По вопросам, касающимся осуществления банком функции при обращении физического лица с заявлением о размещении его биометрических персональных данных

Мнение консультантов.

1.    Если под услугой «подтверждения упрощенной учетной записи» понимается услуга по  размещению Банком информации в ЕСИА, необходимой для регистрации физического лица в системе, то такая услуга является обязательной для Банка (Банк обязан оказать услугу клиенту, обратившемуся с соответствующим заявлением и предоставившему согласие).

2.        При размещении биометрических персональных данных клиента в ЕБС при отсутствии у физического лица регистрации в ЕСИА Банк нарушает требования Закона № 572-ФЗ.  В случае нарушения требований Закона № 572-ФЗ Банк может быть привлечен к ответственности, предусмотренной статьей  13.11.3 КоАП РФ и статьей 74 Закона № 86-ФЗ.

3.        Формально Банк вправе отказать физическому лицу в размещении его биометрических персональных данные в ЕБС, если у физического лица отсутствует регистрация в ЕСИА (отсутствует подтвержденная запись). Вместе с тем, при отказе должна быть указана причина, и Банк обязан осуществить завершение регистрации физического лица (разместить необходимую для завершения информацию в ЕСИА) при наличии соответствующего обращения клиента и согласия на такое размещение. Полагаем, что при отказе от передачи биометрических персональных данных физического лица в ЕБС Банку целесообразно предложить клиенту совершить необходимые действия по размещению информации в ЕСИА.

Обоснование мнения консультантов.

Отношения, возникающие при осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных с использованием государственной информационной системы «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных», регулируются Законом № 572-ФЗ, согласно статье 2 которого:

-  аутентификация - совокупность мероприятий по проверке лица на принадлежность ему идентификаторов посредством сопоставления их со сведениями о лице, которыми располагает лицо, проводящее аутентификацию, и установлению правомерности владения лицом идентификаторами посредством использования аутентифицирующих признаков в рамках процедуры аутентификации, в результате чего лицо считается установленным (пункт 2);

- идентификация - совокупность мероприятий по установлению сведений о лице и их проверке, осуществляемых в соответствии с федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами, и сопоставлению данных сведений с идентификатором (пункт 7);

- единая биометрическая система (ЕБС)  – государственная информационная система «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных», которая содержит биометрические персональные данные физических лиц, векторы единой биометрической системы^[1] и иную предусмотренную в соответствии с частью 16 статьи 4 настоящего Федерального закона информацию, которая используется в целях осуществления идентификации, аутентификации с использованием биометрических персональных данных физических лиц, а также в иных правоотношениях в случаях, установленных законодательством Российской Федерации, и оператором которой является определенная Правительством Российской Федерации организация (пункт 4);

- единая система идентификации и аутентификации (ЕСИА) - федеральная государственная информационная система «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме», обеспечивающая санкционированный доступ к информации, содержащейся в информационных системах (пункт 5);

В соответствии с частью 1 статьи 3 Закона № 572-ФЗ единая биометрическая система используется для осуществления идентификации и (или) аутентификации физических лиц государственными органами, органами местного самоуправления, Банком России, банками, иными кредитными организациями, некредитными финансовыми организациями, которые осуществляют указанные в части первой статьи 76.1 Закона № 86-ФЗ виды деятельности, субъектами национальной платежной системы, лицами, оказывающими профессиональные услуги на финансовом рынке (далее - организации финансового рынка), иными организациями, индивидуальными предпринимателями, нотариусами.

Действия по идентификации и (или) аутентификации физического лица с использованием ЕБС (за исключением региональных сегментов единой биометрической системы) и ЕСИА с соблюдением требований, предусмотренных настоящим Федеральным законом, приравниваются к действиям по предъявлению документов, удостоверяющих личность такого физического лица, в том числе в случаях, если такое предъявление требуется в соответствии с нормативными правовыми актами Российской Федерации, нормативными правовыми актами субъектов Российской Федерации, муниципальными правовыми актами, за исключением случаев, если в соответствии с законодательством Российской Федерации требуется предъявление оригинала документа, удостоверяющего личность физического лица (часть 1 статьи 11 Закона № 572-ФЗ).

