À la lumière de l'entrée en vigueur imminente de la loi sur l'identification biométrique des clients des banques, je voudrais revenir un peu en arrière et rappeler ce que sont réellement les données personnelles biométriques. Ce que Roskomnadzor nous dit à ce sujet et que devons-nous faire si nous devons travailler avec eux.
Conformément à la loi fédérale du 27 juillet 2006 N 152- "sur les données personnelles", art. 11:
«Les informations qui caractérisent les caractéristiques physiologiques et biologiques d'une personne, sur la base desquelles il est possible d'établir son identité (données personnelles biométriques) et qui sont utilisées par l'opérateur pour établir l'identité du sujet des données personnelles, ne peuvent être traitées qu'avec le consentement écrit du sujet des données personnelles, sauf si prévu au paragraphe 2 du présent article. »
Pour les enfants, Roskomnadzor a une explication simplifiée:
Les données personnelles biométriques sont des informations sur nos caractéristiques biologiques. Ces données sont uniques, appartiennent à une seule personne et ne sont jamais répétées.
Les données biométriques sont inhérentes à nous depuis la naissance par nature elle-même, elles ne sont attribuées par personne, ce sont juste des informations codées sur une personne que les gens ont appris à lire. Ces données comprennent:
empreinte digitale, motif iris, code ADN, distribution vocale, etc.
À propos des normes
Conformément à l'ordonnance de l'Agence fédérale de réglementation technique et de métrologie du 6 mars 2017 n ° 448, les activités du comité technique de normalisation TC 098 Biométrie et biosurveillance ont été organisées.
Conformément à l'annexe n ° 3 de l'ordonnance de l'Agence fédérale de réglementation technique et de métrologie du 6 mars 2017 n ° 448 (règlement du comité technique de normalisation «biométrie et biosurveillance»), le TC est conçu pour résoudre les problèmes suivants:
- la formation d'un programme national de normalisation des activités affectées au TC 098 et le suivi de la mise en œuvre de ce programme;
- examen de propositions pour l'application de normes internationales et régionales aux niveaux national et interétatique dans le domaine d'activité attribué au TC 098;
- l'examen des projets de normes nationales et interétatiques et des projets d'amendements aux normes existantes, ainsi que leur soumission pour approbation (adoption) à Rosstandart;
- participation aux travaux du comité technique interétatique de normalisation (MTK) et des comités techniques internationaux (ISO / TC), qui ont un domaine d'activité commun avec lui;
- vérification régulière des normes nationales et interétatiques en vigueur dans la Fédération de Russie et affectées au TC 098 afin d'identifier la nécessité de les mettre à jour ou de les annuler;
- évaluation de l'opportunité d'approuver les normes nationales préliminaires attribuées au TC 098 en tant que normes nationales de la Fédération de Russie, sur la base des résultats du suivi de leur application;
- examen de projets de normes internationales dans le domaine d'activité attribué au TC 098 et préparation de la position de la Fédération de Russie lors du vote sur ces projets;
- examen de propositions pour l'élaboration de normes internationales, y compris sur la base de normes nationales et interétatiques assignées au TC 098;
- examen des traductions officielles en russe des normes internationales et régionales, des normes nationales et des codes de règles des États étrangers dans le domaine d'activité attribué au TC 098, etc.
Au 31 octobre 2017, ce TC reflète la liste des normes nationales existantes dans le domaine des technologies biométriques. Cette liste est résumée dans le tableau ci-dessous.
Non.
| Désignation standard nationale
| Nom de la norme nationale
|
1.
| GOST ISO / IEC 2382-37-2016 *
| Technologie de l'information. Dictionnaire. Partie 37. Biométrie (adoptée par le protocole de l'UGI n ° 93-P du 22 novembre 2016)
|
2.
| GOST ISO / IEC 19794-1-2015 *
| Technologie de l'information. Biométrie Formats pour l'échange de données biométriques. Partie 1. Structure
|
3.
| GOST R ISO / IEC 19794-2-2013
| Technologie de l'information. Biométrie Formats pour l'échange de données biométriques. Partie 2. Données d'images d'empreintes digitales - Jalons
|
4.
| GOST R ISO / IEC 19794-3-2009
| Authentification Identification biométrique. Formats pour l'échange de données biométriques. Partie 3. Données spectrales d'images d'empreintes digitales
|
5.
