Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации рассмотрело обращение и в рамках компетенции сообщает следующее.
В соответствии с частью 2 статьи 16 Федерального закона от 29 декабря 2012 г. N 273-ФЗ "Об образовании в Российской Федерации" организации, осуществляющие образовательную деятельность, вправе применять электронное обучение, дистанционные образовательные технологии при реализации образовательных программ в порядке, определенном постановлением Правительства Российской Федерации от 11 октября 2023 г. N 1678 "Об утверждении Правил применения организациями, осуществляющими образовательную деятельность, электронного обучения, дистанционных образовательных технологий при реализации образовательных программ" (далее - Правила).
Пунктом 14 Правил закреплено право организации, осуществляющей образовательную деятельность, в целях дистанционного проведения промежуточной аттестации и текущего контроля успеваемости, итоговой аттестации по образовательным программам высшего, среднего профессионального и дополнительного профессионального образования (далее - Аттестация) осуществлять идентификацию и аутентификацию обучающихся с использованием единой системы идентификации и аутентификации (далее - ЕСИА) и единой биометрической системы (далее - ГИС ЕБС) и получать из ЕСИА сведения о фамилии, имени, отчестве (при наличии) и идентификаторе учетной записи ЕСИА.
Согласно части 7 статьи 2 Федерального закона от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" (далее - Федеральный закон N 572-ФЗ) под идентификацией понимается совокупность мероприятий по установлению сведений о лице и их проверке, осуществляемых в соответствии с действующим законодательством Российской Федерации, и сопоставлению данных сведений с идентификатором.
Под аутентификацией согласно пункту 2 статьи 2 Федерального закона N 572-ФЗ понимается совокупность мероприятий по проверке лица на принадлежность ему идентификаторов посредством сопоставления их со сведениями о лице, которыми располагает лицо, проводящее аутентификацию, а также установлению правомерности владения лицом идентификаторами посредством использования аутентифицирующих признаков в рамках процедуры аутентификации.
Также в соответствии с частью 1 статьи 11 Федерального закона N 572-ФЗ действия по идентификации и (или) аутентификации физического лица с использованием ГИС ЕБС и ЕСИА приравниваются к действиям по предъявлению документов, удостоверяющих личность такого физического лица.
Дополнительно отмечаем, что согласно части 3 статьи 13 Федерального закона N 572-ФЗ процесс аутентификации возможен с использованием информационных систем аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации или организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц с применением векторов ГИС ЕБС.
Учитывая что проведение вступительных испытаний при приеме на обучение, промежуточной и итоговой аттестации в организации, осуществляющей образовательную деятельность, включено в перечень случаев, при которых аутентификация с использованием информационных систем организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, утвержденный постановлением Правительства Российской Федерации от 25 мая 2023 г. N 815, не допускается, обработка биометрических персональных данных при проведении Аттестации должна обеспечиваться посредством идентификации и (или) аутентификации с использованием ГИС ЕБС в соответствии со статьями 9 и 10 Федерального закона N 572-ФЗ.
Вместе с тем в целях реализации возможности проведения Аттестации организации, осуществляющие образовательную деятельность, должны обеспечить взаимодействие своих информационных систем с ГИС ЕБС с учетом необходимости соблюдения требований по информационной безопасности при обработке биометрических персональных данных, утвержденных приказом Минцифры России от 5 мая 2023 г. N 445.
В соответствии с пунктом 15 Правил организации, осуществляющие образовательную деятельность по программам высшего, среднего и дополнительного образования, вправе осуществлять проведение Аттестации с использованием дистанционных образовательных технологий, обеспечивающих идентификацию и (или) аутентификацию физического лица посредством других информационных систем, обеспечивающих идентификацию и (или) аутентификацию личности, с учетом требований к информационным системам персональных данных или государственным информационным системам, утвержденным постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и приказом ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах".
Кроме того, Минцифры России проведен анализ альтернативных способов идентификации и (или) аутентификации обучающегося, в том числе путем предъявления документа, удостоверяющего личность физического лица с использованием камеры устройства видеосвязи, а также использования одноразового кода подтверждения, направленного в виде короткого текстового сообщения на абонентский номер подвижной радиотелефонной связи (далее - СМС-код), и сообщает о выявленных факторах, влияющих на достоверность результатов:
невозможность проверки достоверности предъявляемого документа, удостоверяющего личность физического лица;
вероятность подмены фотографии или персональных данных в документе, удостоверяющем личность физического лица;
возможность утечки персональных данных и биометрических персональных данных ввиду отсутствия требований к защите информации в используемых информационных системах;
отсутствие защиты от трансграничной передачи персональных данных и биометрических персональных данных;
возможность подмены изображения;
возможность передачи сотового телефона и перехвата трафика подвижной радиотелефонной связи.
Учитывая вышеуказанные недостатки, предъявление документа, удостоверяющего личность физического лица, с использованием камеры устройства видеосвязи, а также использование СМС-кода не могут в полной мере обеспечить безопасность и достоверность идентификации и (или) аутентификации обучающихся.
Заместитель директора
Департамента развития технологий
цифровой идентификации
Ю.О.ШАБАНОВ