Раздел Приложение 1 Приказа Минцифры N 453 от 12 мая 2023 г.

Приложение 1. Порядок обработки, включая сбор, хранение, биометрических персональных данных, в том числе требования к параметрам биометрических персональных данных

2. В соответствии с настоящим Порядком проводится обработка биометрических персональных данных следующих видов:

изображение лица человека, полученное с помощью фотовидеоустройств (далее - изображение лица);
запись голоса человека, полученная с помощью звукозаписывающих устройств (далее - запись голоса).

3. В единой биометрической системе в целях осуществления идентификации осуществляется обработка записей голоса, собранных текстозависимым методом.

4. Параметры собираемых для размещения в единой биометрической системе биометрических персональных данных должны соответствовать требованиям, установленным пунктами 11 - 14 настоящего Порядка.

5. Параметры собираемых для размещения в региональном сегменте единой биометрической системы биометрических персональных данных должны соответствовать требованиям, установленным пунктами 12 и 14 настоящего Порядка.
Пункт 5 действует до 1 января 2027 г.

6. В единой биометрической системе в результате обработки биометрических персональных данных осуществляется создание векторов единой биометрической системы в соответствии с Порядком создания и передачи векторов единой биометрической системы в целях осуществления аутентификации, содержащимся в приложении N 4 к настоящему приказу.

7. Сбор биометрических персональных данных для размещения в единой биометрической системе в соответствии с частью 1 статьи 4 Федерального закона N 572-ФЗ производится при личном присутствии физического лица уполномоченным работником банка, многофункционального центра предоставления государственных и муниципальных услуг (далее - многофункциональный центр) и иной организации в случаях, определенных федеральными законами (далее - организация), в соответствии с требованиями к параметрам биометрических персональных данных, установленными пунктами 11, 13 настоящего Порядка.
При сборе биометрических персональных данных в целях размещения в единой биометрической системе уполномоченный работник многофункционального центра подписывает собранные биометрические персональные данные своей усиленной квалифицированной электронной подписью.
При сборе биометрических персональных данных в целях размещения в единой биометрической системе уполномоченный работник банка и организации подписывает собранные биометрические персональные данные своей усиленной квалифицированной электронной подписью или усиленной неквалифицированной электронной подписью, которая создается и проверяется с использованием средств электронной подписи и средств удостоверяющего центра, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности в соответствии с частью 5 статьи 8 Федерального закона от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи", соответствующего банка или организации.

8. Банк, многофункциональный центр и организация при сборе биометрических персональных данных для размещения в единой биометрической системе определяют уполномоченных работников, осуществляющих сбор биометрических персональных данных (далее - уполномоченный работник), и осуществляют выдачу им сертификатов ключей проверки электронной подписи, используемой для подписания биометрических персональных данных в соответствии с пунктом 7 настоящего Порядка.
Уполномоченный работник осуществляет защищенное хранение выданного ему ключа электронной подписи, используемой для подписания биометрических персональных данных в соответствии с пунктом 7 настоящего Порядка, обеспечивающее конфиденциальность ключа электронной подписи и исключающее его несанкционированное изменение, добавление и удаление в соответствии с законодательством Российской Федерации в области электронной подписи.
Уполномоченный работник подписывает своей электронной подписью в соответствии с пунктом 7 настоящего Порядка биометрические персональные данные, собранные им, и информацию, указанную в пункте 16 настоящего Порядка.

9. Уполномоченный работник обязан соблюдать конфиденциальность ключа электронной подписи, используемой для подписания биометрических персональных данных в соответствии с пунктом 7 настоящего Порядка.

10. Обработка, включая сбор, биометрических персональных данных физического лица для размещения в единой биометрической системе, осуществляется после:

получения согласия на обработку персональных данных в единой системе идентификации и аутентификации и биометрических персональных данных в единой биометрической системе по форме, утвержденной в соответствии с частью 2 статьи 4 Федерального закона N 572-ФЗ;
проведения идентификации физического лица в соответствии с требованиями, утвержденными согласно пункту 2 части 6 статьи 4 Федерального закона N 572-ФЗ.

Указанная в настоящем пункте идентификация не проводится при размещении биометрических персональных данных в региональном сегменте единой биометрической системы и в случаях, предусмотренных подпунктами 2 - 4 пункта 1 Порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также случаев и сроков использования биометрических персональных данных при их размещении в единой биометрической системе в соответствии с частью 14 статьи 4 Федерального закона от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации", содержащегося в приложении N 2 к настоящему приказу (далее - Порядок размещения и обновления).