| GOST R ISO / IEC 19794-4-2014
| Technologie de l'information. Biométrie Formats pour l'échange de données biométriques. Partie 4. Données d'image d'empreintes digitales
|
6.
| GOST R ISO / IEC 19794-5-2013
| Technologie de l'information. Biométrie Formats pour l'échange de données biométriques. Partie 5. Données d'image de visage
|
7.
| GOST R ISO / IEC 19794-6-2014
| Technologie de l'information. Biométrie Formats pour l'échange de données biométriques. Partie 6. Données d'image de l'iris
|
8.
| GOST R ISO / IEC 19794-7-2009
| Authentification Identification biométrique. Formats pour l'échange de données biométriques. Partie 7. Données sur la dynamique des signatures
|
9.
| GOST R ISO / IEC 19794-8-2015
| Technologie de l'information. Biométrie Formats pour l'échange de données biométriques. Partie 8. Données d'image d'empreintes digitales - cadre
|
10.
| GOST R ISO / IEC 19794-9-2015
| Technologie de l'information. Biométrie Formats pour l'échange de données biométriques. Partie 9. Données d'image du lit vasculaire
|
11.
| GOST R ISO / IEC 19794-10-2010
| Authentification Identification biométrique. Formats pour l'échange de données biométriques. Partie 10. Données de géométrie du contour de la main
|
12.
| GOST R ISO / IEC 19794-11-2015
| Technologie de l'information. Biométrie Formats pour l'échange de données biométriques. Partie 11. Données dynamiques de signature traitées
|
13.
| GOST R ISO / IEC 19794-14-2017
| Technologie de l'information. Biométrie Formats pour l'échange de données biométriques. Partie 14. Données ADN
|
14.
| GOST R ISO / IEC 19795-1-2007
| Authentification Identification biométrique. Tests de performances et rapports de tests en biométrie. Partie 1. Principes et structure
|
15.
| GOST R ISO / IEC 19795-2-2008
| Authentification Identification biométrique. Tests de performances et rapports de tests en biométrie.
Partie 2. Méthodes d'essai technologiques et de scénarios
|
16.
| GOST R ISO / IEC
TO 19795-3-2009
| Authentification Identification biométrique. Tests de performances et rapports de tests en biométrie. Partie 3. Caractéristiques des tests avec diverses modalités biométriques
|
17.
| GOST R ISO / IEC 19795-4-2011
| Technologie de l'information. Biométrie Tests de performances et rapports de tests en biométrie. Partie 4. Tests de compatibilité
|
18.
| GOST R ISO / IEC 19795-6-2015
| Technologie de l'information. Biométrie Tests de performances et rapports de tests en biométrie. Partie 6. Méthodologie de test opérationnel
|
19.
| GOST R ISO / IEC 19784-1-2007
| Authentification Identification biométrique. Interface logicielle biométrique. Partie 1. Spécification de l'interface du logiciel biométrique
|
20.
| GOST R ISO / IEC 19784-2-2010
| Authentification Identification biométrique. Interface logicielle biométrique. Partie 2. Interface du fournisseur d'archives d'entités biométriques
|
21.
| GOST R ISO / IEC 19784-4-2014
| Technologie de l'information. Biométrie Interface logicielle biométrique. Partie 4. Interface du fournisseur de fonction de capteur biométrique
|
22.
| GOST R ISO / IEC 19785-1-2008
| Authentification Identification biométrique. Structure unifiée des formats d'échange de données biométriques. Partie
1. Spécification des éléments de données
|
23.
| GOST R ISO / IEC 19785-2-2008
| Authentification Identification biométrique. Structure unifiée des formats d'échange de données biométriques. Partie 2. Procédures pour les actions de l'autorité d'enregistrement dans le domaine de la biométrie
|
24.
| GOST R ISO / IEC 19785-4-2012
| Technologie de l'information. Biométrie Structure unifiée des formats d'échange de données biométriques. Partie 4. Spécification du format de l'unité de sécurité de l'information
|
25.
| GOST R ISO / IEC 24708-2013
| Technologie de l'information. Biométrie Protocole de passerelle BioAPI
|
26.
| GOST R ISO / IEC 24709-1-2009
| Authentification Identification biométrique. Tests de conformité avec l'interface logicielle biométrique (BioAPI). Partie 1. Méthodes et procédures
|
27.
