аналитика 14 января 2028 По состоянию на 14 января 2028

Биометрия в страховой: правовые ограничения

Биометрические персональные данные — особая категория: обработка без письменного согласия по ст. 11 ФЗ-152 влечёт штраф до 700 000 ₽ за каждый случай, а утечка биометрии — от 15 до 20 млн ₽ по ч. 17 ст. 13.11 КоАП.

С 01.06.2023 страховые компании не вправе хранить исходные биометрические образцы вне ЕБС. ФЗ-572 и ФЗ-420 от 30.11.2024 ужесточили ответственность: за отказ в обслуживании без биометрии грозит штраф по ч. 8 ст. 14.8 КоАП, за повторную утечку — оборотный штраф до 500 млн ₽.

→ Если вы финдиректор страховщика и закладываете бюджет на комплаенс по биометрии — ниже расчёт реальных рисков и стоимость устранения.

Страховые компании используют биометрию при дистанционной идентификации клиентов, антифроде и урегулировании убытков. С 2023–2025 годов регуляторная среда изменилась принципиально: введена уголовная ответственность по ст. 272.1 УК РФ, расширена ст. 13.11 КоАП до 18 частей, а ФЗ-572 установил единые правила для ЕБС. Финансовый директор страховщика сегодня балансирует между операционной необходимостью биометрической идентификации и штрафами, которые могут превысить годовую прибыль подразделения. Ниже — разбор правовых ограничений, расчёт рисков и порядок приведения процессов в соответствие.

Что считается биометрией в страховании и как её регулирует закон?

Биометрические персональные данные по ст. 11 ФЗ-152 — это физиологические и биологические характеристики, позволяющие установить личность: изображение лица, голос, отпечатки пальцев, радужная оболочка, ДНК. Страховщики применяют прежде всего изображение лица и голос — при дистанционном заключении договора, верификации при обращении за выплатой, противодействии страховому мошенничеству.

Ключевое отличие биометрии от обычных персональных данных: для её обработки по общему правилу требуется письменное согласие субъекта. Исключения исчерпывающе перечислены в п. 2 ст. 11 ФЗ-152: судопроизводство, исполнение договора об оказании туристических услуг, транспортная безопасность, оперативно-розыскная деятельность и ряд других. Страховая деятельность в этот перечень не входит.

«Ст. 11 ФЗ-152 — обработка биометрических ПДн допускается только при наличии письменного согласия субъекта, за исключением случаев, прямо предусмотренных законом. Перечень исключений закрытый.»

ФЗ-572 от 29.12.2022 создал Единую биометрическую систему (ЕБС) как государственную информационную систему под управлением АО «Центр Биометрических Технологий». С 01.06.2023 коммерческие организации, в том числе страховщики, обязаны использовать биометрию через ЕБС, а не хранить исходные образцы самостоятельно. Страховщик, использующий собственное хранилище биометрических данных после этой даты, нарушает ФЗ-572 и ст. 11 ФЗ-152 одновременно.

Отдельный вопрос — идентификация в целях 115-ФЗ (противодействие легализации доходов). Страховые компании как субъекты первичного финансового мониторинга обязаны идентифицировать клиентов. Биометрическая идентификация через ЕБС допустима как способ выполнения этой обязанности, но только при наличии согласия клиента на передачу биометрии в ЕБС.

Страховщик использует биометрию — нужно проверить правовые основания?

Если финансовый директор не уверен, соответствует ли текущий порядок сбора и обработки биометрии требованиям ФЗ-572 и ст. 11 ФЗ-152, — нарушение может быть уже зафиксировано. Штраф по ч. 2 ст. 13.11 КоАП за обработку биометрии без надлежащего согласия — от 300 000 до 700 000 ₽ за каждый установленный факт. Юристы DATUM проведут аудит обработки биометрических ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Какие процессы страховщика затрагивают биометрию и какова ответственность?

Практика страховых компаний выявляет несколько типовых процессов, где биометрия применяется явно или неявно.

Дистанционное заключение договора. Видеоидентификация клиента при оформлении полиса онлайн предполагает обработку изображения лица. Если система сохраняет видеозапись или биометрический шаблон — это обработка биометрических ПДн по ст. 11 ФЗ-152 с обязательным письменным согласием. Согласие, включённое в текст договора страхования или правила страхования, с 01.09.2025 (ФЗ-156 от 24.06.2025) является ненадлежащим: требуется отдельный документ.

Антифрод и противодействие мошенничеству. Сверка фотографии из документа с изображением заявителя, голосовая идентификация при звонке — обработка биометрии. Попытки квалифицировать такую обработку как «сравнение без хранения» не освобождают от требований ст. 11: само сравнение является обработкой.

Урегулирование убытков. Осмотр повреждений через видеосвязь, идентификация потерпевшего — аналогичный правовой статус при сохранении данных.

СКУД и контроль доступа. Биометрические системы контроля доступа в офисах страховщика применительно к сотрудникам регулируются отдельно — ст. 86–88 ТК РФ в связке со ст. 11 ФЗ-152. Работник вправе отказаться от биометрической идентификации без последствий для трудовых отношений.

