Перейти к содержанию
аналитика 21 января 2030 года По состоянию на 21 января 2030 года

FaceID/TouchID и ЕБС: разница

FaceID и TouchID — это локальные биометрические механизмы аутентификации на устройстве; Единая биометрическая система (ЕБС) — государственная информационная система, регулируемая ФЗ-572 и оператором АО «Центр Биометрических Технологий».
Для финансового директора разница принципиальна: обработка биометрии вне ЕБС без письменного согласия по ст. 11 ФЗ-152 грозит штрафом до 20 млн ₽ по ч. 17 ст. 13.11 КоАП; повторное нарушение — оборотный штраф до 500 млн ₽ по ч. 18 (в редакции с 30.05.2025).
→ Если в финтех-продукте или банковском приложении используется биометрическая аутентификация — проверьте правовую модель обработки до проверки Роскомнадзора.

С 2025 года регуляторная нагрузка на финансовый сектор в части биометрических данных резко возросла. ФЗ-572 обязал банки, МФО и иных участников НПС размещать биометрию граждан в ЕБС, а ФЗ-420 ввёл отдельный состав за утечку биометрии — 15–20 млн ₽ при первом инциденте. При этом многие финтех-компании продолжают использовать FaceID/TouchID на устройстве клиента, не разграничивая технологическую и правовую природу двух инструментов. Эта статья разбирает разницу, правовые основания и риски для каждой модели.

Чем FaceID/TouchID отличается от ЕБС с точки зрения 152-ФЗ?

FaceID (Apple) и TouchID (Apple, Android-аналоги) обрабатывают биометрические шаблоны локально — на чипе устройства (Secure Enclave). Исходный слепок лица или отпечатка не покидает телефон, не передаётся оператору и не хранится на сервере компании. С правовой точки зрения оператор не осуществляет обработку биометрических персональных данных в смысле ст. 11 ФЗ-152: он получает лишь булевый ответ «аутентификация прошла/не прошла».

ЕБС — принципиально иная конструкция. Банк или МФО собирает образцы голоса и изображения лица клиента, передаёт их в государственную систему оператора АО «ЦБТ», где биометрический шаблон хранится и верифицируется при каждом запросе. Оператор финансовой организации при этом выступает источником данных для ГИС ЕБС, а не самостоятельным хранилищем биометрии.

«Ст. 11 ФЗ-152 — биометрические персональные данные (изображение лица, голос) обрабатываются только с письменного согласия субъекта. Исключения закрытые — исполнение договора, судопроизводство, государственная идентификация (п. 2 ст. 11). ФЗ-572 установил порядок сбора биометрии финансовыми организациями через ЕБС как специальный закон по отношению к ст. 11 ФЗ-152.»

Таким образом, при использовании FaceID/TouchID у финансовой организации нет правового обязательства оформлять отдельное письменное согласие по ст. 11 ФЗ-152 — биометрия не покидает устройство и не обрабатывается оператором. При работе с ЕБС правовое основание — ФЗ-572 и условия договора с АО «ЦБТ»; при иных формах сбора биометрии вне ЕБС — обязательно письменное согласие по ст. 11.

Как банки и МФО обязаны работать с ЕБС по ФЗ-572?

ФЗ-572 от 29.12.2022 разграничил участников рынка по обязательности подключения к ЕБС. Системно значимые банки обязаны обеспечить возможность сбора биометрии клиентов через ЕБС во всех отделениях. Прочие банки и МФО подключаются в рамках добровольного участия, однако при фактическом сборе биометрии обязаны использовать только инфраструктуру ЕБС — хранение исходных биометрических данных вне ГИС запрещено с 01.06.2023.

МФЦ, нотариусы и иные организации, участвующие в идентификации через ЕБС, образуют отдельный периметр субъектов с собственными требованиями. Финансовая организация, самостоятельно хранящая биометрические шаблоны вне ЕБС, нарушает одновременно ФЗ-572 и ст. 11 ФЗ-152 — при отсутствии отдельного письменного согласия. Это формирует состав по ч. 16 ст. 13.11 КоАП.

Финтех или банк собирает биометрию — как проверить правовую модель?

Если финансовый директор видит в P&L статью расходов на биометрическую аутентификацию — стоит убедиться, что технология не создаёт юридических обязательств по ст. 11 ФЗ-152 и ФЗ-572. Риск — штраф 15–20 млн ₽ за утечку биометрии (ч. 17 ст. 13.11) или оборотный штраф при повторении. Юристы DATUM проведут аудит модели обработки биометрических данных по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Что грозит финансовой организации за нарушение правил биометрии?

