Биометрические персональные данные в России: гид по типам данных и правовому регулированию в 2025 году

Данные, обязательные для передачи в ЕБС

Согласно Постановлению Правительства РФ №408 от 1 апреля 2024 года, к биометрическим персональным данным, подпадающим под действие закона №572-ФЗ, относятся только:

• Изображение лица человека — фотографии и видеозаписи, позволяющие идентифицировать личность
• Запись голоса человека — аудиозаписи голосовых характеристик для аутентификации

Биометрические данные общего режима (152-ФЗ)

Биометрические персональные данные это перечень более широкий, чем требования ЕБС. К ним также относятся:

Физиологические параметры:

• Дактилоскопические данные (отпечатки пальцев и ладоней)
• Радужная оболочка глаз и рисунок сетчатки
• Анализы ДНК и генетический код
• Геометрия кисти рук
• Рисунок венозных сосудов
• Термограмма лица

Дополнительные характеристики:

• Рост и вес человека (при использовании для идентификации)
• Особые приметы и физиологические характеристики
• Поведенческие биометрические данные (походка, манера письма)

Спорные случаи

Фотография

Фотография это персональные данные или нет — вопрос, который часто возникает у бизнеса. Ключевой критерий — цель использования данных. Если фотография в личном деле работника не используется для установления его личности (личность уже известна), то она не считается биометрическими персональными данными.

Однако фотографии на пропусках, используемые для контроля доступа, являются биометрическими данными, поскольку служат для идентификации человека путем сравнения изображения с предъявителем пропуска.

Отпечаток пальца

 Если сотрудник использует сканер отпечатка пальца для доступа к собственному устройству, это не считается обработкой биометрических данных оператором. Однако использование отпечатков в системах контроля доступа организации требует соблюдения всех требований к биометрии.

Единая биометрическая система: современное состояние

Статистика и развитие ЕБС

По данным на июль 2025 года, в Единой биометрической системе зарегистрировано более 6 миллионов человек, что представляет рост в 24 раза по сравнению с 2023 годом. Ежедневно в системе регистрируется до 20 тысяч человек, что почти в 10 раз превышает показатели 2024 года.

Популярные сервисы ЕБС

Наиболее востребованными услугами биометрической системы стали:

• Платежные сервисы — за 2024 год проведено более 80 миллионов транзакций
• Банковские услуги — удаленное получение финансовых услуг выросло в 4 раза
• Квалифицированная электронная подпись — более 500 тысяч граждан оформили УКЭП через биометрию
• Транспортные услуги — оплата проезда в метро в четырех городах России

Обязательные шаги при работе с биометрией

1. Получение письменного согласия
   Биометрические персональные данные это пример категории информации, требующей обязательного письменного согласия субъекта данных. Согласие должно содержать:

• Полные реквизиты субъекта данных
• Перечень обрабатываемых биометрических данных
• Цели обработки и список действий с данными
• Срок действия согласия
• Порядок отзыва согласия

2. Регистрация в ЕБС
   Организации, собирающие изображение лица или голос граждан, должны:

• Пройти процедуру регистрации в качестве поставщика биометрии
• Обеспечить передачу данных в ЕБС в течение 30 дней
• Уведомить субъектов о передаче данных за 30 дней до размещения

3. Обеспечение информационной безопасности
   Новые требования 2025 года предусматривают:

• Внедрение защищенных каналов связи с ЕБС
• Использование сертифицированных технических средств
• Обеспечение векторной модели работы с биометрией
• Регулярный аудит систем безопасности

Векторная и транзакционная модели работы

Бизнес может выбирать между двумя режимами взаимодействия с ЕБС:

Транзакционное взаимодействие:

• Данные хранятся только в ЕБС
• При каждой аутентификации направляется запрос в систему
• Не требует аккредитации для простых случаев
• Подходит для разовых проверок личности

Векторное взаимодействие:

• Использование математических шаблонов (векторов)
• Требует аккредитации и соответствия техническим требованиям
• Позволяет проводить аутентификацию на стороне организации
• Необходим минимальный капитал 500 миллионов рублей

Штрафы и ответственность в 2025 году

С 30 мая 2025 года вступили в силу кардинально ужесточенные штрафы за нарушения в сфере биометрических данных:

За утечку биометрических данных:

• Физические лица: 400-500 тысяч рублей
• Должностные лица: 1,3-1,5 миллиона рублей
• Организации и ИП: 15-20 миллионов рублей

За повторные нарушения:

• Штраф составляет 1-3% от годовой выручки
• Минимум для организаций — 25 миллионов рублей
• Максимум — 500 миллионов рублей

Исключения из категории биометрии

Важно понимать, что не все сведения о физических характеристиках человека относятся к биометрическим данным:

