инструкция 21 декабря 2028 По состоянию на 21 декабря 2028

Биометрия в приложении: FaceID/TouchID

FaceID и TouchID в мобильном приложении — это биометрические персональные данные по ст. 11 ФЗ-152: изображение лица и отпечаток пальца. Их обработка требует отдельного письменного согласия.

Маркетолог, который добавил биометрическую аутентификацию в приложение интернет-магазина без согласия, создаёт нарушение ч. 2 ст. 13.11 КоАП — штраф от 300 000 до 700 000 ₽. При повторном нарушении — от 1 000 000 до 1 500 000 ₽ по ч. 2.1.

→ Если вы маркетолог и запускаете FaceID/TouchID в приложении — проверьте документы до релиза, а не после письма РКН.

Биометрия в мобильных приложениях перестала быть исключительно «технической деталью» и стала предметом проверок Роскомнадзора. После ФЗ-420 от 30.11.2024 и расширения ст. 13.11 КоАП до 18 частей цена ошибки в документах выросла в разы. Ниже — пошаговый порядок: что зафиксировать в документах, как получить согласие, что прописать в политике и как не смешать локальное устройство с серверной биометрией.

Запускаете FaceID/TouchID до оформления документов?

Если маркетолог уже поставил задачу на разработку, а юридический блок ещё не проверял согласия — у вас есть время исправить до релиза. После релиза без согласия — нарушение возникает в момент первой аутентификации пользователя. Юристы DATUM проверят документацию приложения, укажут на пробелы и подготовят комплект согласий и политик за 5 рабочих дней.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 1. Определите, какую именно биометрию обрабатывает приложение

Первый и ключевой вопрос: приложение само обрабатывает биометрические данные или использует встроенный API операционной системы (Face ID / Touch ID через Apple LocalAuthentication или Android BiometricPrompt)?

Разница принципиальна для 152-ФЗ.

Локальное устройство (OS API). Биометрический шаблон хранится исключительно в защищённом анклаве устройства (Secure Enclave у Apple, StrongBox у Android). Ваше приложение получает только бинарный ответ: аутентификация прошла или нет. Биометрический шаблон на ваши серверы не передаётся и вами не обрабатывается.
Серверная биометрия. Приложение снимает изображение лица или отпечаток, передаёт его на ваш сервер или сторонний SDK для верификации. В этом случае вы являетесь оператором биометрических ПДн в полном смысле ст. 11 ФЗ-152.

«Ст. 11 ФЗ-152 — биометрическими персональными данными признаются сведения, которые характеризуют физиологические и биологические особенности человека, в том числе изображение лица и отпечатки пальцев, и на основании которых можно установить личность. Обработка таких данных допускается только с письменного согласия субъекта, если иное не предусмотрено законом.»

Практическое правило: попросите разработчика показать схему потоков данных. Если биометрический шаблон или сырое изображение уходит за пределы устройства — вы оператор биометрических ПДн. Если нет — вы получаете только результат аутентификации, и ст. 11 ФЗ-152 в части письменного согласия на обработку биометрии к вам не применяется напрямую.

Тем не менее даже при использовании OS API в политике конфиденциальности и документации приложения необходимо прозрачно описать механизм: что хранится на устройстве, что передаётся на серверы, почему это не биометрические ПДн оператора.

Шаг 2. Проверьте, нужно ли письменное согласие на биометрию

Если по итогам шага 1 выяснилось, что приложение обрабатывает биометрические данные на своих серверах или через сторонний SDK, — согласие обязательно. Его форма и содержание регулируются ст. 9 и ст. 11 ФЗ-152.

С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом, не встроенным в договор, оферту или пользовательское соглашение (ФЗ-156 от 24.06.2025, изменения в ч. 1 ст. 9 ФЗ-152). Согласие на биометрию — тем более отдельный документ: оно должно быть выделено из общего согласия на обработку ПДн.

«Ст. 9 ФЗ-152 (в редакции ФЗ-156 от 24.06.2025, действует с 01.09.2025) — согласие субъекта оформляется в виде отдельного документа и не может объединяться с другими документами. Для биометрии — письменная форма обязательна по ст. 11.»

Обязательные реквизиты согласия на обработку биометрии в приложении:

ФИО субъекта и его контактные данные
наименование и адрес оператора (вашей компании)
цель обработки: «аутентификация пользователя в мобильном приложении»
перечень биометрических данных: «изображение лица» или «отпечаток пальца»
перечень действий с данными: «сбор, запись, хранение, сравнение, уничтожение»
срок действия согласия и способ отзыва

Согласие в формате галочки в интерфейсе приложения — не письменное согласие в смысле ст. 11. Практически приемлемые форматы: экранная форма с усиленной квалифицированной подписью или отдельный PDF-документ, направляемый на email и хранимый в личном кабинете пользователя с фиксацией даты подписания.