Законодатель выстроил трёхуровневую систему ответственности за нарушения в сфере биометрических данных. Первый уровень — административная ответственность по ст. 13.11 КоАП в редакции ФЗ-420 (действует с 30.05.2025). Второй — ответственность за дискриминацию потребителей. Третий — уголовная ответственность по ст. 272.1 УК РФ (введена с 11.12.2024).

«Ч. 16 ст. 13.11 КоАП — обработка биометрии с нарушением ст. 11 ФЗ-152 (без письменного согласия и вне установленного порядка). Ч. 17 ст. 13.11 КоАП — утечка биометрических ПДн: штраф для юрлиц 15–20 млн ₽. Ч. 18 — повторное нарушение по ч. 16 или 17: оборотный штраф 1–3% годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Ст. 13.11.3 КоАП — нарушения при размещении биометрии в ЕБС: 500 тыс. – 1 млн ₽. Ч. 8 ст. 14.8 КоАП — отказ обслуживать потребителя без биометрии в ЕБС: до 500 тыс. ₽.»

Отдельного внимания заслуживает ч. 8 ст. 14.8 КоАП: банк или МФО не вправе обусловливать предоставление услуги регистрацией биометрии в ЕБС. Если скоринговая модель де-факто отказывает клиентам, не сдавшим биометрию, — это риск состава по ч. 8 ст. 14.8. Роспотребнадзор и Банк России совместно контролируют этот состав.

Уголовная ответственность по ст. 272.1 УК РФ наступает при незаконном использовании, передаче, сборе или хранении компьютерной информации с ПДн — в том числе биометрических. Максимальное наказание по ч. 5 — до 10 лет лишения свободы при тяжких последствиях. Это риск не только для CISO, но и для лиц, принявших решение о внедрении нелегитимной схемы сбора данных.

Как работает 115-ФЗ и скоринг в связке с ЕБС и ПДн?

Идентификация клиента в финансовой организации по 115-ФЗ («О противодействии легализации...») и обработка ПДн по 152-ФЗ — два параллельных, но не совпадающих режима. 115-ФЗ требует идентифицировать клиента до начала обслуживания; ЕБС — один из инструментов такой идентификации наряду с личным присутствием и ЕСИА.

Скоринг и автоматизированные решения по ст. 16 ФЗ-152 — отдельная правовая проблема. Если банк или МФО принимает решение об отказе в кредите на основе исключительно автоматизированной обработки ПДн, субъект вправе потребовать рассмотрения его заявки человеком и оспорить решение. Обязанность оператора — уведомить клиента о факте автоматизированного решения и его праве на оспаривание.

БКИ как операторы ПДн по ФЗ-218 («О кредитных историях») хранят данные 7 лет. Передача ПДн в БКИ требует отдельного согласия клиента по ст. 6 ФЗ-152, которое оформляется в момент подачи заявки на кредит. После поправок ФЗ-156 (01.09.2025) такое согласие должно быть оформлено отдельным документом — его нельзя включать в текст кредитного договора или оферты.

Что проверить финансовому директору по биометрии и ПДн

  • Определить, какая технология используется: локальный FaceID/TouchID (данные на устройстве) или сбор биометрии с передачей оператору — для каждой установить правовую модель.
  • Проверить наличие письменных согласий по ст. 11 ФЗ-152 для всех случаев обработки биометрии вне ЕБС; при использовании ЕБС — корректность договора с АО «ЦБТ».
  • Убедиться, что скоринговые модели уведомляют клиента об автоматизированных решениях и предоставляют право оспорения по ст. 16 ФЗ-152.
  • Проверить согласия на передачу ПДн в БКИ — после 01.09.2025 они должны быть оформлены отдельным документом по ФЗ-156.
  • Убедиться, что отказ в услугах не обусловлен отсутствием регистрации в ЕБС — риск штрафа по ч. 8 ст. 14.8 КоАП.

Как это работает на практике: три сценария для финансовой организации

Сценарий 1. Мобильный банк использует FaceID для входа в приложение. Ситуация: финансовая организация применяет нативный механизм аутентификации iOS/Android; биометрический шаблон хранится в Secure Enclave устройства, на серверы банка не передаётся. Правовая квалификация: оператор не обрабатывает биометрические ПДн в смысле ст. 11 ФЗ-152 — согласия не требуется, ЕБС не задействована. Риск минимален при условии корректного описания технологии в политике конфиденциальности. Стратегия: задокументировать архитектурное решение, отразить в политике конфиденциальности и уведомлении РКН что биометрические ПДн не обрабатываются оператором.

