572-ФЗ перевернул правила работы с биометрией в России: определять личность по лицу или голосу теперь можно только через государственную Единую биометрическую систему (ЕБС), а заставлять людей сдавать биометрию запрещено. Закон касается не только банков – под него попадает любой бизнес, где техника узнаёт человека: СКУД на проходной, учёт рабочего времени по лицу, голосовой бот в колл-центре. Разбираем 572-ФЗ о биометрии простыми словами: что это за закон, кому и что он предписывает, что запрещает и во что обходятся нарушения.
Актуально на июль 2026 года. Штрафы указаны в редакции 420-ФЗ от 30.05.2025.
Коротко. 572-ФЗ разделил работу с биометрией на два режима. Идентификация («кто это») – только через государственную ЕБС. Аутентификация («тот ли это») – через ЕБС или аккредитованную систему организации, взаимодействующую с ЕБС. Понуждать к сдаче биометрии нельзя, отказ от неё – не основание отказать в услуге. Согласие на биометрию по общему правилу – письменное (ст. 11 152-ФЗ). Штраф за биометрию без согласия – до 700 тыс. ₽ для юрлица, за утечку биометрии – 15–20 млн ₽ (ст. 13.11 КоАП РФ).
Федеральный закон от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных…» – главный закон о том, как в России разрешено узнавать человека по биометрии. Подписан 29 декабря 2022 года, вступил в силу со дня официального опубликования, а основная часть требований к бизнесу заработала с 1 июня 2023 года.
Суть закона – централизация. До 572-ФЗ каждый оператор копил биометрию у себя: банк – слепки голоса, работодатель – шаблоны лиц, фитнес-клуб – отпечатки. Теперь биометрические шаблоны для идентификации хранятся в одной государственной системе – ЕБС, а бизнес работает с ними по строгим правилам закона. Логика простая: чем меньше разрозненных баз с лицами и голосами, тем ниже риск утечек и злоупотреблений.
Что именно считается биометрией, определяет 152-ФЗ – базовый закон о биометрических персональных данных и любых других ПДн:
Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека и на основании которых можно установить его личность (ст. 11 152-ФЗ). Примеры: изображение лица для распознавания, слепок голоса, отпечаток пальца, радужная оболочка глаза.
Ключевой признак – цель обработки. Фото в личном деле или запись с камеры видеонаблюдения сами по себе ещё не биометрия. Особый режим включается, когда оператор использует данные для установления личности: система смотрит на лицо и отвечает, кто это.
ЕБС – государственная информационная система «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных» (ст. 1 572-ФЗ). Оператор ЕБС назначен Правительством РФ – это АО «Центр биометрических технологий».
По сути ЕБС – единое государственное хранилище биометрических шаблонов. Гражданин сдаёт биометрию один раз (в банке или через приложение с подтверждением на Госуслугах), а дальше ею пользуются банки, госорганы и аккредитованные компании. «Сырые» данные к себе никто не забирает.
Весь 572-ФЗ держится на разнице двух операций.
| Критерий | Идентификация | Аутентификация |
|---|---|---|
| Вопрос | «Кто это?» | «Тот ли это, за кого себя выдаёт?» |
| Механика | система ищет совпадение по всей базе (1:N) | система сверяет биометрию с шаблоном конкретного человека (1:1) |
| Режим по 572-ФЗ | только через ЕБС – своя система идентификацию не выполняет | через ЕБС или аккредитованную систему организации, взаимодействующую с ЕБС |
| Пример | камера на входе узнаёт клиента из всей базы | сотрудник подтверждает личность у закреплённого за ним турникета |
Отдельно про «коммерческую биометрическую систему» (КБС): в 572-ФЗ такого термина нет, это рыночный жаргон. Закон говорит об аккредитованной информационной системе организации, осуществляющей аутентификацию. Данные при этом разделены: исходная биометрия – образцы – остаётся в ЕБС, а аккредитованная система получает из ЕБС векторы, математические модели, и сама отвечает за их защиту: передавать векторы третьим лицам запрещено, а по запросу оператора ЕБС их придётся заблокировать и уничтожить (ч. 7, 14, 15 ст. 16 572-ФЗ). Хранить у себя сами биометрические образцы организация не вправе: максимум 10 суток – и только для разбора обращений (п. 3 ч. 1 ст. 15 572-ФЗ). Если вендор обещает «КБС, которая работает без всякой ЕБС» или «вся биометрия остаётся у вас», перепроверьте схему, прежде чем радоваться экономии.
