Приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 6 марта 2025 г. № 150 “Об утверждении доклада о правоприменительной практике организации и осуществления федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации в 2024 году”

В соответствии с частью 4 статьи 47 Федерального закона от 31 июля 2020 г. N 248-ФЗ "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации", пунктами 3 и 16 Положения о федеральном государственном контроле (надзоре) в сфере идентификации и (или) аутентификации, утвержденного постановлением Правительства Российской Федерации от 11 апреля 2023 г. N 585, приказываю:

1. Утвердить прилагаемый доклад о правоприменительной практике организации и осуществления федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации в 2024 году (далее - доклад).

2. Советнику Министра цифрового развития, связи и массовых коммуникаций Российской Федерации (Мезенцевой М.В.) обеспечить размещение доклада на официальном сайте Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации в информационно-телекоммуникационной сети "Интернет" в течение 3 дней со дня его утверждения.

УТВЕРЖДЕН
приказом Министерства
цифрового развития,
связи и массовых коммуникаций
Российской Федерации
от 6 марта 2025 г. № 150

Доклад
о правоприменительной практике организации и осуществления федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации в 2024 году

I. Нормативное правовое регулирование федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации

1.1. Общие сведения

Федеральный государственный контроль (надзор) в сфере идентификации и (или) аутентификации (далее - государственный контроль) установлен положениями статьи 18 Федерального закона от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" (далее - Федеральный закон N 572-ФЗ).

Контролируемыми лицами в рамках государственного контроля являются аккредитованные организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц, аккредитованные государственные органы, Центральный банк Российской Федерации в случае прохождения им аккредитации.

Предметом государственного контроля является соблюдение аккредитованными организациями, осуществляющими аутентификацию на основе биометрических персональных данных физических лиц, аккредитованными государственными органами, Центральным банком Российской Федерации в случае прохождения им аккредитации, требований Федерального закона N 572-ФЗ и иных принимаемых в соответствии с ним нормативных правовых актов.

Общее количество контролируемых лиц на конец отчетного периода составило 16, указанные контролируемые лица отнесены к категории среднего риска.

1.2. Организация и осуществление государственного контроля

Организация и осуществление государственного контроля регулируются положениями Федерального закона от 31 июля 2020 г. N 248-ФЗ "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации" (далее - Федеральный закон N 248-ФЗ).

Порядок организации и осуществления государственного контроля установлен Положением о федеральном государственном контроле (надзоре) в сфере идентификации и (или) аутентификации, утвержденным постановлением Правительства Российской Федерации от 11 апреля 2023 г. N 585 (далее - Положение).

В соответствии с Положением полномочиями по осуществлению государственного контроля наделено Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации.

1.3. Организация и проведение контрольных (надзорных) мероприятий

При осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации проводятся следующие профилактические мероприятия: информирование, обобщение правоприменительной практики, объявление предостережения, консультирование, профилактический визит.

Плановые контрольные (надзорные) мероприятия в отношении объектов контроля проводятся в зависимости от присвоенных категорий риска с периодичностью, установленной пунктом 13 Положения. Категории риска присваиваются в соответствии с критериями отнесения объектов государственного контроля к категориям риска причинения вреда (ущерба) охраняемым законом ценностям в соответствии с приложением к Положению. Согласно пункту 30 Положения плановые контрольные (надзорные) мероприятия проводятся на основании плана их проведения на очередной календарный год, согласованного с органами прокуратуры. В 2024 году плановые контрольные (надзорные) мероприятия не проводились в связи с ограничениями, введенными постановлением Правительства Российской Федерации от 10 марта 2022 г. N 336 "Об особенностях организации и осуществления государственного контроля (надзора), муниципального контроля" (далее - постановление N 336).

Организация проведения внеплановых контрольных (надзорных) мероприятий осуществляется в соответствии с положениями статьи 66 Федерального закона N 248-ФЗ.

Внеплановые контрольные (надзорные) мероприятия, за исключением внеплановых контрольных (надзорных) мероприятий без взаимодействия, проводятся по основаниям, предусмотренным пунктами 1, 3 - 7 части 1 и частью 3 статьи 57 Федерального закона N 248-ФЗ.