11. Параметры биометрических персональных данных изображения лица, размещаемых в единой биометрической системе, в том числе в соответствии с частью 9 статьи 4 Федерального закона N 572-ФЗ, для проведения идентификации и (или) аутентификации, должны соответствовать следующим требованиям:

цвета пикселей изображений фронтального типа должны быть представлены в 24-битовом цветовом пространстве RGB, в котором на каждый пиксель приходится по 8 битов на каждый компонент цвета: красный, зеленый и синий;
изменение интенсивности в области лица (от макушки до подбородка и от левого уха до правого уха) после преобразования к градациям серого должно находиться в диапазоне от 128 уровней до 255 уровней, при этом на лице не должно быть областей с насыщением (недостаточной или слишком большой экспозицией) - контраст изображения в области лица должен составлять от 0,3 до 0,95;
поворот головы должен быть не более 15° от фронтального положения, при этом на изображении лица должны быть видны левое и правое ухо (при их наличии) и скуловые точки (точки ZY (код 2.1, 2.2) в соответствии с пунктом 5.6.6 Национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 19794-5-2013 "Национальный стандарт Российской Федерации. Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица", утвержденного и введенного в действие приказом Федерального агентства по техническому регулированию и метрологии от 6 сентября 2013 г. N 987-ст (далее - ГОСТ Р ИСО/МЭК 19794-5-2013);
наклон головы должен быть не более 15° от фронтального положения, при этом на изображении лица линия, проходящая через скуловые точки (точки ZY) в соответствии с пунктом 5.6.6 ГОСТ Р ИСО/МЭК 19794-5-2013, должна располагаться между линией, проведенной через нижние точки крыла носа (точки SBAL (код 5.9, 5.10) в соответствии с пунктом 5.6.6 ГОСТ Р ИСО/МЭК 19794-5-2013), и линией, проведенной между центральными точками зрачка (точки Р (код 3.5, 3.6) в соответствии с пунктом 5.6.6 ГОСТ Р ИСО/МЭК 19794-5-2013);
отклонение головы должно быть не более 10° от фронтального положения;
расстояние между центрами глаз должно составлять не менее 120 пикселей;
не допускается наличие на изображении визуально различимой бочкообразной дисторсии и подушкообразной дисторсии;
изображение должно содержать полное изображение головы человека, верхушечную точку (точка V (код точки 1.1) в соответствии с пунктом 5.6.6 ГОСТ Р ИСО/МЭК 19794-5-2013) и низшую точку подбородка (точка GN (код точки 2.7) в соответствии с пунктом 5.6.6 ГОСТ Р ИСО/МЭК 19794-5-2013), в том числе в случае перекрытия указанных элементов волосяным покровом;
не допускается перекрытие волосами или посторонними предметами изображения лица по всей ширине от бровей до нижней губы, за исключением их перекрытия бородой и (или) усами;
на изображении должно присутствовать только одно лицо, наличие других лиц, фрагментов других лиц не допускается;
выражение лица должно быть нейтральным, рот закрыт, оба глаза открыты нормально для соответствующего физического лица (с учетом поведенческих факторов и (или) медицинских заболеваний);
лицо должно быть равномерно освещено в области левой и правой щек и носа (неравномерность яркости не более 0,3), не допускается наличие бликов и теней в области лица;
все точки полученного изображения лица (от макушки до подбородка по всей ширине лица) должны быть в фокусе;
в случае фотографирования человека в очках не допускается перекрытие оправой зрачков и радужной оболочки глаз, использование солнцезащитных или тонированных очков, наличие бликов на линзах очков;
изображение лица должно быть сохранено в формате .jpeg или .png; код сжатия: JPEG (0 х 00), PNG (0 х 03);
на изображении должны отсутствовать артефакты сжатия.

12. Параметры биометрических персональных данных изображения лица, размещаемых в единой биометрической системе в соответствии с подпунктом 3 пункта 1 Порядка размещения и обновления, должны соответствовать следующим требованиям:

