Системы распознавания лиц в рамках действующего законодательства: разбираемся в нюансах

Идентификация по геометрии лица – одно из наиболее быстро развивающихся направлений биометрической идентификации. Это связано со следующими основными причинами:

1. Удобство этого метода идентификации для пользователей. По сравнению с другими методами биометрической идентификации этот метод представляется наиболее естественным, ведь именно так люди узнают друг друга.
2. Возможность использования распознавания лиц на объектах, где с помощью других методов невозможно ограничить доступ людей, но требуется выявлять определенный круг людей, например, подозреваемых в совершении преступлений (в аэропортах, на вокзалах и т. п.).
3. Функция распознавания лиц может быть интегрированной в систему телевизионного наблюдения. Последняя является неотъемлемой частью комплексной системы безопасности любого объекта.
4. Развитие технологий глубокого обучения. Сверточные нейронные сети (разновидность нейросетей для обработки данных с сеточной структурой) в настоящее время добились впечатляющих результатов в области распознавания лиц.

Системы биометрической идентификации существуют на рынке систем контроля и управления доступом (СКУД) много лет, но именно необходимость адаптации современных организаций к новым условиям позволили разработать и внедрить действительно прорывные и инновационные технологии. Ключевым преимуществом биометрических систем является их способность с высокой степенью вероятности одновременно решать задачи как идентификации, так и аутентификации, позволяя проверять правомочность владения человеком предъявленным им идентификатором. В этом состоит их основное преимущество по сравнению с использованием карты или пароля, которые могут быть легко переданы другому лицу.

Для многих современных организаций приоритетной задачей является не только предотвращение несанкционированного доступа посторонних лиц на контролируемый объект, но и слежение за перемещением своих сотрудников для учета рабочего времени, расследования инцидентов и т.п. В этой связи биометрические терминалы могут также эффективно использоваться в качестве элемента системы контроля персонала.

Перед тем, как анализировать выбранные биометрические идентификационные признаки человека (в том числе, изображение лица), нужно удостоверится, что предъявленные характеристики действительно принадлежат живому существу. То есть, во-первых, что предъявленный образ действительно принадлежит человеку (а не имитирован, скажем с помощью фотографии, маски, муляжа головы и т.п.), а во-вторых, его характеристики соответствуют именно живому существу.

Если система не позволяет с достаточно высокой степенью достоверности определять, что предъявленные для идентификации биометрические признаки принадлежат живому существу, существуют три потенциальные угрозы для такой системы идентификации. Во-первых, предъявленный муляж может являться копией биометрического признака уполномоченного пользователя системы. Например, получив фотографию действующего пользователя, потенциальный нарушитель может изготовить муляж и воспользоваться им для доступа. Во-вторых, не менее опасной является ситуация добавления муляжа при занесении биометрических признаков пользователей в систему. Уполномоченный пользователь может предъявить системе не свой носитель биометрических признаков, а муляж, которым впоследствии может воспользоваться нарушитель или группа нарушителей для получения доступа. И последняя по порядку, но не по важности угроза связана с тем, что действующий пользователь системы может отказаться от факта получения им доступа (зарегистрированного системой), если носитель биометрических признаков может быть подделан. Например, если становится известным, что какая-либо система позволяет получить доступ, воспользовавшись фотографией лица человека или записью его видеоизображения на экране смартфона, то у пользователей не будет доверия к результатам работы такой биометрической системы.

При занесении биометрических признаков в память системы необходимо также проверить достаточность считанной информации для успешной идентификации. Вводимые эталонные биометрические признаки должны содержать достаточное количество информации для возможности сравнения их со считываемыми и принятия решения с требуемой вероятностью. При идентификации по изображению лица необходимо убедиться, что изображение не было смазано, а лицо не было закрыто головным убором, прической, солнцезащитными очками или маской. Если эталонный исходный образ не обладает необходимой достаточностью характеристик, система должна предложить пользователю повторить ввод. Если считанный эталонный образ соответствует указанным требованиям, осуществляется его преобразование в форму, удобную для поиска в базе данных и сравнения. Обычно считанный образ содержит большое количество избыточной информации, которая может быть удалена при сохранении возможности идентификации. Иначе, если не использовать преобразование и сжатие образа, размер памяти, необходимой для хранения всех образов, может оказаться слишком большим, а время выборки необходимого образа из памяти слишком продолжительным.

Процесс занесения биометрических образов в память системы состоит из следующих этапов:

1. Поиск и считывание биометрических признаков.
2. Проверка соответствия предъявленных биометрических признаков живому человеку.
3. Проверка достаточности считанной эталонной информации для успешной идентификации человека.
4. Преобразование считанного образа в форму, удобную для дальнейшей работы и хранения, то есть формирования образца идентификационных признаков.
5. Занесение образца в память системы.

