Валентина Васильевна Воробьева,
экономист в банковской сфере

12 января 2020 г. вступила в силу Инструкция N 426. Документ определяет:

— случаи и условия проведения пользователями МСИ процедуры удаленной идентификации клиентов, их представителей (далее — клиент) с использованием биометрических данных;

— случаи, условия и порядок проведения процедуры удаленного обновления (актуализации) данных о клиентах.

Процедура удаленной идентификации

Случаи

Процедура удаленной идентификации может проводиться для идентификации клиентов без их личного присутствия, если в системе идентификации нет данных о них <*>. При этом для проведения указанной процедуры пользователь МСИ может привлекать на основании договора организацию, которая оказывает техуслуги для проведения такой процедуры <*>.

На заметку
Пользователями МСИ являются Нацбанк, банки, НКФО, ОАО «Банк развития Республики Беларусь», лизинговые и микрофинансовые организации, форекс-компании или Национальный форекс-центр, являющиеся пользователями системы идентификации и заключившие с владельцем МСИ договор о подключении к системе идентификации <*>.

Если данные о клиенте в системе есть, то он проходит идентификацию в ней <*>.

Процедуру удаленной идентификации можно проводить только с согласия клиента на ее проведение <*>.

На заметку
Согласие на проведение этой процедуры клиент предоставляет в электронном виде с использованием средств ЭЦП или без их использования с применением программно-аппаратных средств и технологий. Согласие является одноразовым фактором, который подтверждает намерение клиента совершить указанную процедуру <*>.

Условия

Чтобы провести процедуру удаленной идентификации, потребуется соблюсти ряд условий. Их перечень содержится в п. 5 Инструкции N 426. Так, пользователь МСИ для проведения этой процедуры должен:

— осуществлять сбор, обработку, предоставление и использование данных о клиентах, полученных при ее проведении, с соблюдением требований законодательства об информации, информатизации и защите информации, законодательства и международных договоров, направленных на защиту прав субъектов персональных данных. При этом у пользователя МСИ должно быть согласие клиента на сбор, обработку, предоставление и использование данных о них, в том числе биометрических (далее — согласие на обработку данных) <*>. Такое согласие действует 5 лет с даты его предоставления. Получить его пользователь МСИ должен до начала проведения процедуры удаленной идентификации <*>. Также пользователь МСИ должен проинформировать клиента о целях сбора, обработки, предоставления, использования данных о нем, о составе таких данных, о лицах, которые получат к ним доступ, о сроке действия согласия клиента на обработку данных и т.д. <*>.

На заметку
Клиент предоставляет согласие на обработку данных в электронном виде с использованием средств ЭЦП или без их использования с применением программно-аппаратных средств и технологий, в том числе посредством использования системы дистанционного обслуживания пользователя МСИ и (или) аутентификационных факторов, применяемых для аутентификации клиента в системе дистанционного обслуживания пользователя МСИ <*>. Клиент может отозвать свой отзыв двумя способами: в электронном виде и в письменном (при личном обращении к пользователю МСИ). При отзыве согласия пользователь МСИ обязан заблокировать данные о клиенте. Сделать это необходимо не позднее банковского дня, следующего за днем отзыва <*>. Если отзыв совершен, к примеру, в четверг, то крайний срок для блокировки данных — пятница;

— обеспечить возможность блокирования данных о клиенте в системе удаленной идентификации, т.е. принимать меры, которые при необходимости сделают невозможным использование данных о клиенте;

— фиксировать биометрические данные о клиенте в отдельной базе данных, т.е. биометрические данные должны быть зафиксированы в одной базе данных, а иные данные, которые получены в ходе данной процедуры, в другой базе данных;

— маркировать данные о прошедших идентификацию через процедуру удаленной идентификации клиентах в своей базе данных;

— осуществлять фиксацию лица клиента и его документа, удостоверяющего личность, в процессе одного общего видеосеанса с ним;

— проверять подлинность полученного изображения, документа, удостоверяющего личность, и проводить анализ особых признаков подлинности этого документа;

— использовать такие программно-технические средства, с помощью которых возможно обнаружить и предотвратить любые неправомерные действия. К примеру, которые выявляют применение средств имитации внешности, мимики, голоса клиента;

— проводить сравнение биометрических моделей, сформированных на основании лица клиента и фотографии клиента из документа, удостоверяющего его личность, и определять степень их сходства.

