Письмо Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 12 февраля 2024 г. № П13-3027-ОГ “О рассмотрении обращения”

Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (далее - Минцифры России) рассмотрело обращение и сообщает следующее.

В соответствии с частью 2 статьи 16 Федерального закона от 29 декабря 2012 г. N 273-ФЗ "Об образовании в Российской Федерации" порядок применения электронного обучения, дистанционных образовательных технологий при реализации образовательных программ определен постановлением Правительства Российской Федерации от 11 октября 2023 г. N 1678 "Об утверждении Правил применения организациями, осуществляющими образовательную деятельность, электронного обучения, дистанционных образовательных технологий при реализации образовательных программ" (далее соответственно - постановление N 1678, Правила).

Пунктом 14 Правил закреплено право организации, осуществляющей образовательную деятельность, в целях дистанционного проведения промежуточной аттестации и текущего контроля успеваемости, итоговой аттестации по образовательным программам высшего, среднего профессионального и дополнительного профессионального образования осуществлять идентификацию и аутентификацию обучающихся с использованием единой системы идентификации и аутентификации (далее - ЕСИА) и единой биометрической системы (далее - ЕБС), и получать из ЕСИА сведения о фамилии, имени, отчестве (при наличии) и идентификаторе учетной записи ЕСИА. Обращаем внимание, что согласно пункту 2 постановления N 1678 пункт 14 Правил вступил в силу с 23 октября 2023 г.

Также пунктом 15 Правил установлено, что организации, осуществляющие образовательную деятельность, вправе осуществлять проведение промежуточной аттестации, текущего контроля успеваемости и итоговой аттестации с использованием дистанционных образовательных технологий, обеспечивающих идентификацию и (или) аутентификацию физического лица посредством ЕБС в соответствии с Федеральным законом от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" (далее - Федеральный закон N 572-ФЗ) и постановлением Правительства Российской Федерации от 28 ноября 2011 г. N 977 "О федеральной государственной информационной системе "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно- технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме" (далее - постановление N 977), а также посредством других информационных систем, обеспечивающих идентификацию и (или) аутентификацию личности.

ЕБС является государственной информационной системой, которая содержит биометрические персональные данные физических лиц, векторы единой биометрической системы и иную предусмотренную в соответствии с частью 16 статьи 4 Федерального закона N 572-ФЗ информацию, которая используется в целях осуществления идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц, а также в иных правоотношениях в случаях, установленных законодательством Российской Федерации.

Биометрические персональные данные являются самым чувствительным видом персональных данных, в связи с чем существует высокий риск недостоверной идентификации физических лиц, таким образом, обеспечение надежной защиты биометрических персональных данных и пресечение мошеннических действий каждой из сторон процесса биометрической идентификации является крайне необходимым.

В части ЕБС отмечаем, что инфраструктура единой биометрической системы размещена в защищенном центре обработки данных, расположенном на территории Российской Федерации. Все операции с биометрическими персональными данными, осуществляемые в единой биометрической системе, обеспечиваются контролем целостности биометрических образцов и их шифрованием при хранении.

ЕБС, в том числе используемый в ней механизм биометрической идентификации, защищены в соответствии с высокими государственными стандартами безопасности с применением средств криптографической защиты информации, сертифицированных ФСБ России и ФСТЭК России. В системе защиты ЕБС учтены возможные действия как внешних, так и внутренних нарушителей, построены эффективные процессы обеспечения кибербезопасности.

К тому же, при обработке в ЕБС биометрических персональных данных физических лиц исключена трансграничная передача данных, а также передача биометрических персональных данных в инфраструктуру финансовых или иных организаций.

Обращаем внимание, что с 1 июня 2023 г. вступила в силу статья 15 Федерального закона N 572-ФЗ, согласно которой предусмотрен запрет на обработку, включая сбор и хранение, в информационных системах организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, организаций финансового рынка, иных организаций, индивидуальных предпринимателей, нотариусов биометрических персональных данных, используемых для идентификации и (или) аутентификации, за исключением случаев, предусмотренных пунктами 1-3 части 1 указанной статьи.

Таким образом, в соответствии со статьей 9 Федерального закона N 572-ФЗ идентификация с использованием биометрических персональных данных в настоящее время возможна исключительно посредством ЕБС и ЕСИА, а аутентификация с использованием ЕБС осуществляется в соответствии со статьей 10 указанного федерального закона.

Под идентификацией согласно пункту 7 статьи 2 Федерального закона N 572-ФЗ понимается совокупность мероприятий по установлению сведений о лице и их проверке, осуществляемых в соответствии с федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами, и сопоставлению данных сведений с идентификатором.

