Валентина Васильевна Воробьева,
экономист в банковской сфере
12 января 2020 г. вступила в силу Инструкция N 426. Документ определяет:
— случаи и условия проведения пользователями МСИ процедуры удаленной идентификации клиентов, их представителей (далее — клиент) с использованием биометрических данных;
— случаи, условия и порядок проведения процедуры удаленного обновления (актуализации) данных о клиентах.
Процедура удаленной идентификации
Случаи
Процедура удаленной идентификации может проводиться для идентификации клиентов без их личного присутствия, если в системе идентификации нет данных о них <*>. При этом для проведения указанной процедуры пользователь МСИ может привлекать на основании договора организацию, которая оказывает техуслуги для проведения такой процедуры <*>.
На заметку
Пользователями МСИ являются Нацбанк, банки, НКФО, ОАО «Банк развития Республики Беларусь», лизинговые и микрофинансовые организации, форекс-компании или Национальный форекс-центр, являющиеся пользователями системы идентификации и заключившие с владельцем МСИ договор о подключении к системе идентификации <*>.
Если данные о клиенте в системе есть, то он проходит идентификацию в ней <*>.
Процедуру удаленной идентификации можно проводить только с согласия клиента на ее проведение <*>.
На заметку
Согласие на проведение этой процедуры клиент предоставляет в электронном виде с использованием средств ЭЦП или без их использования с применением программно-аппаратных средств и технологий. Согласие является одноразовым фактором, который подтверждает намерение клиента совершить указанную процедуру <*>.
Условия
Чтобы провести процедуру удаленной идентификации, потребуется соблюсти ряд условий. Их перечень содержится в п. 5 Инструкции N 426. Так, пользователь МСИ для проведения этой процедуры должен:
— осуществлять сбор, обработку, предоставление и использование данных о клиентах, полученных при ее проведении, с соблюдением требований законодательства об информации, информатизации и защите информации, законодательства и международных договоров, направленных на защиту прав субъектов персональных данных. При этом у пользователя МСИ должно быть согласие клиента на сбор, обработку, предоставление и использование данных о них, в том числе биометрических (далее — согласие на обработку данных) <*>. Такое согласие действует 5 лет с даты его предоставления. Получить его пользователь МСИ должен до начала проведения процедуры удаленной идентификации <*>. Также пользователь МСИ должен проинформировать клиента о целях сбора, обработки, предоставления, использования данных о нем, о составе таких данных, о лицах, которые получат к ним доступ, о сроке действия согласия клиента на обработку данных и т.д. <*>.
На заметку
Клиент предоставляет согласие на обработку данных в электронном виде с использованием средств ЭЦП или без их использования с применением программно-аппаратных средств и технологий, в том числе посредством использования системы дистанционного обслуживания пользователя МСИ и (или) аутентификационных факторов, применяемых для аутентификации клиента в системе дистанционного обслуживания пользователя МСИ <*>. Клиент может отозвать свой отзыв двумя способами: в электронном виде и в письменном (при личном обращении к пользователю МСИ). При отзыве согласия пользователь МСИ обязан заблокировать данные о клиенте. Сделать это необходимо не позднее банковского дня, следующего за днем отзыва <*>. Если отзыв совершен, к примеру, в четверг, то крайний срок для блокировки данных — пятница;
— обеспечить возможность блокирования данных о клиенте в системе удаленной идентификации, т.е. принимать меры, которые при необходимости сделают невозможным использование данных о клиенте;
— фиксировать биометрические данные о клиенте в отдельной базе данных, т.е. биометрические данные должны быть зафиксированы в одной базе данных, а иные данные, которые получены в ходе данной процедуры, в другой базе данных;
— маркировать данные о прошедших идентификацию через процедуру удаленной идентификации клиентах в своей базе данных;
— осуществлять фиксацию лица клиента и его документа, удостоверяющего личность, в процессе одного общего видеосеанса с ним;
— проверять подлинность полученного изображения, документа, удостоверяющего личность, и проводить анализ особых признаков подлинности этого документа;
— использовать такие программно-технические средства, с помощью которых возможно обнаружить и предотвратить любые неправомерные действия. К примеру, которые выявляют применение средств имитации внешности, мимики, голоса клиента;
— проводить сравнение биометрических моделей, сформированных на основании лица клиента и фотографии клиента из документа, удостоверяющего его личность, и определять степень их сходства.
