Биометрия в МФО: правовые ограничения
Биометрия в МФО — одна из наиболее рискованных зон с точки зрения ФЗ-152 и смежного регулирования. Рынок микрофинансирования активно внедряет биометрическую идентификацию: распознавание лица при выдаче займа онлайн, верификация голосом в кол-центре, сканирование документов с фотографией. При этом правовой режим биометрии существенно строже, чем для общих категорий ПДн. Настоящий материал разбирает ключевые ограничения, основания обработки, требования ЕБС и санкции за нарушения в редакции 2025–2026 годов.
Что относится к биометрии и почему МФО в зоне риска?
По ст. 11 ФЗ-152 биометрические персональные данные — это сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность. К ним относятся изображение лица, запись голоса, отпечатки пальцев, рисунок радужной оболочки глаза, ДНК. Обработка таких данных по общему правилу допускается только при наличии письменного согласия субъекта. Исключения закрытые: они касаются безопасности, судопроизводства, отдельных случаев идентификации по ФЗ-115.
МФО рискуют по нескольким причинам. Во-первых, цифровые каналы выдачи займов почти всегда предполагают «лайвнес»-проверку — сравнение изображения лица с фотографией документа. Это биометрия по ст. 11. Во-вторых, запись телефонных разговоров в кол-центре, если используется для идентификации клиента, также подпадает под это определение. В-третьих, встроенная в скоринговые модели обработка биометрических данных создаёт дополнительный состав нарушения по ст. 16 ФЗ-152, касающейся автоматизированных решений.
Финансовый директор, утверждающий бюджет на цифровые продукты МФО, должен понимать: каждый новый канал с биометрической верификацией — это отдельный правовой риск, требующий проверки оснований обработки ещё до запуска.
Финансовый директор МФО: как оценить биометрические риски до проверки РКН?
Если МФО использует биометрическую идентификацию в мобильном приложении или кол-центре — риск штрафа по ч. 16–17 ст. 13.11 КоАП реален при любой внеплановой проверке РКН. Штраф за утечку биометрии по ч. 17 составляет 15–20 млн ₽. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов, включая биометрические составляющие, и выдадут отчёт с приоритизированным планом устранения нарушений.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Как ФЗ-572 и ЕБС меняют правила для МФО?
ФЗ-572 от 29.12.2022 ввёл Единую биометрическую систему (ЕБС) как государственную информационную систему. Оператор ЕБС — АО «Центр Биометрических Технологий». С 01.06.2023 действует запрет хранить исходные биометрические данные вне ЕБС для организаций, которые осуществляют биометрическую идентификацию в рамках предоставления финансовых услуг.
Для МФО это означает следующее. Если компания использует биометрию для идентификации клиентов при выдаче займов — она обязана либо использовать ЕБС через сертифицированных операторов, либо отказаться от биометрической идентификации как таковой. Хранение «сырых» биометрических шаблонов на собственных серверах МФО с 2023 года нарушает ФЗ-572. При этом многие небольшие МФО продолжают использовать сторонние SDK для распознавания лица, которые хранят биометрию на зарубежных серверах — это одновременно нарушение ФЗ-572, ч. 5 ст. 18 ФЗ-152 (локализация) и ст. 12 ФЗ-152 (трансграничная передача).
Отдельный вопрос — подключение к ЕБС через банк-агент. МФО не могут напрямую размещать биометрию в ЕБС: это привилегия банков, МФЦ и отдельных аккредитованных организаций. Следовательно, для большинства МФО единственный законный сценарий биометрической идентификации — использование результатов верификации через ЕБС, а не самостоятельный сбор и хранение биометрии.
Какие ограничения создаёт ч. 8 ст. 14.8 КоАП и ст. 16 ФЗ-152?