| GOST R ISO / IEC 24709-2-2011
| Technologie de l'information. Biométrie Tests de conformité avec l'interface logicielle biométrique (BioAPI). Partie 2. Énoncés de test pour les fournisseurs de services biométriques
|
28.
| GOST R ISO / IEC 24709-3-2013
| Technologie de l'information. Biométrie Tests de conformité avec l'interface logicielle biométrique (BioAPI). Partie 3. Énoncés de test pour les infrastructures BioAPI
|
29.
| GOST ISO / IEC 24713-1-2013 *
| Technologie de l'information. Profils biométriques pour l'interaction et l'échange de données. Partie 1. Architecture générale du système biométrique et profils biométriques
|
30.
| GOST R ISO / IEC 24713-2-2011
| Technologie de l'information. Biométrie Profils biométriques pour l'interaction et l'échange de données. Partie 2. Contrôle d'accès physique pour le personnel de l'aéroport
|
31.
| GOST R ISO / IEC 24713-3-2016
| Technologie de l'information. Biométrie Profils biométriques pour l'interaction et l'échange de données. Partie 3. Vérification et identification biométriques des gens de mer
|
32.
| GOST R ISO / IEC 29109-1-2012
| Technologie de l'information. Biométrie Méthodologie de test pour la conformité aux formats d'échange de données biométriques définis dans l'ensemble de normes ISO / IEC 19794. Partie 1. Méthodologie généralisée pour les tests de conformité
|
33.
| GOST R ISO / IEC 29109-4-2015
| Technologie de l'information. Biométrie Méthodologie d'essai pour la conformité avec les formats d'échange de données biométriques définis dans l'ensemble de normes ISO / CEI 19794. Partie 4. Données d'image d'empreintes digitales
|
34.
| GOST R ISO / IEC 29109-5-2013
| Technologie de l'information. Biométrie Méthodologie d'essai pour la conformité aux formats d'échange de données biométriques définis dans l'ensemble de normes ISO / CEI 19794. Partie 5. Données d'image faciale
|
35.
| GOST R ISO / IEC 29109-6-2016
| Technologie de l'information. Biométrie Méthodologie d'essai pour la conformité avec les formats d'échange de données biométriques définis dans l'ensemble de normes ISO / CEI 19794. Partie 6. Données d'image d'iris
|
36.
| GOST R ISO / IEC 29109-7-2016
| Technologie de l'information. Biométrie Méthodologie d'essai pour la conformité aux formats d'échange de données biométriques définis dans l'ensemble des normes ISO / CEI 19794. Partie 7. Données de dynamique de signature
|
37.
| GOST R ISO / IEC 29109-8-2016
| Technologie de l'information. Biométrie Méthodologie de test pour la conformité avec les formats d'échange de données biométriques définis dans l'ensemble des normes ISO / IEC 19794. Partie 8. Données d'image d'empreintes digitales - noyau
|
38.
| GOST R ISO / IEC 29109-9-2017
| Technologie de l'information. Biométrie Méthodologie d'essai pour la conformité avec les formats d'échange de données biométriques définis dans l'ensemble de normes ISO / CEI 19794. Partie 9. Données d'image de lit vasculaire
|
39.
| GOST R ISO / IEC 29109-10-2017
| Technologie de l'information. Biométrie Méthodologie d'essai pour la conformité aux formats d'échange de données biométriques définis dans l'ensemble des normes ISO / CEI 19794. Partie 10. Données de contour de la géométrie de la main
|
40.
| GOST R ISO / IEC 29794-1-2012
| Technologie de l'information. Biométrie La qualité des échantillons biométriques. Partie 1. Structure
|
41.
| GOST R ISO / IEC 29141-2012
| Technologie de l'information. Biométrie Acquisition de dix images d'empreintes digitales simultanément avec BioAPI
|
42.
| GOST R 54412-2011 / ISO / IEC TR 24741: 2007
| Technologie de l'information. Biométrie Programme de formation en biométrie
|
Comme vous pouvez le voir, la liste est assez longue, mais ce n'est pas tout. Outre les technologies biométriques, la biométrie et les normes pour les passeports et les documents de visa lisibles par machine, ainsi que les cartes d'identité avec des données biométriques, s'appliquent également. Nous ne les donnerons pas dans le cadre de cet article, si vous souhaitez vous familiariser avec eux, tout cela se trouve sur le site du TC 098.
