К какой категории персональных данных можно отнести отпечаток пальца человека

Обновлено: 02.07.2024

Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (Закон о ПДн) защищает личную информацию от неправомерного разглашения.

Персональные данные — любая информация, которая позволяет опознать конкретную личность: данные паспорта, имя, номер телефона, результат измерения температуры тепловизором, фотография и даже свидетельство о смерти.

Перечень таких данных — открытый. Это означает, что любые сведения, позволяющие идентифицировать человека, можно отнести к ПДн.

Обеспечить неприкосновенность персональных данных должен каждый оператор: госструктуры, организации всех форм собственности и физлица (статья 19 Федерального закона о персональных данных N 152-ФЗ).

Операторы — государственные и муниципальные органы, любые компании, физические лица, которые собирают личную информацию и осуществляют иные операции по их обработке.

На практике требования Закона о ПДн касается каждой компании, в которой трудятся наёмные работники или используется работа call-центров, ведётся любая деятельность с использованием личной информации.

За работой операторов надзирает несколько ведомств:

1. Роскомнадзор.
2. Федеральная служба по техническому и экспортному контролю (ФСТЭК).
3. ФСБ России.
4. Прокуратура Российской Федерации.

Категории персональных данных

Персональные данные делятся на категории:

• общая;
• специальная;
• биометрические данные;
• обезличенные.

Общая категория. Информация, на основе которой можно опознать определённую личность: фамилия, дата и место рождения, пол, образование, материальное положение и др.

Этот перечень открытый.

Специальная категория. Некоторые данные обрабатывать запрещено: о расе, национальности, религии, состоянии здоровья.

Обработка специальных сведений возможна в исключительных ситуациях (для защиты жизненно важных интересов субъекта персональных данных и других лиц) с письменного согласия.

Биометрия. Позволяет идентифицировать человека по физическим особенностям организма, когда оператор использует их для аутентификации:

• отпечатки пальцев;
• ДНК;
• сканирование сетчатки;
• распознавание радужки.

Биометрию можно использовать только при наличии письменного согласия кроме некоторых случаев (для исполнения международных договоров, в интересах правосудия и т. п.).

Обезличенные. Информация обезличивается при обработке, в результате которой становится невозможно соотнести данные с определённым человеком.

Как обрабатывать ПДн

Единственный способ избежать претензий Роскомнадзора и внушительных штрафов, которые могут достигать 18 млн р. — правильно организовать защиту и обработку личной информации.

Обработка персональных данных — любые действия с информацией о личности, выполняемые как с применением средств автоматизации, так и без них: сбор, систематизация, обезличивание, иные операции.

Чтобы не нарушить законодательство, компании следует придерживаться ряда правил.

1. Уведомить Роскомнадзор перед тем, как приступить к обработке. Уведомлять не надо при операциях с конфиденциальными данными:
   • сотрудников фирмы;
   • при заключении договоров;
   • в ряде других случаев (ч. 2 ст. 22 ФЗ N 152-ФЗ).
2. Разработать политику компании по обработке данных и разместить её в открытом доступе: на сайте или на видном месте в офисе (если сайта нет).
3. Определить цели работы с личными данными и работать с ними строго с заявленными целями.
4. Обрабатывать данные с применением баз данных, которые расположены на территории РФ.
5. Принять локальные акты, которые определяют правила проведения операции с личными данными. Законодательство не содержит перечень документов, которые обязана иметь компания.

Руководитель должен самостоятельно решить, какие локальные акты необходимо принять для данной компании, чтобы избежать претензий со стороны контролирующих органов.

• регламент обработки данных;
• правила компании по подбору персонала;
• введение пропускного режима;
• перечень мест хранения данных;
• регламент уточнения, уничтожения ПДн.

Организация защиты персональных данных

Для защиты персональных данных применяют различные возможности:

Технические. Заключаются в программе мероприятий по защите ПО от несанкционированного доступа.

Чтобы защитить ПО, требуется привлечь IT-специалистов, смоделировать угрозы, определить степень защищённости ПДн и обеспечить безопасность.