Перечень индикаторов риска нарушения обязательных требований при осуществлении государственного контроля утвержден приказом Минцифры России от 16 сентября 2024 г. N 773.

1.4. Принятие решений о проведении контрольных (надзорных) мероприятий

Для проведения контрольного (надзорного) мероприятия, предусматривающего взаимодействие с контролируемым лицом, принимается решение о проведении соответствующего мероприятия, которое оформляется в соответствии с требованиями части 1 статьи 64 Федерального закона N 248-ФЗ, а также приказа Минэкономразвития России от 31 марта 2021 г. N 151 "О типовых формах документов, используемых контрольным (надзорным) органом" (далее - приказ N 151).

Решение о проведении контрольного (надзорного) мероприятия подписывается Министром цифрового развития, связи и массовых коммуникаций Российской Федерации либо его заместителями.

Сведения о решениях о проведении контрольных (надзорных) мероприятий подлежат внесению в Единый реестр контрольных (надзорных) мероприятий.

1.5. Оформление результатов контрольных (надзорных) мероприятий и принятие мер по их результатам

По окончании проведения контрольного (надзорного) мероприятия, предусматривающего взаимодействие с контролируемым лицом, составляется акт контрольного (надзорного) мероприятия в соответствии с требованиями статьи 87 Федерального закона N 248-ФЗ и приказа N 151.

Акт контрольного (надзорного) мероприятия составляется и подписывается должностными лицами, проводившими контрольное (надзорное) мероприятие, в день окончания проведения такого мероприятия.

Документы, иные материалы, являющиеся доказательствами нарушения обязательных требований, должны быть приобщены к акту.

II. Анализ правоприменительной практики

2.1. Проведение контрольных (надзорных) мероприятий

Постановлением N 336 введены ограничения на проведение в 2023 - 2024 годах контрольных (надзорных) мероприятий с взаимодействием с контролируемым лицом в рамках в том числе государственного контроля.

Так, в соответствии с пунктом 3 постановления N 336 проведение внеплановых контрольных (надзорных) мероприятий допускается в исключительных случаях, в том числе при поступлении сведений о непосредственной угрозе и фактах причинения вреда жизни и тяжкого вреда здоровью граждан, возникновения чрезвычайных ситуаций природного и (или) техногенного характера и так далее.

В связи с введением указанных ограничений внеплановые контрольные (надзорные) мероприятия в рамках государственного контроля в 2024 году не проводились.

2.2. Проведение профилактических мероприятий

Минцифры России на постоянной основе проводится информирование граждан и организаций по наиболее часто возникающим вопросам законодательства Российской Федерации в сфере идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц.

Так, в 2024 году наиболее актуальными вопросами в сфере идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц были:

Вопрос N 1. Законно ли банкам, не прошедшим аккредитацию в качестве организаций, осуществляющих аутентификацию физических лиц на основе биометрических персональных данных, осуществлять сбор биометрических персональных данных физических лиц и их размещение в государственной информационной системе "Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных" (далее - ГИС ЕБС)?

Вопрос N 2. В объеме каких видов деятельности организация, представившая заявление на получение аккредитации в сфере аутентификации на основе биометрических персональных данных, должна владеть лицензией на деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд организации)?

Вопрос N 3. Что подразумевается под терминами "идентификация" и "аутентификация" - и чем соответствующие процессы отличаются друг от друга?

Вопрос N 4. Как физическое лицо может заявить о прекращении обработки его биометрических персональных данных, используемых в целях идентификации и (или) аутентификации?

На указанные вопросы Минцифры России даны соответствующие разъяснения:

По вопросу N 1.

Осуществлять сбор биометрических персональных данных физических лиц для их размещения в ГИС ЕБС (далее - сбор) банки имеют право. При этом в указанных целях сбора требование по аккредитации к банкам не установлено Федеральным законом N 572-ФЗ.

В случаях если организации, в том числе банки, планируют проводить автоматизированную аутентификацию физических лиц на основе биометрических персональных данных, они обязаны пройти аккредитацию в соответствии с Федеральным законом N 572-ФЗ.