Сценарий 2. МФО собирает селфи клиента для верификации при выдаче займа и хранит изображение на собственном сервере. Ситуация: изображение лица = биометрические ПДн по ст. 11 ФЗ-152; хранится у оператора вне ЕБС; письменного согласия нет — только галочка в онлайн-форме. Доказательства нарушения: в рамках проверки РКН фиксирует факт обработки биометрии без письменного согласия и без договора с ЕБС. Вероятный исход: состав по ч. 16 ст. 13.11 КоАП; при наличии утечки — ч. 17, штраф 15–20 млн ₽. Стратегия: либо перейти на ЕБС, либо оформить письменные согласия по ст. 11 и переработать архитектуру хранения; исключить хранение исходных биометрических образцов вне ГИС.

Сценарий 3. Банк отказывает клиенту в открытии счёта без регистрации в ЕБС. Ситуация: менеджер отделения сообщает клиенту, что без сдачи биометрии обслуживание невозможно. Клиент направляет жалобу в Роспотребнадзор. Вероятный исход: состав по ч. 8 ст. 14.8 КоАП — штраф до 500 тыс. ₽; дополнительно претензия со стороны Банка России по нарушению прав потребителей финансовых услуг. Стратегия: разработать внутренний регламент, запрещающий обусловливать обслуживание сдачей биометрии; провести инструктаж персонала.

Если финансовый директор видит в структуре рисков сразу несколько из описанных сценариев — до проверки РКН стоит получить правовую оценку модели обработки биометрических и иных ПДн. Срок включения компании в реестр операторов после подачи уведомления — 30 дней; при выявленном нарушении это время уже упущено.

Заказать аудит 152-ФЗ

Частые вопросы

1. Можно ли отказать клиенту в обслуживании, если он не хочет сдавать биометрию в ЕБС?

Нет. ФЗ-572 прямо запрещает обусловливать предоставление финансовых услуг регистрацией биометрии в ЕБС. Клиент вправе получить полный спектр услуг без участия в ЕБС. Нарушение этого запрета образует состав по ч. 8 ст. 14.8 КоАП — штраф для юрлица до 500 тыс. ₽, а также риск надзорного реагирования Банка России по защите прав потребителей финансовых услуг.

2. Что грозит МФО за утечку персональных данных клиентов?

При утечке от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП (в редакции с 30.05.2025). При утечке биометрических ПДн — отдельный состав по ч. 17: 15–20 млн ₽. При повторном инциденте — оборотный штраф по ч. 18: 1–3% совокупной годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽. Дополнительно — уголовная ответственность сотрудников по ст. 272.1 УК РФ при незаконном использовании данных.

3. Какое правовое основание обработки ПДн у банка при выдаче кредита?

Основное — исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152): обработка необходима для заключения и исполнения кредитного договора. Передача данных в БКИ — на основании отдельного согласия клиента (п. 1 ч. 1 ст. 6), которое с 01.09.2025 должно быть оформлено отдельным документом по ФЗ-156. Идентификация по 115-ФЗ — самостоятельное основание, не требующее согласия субъекта.

4. Где физически хранится биометрия при регистрации в ЕБС?

В Государственной информационной системе ЕБС, оператором которой является АО «Центр Биометрических Технологий» (АО «ЦБТ»). Банк-источник данных передаёт биометрические образцы в ЕБС и не вправе хранить их у себя: с 01.06.2023 хранение исходных биометрических данных вне ГИС ЕБС запрещено ФЗ-572. Подтверждение идентичности при каждой транзакции выполняет ЕБС, возвращая финансовой организации лишь результат верификации.

5. Как клиент может оспорить отказ в кредите, принятый автоматически?

По ст. 16 ФЗ-152 субъект вправе потребовать, чтобы решение, принятое исключительно на основе автоматизированной обработки его ПДн и влекущее правовые последствия, было пересмотрено с участием человека. Оператор обязан уведомить клиента о факте автоматизированного решения и разъяснить порядок оспаривания. Отказ от рассмотрения такого обращения — нарушение ст. 16 ФЗ-152 и основание для жалобы в РКН.

Итог

FaceID/TouchID и ЕБС решают схожую задачу — биометрическую идентификацию пользователя — принципиально разными правовыми и техническими способами. Первая модель не создаёт у оператора обязательств по ст. 11 ФЗ-152 при корректной архитектуре; вторая требует соблюдения ФЗ-572, запрета дискриминации и строгих требований к хранению. Смешение двух моделей или самостоятельный сбор биометрии вне ЕБС — прямой путь к штрафам от 15 млн ₽ и выше.

DATUM сопровождает финансовые организации — банки, МФО, финтех-компании — в вопросах соответствия 152-ФЗ, ФЗ-572 и ФЗ-218: от аудита модели обработки до защиты в арбитраже при оспаривании штрафов по ст. 13.11 КоАП.

Услуги DATUM по теме

Смотрите также

СЛ
Сергей Лобанов
Аналитик · Финансовый сектор
Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.

21 января 2030 года