цветное изображение, цвета пикселей которого должны быть представлены в 24-битовом цветовом пространстве RGB, в котором на каждый пиксель приходится по 8 битов на каждый компонент цвета (красный, зеленый и синий) или монохромное изображение, цвета пикселей которого должны быть представлены в 8-битовом цветовом пространстве;
цветовая насыщенность должна быть такой, чтобы после преобразования к градациям серого изменение интенсивности в области лица (от макушки до подбородка и от левого уха до правого уха) находилось в диапазоне от 128 уровней до 255 уровней, при этом на лице не должно быть областей с насыщением (недостаточной или слишком большой экспозицией) - контраст изображения в области лица должен составлять от 0,3 до 0,95;
поворот головы должен быть не более 15° от фронтального положения, при этом на изображении лица должны быть видны левое и правое ухо (при их наличии) и скуловые точки (точки ZY (код 2.1, 2.2) в соответствии с пунктом 5.6.6 ГОСТ Р ИСО/МЭК 19794-5-2013;
наклон головы должен быть не более 15° от фронтального положения, при этом на изображении лица линия, проходящая через скуловые точки (точки ZY) в соответствии с пунктом 5.6.6 ГОСТ Р ИСО/МЭК 19794-5-2013, должна располагаться между линией, проведенной через нижние точки крыла носа (точки SBAL (код 5.9, 5.10) в соответствии с пунктом 5.6.6 ГОСТ Р ИСО/МЭК 19794-5-2013), и линией, проведенной между центральными точками зрачка (точки Р (код 3.5, 3.6) в соответствии с пунктом 5.6.6 ГОСТ Р ИСО/МЭК 19794-5-2013);
отклонение головы должно быть не более 10° от фронтального положения;
расстояние между центрами глаз должно составлять не менее 45 пикселей;
не допускается наличие на изображении визуально различимой бочкообразной дисторсии и подушкообразной дисторсии;
лицо должно располагаться по центру изображения по вертикали и горизонтали;
изображение должно содержать полное изображение головы человека, верхушечную точку (точка V (код точки 1.1) в соответствии с пунктом 5.6.6 ГОСТ Р ИСО/МЭК 19794-5-2013) и низшую точку подбородка (точка GN (код точки 2.7) в соответствии с пунктом 5.6.6 ГОСТ Р ИСО/МЭК 19794-5-2013), в том числе в случае перекрытия указанных элементов волосяным покровом;
не допускается перекрытие волосами или посторонними предметами изображения лица по всей ширине от бровей до нижней губы, за исключением перекрытия бородой и (или) усами;
на изображении должно присутствовать только одно лицо, наличие других лиц, фрагментов других лиц, изображений лиц не допускается;
выражение лица должно быть нейтральным, наличие мимики не допускается, рот закрыт (без улыбки), оба глаза открыты;
лицо должно быть равномерно освещено в области левой и правой щек и носа (неравномерность яркости не более 0,3), не допускается наличие бликов и теней в области лица;
допускается кадрирование изображения;
все точки полученного изображения лица (от макушки до подбородка по всей ширине лица) должны быть в фокусе;
в случае фотографирования человека в очках не допускается перекрытие оправой зрачков и радужной оболочки глаз, использование солнцезащитных или тонированных очков, наличие бликов на линзах очков;
изображение должно быть сохранено в формате .png или .jpeg;
на изображении должны отсутствовать артефакты сжатия.

13. Параметры биометрических персональных данных записи голоса, размещаемых в единой биометрической системе, в том числе в соответствии с частью 9 статьи 4 Федерального закона N 572-ФЗ, для идентификации и (или) аутентификации должны соответствовать следующим требованиям:

отношение сигнал-шум для звука не менее 15 дБ;
глубина квантования не менее 16 бит;
частота дискретизации не менее 16 кГц;
запись голоса должна быть сохранена в формате RIFF (.wav);
код сжатия: PCM/uncompressed (0 х 0001);
количество каналов в записи голоса: 1 (монорежим) канал;
не допускается использовать шумоподавление;
на записи должен присутствовать голос одного человека;
произнесенное физическим лицом сообщение должно соответствовать последовательности букв и (или) цифр, сгенерированной программным обеспечением информационной системы органа или организации;
запись голоса должна содержать указанную последовательность полностью и не должна прерываться;
при осуществлении записи голоса эмоционально-психологическое состояние физического лица должно быть нормальным, не возбужденным, без явных признаков заболеваний, препятствующих произнесению сообщения, указанного в абзаце десятом настоящего пункта, или способных нарушить тембр и (или) звучание голоса;
сообщение, указанное в абзаце десятом настоящего пункта, должно быть произнесено физическим лицом на русском языке.

Запрещено получение биометрических персональных данных записи голоса путем перекодирования фонограмм, записанных с помощью технических средств телефонной сети общего пользования.

14. Параметры биометрических персональных данных записи голоса, размещаемых в единой биометрической системе в соответствии с подпунктом 3 пункта 1 Порядка размещения и обновления, должны соответствовать следующим требованиям:

отношение сигнал-шум для звука не менее 15 дБ;
глубина квантования не менее 16 бит;
частота дискретизации не менее 16 кГц;
запись голоса должна быть сохранена в формате RIFF (WAV);
код сжатия: PCM/uncompressed (0 х 0001);
количество каналов в записи голоса: 1 (монорежим) канал;
на записи должен присутствовать голос одного человека;
произнесенное физическим лицом сообщение должно соответствовать последовательности цифр;
на записи не должно быть слов, выражений, кроме тех, которые требуется произнести (последовательности цифр);
сообщение должно быть произнесено физическим лицом на русском языке.