В соответствии с частью 7 статьи 3 Закона № 572-ФЗ банки, многофункциональные центры предоставления государственных и муниципальных услуг и иные организации, размещающие сведения в единой биометрической системе, государственные органы, органы местного самоуправления, Банк России, организации, индивидуальные предприниматели, нотариусы, использующие единую биометрическую систему в целях идентификации и (или) аутентификации, органы государственной власти субъектов Российской Федерации, подведомственные им организации, органы местного самоуправления, подведомственные им организации, иные организации, использующие региональные сегменты ЕБС в целях аутентификации, а также оператор ЕБС, оператор регионального сегмента ЕБС при обработке соответственно биометрических персональных данных, векторов ЕБС осуществляют свои функции в соответствии с законодательством Российской Федерации о персональных данных^[2] и требованиями настоящего Федерального закона.

В соответствии с частью 1 статьи 4 Закона № 572-ФЗ банки, многофункциональные центры предоставления государственных и муниципальных услуг и иные организации в случаях, определенных федеральными законами, после проведения идентификации при личном присутствии физического лица с его согласия на безвозмездной основе размещают в электронной форме:

-  биометрические персональные данные физического лица - в ЕБС (пункт 1);

-  сведения о физическом лице, биометрические персональные данные которого размещаются в ЕБС, которые необходимы для регистрации физического лица в ЕСИА, и иные сведения, если такие сведения предусмотрены федеральными законами, - в ЕСИА (пункт 2).

Форма согласия на размещение и обработку персональных данных в ЕСИА и биометрических персональных данных в ЕБС, в том числе на передачу векторов ЕБС (далее по тексту – Согласие), утверждается Правительством Российской Федерации. Физическое лицо вправе подписать указанное согласие усиленной неквалифицированной электронной подписью  (часть 2 статьи 4 Закона № 572-ФЗ).

В соответствии с Распоряжением № 1322-р  Согласие дается  физическим  лицом в целях:

 - регистрации в ЕСИА для размещения биометрических персональных данных в ЕБС (в случае отсутствия регистрации физического лица в ЕСИА);

- идентификации и (или) аутентификации с использованием ЕБС.

Согласно части 6 статьи 4 Закона № 572-ФЗ Правительство Российской Федерации устанавливает требования:

1) к фиксированию действий при размещении сведений, указанных в пунктах 1 и 2 части 1 настоящей статьи;

2) к проведению банками, многофункциональными центрами предоставления государственных и муниципальных услуг и иными организациями, указанными в части 1 настоящей статьи, идентификации физического лица, за исключением банков и иных организаций, проводящих такую идентификацию в порядке, установленном Законом № 115-ФЗ.

Сведения, указанные в пунктах 1 и 2 части 1 настоящей статьи, размещаются соответственно в ЕБС и в ЕСИА уполномоченным сотрудником банка, многофункционального центра предоставления государственных и муниципальных услуг или иной организации и подписываются усиленной квалифицированной электронной подписью таких банка, многофункционального центра предоставления государственных и муниципальных услуг или иной организации (часть 7 статьи 4 Закона № 572-ФЗ).

Согласно части 8 статьи 4 Закона № 572-ФЗ федеральные законы, устанавливающие обязанность банков, многофункциональных центров предоставления государственных и муниципальных услуг и иных организаций по размещению сведений, указанных в пунктах 1 и 2 части 1 настоящей статьи, должны предусматривать осуществление контроля и надзора за соответствующими действиями, а также определение органа государственной власти, уполномоченного на их осуществление. В отношении организаций финансового рынка такие контроль и надзор осуществляются Банком России.

В соответствии с частью 9 статьи 4 Закона № 572-ФЗ физические лица вправе самостоятельно размещать с использованием мобильного приложения ЕБС свои биометрические персональные данные в ЕБС с применением пользовательского оборудования (оконечного оборудования), имеющего в своем составе идентификационный модуль.

