Распознавание лиц и Face ID на сайте: правовые риски в 2026

Распознавание лиц на сайте: что это и где реально применяется

Технологии распознавания лиц стремительно удешевились за последние годы, и сегодня их можно встретить не только в системах видеонаблюдения крупных ритейлеров и банков, но и на обычных коммерческих сайтах. Типовые сценарии:

  • Верификация клиента при открытии счёта онлайн (KYC через сравнение лица и фото в паспорте)
  • Биометрический вход в личный кабинет через веб-камеру браузера
  • Подтверждение личности сдающего онлайн-экзамен (прокторинг)
  • «Контроль возраста» при покупке товаров 18+ (определение возраста по лицу)
  • Эмоциональная аналитика (определение реакции на рекламу)
  • Распознавание VIP-клиентов при входе в офлайн-точку (с синхронизацией через сайт)

Каждый из этих сценариев в российской правовой системе 2026 года – зона повышенного риска. Статья 11 ФЗ-152 требует письменного согласия на обработку биометрических ПДн, а для массовых коммерческих сценариев – подключения к Единой биометрической системе (ЕБС). Без этих элементов распознавание лиц превращается в инкубатор штрафов.

Крупная розничная сеть в 2025 году получила предписание на 600 000 ₽ за использование системы распознавания лиц на входе в магазины: камеры собирали биометрию всех посетителей, без уведомления и согласия. Аргумент компании «мы используем только для внутренней аналитики» не сработал – сам факт сбора и сопоставления образцов квалифицирован как обработка биометрии.

Что такое Face ID и почему он не «классическое распознавание лиц»

Apple Face ID (и аналогичный сервис на Android – BiometricPrompt) работает принципиально иначе, чем серверное распознавание лиц:

  1. Биометрический образец создаётся и хранится в аппаратном модуле устройства (Secure Enclave на iPhone, TEE на Android)
  2. Образец никогда не покидает устройство и недоступен ни приложению, ни операционной системе (только специальному чипу)
  3. Приложение получает только булев результат: «пользователь подтверждён» или «нет»
  4. Оператор сайта не становится обработчиком биометрии в терминологии ФЗ-152

Это юридически важное различие. Приложение банка, использующее Face ID для авторизации, не обязано получать специальное согласие на биометрию – пользователь обрабатывает свои данные сам. Достаточно упомянуть в политике, что для удобства входа доступна системная аутентификация устройства.

WebAuthn и биометрия в браузере

Аналогичный принцип работает в WebAuthn (стандарт веб-аутентификации) и Passkeys:

  • Сайт может предложить пользователю аутентификацию через браузерный API
  • Браузер использует встроенные средства устройства (Touch ID, Windows Hello, Android Biometric)
  • Биометрия обрабатывается только на устройстве, сайт получает криптографический токен
  • По ФЗ-152 сайт не является обработчиком биометрии

Это сейчас один из самых безопасных и юридически чистых способов реализации «биометрической авторизации» на сайте: функциональность есть, а регуляторных рисков нет.

Серверное распознавание лиц: правовой режим

Когда сайт отправляет изображение лица на свой сервер (или сервер подрядчика) для обработки – это полноценная обработка биометрии со всеми обязанностями. Ключевые требования:

  1. Отдельное письменное согласие субъекта на обработку биометрии (статья 11 ФЗ-152)
  2. Цель обработки должна быть чёткой и ограниченной
  3. Технические меры защиты – уровень УЗ-1 (максимальный по ФСТЭК)
  4. Для массовой коммерческой идентификации граждан РФ – подключение к ЕБС
  5. Уведомление в РКН с пометкой «обработка биометрии»
  6. Для частного оператора биометрии – уведомление Минцифры
  7. Локализация на серверах в РФ

Видеонаблюдение с распознаванием лиц

Отдельная большая тема – офлайн-видеонаблюдение с автоматическим распознаванием лиц. На сайт она попадает опосредованно: бизнес использует сайт для уведомления о видеонаблюдении, согласий посетителей, передачи записей. Правовые вопросы:

  • Простое видеонаблюдение (без распознавания лиц) – допустимо при уведомлении посетителей (таблички «Ведётся видеонаблюдение»)
  • Видеонаблюдение с распознаванием лиц для целей безопасности (антикража, розыск) – допустимо для бизнеса в рамках закона о частной охранной деятельности, но с ограничениями
  • Видеонаблюдение с распознаванием для коммерческих целей (персонализация обслуживания, «узнавание VIP») – требует индивидуального согласия каждого субъекта
  • Сопоставление с публичными базами (Интерпол, розыск МВД) – допустимо только уполномоченным субъектам (правоохранительные органы)