Чем грозит невыполнение требований по обработке персональных данных

За нарушение законодательства предусмотрен полный спектр юридической ответственности:

• дисциплинарная — за неправомерную обработку данных работником компании;
• гражданско-правовая — в виде возмещения убытков, компенсации морального вреда;
• административная — когда это предусмотрено Кодексом об административных правонарушениях;
• уголовная — за причинение вреда наиболее охраняемым общественным интересам.

Наиболее частое наказание — назначение административного штрафа.

Статья 13.11 КоАП РФ устанавливает девять составов правонарушений, в числе которых ответственность за обработку данных, когда это не предусмотрено законом; с отступлением от заявленных компанией целей и другие неправомерные действия.

За виновные действия предусмотрено наказание, минимальный и максимальный размер которого приведён в таблице.

Размер штрафа	Граждане	Должностные лица	Юрлица и индивидуальные предприниматели
Минимальный	Предупреждение или Штраф 1 – 3 тыс. р.	Штраф 5 – 10 тыс. р.	Штраф 30 – 50 тыс. р.
Максимальный	Штраф 30 – 50 тыс.р.	Штраф 100 – 200 тыс. р.	Штраф 1 – 6 млн р.
За повторное нарушение	Штраф 50 – 100 тыс. р.	Штраф 500 – 800 тыс. р.	Штраф 6 – 18 млн р.

Основные нормативные документы, касающиеся обработки персональных данных

Основная трудность, с которой сталкиваются компании при организации защиты персональной информации, заключается в том, что требования к обработке ПДн установлены не только федеральными законами, но и во множестве ведомственных подзаконных нормативных актов.

Принципы защиты персональной информации, требования к операторам и правила обработки установлены в:

от 28 января 1981 г., ETS № 108.

Конвенция устанавливает основные принципы и обязанности каждого государства – участника Конвенции, обеспечить соблюдение основных прав и свобод человека и неприкосновенность частной жизни.

от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы 95/46 / EC.

Больше известен как GDPR – General Data Protection Regulation. Актуален для компаний, которые ведут деятельность с участием европейских партнёров.

ФЗ даёт определение понятий, устанавливает принципы и условия обработки ПДн, права субъектов, личные данные которых обрабатываются, обязанности операторов, определяет уполномоченный орган и устанавливает ответственность за нарушения.

Указ перечисляет общие критерии, по которым информацию можно отнести к персональным данным.

Постановление определяет уровни защищённости информации и раскрывает содержание мер, которые обеспечивают безопасную обработку конфиденциальных данных.

Приказ устанавливает правила обезличивания информации.

Приказом утверждён перечень организационных и технических мер по обеспечению безопасности ПДн.

Кроме того, положения о защите конфиденциальной информации установлены в других федеральных законах; регламентах, приказах, инструкциях министерств и ведомств.

Назначение ответственных за организацию защиты данных

Оператор должен назначить ответственного за операции с конфиденциальными данными.

Ответственное лицо обязано:

• контролировать соблюдение законодательства в сфере защиты ПДн оператором и работниками;
• информировать работников о правилах обработки конфиденциальных данных;
• вести приём и обработку обращений субъектов ПДн.

В российских организациях, которые ведут деятельность в странах ЕС, должен быть назначен ответственный по защите данных — DPO.

Ответственным лицом может быть назначен сотрудник — руководитель компании, юротдела, других подразделений, либо стороннее лицо — независимый эксперт или фирма.

Порядок оформления доступа к персональным данным лица, осуществляющего обработку персональных данных

Во время проверок контролирующие органы уделяют внимание документам, которые регулируют политику компании по обработке ПДн, достаточности мер защиты от неправомерного использования информации, правилам доступа к конфиденциальной информации.