Ч. 8 ст. 14.8 КоАП, введённая ФЗ-420 от 30.11.2024, запрещает отказывать потребителю в обслуживании на основании его отказа предоставить биометрию в ЕБС или пройти биометрическую идентификацию. Для МФО это означает: нельзя отказать клиенту в рассмотрении заявки на заём только потому, что он не прошёл биометрию или отозвал согласие на её обработку. Штраф за такой отказ для юридического лица — до 500 тыс. ₽ согласно актуальной редакции статьи.
Ст. 16 ФЗ-152 регулирует автоматизированные решения, принимаемые исключительно на основе автоматической обработки ПДн и влекущие юридические последствия для субъекта. Если скоринговая модель МФО использует биометрические данные (например, анализ поведенческих паттернов по голосу или изображению) и на основе этого автоматически выносится отказ в займе без участия человека — требуется соблюдение условий ст. 16: субъект вправе оспорить такое решение и потребовать его пересмотра с участием сотрудника.
Совмещение нарушений ФЗ-572, ст. 11 ФЗ-152 и ст. 16 ФЗ-152 создаёт «тройной состав»: одна скоринговая модель с биометрией может дать РКН основания для нескольких параллельных протоколов.
Что подготовить финансовому директору МФО
- Перечень всех точек сбора биометрии: мобильное приложение, кол-центр, офлайн-офис — с указанием технического решения и места хранения данных.
- Письменные согласия клиентов на обработку биометрических ПДн — отдельный документ с реквизитами по ст. 9 ФЗ-152 (не встроенный в договор займа).
- Договор с оператором SDK или сервиса биометрии — проверить место хранения данных и наличие поручения обработки по п. 3 ст. 6 ФЗ-152.
- Внутренний регламент обработки биометрии — с описанием оснований, сроков, порядка уничтожения и ответственных лиц.
- Процедуру рассмотрения оспаривания автоматизированных решений по ст. 16 ФЗ-152 — если скоринг использует биометрические данные.
Какие санкции грозят МФО за нарушения биометрического режима?
Санкционный профиль по биометрии после ФЗ-420 от 30.11.2024 (вступил в силу 30.05.2025) существенно вырос. Ч. 16 ст. 13.11 КоАП предусматривает штраф за обработку биометрических ПДн с нарушением требований ст. 11 ФЗ-152 — в том числе без письменного согласия. Ч. 17 ст. 13.11 устанавливает штраф за утечку биометрических ПДн в диапазоне 15–20 млн ₽. При повторном нарушении по ч. 16 или ч. 17 применяется ч. 18 — оборотный штраф: 1–3% совокупной годовой выручки, не более 500 млн ₽.
Помимо административной ответственности, с 11.12.2024 действует ст. 272.1 УК РФ (введена ФЗ-421 от 30.11.2024) — незаконное использование, передача, сбор или хранение компьютерной информации, содержащей ПДн. При тяжких последствиях (ч. 5) — лишение свободы до 10 лет. Руководитель МФО, санкционировавший незаконный сбор биометрии через зарубежный сервис, несёт персональный риск уголовного преследования по этой статье.
Типовые сценарии нарушений в МФО: как это выглядит на практике
Сценарий 1. Мобильное приложение с распознаванием лица. МФО запускает верификацию через SDK стороннего разработчика с обработкой данных на серверах в иностранной юрисдикции. Согласие на обработку биометрии включено в общую форму согласия на обработку ПДн, встроенную в пользовательское соглашение. Нарушения: отсутствие отдельного письменного согласия по ст. 11 ФЗ-152, хранение биометрии вне ЕБС в нарушение ФЗ-572, трансграничная передача без уведомления РКН по ст. 12 ФЗ-152, нарушение локализации по ч. 5 ст. 18 ФЗ-152. Потенциальный штраф: совокупно несколько составов ст. 13.11 + ч. 8 ст. 8 ст. 13.11 КоАП (локализация, 1–6 млн ₽).
