Комитет АРБ по ПОД/ФТ: обзор механизма ЕСИА

22.12.2017   \  Новости АРБ

Законопроект №157752-7 «О внесении изменений в отдельные законодательные акты Российской Федерации (о создании механизма интерактивной удаленной аутентификации и идентификации клиента кредитной организации)», вводит механизм удаленной (биометрической) идентификации физических лиц посредством Единой системы идентификации и аутентификации (ЕСИА), а также единой биометрической системы.

С момента вступления закона в силу идентификацию станет возможно проводить не только путем подтверждения достоверности сведений, полученных от клиента, с использованием оригиналов документов и (или) надлежащим образом заверенных копий, но и с помощью государственных и иных информационных систем. Идентификация гражданина РФ с применением информационных технологий будет осуществляться без его личного присутствия путем предоставления кредитным организациям сведений о гражданине РФ, размещенных в ЕСИА и сведений о степени соответствия предоставленных биометрических персональных данных гражданина РФ его биометрическим персональным данным, содержащимся в единой биометрической системе. Также у банков появится право обновлять информацию о клиенте-физическом лице с его согласия посредством ЕСИА.

Закон предполагает две формы участия банков в механизме удаленной (биометрической) идентификации посредством ЕСИА:

  • обязанность банка после проведения идентификации при личном присутствии клиента - физического лица, являющегося гражданином Российской Федерации, с его согласия и на безвозмездной для него основе размещать или обновлять в электронной форме в ЕСИА сведения, необходимые для регистрации в ней клиента - физического лица и иные сведения, а биометрические персональные данные указанного лица – в единой биометрической системе;
  • право открывать и вести счета (вклады) клиентов - физических лиц, предоставлять кредиты клиентам - физическим лицам, а также осуществлять переводы денежных средств по таким счетам по их поручению без их личного присутствия после проведения идентификации клиентов - физических лиц путем установления и подтверждения достоверности сведений о них с использованием ЕСИА, а также единой биометрической системы.

При этом проведение удаленной идентификации и дистанционное открытие счета невозможно, если физическое лицо включено в перечень организаций и физических лиц, в отношении которых имеются сведения об их причастности к экстремистской деятельности или терроризму, либо в отношении него Межведомственной комиссией по противодействию финансированию терроризма принято решение о замораживании (блокировании) денежных средств или иного имуществ или если у банка в отношении клиента или операции этого клиента отсутствуют подозрения в том, что она связана с легализацией (отмыванием) доходов, полученных преступным путем, или финансированием терроризма. Также Банк России по согласованию с ФСФМ вправе установить дополнительные ограничения по общему количеству банковских счетов (вкладов), открытых в банках клиенту - физическому лицу, общей сумме кредитов, предоставленных одним банком клиенту - физическому лицу, а также общей сумме переводов денежных средств в течение месяца, осуществленных одним банком по банковскому счету (вкладу) клиента - физического лица, при его идентификации посредством ЕСИА. Идентификация клиента - физического лица в целях открытия ему банковского счета (вклада) посредством ЕСИА не может быть осуществлена, если общее количество открытых ему банковских счетов (вкладов) таким способом достигло предельного значения, установленного Банком России.

Также косвенным ограничением использования механизма удаленной (биометрической) идентификации может стать внесенное в Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» требование о том, что при предоставлении биометрических персональных данных физического лица по каналам передачи информации в целях проведения его идентификации без личного присутствия посредством сети «Интернет» должны применяться шифровальные (криптографические) средства, позволяющие обеспечить безопасность передаваемых данных от угроз безопасности, актуальных при обработке биометрических персональных данных. В соответствии с положениями закона банк обязан предложить использовать указанные средства физическим лицам, обратившимся к ним в целях проведения идентификации без личного присутствия, и указать страницу сайта в сети «Интернет», с которой предоставляются эти средства. В случае если физическое лицо для предоставления своих биометрических персональных данных в целях проведения идентификации без личного присутствия посредством сети «Интернет» использует мобильный телефон, смартфон или планшетный компьютер и отказывается от использования указанных шифровальных (криптографических) средств, банк обязан отказать такому лицу в проведении указанной идентификации. Если же физическое лицо использует иные устройства, в том числе персональный компьютер, и отказывается от применения необходимых шифровальных (криптографических) средств, банк уведомляет его о рисках, связанных с таким отказом, и в случае получения от физического лица подтверждения своего решения может провести соответствующую идентификацию без использования им указанных шифровальных (криптографических) средств.