По вопросу N 2.

Согласно пункту 6 части 2 статьи 17 Федерального закона N 572-ФЗ организация в целях прохождения аккредитации должна выполнить требование по наличию лицензии на деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд организации) (далее - лицензия). Требование к видам деятельности, указываемым в лицензии, не установлено.

Федеральным законом N 572-ФЗ не предусмотрено прохождение аккредитации организаций, осуществляющих идентификацию физических лиц на основе биометрических персональных данных, указанная идентификация осуществляется с использованием ГИС ЕБС в соответствии со статьей 9 и частью 1 статьи 13 Федерального закона N 572-ФЗ.

По вопросу N 3.

Под аутентификацией в рамках Федерального закона N 572-ФЗ понимается совокупность мероприятий по проверке лица на принадлежность ему идентификаторов посредством сопоставления их со сведениями о лице, которыми располагает лицо, проводящее аутентификацию, и установлению правомерности владения лицом идентификаторами посредством использования аутентифицирующих признаков в рамках процедуры аутентификации, в результате чего лицо считается установленным (пункт 2 статьи 2 Федерального закона N 572-ФЗ).

Под идентификацией в рамках Федерального закона N 572-ФЗ понимается совокупность мероприятий по установлению сведений о лице и их проверке, осуществляемых в соответствии с федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами, и сопоставлению данных сведений с идентификатором (пункт 7 статьи 2 Федерального закона N 572-ФЗ).

В соответствии со статьей 9 Федерального закона N 572-ФЗ идентификация физического лица на основе его биометрических персональных данных осуществляется посредством использования ГИС ЕБС и единой системы идентификации и аутентификации.

По вопросу N 4.

Для прекращения обработки биометрических персональных данных, используемых в целях идентификации и (или) аутентификации, физическое лицо вправе отозвать согласие на обработку биометрических персональных данных (далее - согласие) у соответствующих органа или организации, что предусмотрено частью 2 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

Также в соответствии с пунктом 5 части 14 статьи 3 Федерального закона N 572-ФЗ, подпунктом "ч" пункта 1 Положения о федеральной государственной информационной системе "Единый портал государственных и муниципальных услуг (функций)" (далее - портал Госуслуги), утвержденного постановлением Правительства Российской Федерации от 24 октября 2011 г. N 861, с 1 января 2024 г. физическое лицо, зарегистрированное в единой системе идентификации и аутентификации с использованием подсистемы единого личного кабинета портала Госуслуги, имеет возможность отозвать ранее представленные согласия, а также направить оператору ГИС ЕБС требование о блокировании, об удалении, уничтожении биометрических персональных данных и (или) векторов ГИС ЕБС.

Кроме того, в 2024 году, в целях профилактики рисков причинения вреда (ущерба) охраняемым законом ценностям при осуществлении государственного контроля, Минцифры России были проведены обязательные профилактические визиты, предусмотренные статьей 52 Федерального закона N 248-ФЗ и пунктами 24 - 29 Положения, в отношении 7 контролируемых лиц - аккредитованных организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц.

2.3. Применение обязательных требований во взаимосвязи положений различных нормативных правовых актов, в том числе вопросы недостаточной ясности и взаимной согласованности обязательных требований

Анализ потенциальной выполнимости обязательных требований, вопросы по исполнению которых встречаются наиболее часто в установленной сфере ведения Минцифры России, показал, что соблюдение данных требований потенциально выполнимо. Вопросов недостаточной ясности и взаимной согласованности обязательных требований не выявлено. Условия, препятствующие выполнению обязательных требований, отсутствуют. Противоречия при применении нормативных правовых актов отсутствуют.

III. Предложения о совершенствовании законодательства на основе анализа правоприменительной практики контрольной (надзорной) деятельности

Существующее регулирование контрольной (надзорной) деятельности за соблюдением законодательства Российской Федерации в сфере идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц является актуальным и достаточным, отвечающим реалиям.

В целях обеспечения единообразия правоприменения требуется проведение комплексной работы, приоритетно разъяснительного и профилактического характера.