Поэтому компания должна правильно оформить лицо, ответственное за обработку данных:

1. Издать приказ о назначении ответственного лица и ознакомить с приказом сотрудника под подпись.
2. Внести соответствующие дополнения в должностную инструкцию и (или) трудовой договор.
3. Если до назначения сотрудника за безопасность ПДн отвечали другие работники, издать приказ и снять с них ответственность за организацию обработки информации. При этом обязанность работников не разглашать данные необходимо сохранить.
4. Составить перечень работников, которые допущены к обработке данных и утвердить перечень приказом.
5. Со всеми приказами работники должны быть ознакомлены под подпись.

Вывод

С каждым годом контроль по стороны Роскомнадзора становится всё жёстче, а ответственность операторов — выше:

Период	Выписано протоколов	Сумма штрафов
2018 г.	156	437 тыс. рублей.
2019 г.	215	1 млн 99 тыс. рублей

Из таблицы видно, что в 2019 году привлечение к административной ответственности выросло на 22 % по сравнению с предыдущим годом.

В 2020 году ситуация обострилась: ответственность за некорректную обработку персональных данных ужесточилась. Более того, индивидуальных предпринимателей по объёму ответственности приравняли к юридическим лицам.

Только строгое следование требованиям закона при обработке конфиденциальной информации позволит избежать нарушений и привлечения к ответственности.

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций в соответствии с пунктом 2.1 протокола совещания по вопросу соблюдения требований законодательства Российской Федерации в области персональных данных при подключении образовательных учреждений к программно-аппаратным комплексам с применением технологии распознавания лиц и обработки биометрических персональных данных от 24.01.2020 N П25-20пр (далее - Протокол) направляет практические рекомендации по применению положений Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" при обработке биометрических персональных данных несовершеннолетних.

ПО ПРИМЕНЕНИЮ ПОЛОЖЕНИЙ ФЕДЕРАЛЬНОГО ЗАКОНА

ОТ 27.07.2006 N 152-ФЗ "О ПЕРСОНАЛЬНЫХ ДАННЫХ" ПРИ ОБРАБОТКЕ

БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ НЕСОВЕРШЕННОЛЕТНИХ

Порядок обработки биометрических персональных данных регулируется ст. 11 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных).

В соответствии с ч. 1 ст. 11 Закона о персональных данных сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

Следовательно, к биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, голос, анализы ДНК и другие), а также иные физиологические или биологические характеристики человека, в том числе, изображение человека (фотография и видеозапись).

Биометрические персональные данные будут являться таковыми при наличии условий:

- они признаны таковыми в силу положений нормативных правовых актов;

- они характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность;

- они используются оператором для установления личности субъекта персональных данных.

Фотографические изображения посетителей организации, содержащиеся в системе контроля управления доступа (СКУД), будут являться биометрическими персональными данными, поскольку они характеризуют физиологические и биологические особенности человека, позволяют установить, принадлежит ли данному лицу предъявляемый СКУД пропуск, на основе которого можно установить его личность путем сравнения фото с лицом предъявителя пропуска и указываемых владельцем пропуска фамилии, имени и отчества с указанными в СКУД.

Таким образом, фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, также относятся к биометрическим персональным данным.

В Российской Федерации проведение государственной дактилоскопической регистрации, а также использование дактилоскопической информации осуществляются в целях идентификации личности человека.

Проведение государственной дактилоскопической регистрации возможно в случаях:

- розыска пропавших без вести граждан Российской Федерации, иностранных граждан и лиц без гражданства;

- установления личности человека по отпечаткам пальцев (ладоней) рук неопознанного трупа;

- установления личности граждан Российской Федерации, иностранных граждан и лиц без гражданства, не способных по состоянию здоровья или возрасту сообщить данные о своей личности либо не имеющих документов, удостоверяющих личность;

- подтверждения личности граждан Российской Федерации, иностранных граждан и лиц без гражданства;

- предупреждения, раскрытия и расследования преступлений, а также предупреждения и выявления административных правонарушений.

Правовые основания обработки персональных данных установлены ч. 1 ст. 6 Закона о персональных данных.

Вместе с тем, правовое регулирование обработки биометрических персональных данных выделено в отдельной статье 11 Закона о персональных данных, которой определены правовые основания обработки указанной категории персональных данных.