Не являются биометрическими данными:

• Ксерокопии документов, удостоверяющих личность
• Почерк и подпись (при использовании для подтверждения волеизъявления)
• Фотографии в личных делах работников (если не используются для идентификации)
• Материалы видеонаблюдения в публичных местах (до момента использования для установления личности)
• Сведения о состоянии здоровья (относятся к специальной категории ПДн)

Современные тенденции и перспективы развития

В 2025 году планируется запуск инновационных биометрических сервисов:

• Подтверждение возраста в вендинговых автоматах для покупки энергетиков
• Биометрическая оплата в кассах самообслуживания торговых сетей
• Интеграция с транспортными системами в расширенном количестве городов
• Противодействие мошенничеству через обязательную биометрическую идентификацию при онлайн-займах

Развитие векторной модели

Законодательство развивается в сторону более гибкого использования биометрии через векторную модель. Это позволит организациям приобретать необходимое количество векторов единовременно, а не оплачивать каждое обращение к ЕБС отдельно.

Основные угрозы при работе с биометрией

Технические риски:

• Возможность подделки биометрических данных с помощью ИИ
• Уязвимости в системах передачи и хранения данных
• Несанкционированный доступ к биометрическим базам данных

Правовые риски:

• Нарушение требований к получению согласий
• Несвоевременная передача данных в ЕБС
• Использование неаккредитованных технических решений

Рекомендации по минимизации рисков

Организационные меры:

1. Проведение регулярного аудита процессов обработки биометрии
2. Обучение персонала требованиям законодательства
3. Разработка внутренних политик и процедур
4. Создание системы мониторинга соблюдения требований

Технические меры:

1. Использование сертифицированного оборудования
2. Обеспечение защищенных каналов связи
3. Внедрение систем обнаружения аномалий
4. Регулярное обновление программного обеспечения

Особенности для различных отраслей

Банковский сектор

Банки как пионеры использования биометрии в России имеют особые требования:

• Обязательная аккредитация для работы с ЕБС
• Соблюдение требований Банка России по информационной безопасности
• Проведение миллионов биометрических транзакций ежемесячно
• Особые требования к техническим средствам распознавания

Ритейл и торговля

Торговые сети активно внедряют биометрические технологии:

• Системы биометрической оплаты (FacePay)
• Контроль возраста при продаже ограниченных товаров
• Персонализация торгового предложения
• Борьба с кражами и мошенничеством

Транспорт

Транспортная отрасль использует биометрию для:

• Оплаты проезда в общественном транспорте
• Контроля доступа в аэропортах и на вокзалах
• Идентификации пассажиров при пересечении границ
• Обеспечения безопасности транспортных узлов

Государственные услуги

Государственный сектор внедряет биометрию в:

• Выдачу документов, удостоверяющих личность
• Предоставление социальных услуг
• Электронное голосование
• Доступ к государственным информационным системам

Требования к техническим средствам работы с биометрией

Технические устройства для работы с биометрией должны соответствовать строгим требованиям:

• Сертификация в соответствии с российскими стандартами
• Обеспечение заданного уровня точности распознавания (не менее 99,99%)
• Защита от атак с использованием муляжей и подделок
• Соответствие требованиям по информационной безопасности

Современные биометрические системы используют сложные алгоритмы:

• Нейронные сети для распознавания лиц
• Алгоритмы анализа уникальных точек отпечатков пальцев
• Спектральный анализ голосовых характеристик
• Машинное обучение для повышения точности распознавания

Принципы обработки биометрии

Российское законодательство закрепляет важные принципы работы с биометрическими данными:

• Добровольность — граждане самостоятельно решают, предоставлять ли биометрию
• Прозрачность — субъекты должны быть проинформированы о целях обработки
• Минимизация — обработка только необходимых для цели данных
• Ограничение хранения — данные хранятся только в течение необходимого срока

Права граждан

Субъекты биометрических данных имеют широкие права:

• Право на отзыв согласия в любое время
• Право на удаление данных из ЕБС
• Право на получение информации об обработке своих данных
• Право на компенсацию ущерба при нарушении требований

Биометрические персональные данные стали неотъемлемой частью цифровой экономики России, кардинально изменив подходы к идентификации и аутентификации граждан. Понимание того, что относится к биометрическим персональным данным человека, критически важно для любой организации, работающей с персональной информацией.

Ключевые выводы для бизнеса включают необходимость четкого понимания различий между данными, подпадающими под действие ЕБС (изображение лица и голос), и всем спектром биометрических данных, регулируемых 152-ФЗ. Новые штрафы 2025 года, достигающие 20 миллионов рублей, делают соблюдение требований законодательства не просто правовой обязанностью, но и критически важным фактором финансовой устойчивости организации.