Лицо или QR-код: как видеонаблюдение перестаёт быть «всевидящим оком» и учится соблюдать закон
Видеонаблюдение сегодня стало тем, чем когда-то были настенные часы: без него офис, склад или подъезд кажутся странно пустыми. Камеры висят на каждом углу, и если раньше они просто фиксировали происходящее, то теперь умеют «думать» — распознавать лица, отслеживать перемещения, даже определять, кто в хорошем настроении, а кто нет.
Но начали вступать в силу отдельные положения закона № 572-ФЗ от 29 декабря 2022, и он внёс холодный душ в пылкий роман бизнеса с искусственным интеллектом. Теперь любое «лицо в кадре» стало не просто пикселями, а биометрическими персональными данными — особо охраняемой категорией информации. И играть с ней можно только по правилам.
Разберёмся, как компаниям и частным пользователям не перейти грань между «умным видеонаблюдением» и «незаконной обработкой биометрии», и почему QR-код вдруг стал законопослушным героем цифрового века.
Когда лицо — это уже биометрия
По задумке 572-ФЗ, биометрическими персональными данными считаются уникальные физиологические признаки человека, позволяющие установить его личность — в первую очередь изображение лица, отпечатки пальцев и голос.
Если система видеонаблюдения просто фиксирует поток видео и никуда не отправляет шаблоны лиц — всё относительно спокойно. Но если алгоритм автоматически определяет, кто именно вошёл в дверь, или сверяет лицо с базой сотрудников — это уже идентификация. А значит, — попадание под действие 572-ФЗ и 152-ФЗ.
Частный бизнес и новая «биометрическая конституция»
Главный посыл закона звучит так: никакой частной биометрической базы больше быть не должно. Все биометрические данные для целей идентификации и аутентификации собираются и хранятся только в государственной Единой биометрической системе (ЕБС).
Это значит, что компания не может просто так развернуть у себя сервер с нейросетью и базой лиц сотрудников — пусть даже исключительно ради пропуска на завод или в бизнес-центр.
Чтобы делать это законно, организация должна:
- Получить письменное согласие каждого человека на обработку биометрических персональных данных. Не «согласие в духе — если вошёл в кадр, значит согласен», а реальный документ с целью, сроком и условиями хранения.
- Не хранить «сырые» изображения лиц и не использовать их для идентификации без аккредитации.
- Использовать ЕБС — то есть направлять данные в государственную систему, где они преобразуются в векторы и дальше используются для сравнения.
- Пройти аккредитацию, если компания хочет стать оператором собственной биометрической системы. Это включает требования к информационной безопасности, шифрованию, персоналу и многому другому.
Для малого и среднего бизнеса это выглядит как «игра на максимальном уровне сложности»: дорого, долго и бюрократично. Поэтому в практике большинство компаний выбирает обходные, но законные пути.
Что можно, а что нельзя
Можно:
- Использовать камеры для обычного видеонаблюдения — фиксации событий, охраны, контроля доступа по карточкам или PIN-коду.
- Проводить видеоаналитику без установления личности: подсчёт людей, определение наличия лица (а не того, чьё оно), трекинг движения объектов, контроль зон.
- Использовать детекторы масок, касок, позы — если данные не сопоставляются с конкретным человеком.
Нельзя:
- Сохранять и использовать шаблоны лиц (векторы, фотографии) для автоматической идентификации без аккредитации или подключения к ЕБС.
- Использовать биометрию в пропускной системе без получения письменного согласия.
- Собирать биометрические данные «для внутреннего использования» — это не освобождает от закона.
Проще говоря, если камера просто фиксирует, что человек зашёл — это безопасно. Если система «понимает», что зашёл именно Иванов — нужен ЕБС или аккредитация.
Пропускная система: лицо против QR-кода
Вопрос, который сегодня задают все инженеры систем безопасности: можно ли заменить распознавание лиц QR-кодами?
Ответ — не просто «можно», а иногда «нужно».
QR-код, как бы банально это ни звучало, не является биометрией. Это просто символ, сгенерированный компьютером. Он не связан с физиологическими признаками человека и не подпадает под действие 572-ФЗ.
Вот как это работает на практике:
- Пользователь получает персональный QR-код — на телефон, пропуск, бейдж или в приложение.
- На входе камера или считыватель распознаёт QR-код, сверяет его с базой (где хранятся обычные персональные данные: ФИО, отдел, срок доступа).
- Система открывает дверь — без участия лица, отпечатков или других биометрических параметров.
Юридически это не идентификация по биометрическим данным, а аутентификация по техническому токену. Да, можно украсть QR-код или переслать скриншот, но технически проблема решается добавлением срока действия, одноразовых кодов или привязки к устройству.