Одновременно на основании пункта 5.6 статьи 7 Закона № 115-ФЗ с согласия клиента - физического лица и на безвозмездной для него основе банк с универсальной лицензией, соответствующий критериям, установленным абзацами вторым - четвертым пункта 5.7 настоящей статьи,  обязан, а банк с базовой лицензией, соответствующий критериям, установленным абзацами вторым - четвертым пункта 5.7 настоящей статьи, и включенный на основании его заявления в перечень банков, предусмотренный абзацем восьмым пункта 5.7 настоящей статьи, вправе после проведения идентификации при личном присутствии клиента - физического лица размещать или обновлять в электронной форме в ЕСИА сведения, необходимые для регистрации в ней, и сведения, предусмотренные абзацем вторым подпункта 1 пункта 1 настоящей статьи^[3], и в  ЕБС его биометрические персональные данные в соответствии с частью 1 статьи 4 Закона №  572-ФЗ.

Порядок размещения и обновления указанных в настоящем пункте сведений, а также состав сведений, необходимых для регистрации клиента - физического лица в единой системе идентификации и аутентификации, и состав сведений, размещаемых в единой биометрической системе, устанавливаются в соответствии Законом № 572-ФЗ. Надзор за соблюдением банками и операторами финансовых платформ порядка размещения и обновления таких сведений осуществляется Банком России в установленном им порядке.

В соответствии с подпунктом «б» пункта 1  части 2 статьи 6 Закона № 572-ФЗ федеральный орган исполнительной власти, осуществляющий регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных  определяет порядок размещения и обновления биометрических персональных данных в ЕБС.

Порядок размещения и обновления биометрических персональных данных в ЕБС (далее по тексту – Порядок)  утвержден Приложением 2 к Приказу № 453. Согласно Порядку:

- размещение и обновление биометрических персональных данных в ЕБС осуществляется, в том числе, банками после проведения идентификации при личном присутствии физического лица с его согласия на безвозмездной основе (подпункт 1 пункта 1, пункт 2);

- размещение и обновление биометрических персональных данных осуществляются в соответствии с законодательством Российской Федерации в области персональных данных (пункт 4);

- размещение и обновление биометрических персональных данных в ЕБС осуществляется банками в соответствии с требованиями к фиксированию действий, утвержденными в соответствии с пунктом 1 части 6 статьи 4 Закона №  572-ФЗ (пункт 11).

В соответствии с пунктом 12 Порядка:

- размещение банками биометрических персональных данных в ЕБС  осуществляется, если физическое лицо завершило процедуру регистрации в ЕСИА в соответствии с пунктом 9(1) «Правил использования федеральной государственной информационной системы «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме», утвержденных Постановлением №  584 (далее по тексту – Правила) (абзац 1);

- в случае если физическое лицо не зарегистрировано в ЕСИА, уполномоченный работник после проведения идентификации физического лица осуществляет с его согласия процедуру регистрации в ЕСИА в соответствии с Правилами (абзац 2);

- если сведения, необходимые для регистрации физического лица в ЕСИА, внесены в указанную систему, но процесс регистрации в соответствии с абзацем первым настоящего пункта не завершен, уполномоченное лицо перед сбором биометрических персональных данных с согласия физического лица размещает или обновляет в электронной форме в ЕСИА сведения, необходимые для регистрации в ней, а также устанавливает личность соответствующего физического лица и вносит в ЕСИА сведения о способе установления его личности в соответствии с Правилами (абзац 3);

- при наличии у физического лица учетной записи в ЕСИА уполномоченный работник осуществляет в соответствии с Порядком обработки сбор биометрических персональных данных и размещение их в ЕБС (абзац 4).