Процедура удаленного обновления (актуализации) данных
Случаи
Процедура удаленного обновления (актуализации) данных о клиенте (кроме биометрических) может проводиться в двух случаях:
— при необходимости обновления (актуализации) данных о клиенте в соответствии с законодательством в сфере предотвращения легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения;
— по инициативе самого клиента <*>.
Процедура удаленного обновления (актуализации) биометрических данных о клиенте также может проводиться в двух случаях:
— по истечении 3 лет с даты обновления (актуализации) биометрических данных клиента или внесения новых данных в базу данных пользователя МСИ;
— по инициативе клиента <*>.
На заметку
Биометрические данные клиентов — сведения (фото- и видеоизображение, голос), характеризующие физиологические и биологические особенности человека, которые используются для его уникальной идентификации <*>.
Процедуру удаленного обновления (актуализации) можно проводить только с согласия клиента на ее проведение <*>.
На заметку
Согласие на проведение указанной процедуры клиент предоставляет в электронном виде с использованием средств ЭЦП или без их использования с применением программно-аппаратных средств и технологий. Согласие является одноразовым фактором, подтверждающим намерение клиента совершить указанную процедуру <*>.
Условия
Пользователь МСИ проводит процедуру удаленного обновления (актуализации) при соблюдении ряда условий <*>:
— в отношении клиента осуществлена многофакторная аутентификация, т.е. подтверждение подлинности и принадлежности клиенту двух или более предъявленных (введенных) им видов аутентификационных факторов <*>. Следует отметить, что обновление (актуализация) абонентского номера сотовой подвижной электросвязи происходит только при осуществлении многофакторной аутентификации с использованием трех видов аутентификационных факторов;
— пользователь МСИ может удостовериться в актуальности предоставленных данных.
Способы подтверждения актуальности предоставленных клиентом данных определяет пользователь МСИ <*>.
На заметку
Аутентификационные факторы — данные, запрашиваемые у клиента и используемые для аутентификации. Аутентификационные факторы подразделяются на следующие виды:
факторы знания — данные, известные только клиенту (пароль, графический пароль, пин-код, секретный вопрос, ключевое слово, уникальное сочетание данных и т.д.);
факторы владения — данные, подтвержденные путем получения или генерации на используемых клиентом устройствах и предметах, обладающих уникальными характеристиками;
факторы свойства объекта — биометрические данные клиентов <*>.
Порядок
Процедура удаленного обновления (актуализации) проводится в определенном порядке. Он закреплен в п. 11 Инструкции N 426:
— клиент проходит процедуру аутентификации в системе дистанционного обслуживания пользователя МСИ;
— пользователь МСИ или сам клиент делает запрос на обновление (актуализацию) данных о клиенте;
— после осуществления запроса клиент указывает актуальную информацию, заполняя анкету, либо пользователем МСИ осуществляется сеанс видеосвязи с клиентом для получения от последнего актуальной информации. Способ получения актуальной информации (заполнение анкеты или сеанс видеосвязи) выбирает пользователь МСИ;
— пользователь МСИ проверяет актуальность данных, предоставленных клиентом;
— в зависимости от результата проверки актуальности данных пользователь МСИ:
фиксирует актуальные данные в соответствующей системе (базе данных) (при положительном результате);
оповещает клиента и указывает возможные способы обновления (актуализации) предоставленных данных, в том числе при личном обращении клиента к пользователю МСИ (в случае отрицательного результата проверки актуальности предоставленных данных).
Таким образом, с 12 января 2020 г. пользователи МСИ могут осуществлять удаленную идентификацию клиентов, а также удаленное обновление их данных.
Читайте этот материал в ilex >>*
* по ссылке Вы попадете в платный контент сервиса ilex