В качестве одного из оснований обработки биометрических персональных данных установлено наличие согласия в письменной форме субъекта персональных данных.

Положениями ч. 2 ст. 11 Закона о персональных данных установлены случаи, при наступлении которых согласие в письменной форме субъекта персональных данных не требуется.

Так, согласно указанной норме обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации, при обработке биометрических персональных данных несовершеннолетних лиц.

Полагаем необходимым отметить, что общий подход предоставления согласия, закрепленный в ч. 1 ст. 9 Закона о персональных данных, предусматривающий предоставление согласия субъекта персональных данных или его законного представителя в случае обработки биометрических персональных данных не применим, поскольку в соответствии с ч. 1 ст. 11 Закона о персональных данных соответствующее согласие в письменной форме может быть предоставлено исключительно субъектом персональных данных. Возможность делегирования права предоставления согласия в указанном случае законодательством Российской Федерации в области персональных данных не установлено.

Во всех случаях, не подпадающих под указанные в ч. 2 ст. 11 Закона о персональных данных, необходимо получение от субъекта личного согласия в письменной форме на обработку его биометрических персональных данных.

Таким образом, обработка биометрических персональных данных учащихся с согласия в письменной форме законного представителя субъекта персональных данных на обработку его биометрических персональных данных не допускается, за исключением случаев, предусмотренных ч. 2 ст. 11 Закона о персональных данных.

С учетом изложенного, законодательством Российской Федерации не предусмотрены случаи, предполагающие обработку биометрических персональных данных в целях установления личности для осуществления пропускного режима, в том числе в образовательные учреждения.

Таким образом, законодательством Российской Федерации в области персональных данных порядок и условия обработки биометрических персональных данных несовершеннолетних лиц не предусмотрены, что исключает наличие оснований для осуществления такой обработки образовательными учреждениями.

В этой связи в случае осуществления образовательными учреждениями обработки биометрических персональных данных несовершеннолетних лиц, необходимо принять меры по прекращению обработки биометрических персональных данных учащихся (несовершеннолетних) и их уничтожению (при наличии базы данных).

Согласие на обработку биометрических персональных данных несовершеннолетних лиц. Анализ позиции Минцифры по вопросам обработки биометрических персональных данных несовершеннолетних лиц.

29 марта 2021 г.

Вопрос относительно обработки биометрических персональных данных в отечественной и зарубежной правоприменительной практике поднимался неоднократно. Если сначала была путаница относительно того, какие данные считаются биометрическими персональными данными, то сейчас стоит вопрос о правовом основании обработки таких данных.

И здесь регулятор высказался весьма однозначно, определив основной признак биометрических персональных данных в возможности оператора персональных данных при их помощи установить личность субъекта.

Могут ли несовершеннолетние лица давать свое согласие на обработку персональных данных?

По общему правилу, согласно ст. 60 Конституции РФ, в полном объеме осуществлять свои права и обязанности лицо может с 18 лет. Аналогичное положение закреплено в п. 1 ст. 21 Гражданского кодекса РФ, где раскрывая понятие дееспособность, под которой понимается способность лица своими действиями приобретать и осуществлять гражданские права, создавать для себя гражданские обязанности и исполнять их, законодатель указывает на её возникновение в полном объеме по достижении восемнадцатилетнего возраста.

Однако, лица, не достигшие восемнадцатилетнего возраста, также имеют определенный объем прав и обязанностей, предусмотренный законом, в частности в статьях 26 и 28 Гражданского кодекса РФ (далее — ГК РФ). Согласно указанным статьям, лица, не достигшие восемнадцатилетнего возраста, могут заключать сделки и выступать субъектом сделки только в предусмотренных законом случаях.