«Ч. 17 ст. 13.11 КоАП (ред. ФЗ-420 от 30.11.2024, действует с 30.05.2025) — утечка биометрических ПДн влечёт штраф для юридического лица от 15 000 000 до 20 000 000 ₽. При повторности — оборотный штраф по ч. 18: 1–3% годовой выручки, не более 500 млн ₽.»

Финансовому директору важна арифметика: стоимость приведения биометрических процессов в соответствие — от 100 000 до 300 000 ₽ за аудит плюс затраты на доработку ИТ-систем. Штраф за утечку биометрии начинается с 15 млн ₽. При выручке страховщика 2 млрд ₽ в год оборотный штраф при повторности составит от 20 до 60 млн ₽.

Как работает ЕБС для страховщика и что нельзя делать самостоятельно?

ФЗ-572 установил иерархию: биометрические данные граждан для целей дистанционной идентификации хранятся только в ЕБС. Страховщик взаимодействует с ЕБС через API: запрашивает верификацию личности, получает результат (подтверждено / не подтверждено), но не получает и не хранит сами биометрические образцы.

Запрещено после 01.06.2023: создавать собственные коммерческие биометрические системы для идентификации клиентов физических лиц; хранить биометрические шаблоны, слепки или векторы в собственных базах данных; передавать биометрию третьим лицам, в том числе технологическим партнёрам и облачным провайдерам, минуя ЕБС.

Допустимо: использовать биометрию в рамках ЕБС при наличии согласия клиента; применять биометрию сотрудников для СКУД при соблюдении ст. 11 ФЗ-152 и трудового законодательства; обрабатывать фотографии в документах без сохранения биометрических шаблонов — если обработка ограничена визуальной проверкой без автоматической идентификации.

Что подготовить страховщику для соответствия требованиям по биометрии

Карту процессов с биометрией: перечень систем, собирающих или обрабатывающих изображения лиц, голос, отпечатки — с указанием оснований обработки по ст. 11 ФЗ-152
Отдельные письменные согласия на обработку биометрических ПДн — не включённые в договор страхования, правила страхования или оферту (требование ФЗ-156, действует с 01.09.2025)
Договор с АО «Центр Биометрических Технологий» на подключение к ЕБС, если страховщик использует дистанционную идентификацию
Подтверждение отсутствия локального хранения биометрических образцов после 01.06.2023: выгрузку из СУБД или техническое заключение ИТ-службы
Приказ о назначении ответственного за обработку биометрических ПДн с разграничением полномочий между ИТ, безопасностью и юридическим блоком

Сценарии нарушений и их стоимость для финансового директора

Сценарий 1. Видеоидентификация без отдельного согласия. Страховщик использует видеоверификацию при заключении договора онлайн. Согласие включено в стандартный договор страхования. После 01.09.2025 такое согласие не соответствует требованиям ст. 9 ФЗ-152 в редакции ФЗ-156: оно не оформлено отдельным документом. РКН при плановой или внеплановой проверке фиксирует нарушение по ч. 2 ст. 13.11 КоАП. Штраф для юридического лица — от 300 000 до 700 000 ₽. При выявлении нескольких договоров с ненадлежащими согласиями каждый является самостоятельным эпизодом. Стратегия: переработать форму согласия до даты подписания каждого нового договора; ранее заключённые договоры — оценить на предмет необходимости переоформления с юристом.

Сценарий 2. Антифрод-система хранит биометрические векторы локально. ИТ-служба внедрила систему распознавания лиц для выявления мошенников — шаблоны хранятся в собственной базе данных страховщика. Это прямое нарушение ФЗ-572 и требований к хранению биометрии. Если происходит инцидент с утечкой — ч. 17 ст. 13.11 КоАП, штраф 15–20 млн ₽. Параллельно — требование уведомить РКН за 24 часа по ч. 3.1 ст. 21 ФЗ-152. Неуведомление добавляет штраф 1–3 млн ₽ по ч. 11 ст. 13.11. Стратегия: миграция данных в ЕБС или их уничтожение с составлением акта; доработка технической архитектуры до исключения локального хранения.

Сценарий 3. Отказ клиенту без биометрии. Менеджер страховщика отказывает в заключении договора клиенту, не прошедшему биометрическую верификацию, мотивируя это требованиями идентификации. Если у страховщика есть альтернативный способ идентификации — отказ квалифицируется по ч. 8 ст. 14.8 КоАП. Норма введена ФЗ-420: обслуживание клиента не может быть обусловлено предоставлением биометрии в ЕБС при наличии иных способов. Штраф для юридического лица — точный диапазон верифицировать по актуальной редакции КоАП, ориентир — до 500 000 ₽. Стратегия: закрепить в регламентах продаж альтернативные способы идентификации и запрет обусловливать обслуживание биометрией.

