Виды биометрии: лицо, голос, отпечаток — чем отличаются

Что вообще относится к биометрическим персональным данным

Слово «биометрия» звучит строго и технически, но за ним стоит простая идея: характеристики тела или поведения человека, которые достаточно уникальны, чтобы по ним его узнать. Российское законодательство закрепило это в статье 11 Федерального закона 152-ФЗ: биометрическими персональными данными считаются сведения, которые характеризуют физиологические и биологические особенности человека и на основании которых можно установить его личность.

Важная деталь: закон говорит не о конкретных технологиях, а о функции. Это означает, что новые типы биометрии, появившиеся после принятия закона, тоже подпадают под его действие — если они позволяют идентифицировать человека. Судебная практика и разъяснения Роскомнадзора за последние годы это подтвердили.

Перечислю основные виды биометрических данных, которые сегодня используются на практике:

• Физиологические статические: отпечаток пальца, рисунок вен ладони, геометрия лица, радужка глаза, сетчатка, геометрия ладони, форма ушной раковины, ДНК.
• Физиологические динамические: голос, почерк (динамика написания), паттерн печати на клавиатуре, походка.
• Поведенческие: манера использования мыши, ритм нажатий клавиш, паттерн скроллинга на смартфоне.

На практике в российских системах чаще всего встречаются четыре типа: лицо, голос, отпечаток пальца и радужка глаза. Именно их я разберу подробно.

Отдельно стоит упомянуть фотографию в паспорте или на пропуске. Сама по себе фотография становится биометрическими персональными данными только тогда, когда используется именно для автоматической идентификации личности. Если вы храните фото сотрудника в карточке просто для того, чтобы охранник сверил лицо глазами, — это персональные данные, но не биометрические в смысле 152-ФЗ. Как только вы подключаете систему распознавания лиц, статус данных меняется.

Распознавание лица: как это работает и где применяется

Биометрия лица — сегодня самый распространённый тип в потребительских приложениях. Разблокировка смартфона, посадка в самолёт по лицу в аэропорту, оплата покупок — всё это распознавание лица. Объясню, как это устроено на уровне, достаточном для понимания рисков.

Камера снимает изображение лица. Алгоритм находит на нём ключевые точки — как правило, несколько десятков или сотен: уголки глаз, кончик носа, линия рта, контур скул. Затем по этим точкам строится математическая модель — числовой вектор, обычно от 128 до нескольких тысяч чисел. Именно этот вектор и хранится в базе данных, а не само изображение (хотя исходное изображение тоже может сохраняться отдельно — это зависит от политики оператора).

При идентификации система снимает новое изображение, строит новый вектор и сравнивает его с хранящимися. Если расстояние между векторами меньше порогового значения — человек считается опознанным.

Современные алгоритмы на качественных данных достигают точности свыше 99,9%. Но это лабораторные условия. На практике на точность влияют освещение, угол съёмки, борода, очки, маска, возраст (лицо меняется), качество камеры. Это надо учитывать при выборе системы.

Что важно с правовой и технической точки зрения: даже если вы не храните фотографию, а только вектор — это всё равно биометрические персональные данные. Вектор не позволяет восстановить исходное изображение с высокой точностью, но позволяет идентифицировать человека. Значит, требования 152-ФЗ и постановлений правительства применяются в полной мере.

Голосовая биометрия: идентификация по речи

Голосовая биометрия — второй по распространённости тип в российских бизнес-системах. Банки используют её для идентификации клиентов в колл-центрах, операторы связи — при смене тарифа по звонку, государственные сервисы — в ряде сценариев дистанционного обслуживания.

Принцип схож с распознаванием лица: система анализирует не текст, который говорит человек, а акустические характеристики голоса — тембр, частотный профиль, ритм речи, характеристики произношения отдельных звуков. По этим характеристикам строится голосовой слепок — числовой вектор.

Голосовая биометрия бывает двух типов. Текстозависимая — человек произносит конкретную кодовую фразу. Текстонезависимая — система опознаёт человека по произвольному фрагменту речи достаточной длины. Первый тип надёжнее при хорошем качестве записи, второй — удобнее, потому что не требует от человека запоминать фразу и не раздражает его повторным произнесением.

Слабое место голосовой биометрии — уязвимость к записи. Злоумышленник теоретически может записать голос жертвы и воспроизвести его системе. Современные системы решают эту проблему через технологии liveness detection: просят произнести случайную фразу, анализируют «живость» речи, иногда используют дополнительные акустические маркеры. Тем не менее синтез голоса на основе ИИ (deepfake audio) остаётся актуальной угрозой, которую серьёзные системы должны учитывать.