Так, если дачу согласия на обработку персональных данных рассматривать в качестве односторонней сделки, т.е. как действия гражданина, которые направлены на установление, изменение или прекращение его гражданских прав и обязанностей, и для которых в силу закона достаточно одностороннего выражения воли, то можно сделать следующие выводы:

• в силу того, что под объем правомочий несовершеннолетних лиц, указанный в статьях 26 и 28 ГК РФ, дача согласия на обработку персональных данных не подпадает, то применяется общее правило о совершении сделок несовершеннолетними не достигшими четырнадцати лет - согласие на обработку персональных данных от их имени могут дать только их родители, усыновители или опекуны
• несовершеннолетние в возрасте от четырнадцати до восемнадцати лет могут давать согласие на обработку своих персональных данных, но только с письменного согласия своих законных представителей - родителей, усыновителей или попечителя

Данная позиция подтверждается и Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации (ранее Минкомсвязь, далее - Министерство), которое в своих Методических рекомендациях для общеобразовательных организаций по вопросам обработки персональных данных (далее - Рекомендации) указало, что для предоставления согласия на обработку персональных данных ребёнка в письменной форме, достаточно подписи одного из родителей в соответствии с п. 1 ст. 61 Семейного кодекса Российской Федерации.

Однако, рассматривать дачу согласия на обработку персональных данных ребёнком от шести до четырнадцати лет в качестве сделки, разрешенной законом (сделка, направленная на безвозмездное получение выгоды) не совсем корректно, т.к. по смыслу пп. 2 п. 2 ст. 26 ГК РФ, под сделками, направленными на безвозмездное получение выгоды, в первую очередь понимаются сделки дарения, которые предполагают получение несовершеннолетним какой-то материальной ценности. Кроме того, такая сделка должна быть безвозмездной, т.е. получая какую-либо выгоду, несовершеннолетнее лицо не обременяется соответствующими обязанностями. Например, при совершении сделки дарения одаряемое лицо не приобретает обязанностей, оно имеет только права: принять или отказаться от объекта дарения.

Так, принимая пользовательское соглашение на интернет-сайте, которое предполагает обработку персональных данных, ребёнок от шести до четырнадцати лет не просто выражает свое право, но и принимает корреспондирующие обязанности. Следовательно, действительной такую сделку назвать нельзя.

Стоит отметить, что давая согласие на обработку персональных данных, субъект может и принимать на себя некоторые обязанности, например:

• сообщать оператору персональных данных только актуальные и достоверные персональные данные
• в случае изменения персональных данных своевременно представлять оператору сведения об этом

Согласие на обработку биометрических персональных данных несовершеннолетнего лица

В ранее указанных Рекомендациях Министерство указало на тот факт, что обработка биометрических персональных данных несовершеннолетних лиц с письменного согласия законного представителя субъекта персональных данных на обработку его биометрических персональных данных не допускается, поскольку такое основание не предусмотрено действующим законодательством в области персональных данных. В таком случае, если оператор персональных данных осуществляет обработку биометрических персональных данных несовершеннолетних лиц, то ему необходимо принять меры по прекращению такой обработки.

• в связи с реализацией международных договоров Российской Федерации о реадмиссии
• в связи с осуществлением правосудия и исполнением судебных актов
• в связи с проведением обязательной государственной дактилоскопической регистрации
• в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации, законодательством Российской Федерации о нотариате

Это утверждение Министерства нельзя считать верным из-за того, что законодательство в области персональных данных не содержит прямого указания на недопустимость такой обработки. Вероятно авторы рекомендаций руководствовались отсутствием у большинства операторов персональных данных причин для обработки биометрических персональных данных несовершеннолетних лиц.

1. не относить полученные данные несовершеннолетнего лица к биометрическим персональным данным, поскольку отсутствует цель установления личности конкретного лица

Здесь важно понимать, что такая позиция требует аргументированного обоснования, в том числе с учетом судебной и правоприменительной практики. Подспорьем в этом вопросе послужат решение Савеловского районного суда г. Москвы №2а-577/19 от 06 ноября 2019 года и апелляционное определение судебной коллегии по административным делам Московского городского суда №2а-577/2019 от 30 января 2020 года .