Процедура удаленного обновления (актуализации) данных

Случаи

Процедура удаленного обновления (актуализации) данных о клиенте (кроме биометрических) может проводиться в двух случаях:

— при необходимости обновления (актуализации) данных о клиенте в соответствии с законодательством в сфере предотвращения легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения;

— по инициативе самого клиента <*>.

Процедура удаленного обновления (актуализации) биометрических данных о клиенте также может проводиться в двух случаях:

— по истечении 3 лет с даты обновления (актуализации) биометрических данных клиента или внесения новых данных в базу данных пользователя МСИ;

— по инициативе клиента <*>.

На заметку
Биометрические данные клиентов — сведения (фото- и видеоизображение, голос), характеризующие физиологические и биологические особенности человека, которые используются для его уникальной идентификации <*>.

Процедуру удаленного обновления (актуализации) можно проводить только с согласия клиента на ее проведение <*>.

На заметку
Согласие на проведение указанной процедуры клиент предоставляет в электронном виде с использованием средств ЭЦП или без их использования с применением программно-аппаратных средств и технологий. Согласие является одноразовым фактором, подтверждающим намерение клиента совершить указанную процедуру <*>.

Условия

Пользователь МСИ проводит процедуру удаленного обновления (актуализации) при соблюдении ряда условий <*>:

— в отношении клиента осуществлена многофакторная аутентификация, т.е. подтверждение подлинности и принадлежности клиенту двух или более предъявленных (введенных) им видов аутентификационных факторов <*>. Следует отметить, что обновление (актуализация) абонентского номера сотовой подвижной электросвязи происходит только при осуществлении многофакторной аутентификации с использованием трех видов аутентификационных факторов;

— пользователь МСИ может удостовериться в актуальности предоставленных данных.

Способы подтверждения актуальности предоставленных клиентом данных определяет пользователь МСИ <*>.

На заметку
Аутентификационные факторы — данные, запрашиваемые у клиента и используемые для аутентификации. Аутентификационные факторы подразделяются на следующие виды:
факторы знания — данные, известные только клиенту (пароль, графический пароль, пин-код, секретный вопрос, ключевое слово, уникальное сочетание данных и т.д.);
факторы владения — данные, подтвержденные путем получения или генерации на используемых клиентом устройствах и предметах, обладающих уникальными характеристиками;
факторы свойства объекта — биометрические данные клиентов <*>.

Порядок

Процедура удаленного обновления (актуализации) проводится в определенном порядке. Он закреплен в п. 11 Инструкции N 426:

— клиент проходит процедуру аутентификации в системе дистанционного обслуживания пользователя МСИ;

— пользователь МСИ или сам клиент делает запрос на обновление (актуализацию) данных о клиенте;

— после осуществления запроса клиент указывает актуальную информацию, заполняя анкету, либо пользователем МСИ осуществляется сеанс видеосвязи с клиентом для получения от последнего актуальной информации. Способ получения актуальной информации (заполнение анкеты или сеанс видеосвязи) выбирает пользователь МСИ;

— пользователь МСИ проверяет актуальность данных, предоставленных клиентом;

— в зависимости от результата проверки актуальности данных пользователь МСИ:

фиксирует актуальные данные в соответствующей системе (базе данных) (при положительном результате);

оповещает клиента и указывает возможные способы обновления (актуализации) предоставленных данных, в том числе при личном обращении клиента к пользователю МСИ (в случае отрицательного результата проверки актуальности предоставленных данных).

Таким образом, с 12 января 2020 г. пользователи МСИ могут осуществлять удаленную идентификацию клиентов, а также удаленное обновление их данных.

Читайте этот материал в ilex >>*

* по ссылке Вы попадете в платный контент сервиса ilex