Сценарий 2. Скоринг с голосовым анализом. МФО использует голосовой скоринг при телефонном обращении: алгоритм анализирует тембр и паттерны речи для оценки риска заёмщика. Запись разговора ведётся без явного уведомления об использовании в целях идентификации. Нарушения: обработка биометрии без письменного согласия (ст. 11 ФЗ-152), автоматизированное принятие решений без обеспечения права оспорить (ст. 16 ФЗ-152). Если клиенту отказывают в займе на основании голосового анализа без участия человека — дополнительный состав по ч. 8 ст. 14.8 КоАП. Ситуация → факт скоринга с биометрией устанавливается при выборочной проверке РКН. Доказательства → техническая документация модели, логи обработки, записи звонков. Исход → штраф по ч. 16 ст. 13.11, предписание об устранении, обязание провести DPIA. Стратегия → до проверки — разработать регламент оспаривания автоматизированных решений и переоформить согласия.
Сценарий 3. Проверка РКН по жалобе клиента. Клиент МФО отказывается проходить биометрическую верификацию и получает отказ в обслуживании. Клиент направляет жалобу в РКН. Основание — ч. 8 ст. 14.8 КоАП. Финансовый директор узнаёт о проверке постфактум. Ситуация → у МФО нет документов, подтверждающих, что отказ в займе был вызван иными причинами, а не отказом от биометрии. Исход → штраф до 500 тыс. ₽ по ч. 8 ст. 14.8, параллельная проверка ст. 13.11 по биометрии. Стратегия → разработать порядок фиксации оснований отказов и хранить его не менее 3 лет.
Если финансовый директор МФО обнаружил в продуктах биометрическую верификацию без отдельных согласий — у компании есть основание для штрафа по ч. 16 ст. 13.11 КоАП при ближайшей проверке РКН. Юристы DATUM соберут комплект ОРД по биометрии и оценят соответствие ФЗ-572.
Заказать аудит 152-ФЗКак это применяется на практике
Кейс 1. МФО из Сибирского федерального округа (осень 2025) использовала в мобильном приложении SDK зарубежного разработчика для распознавания лица. При внеплановой проверке РКН, инициированной по жалобе клиента, были выявлены: отсутствие письменного согласия на биометрию, хранение биометрических шаблонов на серверах в иностранной юрисдикции, отсутствие уведомления о трансграничной передаче. Компания получила предписание об устранении в 30-дневный срок и штраф в сотни тысяч рублей по совокупности составов ст. 13.11 КоАП. В арбитраже удалось снизить санкции, представив суду доказательства оперативного перехода на отечественный SDK и переоформления согласий.
Кейс 2. Финансовый директор МФО Приволжского федерального округа (начало 2026) инициировал превентивный аудит перед подачей заявки на включение в реестр МФО. Аудит выявил, что скоринговая модель компании использует анализ голосовых записей звонков для корректировки кредитного рейтинга заёмщика — без уведомления клиента и без обеспечения права оспорить решение по ст. 16 ФЗ-152. Компания переработала модель: исключила биометрическую составляющую из автоматизированного скоринга, ввела этап проверки с участием сотрудника. Потенциальный штраф по ч. 16–17 ст. 13.11 в диапазоне 5–20 млн ₽ удалось предотвратить до начала обработки.
Частые вопросы
1. Можно ли отказать клиенту в займе, если он не прошёл биометрию?
По ч. 8 ст. 14.8 КоАП отказывать в обслуживании потребителю на основании его отказа от биометрической идентификации или размещения биометрии в ЕБС — запрещено. МФО вправе предусмотреть биометрическую верификацию как один из способов идентификации, но обязана предложить альтернативный способ. Штраф за нарушение этого запрета для юридического лица — до 500 тыс. ₽. Отказ в займе по иным законным основаниям (кредитная история, недостаточный доход) с биометрией не связан и отдельным правонарушением не является.
2. Что грозит МФО за утечку биометрических данных клиентов?