2. относить полученные данные несовершеннолетнего лица к биометрическим персональным данным

Прежде чем руководствоваться общими положениями законодательства, а именно: получать ли от лица в возрасте от четырнадцати до восемнадцати лет согласие в письменной форме на обработку его биометрических персональных данных, заверенное его законным представителем, или получать ли письменное согласие законных представителей несовершеннолетних лиц не достигших четырнадцати лет на обработку персональных данных биометрических персональных данных, оператору необходимо оценить риски возможных нарушений с учетом Методических рекомендаций для общеобразовательных организаций по вопросам обработки персональных данных.

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Форматы обмена биометрическими данными

Данные изображения отпечатка пальца

Information technology. Biometrics. Biometric data interchange formats. Part 4. Finger image data

Предисловие

1 ПОДГОТОВЛЕН Некоммерческим партнерством "Русское общество содействия развитию биометрических технологий, систем и коммуникаций" (Некоммерческое партнерство "Русское биометрическое общество") и Федеральным государственным унитарным предприятием "Всероссийский научно-исследовательский институт стандартизации и сертификации в машиностроении" (ВНИИНМАШ) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4, при консультативной поддержке Федерального государственного бюджетного образовательного учреждения высшего образования "Московский государственный технический университет имени Н.Э.Баумана (национальный исследовательский университет)" (МГТУ им.Н.Э.Баумана)

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 098 "Биометрия и биомониторинг"

4 Настоящий стандарт является модифицированным по отношению к международному стандарту ИСО/МЭК 19794-4:2011* "Информационные технологии. Форматы обмена биометрическими данными. Часть 4. Данные изображения отпечатка пальца" (ISO/IEC 19794-4:2011 "Information technology - Biometric data interchange formats - Part 4: Finger image data", MOD), включая изменения А1:2013, А2:2015 и техническую поправку 1:2012, путем изменения отдельных фраз (слов, значений показателей, ссылок), которые выделены в тексте курсивом**.

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей.

Изменения и техническая поправка к указанному международному стандарту, принятые после его официальной публикации, внесены в текст настоящего стандарта и выделены двойной вертикальной линией, расположенной на полях напротив соответствующего текста.

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).

Сведения о соответствии ссылочных национальных и межгосударственных стандартов международным стандартам, использованным в качестве ссылочных в примененном международном стандарте, приведены в дополнительном приложении ДА.

Сопоставление структуры настоящего стандарта со структурой указанного международного стандарта приведено в дополнительном приложении ДБ

6 Некоторые элементы настоящего стандарта могут быть объектами патентных прав. Международная организация по стандартизации (ИСО) и Международная электротехническая комиссия (МЭК) не несут ответственности за установление подлинности каких-либо или всех подобных патентных прав

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации".** Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

В сообществе, занимающемся компьютерной криминалистикой, регистрация и передача изображений отпечатков пальцев являются всеобщим выбором для обмена информацией об отпечатках пальцев, используемой для идентификации личности в автоматизированной дактилоскопической информационной системе (АДИС). Часто при приобретении оборудования для биометрической идентификации и предоставления доступа к данным у разных изготовителей обмен информацией об отпечатках пальцев становится невозможным из-за отсутствия соглашения между изготовителями оборудования об объеме и типе регистрируемой и передаваемой информации, а также используемых методах регистрации.

Настоящий стандарт входит в комплекс стандартов и технических отчетов, разработанных подкомитетом ИСО/МЭК СТК 1/ПК 37 в целях поддержки функциональной совместимости и обмена данными между биометрическими приложениями и системами. Серия стандартов ГОСТ Р ИСО/МЭК 19794 устанавливает требования к применению биометрии в широком спектре разнообразных приложений персональной верификации, независимо от того, являются ли эти системы открытыми или закрытыми. Дополнительная информация, относящаяся к данной серии стандартов, представлена в ГОСТ ISO/IEC 19794-1.

