Биометрические персональные данные: сбор, хранение, безопасность

Биометрические персональные данные по 152‑ФЗ: сбор, хранение, безопасность

---

Что такое биометрические персональные данные и правовая база

Биометрические персональные данные (БПДн) — это информация, которая относится к физиологическим и биологическим характеристикам человека и позволяет однозначно установить его личность. В рамках 152‑ФЗ такие данные выделены в отдельную категорию с усиленными требованиями.

Ключевая норма — статья 11 152‑ФЗ (часто ищут как «ст 11 фз 152»). Она определяет, при каких условиях допускается обработка биометрии, какие нужно получить согласия и какие меры защиты обеспечить. С первоисточником удобно свериться в последней редакции 152‑ФЗ и через обзор структуры и статей. Базовые понятия см. в глоссарии 152‑ФЗ и обзоре о законе 152‑ФЗ.

Почему это важно: 152 фз биометрические данные относятся к повышенно чувствительной информации. Нарушения в этой области приводят к рискам утечек, блокировкам сервисов и штрафам.

Какие данные считаются биометрическими

Примеры биометрии, которые при использовании для идентификации подпадают под «биометрические персональные данные 152 фз»:

• лицо (фото/видео, 2D/3D‑сканы, FaceID/FaceMatch‑шаблоны);
• голос (аудиозаписи, голосовые шаблоны);
• отпечатки пальцев, ладонь, геометрия руки;
• рисунок вен ладони/пальцев;
• радужка/сетчатка глаза;
• геометрия уха, особые черты походки и иные поведенческие биометрические признаки.

Важная тонкость:

• Само по себе изображение лица или запись голоса не всегда является биометрией. Критерий — «использование для целей однозначной идентификации субъекта». Если фото только для бейджа на стенд и не проводится автоматизированное сопоставление, это может быть обычная обработка ПДн. Но как только возникает распознавание/сверка — включаются требования ст. 11.
• Не путайте БПДн со специальными категориями ПДн (здоровье, мировоззрение и др.) — это разные блоки требований. Подробности см. в разделе специальные категории ПДн.

Основания обработки и согласие (статья 11 152‑ФЗ)

Для обработки биометрии по общему правилу необходимы:

• законное основание и цель;
• отдельное информированное согласие субъекта ПДн (как правило, в письменной форме или в форме, приравненной к письменной, при наличии квалифицированной ЭП).

Ключевые положения, которые важно учесть, разбирая ст 11 фз 152:

• Согласие должно быть конкретным: вид биометрии, действия (сбор, хранение, сверка и т. п.), срок, передача третьим лицам, возможная трансграничная передача. См. шаблоны в разделе согласие на обработку ПДн.
• Распространение биометрии (публикация в открытом доступе) — отдельный, высокорисковый кейс. Для этого требуется отдельное согласие по ст. 10.1 (см. согласие на распространение ПДн), но для биометрии это обычно избыточно и нежелательно.
• Исключения из необходимости согласия допускаются только если это прямо предусмотрено законом (например, для правоохранительных задач). Перечень исключений — в разделе обработка без согласия.
• Для детей — особое внимание к законным представителям и интересам ребенка: см. дети и несовершеннолетние ПДн.

Права субъекта: доступ к данным, получение сведений об обработке, отзыв согласия, требование блокировки/удаления при достижении цели. Подробнее — права субъектов ПДн и заявления и отзыв согласия.

Сбор биометрии: прозрачность и минимизация

Перед сбором биометрии проверьте:

• конкретная цель обработки и её правовая основа;
• достаточно ли менее чувствительных идентификаторов (карта доступа вместо FaceID);
• информированность субъекта: понятное уведомление, ссылка на политику обработки ПДн, чекбоксы и тексты на сайте — см. требования к сайту и формы на сайте и согласие;
• локализация: первичная запись ПДн граждан РФ — на серверах в РФ. Подойдут отечественные ЦОДы/облака — см. серверы, хостинг, ЦОД и облака (Yandex Cloud).

Отдельно про видеонаблюдение: обычная запись камеры не всегда биометрия. Но если включена функция распознавания лиц/сверки с шаблонами — вы уже обрабатываете БПДн. См. видеонаблюдение и 152‑ФЗ.

Хранение и архитектура ИСПДн с биометрией

Лучшие практики проектирования ИСПДн для биометрии:

• хранить не «сырой образ», а математический шаблон (feature‑vector), если это возможно для бизнес‑задачи;
• разделять контуры: шаблоны — в изолированном сегменте; ключи шифрования — в отдельной системе/модуле (HSM);
• строгая модель доступа: минимально необходимый доступ (RBAC/ABAC), аудит всех операций;
• журналирование действий операторов и сервисных аккаунтов, неизменяемые логи;
• регламентированные сроки хранения, автоматическое удаление/обезличивание при достижении цели.