Под аутентификацией согласно пункту 2 статьи 2 Федерального закона N 572-ФЗ понимается совокупность мероприятий по проверке лица на принадлежность ему идентификаторов посредством сопоставления их со сведениями о лице, которыми располагает лицо, проводящее аутентификацию, и установлению правомерности владения лицом идентификаторами посредством использования аутентифицирующих признаков в рамках процедуры аутентификации, в результате чего лицо считается установленным.

Исходя из указанных определений, результатом идентификации или аутентификации является соответственно установление сведений о лице или установление такого лица.

Также следует отметить, что в соответствии с частью 1 статьи 11 Федерального закона N 572-ФЗ действия по идентификации и (или) аутентификации физического лица с использованием ЕБС и ЕСИА с соблюдением требований, предусмотренных указанным федеральным законом, приравниваются к действиям по предъявлению документов, удостоверяющих личность такого физического лица.

Вместе с тем подпунктом "а" пункта 19 Правил для проведения промежуточной аттестации, текущего контроля успеваемости и итоговой аттестации с применением электронного обучения, дистанционных образовательных технологий установлена необходимость образовательным организациям в порядке проведения промежуточной аттестации, текущего контроля успеваемости и итоговой аттестации определить способ идентификации и (или) аутентификации обучающихся.

Учитывая изложенное, а также принимая во внимание положения пункта 19 Правил, идентификация и (или) аутентификация личности в рамках проведения промежуточной аттестации, текущего контроля успеваемости и итоговой аттестации с использованием других информационных систем, обеспечивающих идентификацию и (или) аутентификацию личности, возможны только при соответствии вышеуказанных информационных систем требованиям к информационным системам персональных данных или государственным информационным системам, утвержденным постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и приказом ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах".

Дополнительно отмечаем, что при разработке ЕБС и проведении работ по формированию нормативно-правовой базы, регулирующей обработку биометрических персональных данных в целях идентификации и (или) аутентификации физических лиц, в том числе положений Федерального закона N 572-ФЗ, силами Минцифры России была проведена работа в рамках изучения способов идентификации и аутентификации с использованием биометрических персональных данных, по итогам которой были выявлены следующие факторы, влияющие на достоверность предоставляемых результатов:

невозможность проверки достоверности предъявляемого документа, удостоверяющего личность физического лица;

вероятность подмены фотографии или персональных данных в документе, удостоверяющем личность физического лица;

возможность утечки персональных данных и биометрических персональных данных ввиду отсутствия требований к защите информации в используемых информационных системах;

отсутствие защиты от трансграничной передачи персональных данных и биометрических персональных данных;

возможность подмены изображения;

возможность кражи сотового телефона и перехвата трафика подвижной радиотелефонной связи.

Таким образом, предъявление документа, удостоверяющего личность физического лица, с использованием камеры устройства видеосвязи, а также использование одноразового кода подтверждения, направленного в виде короткого текстового сообщения на абонентский номер, выделенный оператором подвижной радиотелефонной связи (далее - смс-код) не представляют собой безопасные и достоверные способы идентификации и (или) аутентификации обучающихся.

Дополнительно сообщаем, что в соответствии с пунктом 3 (1) требований к федеральной государственной информационной системе "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме", утвержденных постановлением N 977, предусматривается возможность получения физическими и юридическими лицами с использованием ЕСИА санкционированного доступа к информации, содержащейся на Едином портале государственных и муниципальных услуг (функций) (ЕПГУ), посредством дополнительной аутентификации одним из следующих способов:

посредством использования ЕБС;

посредством ввода одноразового кода подтверждения, получаемого с использованием пользовательского оборудования (оконечного оборудования), посредством которого ранее была пройдена аутентификации в ЕСИА (push-уведомление);

посредством ввода смс-кода, направленного на абонентский номер, указанный в ЕСИА.

Отмечаем, что в соответствии с пунктом 1 части 1 статьи 6 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" обработка персональных данных осуществляется с согласия субъекта персональных данных или его законного представителя на такую обработку. Таким образом, регистрация на ЕПГУ носит исключительно добровольный характер.

Вместе с тем сообщаем, что в соответствии с пунктом 1 Положения о Министерстве просвещения Российской Федерации, утвержденного постановлением Правительства Российской Федерации от 28 июля 2018 г. N 884, Министерство просвещения Российской Федерации осуществляет функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере среднего профессионального образования и соответствующего дополнительного профессионального образования. В связи с указанным целесообразно также направление обращения в Министерство просвещения Российской Федерации для рассмотрения в соответствии с установленной компетенцией.