Настоящий стандарт предназначен для приложений, которые обмениваются исходными или обработанными изображениями отпечатков пальцев или ладоней и которые не ограничены в ресурсах для хранения данных или во времени передачи данных. Настоящий стандарт может использоваться как для передачи изображений отпечатков пальцев, содержащих подробную информацию о пикселях изображения, так и при обмене обработанными данными изображения отпечатка пальца, содержащими значительно меньше пикселей на дюйм и/или меньшее число уровней градаций серого. Другие стандарты комплекса ГОСТ Р ИСО/МЭК 19794 регламентируют обмен набором характеристик отпечатков пальцев, таких как контрольные точки, шаблоны и др. Для хранения таких форматов требуется значительно меньше места, чем для хранения изображений отпечатков пальцев. Однако при использовании других стандартов серии ГОСТ Р ИСО/МЭК 19794 необходимо учитывать, что к информации, записанной в одном стандартном формате, нельзя применять алгоритмы, созданные для работы с другим типом информации. Другими словами, формат записи контрольных точек не может использоваться подсистемами сравнения данных остова, содержащихся в шаблоне.

В приложении A приведена методология проведения испытаний на соответствие требованиям настоящего стандарта. Приведенная в приложении A методология испытаний на соответствие требованиям настоящего стандарта отличается от ГОСТ Р ИСО/МЭК 29109-4.

В приложении B приведена информация о сертификации биометрических сканеров.

Пример записи данных изображения отпечатка пальца в соответствии с требованиями настоящего стандарта приведен в приложении C.

Рекомендации по регистрации изображений отпечатков пальцев приведены в приложении D.

Кроме того, настоящий стандарт поддерживает как двоичное, так и XML-кодирование, то есть охватывает целый спектр требований пользователей. При XML-кодировании настоящий стандарт будет соответствовать требованиям современных ИТ-архитектур. При двоичном кодировании настоящий стандарт также может быть использован в условиях, ограниченных частотным диапазоном или особенностями хранения. В приложении E приведена схема, которой должны соответствовать записи изображения отпечатка пальца в формате XML, а в приложении F - пример записи изображения отпечатка пальца в формате XML.

1 Область применения

Настоящий стандарт устанавливает требования к формату обмена записями данных для хранения, записи и передачи информации об одном или нескольких изображениях отпечатков пальцев или областей ладоней. Положения настоящего стандарта могут использоваться для передачи и сравнения данных изображения отпечатка пальца. Настоящий стандарт устанавливает состав, формат и единицы измерения данных изображения отпечатка пальца, используемых для биометрической регистрации, верификации или идентификации субъекта. Данная информация содержит набор обязательных и дополнительных элементов, включая параметры сканирования, информацию о сжатии изображения и информацию, определяемую изготовителем.

Настоящий стандарт предназначен для обмена биометрическими данными между организациями, использующими устройства и системы автоматической идентификации или верификации на основе данных изображения отпечатка пальца. Информация, полученная и обработанная в соответствии с требованиями настоящего стандарта, может быть записана на машиносчитываемые носители или передана по линиям связи.

В настоящем стандарте также приведены элементы методологии испытаний на соответствие, тестовые утверждения и методики испытаний применительно к настоящему стандарту. Настоящий стандарт устанавливает тестовые утверждения, касающиеся структуры формата данных изображения отпечатка пальца (испытания типа A уровня 1, установленные в [1]), тестовые утверждения, касающиеся внутренней согласованности по проверке типов значений, которые могут содержаться в каждом поле (испытания типа A уровня 2, установленные в [1]), и семантические тестовые утверждения (испытания типа A уровня 3, установленные в [1]).

Методология испытаний на соответствие, представленная в настоящем стандарте, не устанавливает:

- испытания других характеристик биометрических продуктов или другие типы их испытаний (например, степень приемлемости, производительность, устойчивость, уровень безопасности);

- испытания на соответствие систем, которые не производят записи данных в соответствии с настоящим стандартом.

2 Соответствие

Двоичная запись биометрических данных соответствует настоящему стандарту в том случае, если она удовлетворяет всем обязательным требованиям, связанным с ее структурой, значениями данных, взаимосвязями между элементами данных и связью между элементами и соответствующими входными данными, как определено в разделе 8.