Сравнение подходов к хранению:

Элемент	Хранить?	Срок (ориентиры)	Защита
Сырой образ (фото/видео/аудио)	Избегать длительного хранения; удалять после шаблонизации	Только на время конвертации/проверки, далее удаление	Изолированный буфер, ограниченный доступ, шифрование на диске
Биометрический шаблон	Да, если необходим для идентификации	Не дольше, чем нужно для цели; затем удаление/обезличивание	Криптографическая защита, разграничение доступа, журналы, HSM/СКЗИ
Метаданные (время, устройство, логи доступа)	Да, по регламенту	По политике и нормам учета событий	Журналы неизменяемые, контроль целостности

Установите понятные правила в документах по срокам хранения ПДн, блокировке и уничтожению, прекращению обработки. Общее описание ИСПДн и уровни — см. ИСПДн: определение и требования и уровни защищенности.

Меры безопасности: от шифрования до контроля доступа

Биометрия требует усиленных мер защиты (в т. ч. по линиям ФСТЭК/ФСБ):

• модель угроз и категорирование ИСПДн — см. модель угроз ИСПДн;
• криптографическая защита данных «на диске» и «на линии» — см. криптография и шифрование;
• управление ключами, аппаратные модули, сегментация сети, Zero Trust‑подход;
• многофакторная аутентификация для админ‑доступа, принцип наименьших привилегий;
• защищенная разработка (SSDLC), тесты на вторжение, контроль поставщиков;
• внутренний контроль, обучение персонала и назначение ответственного — см. внутренний контроль и обучение и ответственный за обработку ПДн;
• соответствие регуляторным требованиям — см. требования ФСТЭК и ФСБ и общий обзор мер безопасности ПДн.

Трансграничная передача и облака

При передаче биометрии за рубеж применяются общие правила 152‑ФЗ по оценке уровня защиты в принимающей стране и наличию правовых оснований. Биометрия повышает риски, поэтому:

• по возможности избегайте вывоза БПДн;
• используйте локализацию и «холодные» резервные копии в РФ;
• при неизбежной передаче — оформляйте договоры и оценки, см. трансграничная передача ПДн. Работу в облаках планируйте с учетом локализации, сертификаций и ответственности провайдера — см. облака (Yandex Cloud).

Уведомление Роскомнадзора и документы оператора

Если вы обрабатываете биометрию, убедитесь, что:

• направили уведомление/обновление сведений в Реестр операторов ПДн через порядок уведомления Роскомнадзора (категория данных — «биометрические»);
• подготовили и опубликовали политику обработки ПДн, регламенты, модели угроз, журналы;
• оформили пакет документов и материалы для сайта — см. документы для сайта.

Частые ошибки и ответственность

Типичные нарушения при биометрии:

• сбор без отдельного и информированного согласия;
• хранение «сырых» фото/видео дольше технологически необходимого;
• отсутствие локализации и шифрования, доступ «по умолчанию» широкому кругу лиц;
• включение распознавания в видеонаблюдении без обновления документации и уведомления;
• неоформленная передача подрядчикам — см. передача третьим лицам.

За нарушения предусмотрены санкции по КоАП (см. КоАП 13.11: ПДн и общий раздел ответственность и штрафы), вплоть до блокировки ресурсов и предписаний на удаление данных. При инциденте — действуйте по плану: инциденты и утечки ПДн и действия при нарушении. Практику и кейсы смотрите в разделе судебная практика 152‑ФЗ.

Чек‑лист запуска проекта с биометрией

• Сформулировать цель, законное основание и минимальный состав БПДн — см. принципы и цели обработки.
• Провести DPIA/оценку рисков, определить уровень защищенности и модель угроз — см. уровни защищенности, модель угроз.
• Спроектировать архитектуру ИСПДн и локализацию (ЦОД/облако в РФ) — см. серверы/ЦОД.
• Подготовить согласия, политику и регламенты — быстрый старт с генератором политики и согласий.
• Обновить сайт/формы, обеспечить информирование — см. требования к сайту.
• Назначить ответственного, обучить команду — см. обучение и курсы.
• Заключить договоры с подрядчиками (поручение обработки), прописать меры — см. поручение обработки ПДн.
• Подать/обновить уведомление в Роскомнадзор — см. уведомление.
• Провести пилот, тесты на проникновение, аудит соответствия — см. аудит соответствия 152‑ФЗ и чек‑лист.

Изменения законодательства и тренды

Нормы по биометрии активно развиваются. Отслеживайте обновления, включая инициативы 2025 года, в разделе изменения 152‑ФЗ 2025 и обзоре связанных законов, а также смежных актов — см. другие законы (обзор). Актуальный текст — в последней редакции закона.

Заключение и следующий шаг

Биометрия открывает новые сценарии идентификации, но требует строгого соблюдения ст. 11 152‑ФЗ: корректных согласий, безопасной архитектуры и дисциплины хранения. Если вы планируете запуск или уже обрабатываете биометрию, начните с проверки процессов и документов.

Нужна помощь? Мы делаем аудит и оформляем комплект под ключ: аудит соответствия 152‑ФЗ и консалтинг и документы. Задайте вопрос — раздел вопросы и ответы.