Если у страховщика уже зафиксирован инцидент с биометрическими данными — у вас 24 часа на первичное уведомление РКН (ч. 3.1 ст. 21 ФЗ-152) и 72 часа на отчёт о расследовании. Сроки не восстанавливаются. Неуведомление — штраф 1–3 млн ₽ дополнительно.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. Страховая компания (Приволжский ФО, весна 2025) внедрила дистанционную видеоидентификацию без подключения к ЕБС — биометрические шаблоны хранились на собственном сервере. При плановой проверке РКН выявил нарушение ФЗ-572 и отсутствие надлежащих согласий по ст. 11 ФЗ-152. Финансовый директор получил расчёт: аудит и приведение в соответствие обошлись бы в 180 000 ₽; фактические затраты на устранение нарушений, юридическое сопровождение и штраф превысили эту сумму многократно.

Кейс 2. МФО (Центральный ФО, осень 2025) использовала биометрическую идентификацию через сторонний сервис распознавания лиц без уведомления РКН о трансграничной передаче данных. РКН возбудил дело по ч. 1 ст. 13.11 КоАП. Применение ст. 4.1.1 КоАП (замена штрафа на предупреждение) оказалось невозможным — нарушение касалось специальной категории данных. Аудит DATUM до внедрения системы позволил бы выявить риск на этапе due diligence подрядчика.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка биометрических процессов по чек-листу из 38 пунктов
Комплект ОРД под ключ — согласия на биометрию, регламенты, приказы по ФЗ-572
Защита при штрафе в арбитраже — обжалование протоколов по ч. 16–18 ст. 13.11 КоАП

Частые вопросы

1. Можно ли отказать клиенту в страховании без биометрии?

Нет, если у страховщика есть альтернативный способ идентификации. Ч. 8 ст. 14.8 КоАП, введённая ФЗ-420, прямо запрещает обусловливать оказание услуги предоставлением биометрических данных в ЕБС. Исключение — случаи, когда иной способ идентификации объективно невозможен и прямо предусмотрен законом. На практике страховщики обязаны сохранить стандартные каналы идентификации (паспорт, СНИЛС, ЕГН) наряду с биометрическими.

2. Что грозит МФО или страховщику за утечку биометрических данных?

По ч. 17 ст. 13.11 КоАП (редакция с 30.05.2025) — штраф для юридического лица от 15 000 000 до 20 000 000 ₽. При повторной утечке — оборотный штраф по ч. 18: 1–3% совокупной годовой выручки, не более 500 млн ₽. Дополнительно: уголовная ответственность по ст. 272.1 УК РФ (введена ФЗ-421 от 30.11.2024, действует с 11.12.2024) для физических лиц, причастных к утечке, — до 10 лет лишения свободы по ч. 5 при тяжких последствиях. Страховщик также обязан уведомить РКН за 24 часа по ч. 3.1 ст. 21 ФЗ-152.

3. Какое правовое основание для обработки биометрии в страховой компании?

Единственное общее основание — письменное согласие субъекта по ст. 11 ФЗ-152. С 01.09.2025 согласие должно быть оформлено отдельным документом в соответствии с требованиями ФЗ-156 от 24.06.2025: не включаться в договор страхования, правила страхования или иной документ. Перечень исключений из п. 2 ст. 11 ФЗ-152 страховую деятельность не охватывает. Обработка биометрии на основании «законного интереса» или «исполнения договора» по ст. 6 ФЗ-152 для биометрии неприменима — ст. 11 является специальной нормой.

4. Где должна храниться биометрия клиентов страховщика?

Исключительно в ЕБС — государственной информационной системе, оператором которой является АО «Центр Биометрических Технологий» (ФЗ-572 от 29.12.2022). С 01.06.2023 коммерческим организациям запрещено хранить биометрические образцы в собственных системах для целей идентификации физических лиц. Страховщик взаимодействует с ЕБС через API: получает результат верификации, но не хранит биометрические данные локально. Хранение биометрических данных сотрудников для СКУД регулируется отдельно — по общим правилам ст. 11 ФЗ-152 с письменным согласием работника.

5. Как оспорить отказ в кредите или страховании, основанный на биометрической идентификации?

Автоматизированное решение на основе биометрических данных подпадает под ст. 16 ФЗ-152: субъект вправе требовать проверки такого решения уполномоченным лицом оператора, выразить своё мнение и оспорить результат. Оператор обязан предоставить субъекту информацию о логике принятого решения в течение 10 рабочих дней по ст. 20 ФЗ-152. Если отказ основан на данных из БКИ — применяется ФЗ-218: субъект вправе получить свою кредитную историю и оспорить недостоверные сведения в самом БКИ.

Итог

Биометрия в страховании — высокорисковый процесс по совокупности трёх факторов: специальный правовой режим ст. 11 ФЗ-152, требование ФЗ-572 хранить данные только в ЕБС и многократно возросшие санкции по ст. 13.11 КоАП с 30.05.2025. Для финансового директора ключевое уравнение: стоимость аудита и приведения в соответствие — сотни тысяч рублей; стоимость утечки биометрии — от 15 млн ₽ при первичном нарушении и до 500 млн ₽ при повторном.

Практика DATUM по биометрии в финансовом секторе включает аудит процессов дистанционной идентификации, разработку комплекта согласий под требования ФЗ-156 и ФЗ-572, сопровождение при проверках РКН и защиту в арбитраже по ч. 16–18 ст. 13.11 КоАП.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.