N 149-ФЗ, предоставляют в единую систему идентификации и аутентификации (далее - ЕСИА) сведения о физических лицах, содержащиеся в их информационных системах персональных данных, включая идентификаторы таких сведений. Данные идентификаторы после их сопоставления со сведениями о физических лицах, содержащимися в ЕСИА, передаются из ЕСИА в ЕБС.
В этой связи просим разъяснить, каковы требования к формату передачи в ЕСИА сведений о физических лицах и идентификаторов таких сведений согласно рассматриваемому положению? Каким документом (регламентом, нормативным актом) урегулирован данный вопрос?
Требования к формату передачи данных нормативными правовыми актами не установлены.
2.
Согласно части 18.24 статьи 14.1 Закона N 149-ФЗ (в редакции Закона N 479-ФЗ) организации финансового рынка, иные организации, индивидуальные предприниматели вправе использовать информационные системы организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, соответствующих требованиям, указанным в части 18.18 статьи 14.1 Закона N 149-ФЗ, для аутентификации физического лица, выразившего согласие на ее проведение, в целях совершения определенных действий или подтверждения волеизъявления либо подтверждения полномочия этого лица на совершение определенных действий.
В этой связи просим разъяснить:
2.1. Каковы требования к порядку хранения организациями финансового рынка согласий физических лиц на проведение аутентификации согласно рассматриваемому положению?
2.2. В течение какого срока должно осуществляться хранение указанных согласий физических лиц?
2.3. Должно ли указанное согласие быть оформлено физическим лицом исключительно в электронном виде или может, в том числе, быть оформлено на бумажном носителе?
Требования к порядку хранения организациями финансового рынка согласий физических лиц на проведение аутентификации не установлены.
Вместе с тем обращаем Ваше внимание, что в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152) срок, в течение которого должно осуществляться хранение указанных в вопросе согласий физических лиц, также не установлен, при этом в отношении срока обработки персональных данных необходимо руководствоваться требованием статей 9 Федерального закона N 152.
Требование к исключительно электронной или иной форме (бумажный носитель) оформления согласий физического лица, не установлено. При этом если согласие выдано в форме электронного документа, оно должно быть подписано электронной подписью в соответствии с положениями Федерального закона от 06.04.2011 N 63-ФЗ "Об электронной подписи".
3.
Согласно части 21 статьи 14.1 Закона N 149-ФЗ (в редакции Закона N 479-ФЗ) в случае, если физическое лицо при предоставлении своих биометрических персональных данных в целях проведения идентификации без личного присутствия посредством сети "Интернет" использует иные устройства, в том числе персональный компьютер, и отказывается от использования шифровальных (криптографических) средств, указанных в части 19 статьи 14.1 Закона N 149-ФЗ, государственный орган, орган местного самоуправления, организация финансового рынка, иная организация, индивидуальный предприниматель, нотариус уведомляют его о рисках, связанных с таким отказом. После подтверждения физическим лицом своего решения государственный орган, орган местного самоуправления, организация финансового рынка, иная организация, индивидуальный предприниматель, нотариус могут провести соответствующую идентификацию физического лица посредством сети "Интернет" без использования им указанных шифровальных (криптографических) средств.
В этой связи просим разъяснить:
3.1. Каким способом и в какой форме физическое лицо должно подтвердить свое решение об отказе от использования шифровальных (криптографических) средств согласно рассматриваемому положению?
3.2. Требуется ли организации финансового рынка обеспечить хранение подтверждения физическим лицом указанного решения и, если требуется, то в течение какого срока должно осуществляться хранение такого подтверждения?
3.3. Вправе ли организация финансового рынка осуществлять уведомление о рисках согласно рассматриваемому положению в свободной форме?
Требования к способу и форме подтверждения физического лица своего решения об отказе от использования шифровальных (криптографических) средств не установлено. Предполагается, что это можно сделать любым доступным способом и в любой доступной форме.
Требования к организации финансового рынка по обеспечению хранения подтверждения физическим лицом указанного решения, равно как и срока хранения такого подтверждения не установлено.
Запретов на уведомление организацией финансового рынка о рисках в свободной форме не установлено.
4.
В целях исключения правовой неопределенности и корректной квалификации определенных действий финансовых организаций в качестве "аутентификации" просим подтвердить правомерность вывода о том, что аккредитация на использование биометрических персональных данных для аутентификации требуется организациям финансового рынка только в том случае, если действия, осуществляемые финансовыми организациями, прямо определены в качестве аутентификации Законом N 149-ФЗ или иными федеральными законами с отсылкой к Закону N 149-ФЗ.
В соответствии с частью 18.18 статьи 14.1 Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее - Федеральный закон N 149) сбор и обработка используемых для аутентификации биометрических персональных данных в информационных системах организаций, в том числе организаций финансового рынка, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, допускаются в случае выполнения определенного рода условий, одним из которых является прохождение указанными организациями аккредитации в соответствии с частями 18.28 - 18.30 указанной статьи.
Поэтому, если организация, в том числе организация финансового рынка предполагает использовать свою коммерческую биометрическую систему для аутентификации, она должна получить аккредитацию по требованиям Федерального закона N 149 и принимаемых в соответствии с ним подзаконных нормативных правовых актов.
Указанные подзаконные акты находятся в разработке.