Чтобы стать частью системы удаленной (биометрической) идентификации банк должен отвечать одновременно следующим критериям:

  • банк участвует в системе страхования вкладов;
  • к банку не применяются меры по предупреждению банкротства в соответствии с Федеральным законом от 26.10.2002 г. № 127-ФЗ «О несостоятельности (банкротстве)», если иное не установлено Банком России;
  • в отношении банка Банком России не принято решение о запрете банку размещать и обновлять данные физического лица в ЕСИА и единой биометрической системе, а также проводить удаленную (биометрическую) идентификацию клиентов - физических лиц в случае неоднократного в течение одного года нарушения им требований, предусмотренных статьями 6, 7 (за исключением пункта 3 статьи 7), 7.2 и 7.3 Федерального закона № 115-ФЗ и (или) неоднократного в течение одного года нарушения им требований нормативных актов Банка России в сфере противодействия легализации (отмыванию) денежных средств и финансированию терроризма.

Банк России ежемесячно размещает на своем официальном сайте в сети Интернет перечень банков, соответствующих указанным критериям.

Размер и порядок взимания оператором единой биометрической системы платы за предоставление банкам информации о степени соответствия предоставленных биометрических персональных данных биометрическим персональным данным клиента - физического лица, содержащимся в единой биометрической системе, будут определены Министерством связи и массовых коммуникаций по согласованию с Банком России и оператором единой биометрической системы. Есть основания полагать, что оператором единой биометрической системы будет назначен Ростелеком.

Однако полной картины того, как будет функционировать механизм удаленной (биометрической) идентификации, пока нет. Для этого необходимо принятие ряда подзаконных актов. Так, Правительству Российской Федерации еще предстоит:

  • утвердить форму согласия на обработку персональных данных и биометрической информации, передаваемых в ЕСИА;
  • установить порядок регистрации в гражданина РФ в ЕСИА;
  • определить состав сведений, размещаемых в ЕСИА, включая вид биометрических персональных данных, а также порядок и сроки проверки и обновления указанных сведений;
  • определить федеральный орган исполнительной власти, осуществляющий регулирование в сфере идентификации на основе биометрических персональных данных;
  • установить порядок передачи Министерству внутренних дел и Федеральной службе безопасности сведений, размещенных в ЕСИА.

Дополнительно Правительством по согласованию с Банком России устанавливаются требования к фиксации действий по размещению сведений в ЕСИА и биометрических персональных данных в единой биометрической системе, а также требования по осуществлению удаленной (биометрической) идентификации государственными органами и иными организациями, кроме кредитных.

Принять свои нормативные акты, регулирующие отдельные стороны масштабного механизма удаленной (биометрической) идентификации, предстоит также Банку России, в том числе по согласованию с ФСФМ, Минкомсвязи, Федеральной службе безопасности, Федеральной службе по техническому и экспортному контролю, а также определенному Правительством федеральному органу исполнительной власти, осуществляющему регулирование в сфере идентификации на основе биометрических персональных данных.

Положения закона, регламентирующие механизм удаленной (биометрической) идентификации, вступят в силу по истечении ста восьмидесяти дней после дня официального опубликования.

Галина Кудрявцева,
секретарь Комитета АРБ по вопросам ПОД/ФТ и комплаенс рискам.

Авторизуйтесь, чтобы оставить комментарий.