Рассмотрим, какие события могут иметь место при принятии решения в системе распознавания лиц (как, впрочем, и в любой другой биометрической системе). Существуют две гипотезы:

1. предъявленный биометрический идентификатор принадлежит уполномоченному пользователю;
2. предъявленный биометрический идентификатор не принадлежит уполномоченному пользователю.

Система принимает решение о разрешении или запрете доступа:

Вероятность разрешения доступа при предъявлении действующего идентификатора характеризует вероятность правильного разрешения доступа (Рп.р). Запрет доступа при предъявлении действующего идентификатора называется ложным отказом в доступе (характеризуется вероятностью Рл.о). Эти два события образуют полную группу, то есть

Рп.р + Рл.о=1.

Аналогично, вероятность разрешения доступа при предъявлении не действующего идентификатора называется вероятностью несанкционированного доступа (Рн.д), а вероятность запрета доступа при предъявлении не действующего идентификатора – вероятностью правильного отказа в доступе (Ро.д). Эти события также образуют полную группу

Рн.д + Ро.д =1.

В зарубежной литературе вероятность Рн.д обозначается как FAR (False Acceptance Rate) или FMR (False Match Rate), а Рл.о – как FRR (False Rejection Rate) или FNMR (False Non-Match Rate). Ложный отказ в доступе и несанкционированное разрешение доступа называются ошибками первого и второго рода соответственно.

Очевидно, что в любой системе крайне желательно иметь вероятности Рн.д и Рл.о как можно меньшими, однако эта задача оказывается противоречивой. Ясно, что при попытке снизить вероятность несанкционированного доступа увеличивается вероятность отказа в доступе действующему пользователю системы. И наоборот, снижение вероятности отказов в доступе уполномоченным пользователям неизбежно приводит к увеличению вероятности несанкционированного доступа.

Имеется ряд способов преодоления этой проблемы, например, используются более совершенные алгоритмы распознавания лиц, дополнительная подсветка и т.п. Конечно, это дает определенный эффект. Однако принципиального, качественного улучшения характеристик удалось достичь в системах распознавания, использующих несколько независимых физических принципов регистрации изображения лица.

Основная идея снижения вероятностей ошибок идентификации заключается в следующем. На сенсор, использующий тот или иной физический принцип формирования изображения лица, влияют определенные факторы. Так, на изображение, формируемое видеокамерой видимого диапазона (длины волн от 380 до 700 нм), сильно влияют условия освещенности. Если в дополнение к камере видимого диапазона использовать камеры, работающие в ближнем инфракрасном (длина волн от 0,75 до 1,4 мкм) и тепловом (8-15 мкм) диапазонах, то можно достичь независимости от видимых изменений освещенности. При этом очевидно, что ни изображения ближнего ИК-диапазона, ни тепловизионные изображения не содержат информации о цвете. Кроме того, тепловизионные изображения не содержат информации о текстуре поверхности и могут зависеть от температуры окружающей среды. Также видеокамера оптического и ИК-диапазонов не имеет возможности определять, является ли считанное изображение лица плоским или трехмерным. Для получения трехмерного изображения лица можно использовать 3D-сенсор. Расчет глубины и расстояний обеспечивается с помощью алгоритмов, аналогичным используемым в радарах. Благодаря этому формируется 3D-изображение, подобное радиолокационным портретам, за исключением того, что для его построения задействован световой импульс вместо радиочастотного сигнала.

Если использовать в составе одного биометрического терминала два (или более) сенсора с различными физическими принципами действия, то можно в значительной степени уменьшить число ошибок идентификации и обеспечить защиту от использования муляжей. В этом случае на каждый из сенсоров оказывают влияние разные дестабилизирующие факторы. Такие системы называются мультимодальными или мультибиометрическими. Понятия «мультимодальный» и «мультибиометрический» указывают на применение более одной модальности, одного датчика, одного экземпляра и/или алгоритма в той или иной комбинации для принятия определенного решения в отношении биометрической идентификации или аутентификации. Более подробная информация по данной теме приведена в ГОСТР 54411-2018 «Информационные технологии. Биометрия. Мультимодальные и другие мультибиометрические технологии».

