Китай ограничит распознавание лиц. Чем опасна биометрическая идентификация?

Управление киберпространства КНР выпустило проект новых правил, ограничивающих использование технологии распознавания лиц. Ее чрезмерное распространение вызывало опасения китайского регулятора. Оправдана ли эта тревога и как распознавание лиц работает в России - в материале "РГ".

Согласно новым правилам, планируется ограничить использование этой технологии в пользу небиометрических методов идентификации личности.

"Если для достижения аналогичной цели или бизнес-требований существуют технологии небиометрической проверки, следует отдавать предпочтение этим методам", - говорится в проекте. Если распознавание лиц все же используется, предлагаемые правила отдают приоритет использованию национальных систем.

По мнению генерального директора Smart Engines и заведующего отделом ФИЦ "Информатика и управление" РАН Владимира Арлазарова, если раньше к использованию биометрической идентификации относились с огромным энтузиазмом, воспринимали ее как панацею, способную решить все проблемы, то теперь стала очевидна вся опасность использования биометрических технологий: "Китай поступает здесь совершенно правильно, отдавая предпочтения небиометрическим средствам. Таким образом, он делает серьезный шаг на пути обеспечения собственной безопасности и демонстрирует большую приверженность правам и свободам своих граждан, чем большинство так называемых свободных стран".

Как в Китае тестировали распознавание лиц

Компании и организации в Китае уже экспериментируют с использованием распознавания лиц для оплаты в магазинах шаговой доступности. В некоторых многоквартирных домах установлены системы распознавания лиц, позволяющие жильцам входить, просто сканируя их лица. На части турникетах пекинского метро установлены сканеры распознавания лиц, но они пока не включены. На некоторых станциях высокоскоростных поездов можно пройти на вокзал и платформу с помощью биометрии лица.

Где технология может быть ограничена

Аэропорты, гостиницы, вокзалы, банки, стадионы, выставочные залы и другие деловые учреждения не должны использовать распознавание лиц для проверки личности, если только это не требуется по закону, говорится в проекте. При этом компании не должны требовать от людей использования распознавания лиц для получения более качественных услуг.

Системы управления зданиями не смогут использовать распознавание лиц как единственный способ входа и выхода людей, говорится в проекте. Отмечается, что, если люди не согласны с распознаванием их лиц, управляющая компания должна предоставить другие "разумные и удобные" методы.

Также в предлагаемых правилах подчеркивается, что в гостиничных номерах, общественных ванных комнатах, раздевалках и туалетах не должно быть установлено оборудование для сбора изображений. Отмечается важность получения разрешения перед тем, как обрабатывать данные распознавания лиц, в особенности для детей до 14 лет.

В проекте правил также сообщается, что с помощью технологии распознавания лиц запрещается анализировать чувствительную личную информацию, такую как национальность, этническое происхождение и вероисповедание.

Проект открыт для общественного обсуждения до 7 сентября.

"Если происходит утечка данных паспортов, то паспорт по крайней мере можно поменять. А если происходит утечка биометрических данных, то что человеку менять - непонятно. Лицо поменять нельзя, а биометрические данные будут, возможно, скомпрометированы. С учетом наличия технологии Deepfake последствия могут быть чрезвычайно печальными. Потому что если известны ваши биометрические данные, то вас можно подделать с точки зрения любой системы проверки биометрических данных", - считает Арлазаров.

Главный технологический эксперт "Лаборатории Касперского" Александр Гостев отмечает, что сегодня многие страны проявляют высокий интерес к сфере обработки биометрических данных и речь идет не только о шаблонах лица, но и, к примеру, голосе и радужной оболочки глаза. "Аутентификация пользователя тех или иных услуг в результате использования этих технологий упрощается. Однако никто не отменял риски в области кибербезопасности. Возможны и перехват данных, и внесение изменений в процесс аутентификации, и даже подделка биометрии. При этом наличие рисков не должно вести к снижению распространения технологий. Для того чтобы гарантировать сохранность конфиденциальности и целостности биометрических данных, организациям необходимо продумать качественную защиту инфраструктуры, устройств, периметра", - говорит Гостев.

А что в России

В декабре 2022 года в России был принят закон №572-ФЗ об информационной системе идентификации и аутентификации с помощью биометрических персональных данных. Закон регулирует идентификацию и аутентификацию физических лиц с использованием единой биометрической системы (ЕБС). Согласно закону, первичные биометрические образцы хранятся в государственной информационной системе в зашифрованном виде, а коммерческие структуры получают доступ к математическим кодам этих данных - векторам. Также в соответствии с законом запрещено хранение биометрических персональных данных, а разрешена лишь обработка векторов ЕБС. Таким образом, при утечке информации из коммерческого хранилища никто не узнает личные данные пользователей. C 1 июня закон дополнен пунктами, которые дают возможность гражданам отказаться от сбора и размещения биометрических персональных данных в целях проведения идентификации и аутентификации.

Как ранее писала "РГ", в 2024 году пассажиров РЖД могут начать верифицировать по биометрическим данным. Соответствующий эксперимент планируют провести ОАО РЖД, Минцифры и Минтранс. "Использование биометрии и для подтверждения личности при посадке на поезд будет носить исключительно добровольный характер, и отказать человеку в получении услуг без биометрии организации не имеют права", - отмечают в Минцифры.