Правовые трудности торговых сетей

В 2024-2025 годах многочисленные торговые сети попали под проверки за использование систем распознавания лиц. Типичные выявленные нарушения:

  1. Отсутствие уведомления посетителей о применении именно распознавания лиц (обычные таблички «видеонаблюдение» – недостаточны)
  2. Сохранение биометрических образцов всех посетителей, включая тех, кто ничего не нарушил
  3. Передача биометрии в третьи системы (например, охранным компаниям для ведения общего «чёрного списка»)
  4. Отсутствие правового режима для «чёрного списка нарушителей» – запрет посещения на основании биометрии без судебного решения

Определение возраста по лицу

Сайты, продающие алкоголь, табак, товары с возрастными ограничениями, иногда внедряют «определение возраста по лицу через веб-камеру»: пользователь смотрит в камеру, система оценивает возраст, открывает доступ к разделу. С точки зрения ФЗ-152:

  • Это обработка биометрии, даже если образец не сохраняется
  • Требуется согласие на обработку биометрии (статья 11)
  • Если цель – проверка совершеннолетия, необходимо указать, как именно используется результат
  • Альтернатива – классическая верификация через паспортные данные или Госуслуги, которая не является биометрической

Большинство коммерческих решений определения возраста по лицу не соответствуют ФЗ-152. Если такой функционал планируется, следует выбирать российского подрядчика, специализирующегося на биометрии, и получать уведомление Минцифры.

Эмоциональная аналитика

«Умные камеры», определяющие эмоции посетителей сайта или офлайн-магазина, стали маркетинговым инструментом. Формально эмоциональная аналитика не всегда является биометрией: если система не идентифицирует конкретного человека, а лишь оценивает агрегированную эмоциональную реакцию группы, это может быть обезличенной обработкой.

Но на практике:

  1. Большинство систем эмоциональной аналитики сохраняют промежуточные данные, позволяющие идентификацию – значит это биометрия
  2. Если эмоциональная аналитика связана с поведенческим профилированием (сопоставляется с покупками конкретного клиента) – это обработка биометрии
  3. Если данные действительно агрегированные и не связаны с конкретной личностью – это не ПДн, ФЗ-152 не применяется

Вывод: применять эмоциональную аналитику допустимо только при полной гарантии обезличивания или с согласием на обработку биометрии. Серая зона здесь чаще всего заканчивается штрафом.

Прокторинг и экзамены

Сайты онлайн-обучения часто используют распознавание лиц для прокторинга:

  • Верификация личности перед стартом экзамена (сравнение с фото в профиле)
  • Непрерывное наблюдение в ходе экзамена
  • Распознавание попыток подмены экзаменующегося

Правильная реализация прокторинга

  1. Отдельное письменное согласие студента на прокторинг с обработкой биометрии
  2. Ограничение использования – только для конкретного экзамена, с удалением образцов после
  3. Вариант 1: разовая верификация на старте, без непрерывной записи (меньший объём биометрии)
  4. Вариант 2: запись экзамена с распознаванием, но с удалением записи после выставления оценки
  5. Зашифрованное хранение всех биометрических образцов
  6. Запрет передачи записей третьим лицам (кроме комиссии апелляции при спорах)
  7. Российский провайдер прокторинга (Экзамус, Examus, ProctorEdu – российские игроки)

Biometric-анализ голоса в чат-ботах

Голосовые чат-боты (позвонил клиент – робот ответил, пропустил к оператору) обрабатывают голос. Голос как биометрия возникает в нескольких случаях:

  • Система узнаёт клиента по голосу для автоматической авторизации – прямая биометрия, требует согласия
  • Система записывает звонок для анализа качества – это обычные ПДн, не биометрия (если не идентифицируется)
  • Анализ эмоций и тональности голоса для маркетинга – зона риска, скорее биометрия
  • Обучение нейросети на голосовых записях – требует согласия или тщательной анонимизации

Политика и уведомление для сайта с распознаванием лиц

Если ваш сайт действительно использует распознавание лиц, политика конфиденциальности должна содержать:

  1. Чёткое описание того, где и как применяется распознавание
  2. Цели (идентификация, верификация, прокторинг, безопасность)
  3. Категория используемой биометрии (лицо, голос, иное)
  4. Способ хранения образцов (шифрование, срок)
  5. Возможность отзыва согласия и удаления биометрии
  6. Альтернативные методы идентификации, доступные без биометрии
  7. Уровень технической защиты (УЗ-1, сертификаты СЗИ)
  8. Если используется ЕБС – явное указание на это
  9. Если используется подрядчик – его название и роль (оператор по поручению)

Типовые ошибки в реализации распознавания лиц

Ошибка 1. «Мы используем готовый SDK»

Многие разработчики подключают SDK распознавания лиц (FaceSDK, Microsoft Azure Face API, Amazon Rekognition) без проверки правового режима. Microsoft Azure и Amazon – зарубежные провайдеры, передача биометрии за границу – прямое нарушение статьи 12 ФЗ-152. Российские SDK: VisionLabs, NtechLab – приемлемые альтернативы.

Ошибка 2. «Храним только хеш лица»

Распространённое заблуждение: «мы не храним фото, только математический хеш». С точки зрения ФЗ-152 биометрия в виде шаблона – всё равно биометрия. Правовой режим тот же.

Ошибка 3. «Это не биометрия, это просто фото»

Фото в профиле не обязательно биометрия. Но если фото используется системой автоматической идентификации – это биометрия. Граница определяется целью обработки, а не форматом данных.

Ошибка 4. Отсутствие альтернативы

«Хочешь войти в кабинет – только через лицо». Это нарушение пункта 4 части 2 статьи 11 ФЗ-152: оператор обязан предоставить альтернативный способ идентификации для клиентов, отказавшихся от биометрии. Исключение – только случаи, когда альтернатива технически невозможна и указаны в законе.

Риски утечки биометрических данных

Биометрия – это необратимый класс данных. Пароль можно изменить, биометрию – нет. Утечка одного лица или голосового образца ставит субъекта под пожизненный риск. Поэтому штрафы за утечку биометрии в ФЗ-420 2024 года выделены в отдельную категорию – от 15 млн рублей за первую утечку, независимо от количества субъектов.

Технические меры, снижающие риск утечки

  • Раздельное хранение образцов и ключей шифрования
  • Hardware Security Module (HSM) для ключей
  • Минимизация срока хранения – удаление после использования
  • Изоляция системы биометрии от общей инфраструктуры
  • Журнал всех операций с биометрией + аномалия-детекция
  • Регулярный пентест и аудит кода
  • Отсутствие возможности массовой выгрузки биометрических образцов даже для администраторов

Чек-лист: распознавание лиц на сайте в 2026 году

  1. Определено, где именно применяется распознавание лиц и почему оно необходимо
  2. Рассмотрены альтернативы (пароль + 2FA, паспортная верификация, WebAuthn) – выбран минимально необходимый уровень биометрии
  3. Если применяется – подключение к ЕБС (для идентификации граждан РФ в коммерческих целях)
  4. Если используется собственная обработка – подано уведомление в Минцифры
  5. Отдельное согласие на обработку биометрии – с полным раскрытием цели, срока, условий отзыва
  6. Предоставлена альтернатива (вход без биометрии) – не менее удобная для пользователя
  7. Уведомление в РКН содержит пометку «обработка биометрии»
  8. Уровень защищённости ИСПДн – УЗ-1
  9. Используются сертифицированные СЗИ и СКЗИ
  10. Российский вендор SDK распознавания лиц (VisionLabs, NtechLab)
  11. Серверная инфраструктура – в РФ
  12. Шифрование биометрических образцов с HSM
  13. Журналирование операций, система аномалий
  14. Пентест перед запуском и раз в год
  15. Регламент реагирования на инцидент с уведомлением РКН в 24 часа

Практическая рекомендация для владельцев сайтов

В 2026 году оптимальная стратегия для большинства сайтов – избегать серверного распознавания лиц. Если биометрическая аутентификация действительно нужна, используйте WebAuthn или Face ID/Touch ID на стороне пользователя. Для идентификации клиентов (KYC) – через ЕБС и Госуслуги. Собственную обработку биометрии оставьте только тем случаям, где она критически необходима и экономически обоснована.

Практика показывает: пытаясь сэкономить на ЕБС или на работе через подтверждённого вендора, бизнес нередко приходит к многомиллионным штрафам за первую же утечку или проверку. Экономия не окупается.