Запрещено получение биометрических персональных данных записи голоса путем перекодирования фонограмм, записанных с помощью технических средств телефонной сети общего пользования.

15. Проверка параметров биометрических персональных данных, собранных уполномоченными работниками в целях размещения биометрических персональных данных в единой биометрической системе, на соответствие требованиям, установленным пунктами 11, 13 настоящего Порядка (далее - контроль качества), осуществляется банками, многофункциональными центрами и организациями в автоматизированном режиме с использованием программного обеспечения, предоставляемого оператором единой биометрической системы.

16. В случае если в процессе прохождения контроля качества, осуществляемого банками, многофункциональными центрами и организациями, установлено соответствие параметров биометрических персональных данных требованиям, указанным в пунктах 11, 13 настоящего Порядка, такие биометрические персональные данные, содержащие в том числе метку даты, времени и места, информацию о технических средствах, с использованием которых осуществлялся процесс сбора и обработки биометрических персональных данных, а также информацию о способе сбора биометрических персональных данных в единую биометрическую систему, подписываются усиленной электронной подписью банка, многофункционального центра, организации в соответствии с пунктом 11 Порядка размещения и обновления и передаются в единую биометрическую систему в автоматизированном режиме с использованием средств криптографической защиты информации, позволяющих обеспечить безопасность персональных данных от угроз, определенных для банков в соответствии с пунктом 1 части 4 статьи 7 Федерального закона N 572-ФЗ, для многофункциональных центров и организаций - в соответствии с пунктом 4 части 2 статьи 6 Федерального закона N 572-ФЗ, в том числе с использованием единой системы межведомственного электронного взаимодействия.
В случае если в процессе прохождения контроля качества, осуществляемого банками, многофункциональными центрами и организациями, установлено несоответствие параметров биометрических персональных данных требованиям, указанным в пунктах 11, 13 настоящего Порядка, такие биометрические персональные данные в единую биометрическую систему не передаются.
В случае если в процессе прохождения контроля качества, осуществляемого банками, многофункциональными центрами и организациями, установлено несоответствие параметров биометрических персональных данных требованиям, указанным в пунктах 11, 13 настоящего Порядка, банки, многофункциональные центры и организации обязаны направить информацию об указанных событиях в единую биометрическую систему в автоматизированном режиме с использованием в том числе единой системы межведомственного электронного взаимодействия, а также принять организационно-технические меры по повышению качества сбора биометрических персональных данных.

18. При обработке биометрических персональных данных в единой биометрической системе должны применяться организационные и технические меры по обеспечению безопасности персональных данных, установленные в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ), и использоваться шифровальные (криптографические) средства, позволяющие обеспечить безопасность персональных данных от угроз, определенных в соответствии с пунктом 4 части 2 статьи 6 Федерального закона N 572-ФЗ.

19. При обработке биометрических персональных данных в региональных сегментах единой биометрической системы должны применяться организационные и технические меры по обеспечению безопасности персональных данных, установленные в соответствии с частью 4 статьи 19 Федерального закона N 152-ФЗ, и использоваться шифровальные (криптографические) средства, позволяющие обеспечить безопасность персональных данных от угроз, определенных в соответствии с частью 18 статьи 5 Федерального закона N 572-ФЗ.

20. Хранение биометрических персональных данных, размещенных в единой биометрической системе, осуществляется в соответствии с требованиями, установленными в соответствии со статьей 19 Федерального закона N 152-ФЗ, а также с использованием шифровальных (криптографических) средств, позволяющих обеспечить безопасность персональных данных от угроз, определенных в соответствии с пунктом 4 части 2 статьи 6 Федерального закона N 572-ФЗ, в течение не менее 50 лет со дня их размещения в единой биометрической системе, за исключением биометрических персональных данных, размещенных в единой биометрической системе в соответствии с подпунктом 3 пункта 1 Порядка размещения и обновления, которые хранятся не менее 5 лет со дня их размещения в единой биометрической системе.

21. Хранение биометрических персональных данных, размещенных в единой биометрической системе в соответствии с подпунктом 4 пункта 1 Порядка размещения и обновления, осуществляется отдельно от биометрических персональных данных, размещенных иными способами, предусмотренными пунктом 1 Порядка размещения и обновления.

22. Хранение биометрических персональных данных, размещаемых в региональном сегменте единой биометрической системы, осуществляется в соответствии с требованиями, установленными в соответствии со статьей 19 Федерального закона N 152-ФЗ, а также с использованием шифровальных (криптографических) средств, позволяющих обеспечить безопасность персональных данных от угроз, определенных в соответствии с частью 18 статьи 5 Федерального закона N 572-ФЗ.
Пункт 22 действует до 1 января 2027 г.

Приказ Минцифры № 453 от 12.05.2023

Приложение 1

Список требований