Мультибиометрические системы распознавания лиц представляют собой передовые решения в области биометрической идентификации, объединяющие несколько технологий для повышения точности. Современные системы используют комбинацию камер видимого и инфракрасного диапазона, а также 3D-сканирование лица. Мультибиометрические системы эффективно защищают от атак с подменой лица (Face Spoofing), предотвращая несанкционированный доступ. Они позволяют определять реальность присутствия человека перед камерой путем распознавания и блокировки различных типов атак с предъявлением лица, таких как:

• распечатанные фотографии;
• изображения лица на электронном дисплее, включая видеоповторы;
• 3D-маски.

Инфракрасные камеры нечувствительны к электронным дисплеям и способны предотвратить атаки с использованием телефонов и планшетов. При этом 3D-сенсор упрощает различение плоских напечатанных поверхностей и реальных черт лица.

Понятие биометрических персональных данных и основные правила их обработки были закреплены в Федеральном законе от 27.07.2006 № 152 «О персональных данных» (далее — Закон № 152-ФЗ). Согласно части 1 статьи 11 Закона № 152-ФЗ биометрическими данными являются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.

Обработкой персональных данных согласно пункту 3 статьи 3 Закона № 152-ФЗ является любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Исходя из указанных определений, любое изображение лица человека, содержащее его физиологические и биологические особенности, позволяющее установить личность такого человека и используемое для установления личности, может быть отнесено к биометрическим персональным данным.

Наибольшее количество вопросов возникает относительно применения принятого в 2022 г. Федерального закона № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц <…>», далее — Закон № 572-ФЗ. Согласно этому закону, биометрические персональные данные для целей идентификации (или) аутентификации субъектов данных должны храниться в Единой биометрической системе (ЕБС), если они не подпадают под иные установленные законом исключения. В 2022 г. ЕБС получила статус государственной информационной системы, а ее оператором была назначена организация АО «Центр Биометрических Технологий», являющаяся совместным предприятием Правительства РФ, Банка России и ПАО «Ростелеком». Закон № 572-ФЗ сделал взаимодействие и передачу данных в ЕБС обязательным для коммерческих организаций, осуществляющих автоматизированную обработку биометрических данных с целью проведения идентификации или аутентификации.

Прежде всего обратим внимание, что исходя из положений части 2 статьи 1 Закона № 572-ФЗ, действие данного закона не распространяется на отношения, возникающие при осуществлении идентификации и (или) аутентификации в случае, если проверка соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в информационной системе, не осуществляется автоматизированным способом (с помощью средств вычислительной техники), а осуществляется с участием уполномоченного должностного лица. Например, когда при входе на территорию завода сотрудник предъявляет свой пропуск у турникета, а охранник самостоятельно сверяет изображение с лицом сотрудника перед принятием решения о разрешении доступа. Соответственно, не нужно передавать фотографии сотрудников в ЕБС, если они обрабатываются автоматической СКУД, а затем проверяются сотрудником охраны. В законе идет речь об обработке биометрических данных только автоматизированными системами, а не с привлечением сотрудника (охранника). В реальных СКУД зачастую применяется «комбинированная» обработка персональных данных: фото сотрудника занесено в систему и напечатано на карте, прикладываемом к считывателю СКУД, но параллельно этому уполномоченным лицом проводится сверка отраженного в СКУД изображения и принимается итоговое решение о пропуске. Исходя из буквального толкования Законов № 152-ФЗ и № 572-ФЗ, такой случай не подпадает под регулирование и требования о взаимодействии с ЕБС.

Действие Закона № 572 распространяется на виды биометрических персональных данных, соответствующие всем видам или только одному из видов, размещаемых в ЕБС в соответствии с постановлением Правительства Российской Федерации от 1 апреля 2024 г. № 408 «О видах биометрических персональных данных, на которые распространяется действие Федерального закона «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации»: изображение лица человека, полученное с помощью фотовидеоустройств, запись голоса человека, полученная с помощью звукозаписывающих устройств.

На отношения, связанные с обработкой видов биометрических персональных данных, отличных от вышеуказанных, в настоящее время действие Закона № 572 не распространяется.

Исходя из этого можно сделать вывод, что в ЕБС в настоящее время размещается и обрабатывается только два вида биометрических данных: изображение лица человека, полученное с помощью фотовидеоустройств, и запись голоса человека, полученная с помощью звукозаписывающих устройств.

Приказом Минцифры России от 12.05.2023 № 453 (далее – Приказ № 453) установлены в том числе требования к параметрам биометрических персональных данных, размещаемых в единой биометрической системе. (Приказ Минцифры России от 12.05.2023 № 453 «О порядке обработки биометрических персональных данных и векторов единой биометрической системы в единой биометрической системе и в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц»)

В приложении № 5 к Приказу № 453 указано, что к устройствам идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных относятся только фото и видеокамеры видимого диапазона. Для камер, работающих в инфракрасном диапазоне (и тем более, для 3D-сенсоров) эти требования не имеют отношения, т.к. единица измерения освещенности люкс (лк) определена для видимого света с длиной волны 555 нм (это зеленый свет).

