Биометрические персональные данные: что это, как регулируются и применяются в KYC

Биометрические персональные данные (далее — ПДн) — это особая категория персональных данных, характеризующая физиологические и биологические особенности человека, на основании которых можно установить его личность. Пароль или PIN-код можно сменить, биометрию — нельзя: лицо, голос, отпечаток пальца и рисунок вен принадлежат конкретному человеку всю жизнь.

В финтехе и удалённой идентификации биометрия решает две задачи: подтверждает, что перед системой именно заявленный человек (верификация личности), и фиксирует живое присутствие — проверку на живость (liveness detection). По данным исследования HONOR (февраль 2026 г., более 2 000 респондентов), 47% россиян используют биометрию ежедневно — это один из самых жёстко регулируемых инструментов цифровой аутентификации. В это число входит и локальная биометрия устройств (разблокировка смартфона), при которой данные не покидают устройство и к сценариям обработки биометрических ПДн оператором не относятся.

Определение по российскому праву

Согласно ч. 1 ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», биометрические персональные данные — это сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность. Эта же часть статьи устанавливает требование письменного согласия субъекта и предусматривает закрытый перечень исключений: правосудие, исполнение судебных актов, обязательная дактилоскопическая и государственная регистрация, оборона, безопасность, противодействие терроризму, транспортная безопасность и ряд других.

Часть 2 той же статьи содержит принципиально иную норму: предоставление биометрических ПДн не может быть принудительным, и организация не вправе отказать субъекту в обслуживании лишь на основании его несогласия предоставить биометрию, за исключением случаев, когда согласие по федеральному закону не является обязательным.

Специальный закон — Федеральный закон от 29.12.2022 № 572-ФЗ — регулирует идентификацию и аутентификацию физических лиц с использованием биометрических ПДн и работу Единой биометрической системы (ЕБС). Этот закон определяет, где организация вправе применять биометрию вне ЕБС, а где идентификация проходит только через ЕБС. Государство размещает в ЕБС две модальности биометрии: изображение лица и запись голоса (ч. 4 ст. 3 572-ФЗ).

Виды биометрических данных

152-ФЗ не содержит исчерпывающего перечня видов биометрии. Правоприменительная практика и отраслевые источники, включая материалы Банка России, выделяют следующие виды.

Единая биометрическая система (ЕБС)

Оператор ЕБС — АО «Центр биометрических технологий» (назначен постановлением Правительства РФ; ранее функции оператора выполняло ПАО «Ростелеком»). При регистрации в ЕБС исходные биометрические образцы (изображение лица и запись голоса) преобразуются в биометрические векторы — математические представления (биометрические шаблоны); хранение и передача осуществляются преимущественно в форме векторов.

Вектор — результат необратимого преобразования в технологическом смысле: восстановить из него исходный образец средствами серийных инструментов невозможно. Вместе с тем понятие «необратимости» законодательно не закреплено, а вопрос о том, является ли хранение вектора хранением биометрических ПДн для целей ст. 15 572-ФЗ, остаётся предметом правовой дискуссии. На практике это означает: несмотря на технологическую необратимость, юридическая квалификация хранения вектора требует отдельной правовой оценки в каждом конкретном сценарии.

Ключевые принципы ЕБС закреплены в 572-ФЗ и материалах Минцифры:

• добровольность: гражданин сам решает, регистрировать ли биометрию в ЕБС;
• бесплатность: регистрация и идентификация через ЕБС для гражданина бесплатны;
• разделение хранения: вектор хранится в ЕБС отдельно от персональных данных, связка идёт через технологический идентификатор;
• проверка на живость: при каждой идентификации ЕБС проверяет живое присутствие человека;
• защита: данные передаются по каналу с отечественными криптоалгоритмами, векторы хранятся в зашифрованном и обезличенном виде.

