Еще вчера распознавание лиц считалось технологической роскошью — модной функцией, которая делает офис «умным», а проходную «безконтактной». Сегодня — это уже поле правового минного поля.
С конца 2022 года биометрия перестала быть «серой зоной»: государство установило чёткие границы того, кто, как и где может использовать данные о внешности человека. Федеральный закон № 572-ФЗ создал новую реальность, где частные компании, банки, разработчики видеонаблюдения и интеграторы вынуждены адаптировать свои системы к строгим требованиям.
Что регулирует закон № 572-ФЗ
Федеральный закон от 29 декабря 2022 г. № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных» стал основным документом, регулирующим сферу биометрии в России.
Он определил:
как собирать и хранить биометрические данные;
кто может быть оператором этих данных;
через какие платформы допускается идентификация по лицу, голосу и другим признакам.
Главный принцип прост: вся биометрия должна проходить через Единую биометрическую систему (ЕБС), управляемую государством.
Этапы вступления закона в силу
🟢 С 29 декабря 2022 года
Закон был опубликован и вступил в силу в общих положениях.
Фактически с этого момента в законодательстве появился отдельный режим работы с биометрией.
Что можно:
Использовать локальные системы распознавания лиц, если данные не покидают устройство или внутреннюю сеть.
Применять аналитику, не связанную с личной идентификацией: детекцию движения, подсчёт людей, QR-пропуска.
Что нельзя:
Собирать или хранить биометрические шаблоны в сторонних облаках (особенно зарубежных).
Проводить идентификацию без письменного согласия и законных оснований.
На этом этапе частные системы видеонаблюдения могли работать как раньше, если не занимались именно «идентификацией личности».
🟡 С 1 июня 2023 года
Начали действовать ключевые статьи — система регулирования стала реально применяться.
Основные изменения:
Идентификация по биометрии разрешена только через ЕБС.
Для частных организаций введён запрет на самостоятельное хранение и обработку биометрии без включения в реестр операторов.
Установлены требования к защите данных и согласиям граждан.
Роскомнадзор получил полномочия на надзор и контроль.
Что можно:
Детекция лиц без идентификации (например, подсчёт уникальных посетителей).
Использование QR-кодов, RFID-меток, пин-кодов и других небиметрических средств для доступа.
Локальное сравнение лица для технических нужд, если это не сопровождается созданием базы биометрии.
Что нельзя:
Проводить идентификацию сотрудников или посетителей по лицу, если данные хранятся в частной базе.
Использовать «умные камеры» с функцией идентификации личности без ЕБС.
🟠 С 1 января 2024 года
Заработали положения о взаимодействии с государственными системами.
Что изменилось:
Организации могут подключаться к ЕБС для идентификации клиентов.
Биометрия официально разрешена только при работе через государственную платформу.
Уточнён механизм обмена данными между ведомствами и организациями.
Вывод:
Коммерческая компания не может создавать собственную «мини-ЕБС».
Она может лишь обращаться к ней как к сервису, получая ответ «личность подтверждена / не подтверждена».
🔵 С 1 января 2027 года
Последний этап — вступление технических и организационных требований.
Что произойдет:
Введение сертификации операторов биометрических данных.
Только компании, внесённые в реестр, смогут собирать и обрабатывать биометрию.
Установлены обязательные требования к шифрованию, инфраструктуре и хранению.
Практически это означает:
Распознавание лиц в частных видеосистемах будет разрешено только в составе сертифицированных решений, прошедших аудит.
Независимые VMS-платформы смогут выполнять биометрию только локально, без передачи данных.
Альтернатива биометрии: QR-коды и токены
Закон не ограничивает использование небиометрических способов аутентификации, поэтому QR-пропуска, RFID-карты и цифровые токены остаются легальной заменой.
Именно такой подход выбирают многие корпоративные системы видеонаблюдения: доступ по QR-коду, сопоставленный с внутренней базой, — удобно, быстро и безопасно.
Итог: что важно знать бизнесу
До 2027 года разрешено локальное распознавание лиц без передачи данных и без центрального хранилища.
Любое использование биометрии для официальной идентификации (вход в офис, доступ к услугам, авторизация) требует подключения к ЕБС.
После 2027 года работать с биометрией смогут только сертифицированные операторы.
Самый безопасный вариант для бизнеса — локальная аналитика без биометрии: детекция, QR-коды, статистика и контроль событий.
Фактически закон № 572-ФЗ вводит «новую гигиену данных»:
Локальная обработка, шифрование, отказ от облачных баз лиц и переход на QR-, ID- и токен-системы доступа.
Системы могут выполнять всю аналитику — детекцию движения, распознавание объектов, подсчёт людей, даже локальное сравнение лиц — не обрабатывая биометрию как персональные данные.
Такое «умное видеонаблюдение без биометрии» становится компромиссом между безопасностью и законом.