Главное — никаких биометрических рисков и никаких штрафов за «незаконную обработку лица».
Почему QR-код выигрывает
Без бумажной волокиты. Не нужно письменное согласие на биометрию и аккредитация.
Просто внедрить. Любой смартфон становится пропуском. Камеры и алгоритмы остаются теми же, только теперь они читают QR, а не анализируют лицо.
Безопасно для бизнеса. Потенциальные штрафы по 572-ФЗ могут достигать миллионов рублей. Использование QR-код-пропуска снимает риски.
Совместимо с видеоаналитикой. Камеры могут по-прежнему детектировать движение, оставаться частью системы контроля, но не заниматься идентификацией.
Выглядит современно. QR-код-вход — уже стандарт для конференций, коворкингов и даже парковок. Почему бы не сделать то же в офисе?
Просто внедрить. Любой смартфон становится пропуском. Камеры и алгоритмы остаются теми же, только теперь они читают QR, а не анализируют лицо.
Безопасно для бизнеса. Потенциальные штрафы по 572-ФЗ могут достигать миллионов рублей. Использование QR-код-пропуска снимает риски.
Совместимо с видеоаналитикой. Камеры могут по-прежнему детектировать движение, оставаться частью системы контроля, но не заниматься идентификацией.
Выглядит современно. QR-код-вход — уже стандарт для конференций, коворкингов и даже парковок. Почему бы не сделать то же в офисе?
Что остаётся под вопросом
Конечно, QR-код не заменит все функции лицевой аналитики. Он не определит, кто зашёл, если кто-то показал чужой пропуск. Но для обычных задач контроля доступа и учёта сотрудников это — разумный компромисс между удобством и законностью.
А вот сценарии, где важно именно установить личность (например, допуск на режимный объект), требуют подключения к государственной биометрической инфраструктуре.
Практическая схема для бизнеса
Чтобы не попасть под 572-ФЗ и 152-ФЗ, выстраивайте систему видеонаблюдения по следующему алгоритму:
Определите цели.
Если нужно просто видеть, что происходит — используйте обычные камеры и аналитику без идентификации.
Разделите видео и идентификацию.
Пусть камеры пишут видео, а контроль доступа решает QR-коды, карты, PIN-коды или мобильные приложения.
Не храните лица.
Если используете распознавание, избегайте хранения шаблонов, либо обеспечьте аккредитацию и интеграцию с ЕБС.
Обновите политику конфиденциальности.
Пропишите, какие данные обрабатываются, где и зачем. Если есть даже намёк на биометрию — лучше перестраховаться и указать соответствующие статьи.
Проверьте подрядчиков.
Многие «готовые решения» для распознавания лиц могут быть не сертифицированы. Ответственность всё равно ляжет на вас, а не на поставщика софта.
Обеспечьте безопасность хранения данных.
Даже если биометрии нет, общие персональные данные сотрудников подлежат защите.
Если нужно просто видеть, что происходит — используйте обычные камеры и аналитику без идентификации.
Разделите видео и идентификацию.
Пусть камеры пишут видео, а контроль доступа решает QR-коды, карты, PIN-коды или мобильные приложения.
Не храните лица.
Если используете распознавание, избегайте хранения шаблонов, либо обеспечьте аккредитацию и интеграцию с ЕБС.
Обновите политику конфиденциальности.
Пропишите, какие данные обрабатываются, где и зачем. Если есть даже намёк на биометрию — лучше перестраховаться и указать соответствующие статьи.
Проверьте подрядчиков.
Многие «готовые решения» для распознавания лиц могут быть не сертифицированы. Ответственность всё равно ляжет на вас, а не на поставщика софта.
Обеспечьте безопасность хранения данных.
Даже если биометрии нет, общие персональные данные сотрудников подлежат защите.
Как понять, что вы «в зоне риска»
Вот короткий чек-лист:
Итог
572-ФЗ не запрещает нейросети и видеоаналитику, он заставляет нас отличать умное наблюдение от биометрической идентификации. Это как разница между тем, чтобы «заметить человека» и «узнать, что это Петров из отдела B».
Пока государство строит ЕБС и аккредитует коммерческие биометрические системы, бизнесу логичнее временно «свернуть лицевой банкет» и перейти на QR-коды, PIN-ы и RFID-карты. Законно, технологично и без головной боли.
Коммерческим организациям можно использовать видеонаблюдение с распознаванием лиц только в рамках ЕБС или с письменного согласия и аккредитации. В остальных случаях — лучше заменить лицо на QR-код. Он не улыбается, не стареет и не жалуется в Роскомнадзор.