Отдельно скажу о так называемых пассивных голосовых системах. Ряд банков внедрил технологию, при которой голос клиента анализируется в фоне во время обычного звонка в колл-центр — без явной просьбы «произнесите кодовое слово». С точки зрения 152-ФЗ это не освобождает от обязанности получить согласие: обработка биометрии начинается с момента, когда система строит идентификационный вектор, а не с момента, когда клиент произносит кодовую фразу.

Отпечаток пальца: надёжная классика

Дактилоскопия — старейший биометрический метод, которому больше ста лет. Узор папиллярных линий на подушечке пальца уникален для каждого человека и не меняется в течение жизни (если нет физического повреждения кожи).

Современные сканеры отпечатков работают по нескольким технологиям: оптические (камера снимает поверхность пальца), ёмкостные (измеряют электрическую ёмкость между гребнями и впадинами узора), ультразвуковые (строят объёмную карту). Ультразвуковые — самые точные и трудновоспроизводимые, ёмкостные — самые распространённые в смартфонах.

Как и в других случаях, система хранит не изображение отпечатка, а математическую модель — набор координат характерных точек (минуций) и описания их ориентации. По этой модели нельзя однозначно восстановить исходный отпечаток, но можно надёжно идентифицировать человека.

Где применяется отпечаток пальца:

• Разблокировка смартфонов и ноутбуков — самое массовое применение.
• Контроль доступа на предприятиях, в офисах, в медицинских учреждениях.
• Учёт рабочего времени (турникеты с дактилоскопическим считывателем).
• Идентификация при получении пособий и государственных услуг в ряде стран.
• Криминалистика и правоохранительная деятельность.
• Банковские операции в офисах (верификация клиента).

Ограничения: отпечаток пальца — контактная биометрия. Человек должен физически прикоснуться к считывателю. Это неудобно для дистанционных сервисов и создаёт гигиенические проблемы в местах массового применения. Кроме того, узор может быть повреждён порезами, химическими ожогами, кожными заболеваниями — у примерно 2–5% людей считыватели работают ненадёжно из-за особенностей кожи.

Радужка и сетчатка глаза: точность ценой удобства

Биометрия глаза включает два принципиально разных метода: сканирование радужной оболочки и сканирование сетчатки. Их часто путают, но это разные технологии с разными характеристиками.

Радужная оболочка — видимая цветная часть глаза вокруг зрачка. Её рисунок формируется случайно в процессе эмбрионального развития и уникален даже у однояйцевых близнецов. Сканирование происходит бесконтактно: камера с инфракрасной подсветкой снимает глаз с расстояния от нескольких сантиметров до полуметра, алгоритм выделяет текстуру радужки и строит её математическую модель — «иридокод».

Сетчатка — внутренняя поверхность глазного яблока с уникальным узором кровеносных сосудов. Для её сканирования нужен специальный прибор, к которому человек прикладывает глаз. Технология чрезвычайно точная, но крайне неудобная — сегодня её применяют только в особо режимных учреждениях: военных объектах, ядерных станциях, хранилищах высокой степени защиты.

Сканирование радужки применяется шире:

• Пограничный контроль в аэропортах ряда стран (ОАЭ, Нидерланды, Индия).
• Доступ в защищённые зоны на предприятиях.
• Идентификация в банковских офисах в некоторых странах.
• Смартфоны (Samsung Galaxy серий S и Note имели такую функцию, хотя сейчас производители чаще используют 3D-модель лица).

Достоинство радужки — исключительно низкий процент ложных совпадений при условии правильного захвата изображения. Недостаток — системе нужен чёткий снимок глаза, что требует определённого уровня освещения и кооперации со стороны человека. Очки, контактные линзы и катаракта могут ухудшить качество считывания.

Векторная (математическая) модель: почему она тоже является биометрией

Это один из самых частых вопросов, которые мне задают клиенты: «Мы не храним фотографии и записи — только математические данные. Это всё ещё биометрия?»

Ответ: да, это биометрия. И вот почему.

Определение в 152-ФЗ основано на функции данных — возможности идентифицировать человека, — а не на их форме. Числовой вектор, извлечённый из изображения лица или записи голоса, сохраняет идентификационную функцию исходных данных. Это подтверждают разъяснения Роскомнадзора и сложившаяся практика проверок.