Биометрия вне ЕБС: что разрешено организации

На рынке распространено ошибочное представление, что компания вправе свободно собирать и хранить биометрические данные при условии соблюдения требований 152-ФЗ. Для идентификации и аутентификации это неверно. С 1 июня 2023 года действует ст. 15 572-ФЗ, которая прямо запрещает организациям, индивидуальным предпринимателям и нотариусам обрабатывать, в том числе хранить, биометрические ПДн для целей идентификации или аутентификации вне ЕБС, кроме узких исключений. Это подтверждает и письмо Минцифры: идентификация по биометрии возможна только через ЕБС и ЕСИА.

Закон разграничивает два действия и допускает разные режимы.

Аккредитацию на аутентификацию в собственной информационной системе на векторах ЕБС получает не каждая организация: ст. 17 572-ФЗ устанавливает требование к собственному капиталу не менее 500 млн руб. Это требование адресовано исключительно тем организациям, которые разворачивают собственную аутентификационную систему на векторах ЕБС. Банки, МФО и другие участники, использующие ЕБС напрямую, не обязаны проходить аккредитацию по данному основанию, поскольку их взаимодействие с ЕБС регулируется иными нормами.

Полностью автономная «собственная биометрия» остаётся возможной только за пределами сферы действия 572-ФЗ: когда сценарий прямо выведен из сферы действия закона по ч. 2 ст. 1 (шаблон не покидает устройство, нет передачи в централизованную систему). Примеры: локальный СКУД на отпечатке или венах либо неавтоматизированная сверка лица с документом, проводимая уполномоченным сотрудником. Даже в таких сценариях сохраняется обязанность по 152-ФЗ: письменное согласие субъекта и меры защиты данных.

Согласие на обработку биометрии: обязательные элементы

Согласие на обработку биометрических ПДн по ч. 1 и ч. 4 ст. 9, ст. 11 152-ФЗ оформляется в письменной форме либо в форме электронного документа, подписанного электронной подписью. С 1 сентября 2025 года, в соответствии с вступившим в силу Федеральным законом от 24 июня 2025 г. № 156-ФЗ, согласие на обработку персональных данных оформляется отдельно от иных документов и (или) информации, которые субъект подписывает.

Типовое содержание согласия на обработку биометрии:

• ФИО и контактные данные субъекта;
• реквизиты документа, удостоверяющего личность (серия, номер, дата выдачи, выдавший орган);
• наименование и адрес оператора, который собирает биометрию;
• цель обработки: идентификация, аутентификация, контроль доступа;
• перечень биометрических данных (изображение лица, голос, отпечаток);
• способы обработки персональных данных;
• срок действия согласия и порядок его отзыва;
• перечень третьих лиц, которым данные могут передаваться, если применимо;
• указание на ЕБС, если данные передаются в государственную систему;
• подпись субъекта персональных данных и дата.

Биометрия в KYC-процессе

Биометрическая проверка — этап онбординга, который связывает документ и человека перед камерой. В KYC-процессе финтех-сервиса биометрия работает в связке с другими проверками:

1. Распознавание документа: система извлекает данные паспорта и проверяет его действительность по источникам МВД.
2. Сверка лица (face matching): селфи сопоставляется с фотографией в документе.
3. Проверка на живость (liveness detection): подтверждается, что перед камерой живой человек, а не фотография, маска или дипфейк.
4. Скрининг: по перечням Росфинмониторинга и санкционным спискам.
5. Оценка риска: присвоение клиенту категории по 115-ФЗ.

Без проверки на живость система принимает фотографию или видео за реального человека. Мошенники применяют атаки предъявления (presentation attacks): атаку с распечатанной фотографией (print attack), повторное воспроизведение видео с экрана (replay attack), атаку с 3D-маской (3D-mask attack), дипфейк в реальном времени (live deepfake), а также внедрение синтетического потока напрямую в API (adversarial injection). Качество защиты измеряется метриками APCER и BPCER по стандарту ISO/IEC 30107-3.