Запись биометрических данных в кодировке XML соответствует настоящему стандарту в том случае, если она удовлетворяет всем обязательным требованиям, связанными с ее структурой, взаимосвязями между элементами данных и связью между элементами и соответствующими входными данными, как определено в приложении F.

Система, создающая записи биометрических данных, соответствует настоящему стандарту в том случае, если все производимые ею записи биометрических данных, содержащиеся в заявлении о соответствии реализации (ЗСР) данной системы, соответствуют настоящему стандарту (как определено выше). При этом записи биометрических данных, создаваемые системой, могут охватывать не все аспекты настоящего стандарта, а только те, которые должны поддерживаться системой согласно ЗСР.

Система, использующая записи биометрических данных, соответствует настоящему стандарту в том случае, если она способна прочитать и применить по назначению все записи биометрических данных, содержащиеся в ЗСР данной системы, которые соответствуют настоящему стандарту (как определено выше). При этом записи биометрических данных, используемые системой, могут охватывать не все аспекты настоящего стандарта, а только те, которые должны поддерживаться системой согласно ЗСР.

Испытания на соответствие формату обмена биометрическими данными удовлетворяют требованиям настоящего стандарта, если они соответствуют всем обязательным требованиям, определенным в приложении A. В частности, при проведении испытаний уровня 1, уровня 2 и уровня 3 должны использоваться положения, представленные в таблицах A.2 и A.3 в соответствии с концепцией и набором правил, установленными в [1].

Реализации настоящего стандарта, подвергнутые испытаниям по установленной методологии, соответствуют только тем требованиям настоящего стандарта к записям биометрических данных, испытания на соответствие которым проведены согласно данной методологии.

Соответствие реализаций всем требованиям настоящего стандарта не является обязательным. Достаточно, чтобы выполнялись требования, заявленные для данной реализации в ЗСР, заполненном в соответствии с [1] и таблицей A.1.

3 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ ISO/IEC 2382-37 Информационные технологии. Словарь. Часть 37. Биометрия

ГОСТ ISO/IEC 19794-1-2015 Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 1. Структура

ГОСТ Р ИСО/МЭК 19785-2 Автоматическая идентификация. Идентификация биометрическая. Единая структура форматов обмена биометрическими данными. Часть 2. Процедуры действий регистрационного органа в области биометрии

ГОСТ Р ИСО/МЭК 29109-4-2015 Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, определенным в комплексе стандартов ИСО/МЭК 19794. Часть 4. Данные изображения отпечатка пальца

ГОСТ Р ИСО/МЭК 29794-1 Информационные технологии. Качество биометрического образца. Часть 1. Структура

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

4 Термины и определения

В настоящем стандарте применены термины по ГОСТ ISO/IEC 2382-37 и ГОСТ ISO/IEC 19794-1, а также следующие термины с соответствующими определениями:

4.1 частота пространственной дискретизации биометрического сканера (capture device spatial sampling rate): Число пикселей на единицу длины, используемое датчиком или сканирующим устройством для получения исходного изображения.

4.2 изображение отпечатка пальца (fingerprint image): Область гребешковой кожи на мясистой поверхности пальца, расположенная по горизонтали между двумя краями ногтя и по вертикали от первого сустава до кончика пальца.

Примечание - Данная область содержит уникальную информацию в виде папиллярных гребней и впадин, которая называется "отпечатком пальца".

4.3 частота пространственной дискретизации изображения (image spatial sampling rate): Число пикселей на единицу длины изображения.

4.4 ладонь (palm): Гребешковая кожа, расположенная по бокам и в нижней части кисти руки.

Примечание - Изображения отпечатков пальцев данного типа обычно получают путем прокатки пальца от одного края ногтя до другого.

Примечание - Данный метод регистрации отпечатков пальцев отличается от метода прокатки, при котором отпечатки пальца получают путем прокатки пальца по горизонтали от одного края ногтя до другого.

Читайте также:

  
• Законопроект о разрушении семьи что это
  
• Следователь криминалист как участник уголовного судопроизводства
  
• Гаражный номер в путевом листе что это
  
• Когда вступил в должность зеленский
  
• Как по английски будет дать обеспечение