Что подготовить до подключения биометрии в приложении

Схема потоков данных: где хранится биометрический шаблон — на устройстве или на сервере
Отдельное письменное согласие на обработку биометрических ПДн (если сервер) с реквизитами ст. 9 ФЗ-152
Обновлённая политика конфиденциальности с разделом о биометрии: механизм, сроки, третьи лица
Техническая документация SDK или сервиса верификации — для подтверждения роли обработчика по поручению
Договор-поручение с SDK-провайдером по п. 3 ст. 6 ФЗ-152, если биометрию обрабатывает третья сторона

Шаг 3. Обновите политику конфиденциальности и пользовательское соглашение

Политика конфиденциальности приложения интернет-магазина обязана содержать раздел о биометрии — независимо от того, используете ли вы серверную обработку или OS API. Причина: пользователь видит биометрическую аутентификацию и вправе понять, как она устроена.

Для случая OS API (локальное устройство) в политике достаточно пояснения: «Приложение использует биометрическую аутентификацию через встроенные механизмы операционной системы. Биометрические данные не покидают устройство и не обрабатываются нашими серверами.»

Для серверной биометрии раздел политики включает:

наименование биометрических данных и цель их обработки
основание обработки — письменное согласие по ст. 11 ФЗ-152
срок хранения биометрического шаблона и порядок его уничтожения
третьи лица, которым передаются данные (SDK-провайдер), с указанием страны если передача трансграничная
порядок отзыва согласия и удаления биометрии

Отдельный блок, который маркетологи чаще всего пропускают: cookies и трекеры в том же приложении. GA4, Firebase Analytics, AppsFlyer, adjust — всё это передаёт данные за рубеж. Позиция РКН: cookies и идентификаторы устройств могут быть ПДн, если позволяют идентифицировать пользователя. Трансграничная передача через аналитические SDK требует уведомления РКН по ст. 12 ФЗ-152 и отражения в политике.

«Ст. 12 ФЗ-152 — до начала трансграничной передачи ПДн в страну, не включённую в перечень стран с адекватным уровнем защиты, оператор обязан уведомить РКН. Передача данных в США через GA4 или аналитические SDK требует такого уведомления.»

Если в приложении есть GA4 или аналитический SDK и уведомление о трансграничной передаче в РКН не подавалось — это отдельное нарушение. Штраф по ч. 12 ст. 13.11 КоАП составляет 3–5 млн ₽ при утечке от 1 000 субъектов. Юристы DATUM проверят перечень SDK и подготовят комплект документов.

Заказать аудит 152-ФЗ

Шаг 4. Оформите поручение обработки с SDK-провайдером

Если биометрию верифицирует сторонний SDK или сервис (распространённая модель для liveness-проверки при онбординге), этот провайдер является лицом, осуществляющим обработку по поручению оператора, по п. 3 ст. 6 ФЗ-152.

Договор-поручение должен содержать:

перечень действий с биометрическими ПДн, которые вправе совершать провайдер
цели обработки — строго в рамках вашего поручения
обязанность провайдера соблюдать конфиденциальность
обязанность провайдера принимать меры защиты по ст. 19 ФЗ-152
запрет на передачу данных третьим лицам без вашего согласия

Критически важный момент: если провайдер находится за рубежом — это автоматически трансграничная передача биометрических ПДн. Отдельное уведомление РКН по ст. 12 обязательно. Нарушение локализации (ч. 5 ст. 18 ФЗ-152) — штраф по ч. 8 ст. 13.11 КоАП от 1 000 000 до 6 000 000 ₽.

Практика показывает: многие интернет-магазины подключают liveness SDK зарубежного производителя (iDenfy, Veriff, Onfido) без договора-поручения и уведомления РКН. При проверке это два самостоятельных нарушения, которые суммируются.

Как применяется на практике: два сценария

Сценарий 1. OS API без серверной передачи. Интернет-магазин (Центральный ФО, начало 2026) внедрил вход по FaceID через Apple LocalAuthentication. Биометрический шаблон хранится на устройстве пользователя. При проверке РКН по индикатору риска (жалоба пользователя на «сбор биометрии») маркетолог представил техническую документацию Apple, подтверждающую локальное хранение. Протокол по ст. 13.11 составлен не был: биометрические ПДн оператором не обрабатывались. Но в политике конфиденциальности отсутствовало описание механизма — вынесено предписание об устранении в течение 30 дней.