В свою очередь, согласно пункту 9(1) Правил:

- регистрация в ЕСИА физических лиц, достигших возраста 14 лет, осуществляется самостоятельно:

- регистрация физических лиц, достигших возраста 14 лет, осуществляется с использованием интерактивной формы регистрации физического лица единой системы (далее - форма регистрации) путем введения в нее следующих сведений для их внесения в регистр физических лиц единой системы:

фамилия, имя, отчество (при наличии);

страховой номер индивидуального лицевого счета застрахованного лица в системе персонифицированного учета Фонда пенсионного и социального страхования Российской Федерации (СНИЛС) (для иностранных граждан и лиц без гражданства - при наличии);

пол;

дата рождения;

место рождения;

реквизиты паспорта гражданина Российской Федерации, удостоверяющего личность гражданина Российской Федерации на территории Российской Федерации (серия, номер, кем выдан, дата выдачи, код подразделения) (в случае прохождения процедуры регистрации гражданином Российской Федерации);

реквизиты паспорта иностранного гражданина (серия, номер, кем выдан, дата выдачи), или временного удостоверения личности лица без гражданства в Российской Федерации (серия, номер, кем выдано, дата выдачи, дата окончания срока действия (при наличии), или вида на жительство лица без гражданства (серия, номер, кем выдан, дата выдачи), или удостоверения беженца (серия, номер, кем выдано, дата выдачи, дата окончания срока действия (при наличии), или свидетельства о рассмотрении ходатайства о признании беженцем на территории Российской Федерации по существу (серия, номер, кем выдано, дата выдачи, дата окончания срока действия (при наличии), или свидетельства о предоставлении временного убежища на территории Российской Федерации (серия, номер, кем выдано, дата выдачи, дата окончания срока действия (при наличии), или разрешения на временное проживание лица без гражданства (серия, номер, кем выдано, дата выдачи, дата окончания срока действия (при наличии) (в случае прохождения процедуры регистрации иностранным гражданином или лицом без гражданства);

идентификационный номер налогоплательщика (при наличии);

сведения о гражданстве (при наличии);

адрес регистрации по месту жительства (для иностранных граждан и лиц без гражданства вводится при наличии, для граждан Российской Федерации, не имеющих адреса регистрации по месту жительства на территории Российской Федерации, не вводится);

абонентский номер, выделенный оператором подвижной радиотелефонной связи (для граждан Российской Федерации, не имеющих адреса регистрации по месту жительства на территории Российской Федерации, для иностранных граждан и лиц без гражданства - при наличии);

адрес электронной почты;

- информация, введенная в форму регистрации, проходит автоматическую проверку достоверности с использованием государственных информационных систем путем запроса, направляемого единой системой в соответствующую государственную информационную систему посредством единой системы межведомственного электронного взаимодействия;

- для завершения прохождения процедуры регистрации физическому лицу, достигшему возраста 14 лет, в случае достоверности и полноты введенной информации необходимо удостоверить свою личность (для иностранных граждан или лиц без гражданства в случае отсутствия в регистре физических лиц единой системы страхового номера индивидуального лицевого счета также необходимо внести его в форму регистрации) одним из следующих способов:

путем подтверждения введенной информации своей усиленной квалифицированной электронной подписью;

с использованием кода активации в единой системе, получаемого самостоятельно, без возможности представления интересов физического лица третьими лицами, в организациях, имеющих право на выдачу ключей простых электронных подписей, после предъявления документа, удостоверяющего личность, реквизиты которого указаны в форме регистрации.

Согласно пункту 3.1 «Руководства пользователя ЕСИА», размещенного на сайте Минцифры^[4], процесс регистрации граждан Российской Федерации и иностранных граждан в ЕСИА включает в себя следующие уровни:

Уровень 1. Упрощенная учетная запись (регистрация с использованием номера мобильного телефона или e-mail).

Уровень 2. Стандартная учетная запись (заполнение данных о СНИЛС и данных документа, удостоверяющего личность).

Уровень 3. Подтвержденная учетная запись (выполняется подтверждение личности)

Из текста вопроса следует, что в рассматриваемой ситуации физическое лицо «самостоятельно регистрируется на госуслугах, запись при этом имеет статус «упрощенной»». Иными словами, регистрация физического лица в ЕСИА не завершена в соответствии с пунктом 9(1) Правил и его биометрические персональные данные не могут быть размещены Банком в ЕБС.