Ч. 17 ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 (действует с 30.05.2025) предусматривает штраф за утечку биометрических ПДн в размере 15–20 млн ₽ для юридического лица. При повторной утечке биометрии применяется ч. 18 — оборотный штраф 1–3% совокупной годовой выручки, не более 500 млн ₽. Помимо этого, с 11.12.2024 действует ст. 272.1 УК: незаконная передача или хранение компьютерной информации с ПДн грозит уголовным преследованием должностных лиц МФО. Дополнительно — обязанность уведомить РКН в течение 24 часов по ч. 3.1 ст. 21 ФЗ-152; пропуск срока даёт состав по ч. 11 ст. 13.11 КоАП (1–3 млн ₽).
3. На каком основании банк или МФО обрабатывает биометрию при идентификации?
Базовое основание для обработки биометрии — письменное согласие субъекта по ст. 11 ФЗ-152. Для банков дополнительно действует ст. 7 ФЗ-115 об обязательной идентификации клиентов при операциях от установленных пороговых сумм: в этих случаях идентификация допустима без согласия при условии использования ЕБС. МФО в общем случае не обязаны идентифицировать клиентов по ФЗ-115 в том же объёме, что банки, поэтому основание «исполнение требований ФЗ-115» применяется ограниченно. Для большинства операций МФО письменное согласие остаётся единственным надлежащим основанием обработки биометрии.
4. Где должна храниться биометрия клиентов МФО?
С 01.06.2023 по ФЗ-572 от 29.12.2022 исходные биометрические данные, используемые для идентификации при оказании финансовых услуг, должны храниться в Единой биометрической системе (ЕБС). Оператор ЕБС — АО «Центр Биометрических Технологий». Самостоятельно размещать биометрические шаблоны на серверах МФО, в облачных хранилищах или передавать их иностранным SDK-провайдерам недопустимо. Нарушение одновременно создаёт составы по ст. 11 ФЗ-152, ч. 8 ст. 13.11 КоАП (локализация, 1–6 млн ₽) и потенциально ч. 16–17 ст. 13.11 КоАП.
5. Как клиент МФО может оспорить отказ в кредите, принятый автоматически?
Ст. 16 ФЗ-152 предоставляет субъекту право требовать пересмотра любого решения, принятого исключительно на основе автоматизированной обработки ПДн и влекущего юридические последствия или существенно затрагивающего его интересы. МФО обязана рассмотреть такое требование с участием сотрудника и предоставить разъяснения. Если в скоринговой модели использовались биометрические данные — субъект вправе также потребовать прекращения их обработки. Отказ МФО реагировать на такое обращение в течение 10 рабочих дней — нарушение ст. 20 ФЗ-152, создающее основание для жалобы в РКН.
Итог
Биометрия в МФО — не технологический выбор, а правовой выбор с измеримыми финансовыми последствиями. Штраф за утечку биометрии составляет 15–20 млн ₽, при повторности — до 500 млн ₽. Отказ клиенту из-за биометрии — до 500 тыс. ₽ дополнительно. Хранение данных вне ЕБС закрывает вопрос законности всей цепочки обработки.
Практика DATUM по финансовому сектору показывает: большинство нарушений в МФО устраняются на этапе аудита — до того, как РКН инициирует проверку. Юристы DATUM специализируются на ПДн в банках, МФО и БКИ, включая биометрический режим по ФЗ-572 и скоринговые ограничения по ст. 16 ФЗ-152.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка биометрических каналов и оснований обработки
- Комплект ОРД под ключ — согласия, регламент биометрии, приказы
- Защита при штрафе в арбитраже — обжалование протоколов по ч. 16–17 ст. 13.11
Есть ситуация с биометрией или проверкой РКН в МФО?
Практика «Ветров и партнёры» по 152-ФЗ с 2014 года — более 300 операторов сопровождено. Оценим риски биометрической обработки, проверим соответствие ФЗ-572 и ст. 13.11 КоАП, предложим план устранения нарушений. Telegram, email, телефоны Москвы и Новосибирска.
Заказать аудит 152-ФЗ+7 (383) 310-38-76 · +7 (983) 510-38-76 · Telegram · info@vitveteam.ru
11 февраля 2029 года