Сценарий 2. Серверная liveness-проверка без документов. Маркетплейс (Сибирский ФО, осень 2025) подключил liveness SDK зарубежного провайдера для верификации продавцов при регистрации. Договор-поручение с SDK-провайдером отсутствовал, уведомление о трансграничной передаче в РКН не подавалось, согласие на обработку биометрии было встроено в общее пользовательское соглашение. Результат: три одновременных нарушения по ч. 2, ч. 8 и ч. 10 ст. 13.11 КоАП. Суммарный штраф составил несколько миллионов рублей. В арбитраже удалось снизить штраф по ч. 8 с учётом признания нарушения и оперативного устранения, но ч. 2 (отсутствие надлежащего согласия) снижению не подлежала как не первичная.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка документации приложения по чек-листу из 38 пунктов
Комплект ОРД под ключ — политика конфиденциальности, согласия, договор-поручение с SDK-провайдером
Защита при штрафе в арбитраже — оспаривание протокола по ч. 2, ч. 8, ч. 16 ст. 13.11 КоАП

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции РКН — да, если cookies или идентификаторы устройств позволяют идентифицировать конкретного пользователя. Это относится к cookie с идентификатором сессии, отпечатку браузера, рекламным идентификаторам (IDFA, GAID). Следствие: сайт или приложение, использующее такие трекеры, обязано отображать баннер согласия и описывать cookies в политике конфиденциальности. Отсутствие баннера — основание для штрафа по ч. 1 ст. 13.11 КоАП в размере 150 000–300 000 ₽.

2. Можно ли использовать GA4 после ограничений?

GA4 передаёт данные на серверы Google в США — страну без адекватного уровня защиты ПДн по перечню РКН. Использование GA4 возможно при соблюдении двух условий: уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152 и корректное описание этой передачи в политике конфиденциальности. Без уведомления — нарушение ч. 10 ст. 13.11 КоАП (100 000–300 000 ₽). Альтернатива — серверный сайдлоад или замена на отечественный аналитический инструмент с хранением данных в РФ.

3. Кто оператор: маркетплейс или продавец?

Ответ зависит от того, кто определяет цели и состав обрабатываемых ПДн покупателя. Если покупатель передаёт данные маркетплейсу при регистрации и оформлении заказа — оператором является маркетплейс. Продавец, получающий ПДн покупателя через API маркетплейса для исполнения заказа, действует как обработчик по поручению и обязан заключить договор-поручение по п. 3 ст. 6 ФЗ-152. Обработка ПДн продавцом вне полученного поручения — самостоятельное нарушение.

4. Что грозит за отсутствие баннера cookies?

Отсутствие баннера согласия на cookies при использовании трекеров, позволяющих идентифицировать пользователя, квалифицируется как обработка ПДн без надлежащего основания по ч. 1 ст. 13.11 КоАП. Штраф для юридического лица — 150 000–300 000 ₽. При повторном нарушении по ч. 1.1 — 300 000–500 000 ₽. Жалоба одного пользователя достаточна для возбуждения дела.

5. Как оформить отзыв подписки на рассылку?

Отзыв согласия на получение маркетинговых рассылок оформляется через механизм, описанный в самом согласии и в политике конфиденциальности: ссылка отписки в каждом письме, кнопка в личном кабинете или письменное обращение. После получения отзыва оператор обязан прекратить рассылку. Обработка ПДн в маркетинговых целях после отзыва согласия — нарушение ст. 9 ФЗ-152 и основание для штрафа по ч. 1 ст. 13.11 КоАП. Срок реакции на отзыв законом прямо не установлен, но разумным считается 3–5 рабочих дней.

6. Нужно ли отдельное согласие, если FaceID только на устройстве?

Если приложение использует исключительно OS API (Face ID через Apple LocalAuthentication или Android BiometricPrompt) и биометрические данные не покидают защищённый анклав устройства — оператор фактически не обрабатывает биометрические ПДн. Отдельное письменное согласие по ст. 11 ФЗ-152 в этом случае не требуется. Однако необходимо прозрачно описать этот механизм в политике конфиденциальности и пользовательском соглашении, чтобы при проверке РКН иметь документальное подтверждение отсутствия серверной обработки биометрии.

Итог

Биометрия в мобильном приложении — это либо полноценные биометрические ПДн со всеми требованиями ст. 11 ФЗ-152 (письменное согласие, договор-поручение, уведомление РКН при трансграничной передаче), либо локальный механизм аутентификации без статуса ПДн оператора. Граница проходит по одному критерию: покидает ли биометрический шаблон устройство пользователя. Документы, которые маркетолог обязан проверить до релиза: политика конфиденциальности с разделом о биометрии, согласие (если сервер), договор с SDK-провайдером, уведомление о трансграничной передаче.

Практика DATUM по цифровым продуктам охватывает мобильные приложения интернет-магазинов, маркетплейсов и программ лояльности. Юристы практики сопровождали подготовку к проверкам РКН по приложениям с биометрической аутентификацией, уведомления о трансграничной передаче через аналитические SDK и разработку комплектов ОРД для e-commerce.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, программы лояльности, политики конфиденциальности для маркетплейсов и мобильных приложений.