Если биометрические персональные данные не соответствуют требованиям, указанным в Приказе № 453, то в таком случае в соответствии с абзацем 2 пункта 17 Порядка обработки, включая сбор, хранение биометрических персональных данных, в том числе требования к параметрам биометрических персональных данных, утвержденного Приказом № 453, такие биометрические персональные данные не размещаются в ЕБС.

Соблюдение требований действующего законодательства РФ является обязательной, но не простой задачей для всех производителей и поставщиков биометрических терминалов распознавания лиц. Одним из возможных вариантов является использование мультибиометрических терминалов VisionPass.

Терминалы VisionPass позволяют считывать изображения лица человека не только с помощью камеры оптического диапазона, но и использовать объемно-пространственные (3D) сканеры и камеры инфракрасного диапазона. Данные устройства позволяют решить ряд проблем, типичных для биометрических систем распознавания лиц. Во-первых, они позволяют исключить влияние подсветки за счет считывания рельефа и осуществления термографии идентифицируемого лица. 3D-сканер строит и распознает не плоский портрет человека, а его объемную модель. Во-вторых, за счет использования нескольких физически независимых принципов считывания лица (изображения в видимом диапазоне, ИК-диапазоне и рельефа лица) достигается возможность одновременно снизить вероятности несанкционированного доступа и отказа в доступе уполномоченному пользователю. В биометрических считывателях, регистрирующих только изображение лица в видимом диапазоне, невозможно добиться одновременного снижения вероятностей этих ошибок. В-третьих, использование нескольких физических принципов считывания лица позволяет исключить возможность использования муляжей и фотографий при доступе на объект, что особенно актуально для объектов с повышенными требованиями безопасности.

Биометрические терминалы VisionPass получают изображения пользователя и обрабатывают их, применяя особую технологию 3D-представления изображения, используя преобразование, отличающееся от приведенного в Законе № 572-ФЗ варианта плоского изображения – фотографии. Таким образом, биометрические терминалы работают не в рамках вариантов фото-видеофиксации изображения лица человека. Терминалы используют изображение в ИК-диапазоне и объемно-пространственный сканер. Модуль из камер и сенсоров строит и распознает не плоский портрет человека, а его объемную модель. В итоге в биометрическом терминале реализован другой физический принцип получения биометрии, не имеющий отношения к указанному в Законе №572-ФЗ. Использование принципов биометрической идентификации, основанных на считывании радужной оболочки глаза, отпечатков пальцев, рельефа лица (с помощью LiDAR) или термографии лица/рук не запрещены законодательством РФ, если соблюдаются правила работы с биометрией и положения ФЗ №152-ФЗ ("О персональных данных").

Биометрические терминалы VisionPass могут работать в режиме, при котором биометрический шаблон пользователя хранится на бесконтактной смарт-карте, принадлежащей этому пользователю. Для идентификации пользователь предъявляет карту, терминал считывает с нее данные биометрического шаблона, а затем выполняет сканирование лица с помощью 3D-сканера и ИК-камеры. Выполняется сравнение предъявленного лица с его «эталонными» данными (полученными с карты), и принимается решение о правомочности владения пользователем картой. В случае успешной проверки на контроллер СКУД пересылается идентификатор (номер) пользователя. Безопасность такого решения обеспечивается шифрованием данных, хранящихся на смарт-карте российского производства. После записи биометрического шаблона на смарт-карту пользователя данный шаблон остается на карте и не передается по информационным сетям.

Для хранения биометрических шаблонов используются бесконтактные смарт-карты российского производства. Биометрические шаблоны пользователей или их фотографии не хранятся ни в каком виде, ни в биометрических терминалах, ни где-либо на сервере. После записи биометрического шаблона на смарт-карту пользователя, шаблон остается на карте и не передается по сети. На карте нет ФИО пользователя или каких-либо данных, позволяющих осуществить установление сведений о лице или такого лица. Вместе с биометрическим шаблоном пользователя хранится только порядковый номер карты (номер пользователя для использования в СКУД).

Резюмируя, можно отметить, что мультибиометрические системы распознавания лиц представляют собой оптимальное решение для задач биометрической идентификации, обеспечивая высокий уровень безопасности при сохранении удобства использования. Их применение на объектах не противоречит законодательству и не выходит за рамки правового поля.