Математическая модель строится следующим образом. Алгоритм (как правило, нейронная сеть) принимает на вход изображение или сигнал и выдаёт вектор — упорядоченный набор чисел с плавающей точкой, обычно от 128 до 2048 элементов. Этот вектор кодирует характеристики биометрического образца в сжатом виде. По вектору нельзя «восстановить» точное исходное изображение — но можно сравнить два вектора и с высокой вероятностью определить, принадлежат ли они одному человеку.

Некоторые системы добавляют к вектору дополнительный уровень защиты — так называемые cancelable biometrics или биометрические хэши. Идея в том, что при компрометации можно «отозвать» шаблон и зарегистрировать новый (например, использовать другой палец или другой алгоритм преобразования). Это полезная практика, но она не меняет правового статуса данных — шаблон по-прежнему является биометрическими персональными данными и подлежит соответствующей защите.

Практическое следствие: если вы разрабатываете или внедряете систему, которая строит и хранит биометрические шаблоны, вы обязаны соблюдать требования к обработке биометрических персональных данных вне зависимости от того, в каком формате хранятся данные. Подробнее о требованиях закона я писал в статье биометрия и 152-ФЗ.

Где применяется каждый тип биометрии

Разные типы биометрии решают разные задачи. Выбор зависит от требований к точности, удобству, условиям использования и стоимости оборудования. Ниже — сводная таблица основных применений.

В российской практике наибольшее распространение получили три сценария. Первый — СКУД (системы контроля и управления доступом): офисы и предприятия, где отпечаток пальца или лицо заменяет пропуск. Второй — банковская идентификация: голос в колл-центрах и лицо при дистанционном открытии счёта или в банкоматах. Третий — Единая биометрическая система (ЕБС) под управлением «Ростелекома», куда граждане могут сдать слепок лица и голоса для получения государственных и финансовых услуг дистанционно. Об оплате по биометрии я рассказывал отдельно.

Надёжность и ошибки: FAR, FRR и что они значат на практике

Любая биометрическая система иногда ошибается. Чтобы говорить об этом осмысленно, нужно понять два типа ошибок.

FAR (False Acceptance Rate) — ложный пропуск. Система пропустила чужого — приняла человека за того, кем он не является. Это критическая ошибка с точки зрения безопасности.

FRR (False Rejection Rate) — ложный отказ. Система отказала своему — не опознала зарегистрированного пользователя. Это ошибка с точки зрения удобства и доступности сервиса.

Между FAR и FRR существует фундаментальный компромисс. Если снизить порог чувствительности (сделать систему более строгой), FAR уменьшится, а FRR вырастет. Если поднять порог — наоборот. Производители и интеграторы выбирают рабочую точку в зависимости от задачи.

Для банковской идентификации важнее низкий FAR: цена ошибки — финансовые потери или мошенничество. Для турникета в офисе важнее низкий FRR: сотрудник, которого система не узнаёт по утрам, — это операционная проблема.

Порядок величин для современных систем (приблизительно, зависит от конкретной технологии и условий):

• Отпечаток пальца на хорошем ёмкостном сканере: FAR около 0,001%, FRR около 0,1%.
• Распознавание лица в контролируемых условиях: FAR менее 0,01%, FRR около 0,5–1%.
• Радужка глаза: FAR около 0,0001%, FRR около 0,5%.
• Голосовая биометрия: показатели сильнее зависят от качества канала связи, обычно FAR 0,5–2%, FRR 1–5%.

Важная оговорка: эти цифры — ориентировочные. В реальных условиях показатели существенно хуже лабораторных. Толпа в аэропорту, телефонный шум, плохой свет, болезнь — всё это влияет. Любой поставщик биометрического ПО должен предоставить данные о точности именно для вашего сценария, а не лабораторные показатели с сайта.

Ещё один практический момент — проблема демографической предвзятости. Ряд исследований показал, что некоторые алгоритмы распознавания лиц точнее работают с определёнными демографическими группами и хуже — с другими. Это не «злой умысел», а следствие дисбаланса обучающих данных. При внедрении систем, затрагивающих широкий круг людей, этот фактор нужно проверять отдельно.

Как биометрия защищается и хранится

Биометрические данные — особая категория с точки зрения безопасности. Пароль можно сменить; биометрию — нет. Если утечёт база отпечатков пальцев или лицевых векторов, пострадавшие не смогут «перерегистрировать» свои лица или пальцы. Поэтому требования к защите здесь строже, чем для обычных персональных данных.