На основании норм Закона № 572-ФЗ и Закона № 115-ФЗ при обращении физического лица в Банк с заявлением о размещении его биометрических персональных данных в ЕБС у Банка возникает обязанность осуществить такое размещение в порядке, установленном Законом № 572-ФЗ, то есть при наличии у физического лица регистрации в ЕСИА (при наличии подтвержденной учетной записи). Таким образом, формально Банк имеет право отказать физическому лицу  в размещении его биометрических персональных данных в ЕБС при отсутствии у него регистрации в ЕСИА.

Вместе с тем, физическое лицо имеет право обратиться в Банк с заявлением о размещении в ЕСИА информации, необходимой для его регистрации, и Банк обязан осуществить такое размещение в установленном порядке.

Согласно абзацу 3 пункта 12 Правил, уполномоченное лицо Банка в целях завершения регистрации физического лица:

- устанавливает личность физического лица (проводит идентификацию);

- размещает или обновляет в  электронной форме в ЕСИА сведения, необходимые для завершения регистрации физического лица в ней;

- вносит в ЕСИА сведения о способе установления личности физического лица.

После успешного завершения регистрации физического лица в ЕСИА, Банк  осуществляет сбор биометрических персональных данных физического лица и производит их размещение их в ЕБС.

Размещение сведений для завершения регистрации физического лица в ЕСИА  и размещение биометрических персональных данных физического лица в ЕБС совершаются Банком при наличии согласия физического лица при его личном присутствии и на безвозмездной основе.

Таким образом, приходим к следующим выводам.

Если под услугой «подтверждения упрощенной учетной записи» понимается услуга по  размещению Банком информации в ЕСИА, необходимой для регистрации физического лица в системе, то такая услуга является обязательной для Банка (Банк обязан оказать услугу клиенту, обратившемуся с соответствующим заявлением и предоставившему согласие).

При размещении биометрических персональных данных клиента в ЕБС при отсутствии у физического лица регистрации в ЕСИА Банк нарушает требования Закона № 572-ФЗ.  В случае нарушения требований Закона № 572-ФЗ Банк может быть привлечен к ответственности, предусмотренной статьей  13.11.3 КоАП РФ и статьей 74 Закона № 86-ФЗ.

Формально Банк вправе отказать физическому лицу в размещении его биометрических персональных данные в ЕБС, если у физического лица отсутствует регистрация в ЕСИА (отсутствует подтвержденная запись). Вместе с тем, при отказе должна быть указана причина, и Банк обязан осуществить завершение регистрации физического лица (разместить необходимую для завершения информацию в ЕСИА) при наличии соответствующего обращения клиента и согласия на такое размещение. Полагаем, что при отказе от передачи биометрических персональных данных физического лица в ЕБС Банку целесообразно предложить клиенту совершить необходимые действия по размещению информации в ЕСИА.

Документы и литература.

1.                      КоАП РФ – Кодекс Российской Федерации об административных правонарушениях от 30.12.2001г. № 195-ФЗ;

2.                      Закон № 572-ФЗ  - Федеральный закон от 29.12.2022г. №  572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации»;

3.                      Закон № 115-ФЗ - Федеральный закон Российской Федерации от 07.08.2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;

4.                      Закон № 86-ФЗ - Федеральный закон от 10.07.2002г. № 86-ФЗ О Центральном банке Российской Федерации (Банке России)»;

5.                      Постановление № 1066 - Постановление Правительства РФ от 15.06.2022г. №  1066 «О размещении физическими лицами своих биометрических персональных данных в единой биометрической системе с использованием мобильного приложения единой биометрической системы»;

6.                      Постановление № 584 - Постановление Правительства РФ от 10.07.2013г. №  584 «Об использовании федеральной государственной информационной системы "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме»;

7.                      Распоряжение № 1322-р - Распоряжение Правительства РФ от 30.06.2018г. № 1322-р «Об утверждении формы согласия на размещение и обработку персональных данных в единой системе идентификации и аутентификации и биометрических персональных данных в единой биометрической системе, в том числе на передачу векторов единой биометрической системы»;

8.                      Приказ № 453 - Приказ Минцифры России от 12.05.2023г. №  453 «О порядке обработки биометрических персональных данных и векторов единой биометрической системы в единой биометрической системе и в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц».

Ответы на самые интересные вопросы на нашем телеграм-канале knk_banki