Как оценить KYC-провайдера: биометрия и liveness

Когда финтех, МФО, маркетплейс или криптоплатформа выбирают провайдера для биометрической верификации, технические характеристики — необходимое, но не достаточное условие. Реестр вопросов до подписания договора делится на четыре блока.

Регуляторная совместимость

Провайдер должен подтвердить, что его решение совместимо с ЕБС и ЕСИА там, где это обязательно по 572-ФЗ. Для МФК с 1 марта 2026 года идентификация заёмщика при дистанционном микрозайме проходит исключительно через ЕБС — провайдер, предлагающий только «свою» биометрию вне ЕБС, это требование не закрывает. Необходимо уточнить, имеет ли провайдер аккредитацию Минцифры или выступает технологическим партнёром оператора ЕБС.

Качество liveness и стойкость к атакам

Проверка на живость (liveness detection) — не бинарная функция, а измеримое качество. Стандарт ISO/IEC 30107-3 предусматривает два ключевых показателя: APCER — доля атак, которые система ошибочно классифицировала как присутствие живого человека, и BPCER — доля живых людей, ошибочно классифицированных как атака. Отдельно необходимо проверить, защищает ли система от adversarial injection — внедрения синтетического видеопотока через API в обход камеры устройства.

Правовая цепочка обработки данных

При работе через внешнего провайдера оператор персональных данных остаётся ответственным за соблюдение 152-ФЗ. Договор с провайдером должен содержать поручение на обработку ПДн по ст. 6 152-ФЗ, а сам провайдер — обрабатывать биометрию исключительно в целях, определённых оператором, и не передавать данные третьим лицам без отдельного основания. Суды последовательно возлагают ответственность за утечку на компанию-оператора, даже если инцидент произошёл в инфраструктуре поставщика услуг по модели SaaS (software as a service).

Доказуемость и аудит

Регулятор и суд оценивают не намерение, а доказуемость. Провайдер должен обеспечивать журналирование каждой проверки: время, результат, версию модели, идентификатор сессии. Без этого данные не годятся ни для внутреннего аудита, ни для ответа на запрос Роскомнадзора или Банка России. Необходимо уточнить, как долго хранятся логи, в какой юрисдикции, и предусмотрен ли экспорт для собственной SIEM-системы (security information and event management).

Риски и ответственность за нарушения

Поскольку биометрию нельзя «сменить» после компрометации, утечка лицевого вектора или образца голоса создаёт долгосрочный риск подмены личности при удалённой идентификации. Хранение биометрии требует обезличивания, шифрования и журналирования доступа.

Где ещё применяется биометрия в 2026 году

Биометрия выходит за пределы банков. С 1 марта 2026 года действуют новые Правила предоставления гостиничных услуг (постановление Правительства РФ от 27.11.2025 № 1912): гость — гражданин РФ — вправе подтвердить личность при заселении не только паспортом или водительским удостоверением, но и средствами ЕБС. Заселение через мобильное приложение «Госуслуги» регулируется отдельным нормативным актом — постановлением Правительства о проведении эксперимента по цифровой идентификации при заселении в гостиницы — и доступно с 1 апреля 2026 года. Применение биометрии для гостиниц добровольно: администрация вправе её не использовать.

Похожий сдвиг ожидается в каршеринге, такси, маркетплейсах и сервисах рассрочки. Конкретный порядок взаимодействия с ЕБС для этих отраслей ещё не закреплён нормативно: его введение предусмотрено планом мероприятий по Стратегии безопасности дорожного движения до 2030 года и ожидается к 2027 году. Расширение применения биометрии создаёт потребность в доказуемых процессах её обработки уже сейчас.

IDX: удалённая идентификация с биометрической проверкой

IDX предоставляет сервис удалённой идентификации с распознаванием документов, сверкой лица и проверкой на живость (liveness detection), готовый к интеграции по API. Чтобы оценить, как выстроить доказуемый KYC-процесс, посмотрите решения IDX на сайте iidx.ru.