Основные меры защиты, которые применяют добросовестные операторы:

1. Шифрование при хранении. Биометрические шаблоны хранятся в зашифрованном виде с использованием современных алгоритмов (AES-256 и аналоги). Ключи шифрования хранятся отдельно от данных.
2. Шифрование при передаче. Любая передача биометрических данных — только по защищённым каналам (TLS с взаимной аутентификацией или аналоги).
3. Разделение данных и шаблонов. Исходное изображение (если оно вообще нужно) и математический шаблон хранятся раздельно, в разных системах с разными правами доступа.
4. Минимизация хранения. Исходное биометрическое изображение после построения шаблона должно быть уничтожено — если нет отдельного основания его хранить.
5. Контроль доступа. К биометрическим базам имеет доступ минимально необходимый круг сотрудников, доступ логируется.
6. Liveness detection (защита от подделки). Системы проверяют, что перед ними живой человек, а не фотография, маска или запись голоса.
7. Локальное хранение там, где возможно. Для ряда сценариев (смартфоны, токены) шаблон хранится на устройстве пользователя в защищённом чипе, а не на сервере оператора.

С правовой точки зрения оператор обязан обеспечить уровень защиты информационной системы персональных данных не ниже УЗ-3 (а при определённых условиях — УЗ-2) в соответствии с постановлением правительства 1119. Для государственных информационных систем с биометрией требования ещё выше.

Отдельно стоит сказать о Единой биометрической системе. По закону 572-ФЗ «О единой биометрической системе» биометрические данные, собранные банками и государственными органами для ЕБС, должны обрабатываться исключительно в ней. Частные биометрические системы и ЕБС — это разные правовые режимы, хотя общие нормы 152-ФЗ применяются к обоим.

Частые вопросы

Является ли биометрией фото в пропуске сотрудника? Сама по себе фотография для визуальной идентификации охранником — это персональные данные, но не биометрические в смысле 152-ФЗ. Биометрией она становится только тогда, когда используется в автоматической системе распознавания лиц для идентификации или верификации личности.

Нужно ли согласие на биометрию, если система работает в «пассивном» режиме без ведома человека? Да, нужно. 152-ФЗ требует согласия на обработку биометрических персональных данных вне зависимости от того, знает ли субъект о том, что его идентифицируют. Скрытая идентификация без согласия — нарушение закона.

Что произойдёт, если утечёт база биометрических шаблонов? Последствия серьёзнее, чем при утечке паролей, потому что биометрию нельзя сменить. Украденные шаблоны могут использоваться для атак на другие системы, где зарегистрированы те же люди. Именно поэтому операторы обязаны уведомлять Роскомнадзор об инцидентах безопасности и применять повышенные меры защиты.

Может ли работодатель обязать сотрудника сдать биометрию для системы контроля доступа? Трудовой кодекс не запрещает использование биометрии в рамках трудовых отношений, однако работник должен дать письменное согласие. Если сотрудник отказывается, работодатель обязан обеспечить ему альтернативный способ контроля доступа — принудить к биометрии нельзя.

Можно ли использовать биометрию несовершеннолетних? Можно, но требования строже. Согласие даёт законный представитель (родитель или опекун). Ряд систем (в частности, в образовании) ограничен в возможности обрабатывать биометрию детей — нужно внимательно изучать отраслевые нормы.

Чем ЕБС отличается от корпоративной биометрической системы? ЕБС — государственная централизованная система, регулируемая 572-ФЗ, оператором является «Ростелеком» под контролем ЦБ и Минцифры. Корпоративная система — частная, регулируется общим 152-ФЗ и отраслевыми актами. Данные из ЕБС и корпоративных систем не пересекаются — это принципиально разные контуры.

Выводы

Биометрия — не одна технология, а целый класс методов идентификации с разными характеристиками, областями применения и уязвимостями. Выбор конкретного типа всегда должен быть обоснован задачей: нет универсального «лучшего» решения.

Распознавание лица — наиболее удобно для дистанционного и массового применения, но чувствительно к условиям съёмки и несёт риски демографической предвзятости. Голосовая биометрия — идеальна для телефонных каналов, но уязвима к синтетическому голосу. Отпечаток пальца — зрелая и надёжная технология для физического доступа, но требует контакта. Радужка глаза — исключительно точна, но дорога и неудобна в масштабировании.

Общее правило для всех типов: математическая модель, построенная на основе биометрического образца, является биометрическими персональными данными и подлежит той же правовой защите, что и исходное изображение или запись. Это нужно учитывать при проектировании архитектуры любой системы, работающей с биометрией.

Если вы внедряете биометрическую систему в бизнесе или государственной организации — начните с правового аудита: проверьте наличие согласий, уведомления РКН, соответствие уровня защиты требованиям. Технические вопросы решаемы; правовые пробелы обходятся дороже.