Банк вы или фитнес-клуб – неважно. Режим определяет операция: что именно система делает с биометрией.
| Сценарий | Режим по 572-ФЗ |
|---|---|
| Банк удалённо идентифицирует клиента по лицу и голосу | только через ЕБС |
| Госорган оказывает услуги с использованием биометрии | через ЕБС |
| Компания подтверждает личность уже известного клиента – в приложении, у стойки | ЕБС или аккредитованная система, взаимодействующая с ЕБС |
| СКУД или учёт рабочего времени по лицу | зависит от механики: идентификация (1:N) – через ЕБС, аутентификация (1:1) – через ЕБС или аккредитованную систему |
| Охранник вручную сверяет лицо с фотографией в пропуске | 572-ФЗ не применяется – исключение для неавтоматизированной сверки (ст. 1 ч. 2 п. 2) |
Последняя строка – единственный «полностью автономный» режим, и он узкий: неавтоматизированная сверка с участием уполномоченного должностного лица. Человек глазами сравнивает лицо с фотографией – закон не применяется. Автоматический лицевой СКУД под это исключение, как правило, не подпадает: сверку выполняет алгоритм, а не человек. Как легализовать проходную с распознаванием лиц – разобрали отдельно в статье «Биометрия сотрудников: СКУД по лицу и 152-ФЗ».
Определить свой сценарий – главный вопрос всей легализации, и ошибка в нём стоит дороже всего. Если сомневаетесь, закажите экспресс-оценку правомерности обработки биометрии – за один день разложим ваши процессы по режимам 572-ФЗ и покажем, что исправить.
Три запрета, на которых чаще всего попадаются:
Для человека всё это означает право спокойно сказать «нет». Для оператора – обязанность выстроить процессы так, чтобы отказавшийся от биометрии получил ту же услугу другим способом.
572-ФЗ не заменяет 152-ФЗ – они работают в связке. По общему правилу ст. 11 152-ФЗ биометрию обрабатывают только с письменного согласия субъекта. Исключения перечислены в ч. 2 ст. 11 – оборона, безопасность, противодействие терроризму, правосудие, обязательная дактилоскопия – и к типовым сценариям коммерческого оператора они, как правило, не относятся.
Согласие должно отвечать ст. 9 152-ФЗ: содержать цель обработки, перечень биометрических данных, срок действия и порядок отзыва. Для сотрудников дополнительно действуют ст. 86 и 88 ТК РФ.
Деталь, о которую спотыкаются: форма согласия зависит от контура. Классическое письменное согласие по ст. 11 152-ФЗ нужно для обработки биометрии вне контура ЕБС – например, при сборе образцов для размещения в ЕБС или в сценариях-исключениях. Согласие на аутентификацию в аккредитованной системе субъект подписывает электронно – усиленной неквалифицированной или простой электронной подписью, такой документ равнозначен бумажному (ч. 16, 18 ст. 16 572-ФЗ). А согласие на размещение биометрии в ЕБС человек оформляет сам через Госуслуги (ЕСИА) – бумажный шаблон здесь не применяется.
Не забудьте про локализацию: ч. 5 ст. 18 152-ФЗ требует вести запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение ПДн россиян в базах данных на территории РФ. Для биометрии послаблений нет: первичная база шаблонов в зарубежном облаке исключена.
Ответственность за нарушения при работе с биометрией собрана в ст. 13.11 КоАП РФ.
| Нарушение | Норма | Штраф для юрлица |
|---|---|---|
| Обработка биометрии без письменного согласия | ч. 2 ст. 13.11 КоАП РФ | 300–700 тыс. ₽ |
| Утечка биометрических данных | ч. 17 ст. 13.11 КоАП РФ | 15–20 млн ₽ |
Штраф за утечку биометрии – самый высокий «первичный» состав всей статьи: 15–20 млн ₽ для юрлица (редакция 420-ФЗ, действует с 30.05.2025). Кроме денег оператора ждут предписание Роскомнадзора, внеплановая проверка и обязанность уничтожить неправомерно собранную биометрию. Все составы ст. 13.11 – от неопубликованной политики до оборотных штрафов до 500 млн ₽ за повторную утечку – разобрали в статье «Штрафы за нарушение 152-ФЗ».
Пройти пять шагов своими силами реально, но долго: правовая часть цепляется за техническую, а ошибка в определении режима обнуляет остальное. Кредо-С проходит этот путь вместе с оператором – от экспресс-оценки до комплекта документов, настройки взаимодействия с ЕБС и мониторинга событий безопасности под требования ГосСОПКА. Лицензия ФСТЭК России на ТЗКИ № Л024-00107-00. Оценить правомерность обработки биометрии – бесплатно.
Остались вопросы? Оставьте заявку
Я соглашаюсь на обработку персональных данных
300034, г. Тула, ул. Демонстрации, 27
офисы: Тула, Москва
ООО «КРЕДО-С»ИНН 7106014366КПП 710601001ОГРН 1027100747596300034, г. Тула, ул. Демонстрации, 27офисы: Тула, Москвана рынке с 1993 года