Sur les clarifications de Roskomnadzor
Les clarifications émises par Roskomnadzor qui viennent de soulever «... les problèmes d'attribution d'images photo et vidéo, de données d'empreintes digitales et d'autres informations à des données personnelles biométriques et les caractéristiques de leur traitement.» Ont été ignorées par beaucoup en vain. Il y a encore beaucoup de questions, dont les réponses peuvent être trouvées dans les explications sans creuser dans les GOST. Par conséquent, je propose une fois de plus de passer en revue les points principaux, et que quelqu'un se familiarise avec eux pour la première fois.
Sur la base de la définition donnée ci-dessus, dans le contexte de la loi fédérale sur les données personnelles, l'attribution des informations personnelles aux données personnelles biométriques et leur traitement ultérieur doivent être considérés comme faisant partie des activités de l'opérateur visant à identifier une personne spécifique, sauf disposition contraire des lois fédérales et actes juridiques normatifs adoptés sur leur base.
Autrement dit, si un utilisateur, par exemple, met sa photo sur un avatar, nous ne considérons pas ces données biométriques, car selon la photo de profil, nous ne déterminons pas l'identité de l'utilisateur. Cependant, il existe des cas où une photographie est directement attribuée à des données personnelles biométriques.
«Selon le paragraphe 6 de la Liste des données à caractère personnel enregistrées sur des supports d'information électroniques contenues dans les principaux documents prouvant l'identité d'un citoyen de la Fédération de Russie, selon laquelle les citoyens de la Fédération de Russie sortent de la Fédération de Russie et entrent en Fédération de Russie, approuvée par une résolution du Gouvernement de la Fédération de Russie du 4 mars 2010 N ° 125, une photographie numérique couleur du visage du propriétaire du document est les données personnelles biométriques du propriétaire du document. "
Dans les cas où un passeport est scanné par un opérateur pour confirmer que certaines mesures ont été prises par une personne spécifique, par exemple, conclure un accord sur la prestation de services, y compris bancaires, médicaux, etc.) sans procédures d'identification (identification), ces actions ne peuvent pas être considérées traitement des données personnelles biométriques et art. 11 de la loi fédérale sur les données personnelles n'est pas réglementée. En conséquence, le traitement des informations, dans ces cas, est effectué conformément aux exigences générales établies par la loi fédérale sur les données personnelles.
Les images radiographiques ou fluorographiques qui caractérisent les caractéristiques physiologiques et biologiques d'une personne et ne sont pas incluses dans les antécédents médicaux du patient (dossier médical) (peu importe, papier ou électronique) ne sont pas des données personnelles biométriques, car elles ne sont pas utilisées par l'opérateur (établissement médical) pour établir l'identité du patient . Mais dans le cas de leur transfert à la demande des sujets des activités de recherche opérationnelle, des organismes d'enquête et d'enquête dans le cadre des événements qu'ils détiennent, ces données deviennent des données personnelles biométriques, puisqu'elles sont utilisées par des opérateurs - organismes d'enquête et d'enquête afin d'établir l'identité d'une personne en particulier. C'est-à-dire les informations médicales sont transmises aux autorités chargées de l'enquête, qui deviennent déjà des données personnelles biométriques.
Une approche similaire devrait être suivie lors de la réception d'autres informations pouvant être attribuées à des données personnelles biométriques. Ainsi, si nous utilisons les informations qui caractérisent les caractéristiques physiologiques et biologiques d'une personne pour établir une personnalité, alors nous avons la biométrie, sinon, c'est différent.
L'essentiel est que dans le cas du traitement de données personnelles biométriques, vous devez vous rappeler:
«Conformément à la partie 1 de l'art. 11 de la loi fédérale sur les données personnelles, le traitement des données personnelles biométriques ne peut être effectué qu'avec le consentement écrit du sujet des données personnelles. "
PS Vous pouvez télécharger ici notre livre blanc sur la loi fédérale n ° 152 .Il s'agit d'un livre qui a été publié afin d'aider à éliminer la confusion concernant le traitement des données personnelles et à décrire clairement le processus de mise à disposition des informations personnelles conformément à la loi russe. Le sujet se déroule à partir de zéro. Cela permet de répondre aux besoins d'un large éventail de lecteurs.