Технология Liveness: требования нормативно-правовых актов. Обзор и практика применения

С распространением цифровых услуг и ростом рисков киберпреступности, государства по всему миру начали вводить нормативно-правовые требования к системам удалённой идентификации личности. Одним из ключевых элементов таких систем стала технология Liveness Detection — проверка "витальности", то есть подтверждение, что перед камерой действительно живой человек, а не фото, видео или дипфейк.

Эта статья рассматривает основные регуляторные требования к Liveness в России и за рубежом, а также то, как они влияют на разработку и внедрение биометрических решений.

Что такое Liveness Detection?

Liveness Detection (детекция признаков жизни) — это процесс, с помощью которого система проверяет, что перед камерой действительно живой человек, а не статичное изображение, видеозапись, маска, 3D-модель или синтетическое видео.
Методы делятся на:

• Active liveness: пользователь должен выполнить указания (например, повернуть голову, моргнуть, произнести фразу).

• Passive liveness: система сама анализирует изображение/видео без участия пользователя.

Нормативные требования в России

В России использование биометрии регулируется рядом законов и подзаконных актов, ключевые из которых:

1. Федеральный закон № 152-ФЗ "О персональных данных"

• Биометрия признаётся специальной категорией персональных данных, требующей согласия.

• Требует соблюдения мер по защите данных и предотвращения несанкционированного доступа.

2. Постановление Правительства РФ № 1119

Устанавливает требования к обеспечению безопасности персональных данных, включая биометрические.

3. Постановление Правительства РФ № 996 от 03.07.2023

• Устанавливает правила сбора и обработки биометрических данных в Единой биометрической системе (ЕБС).

• Прямо указывает на необходимость проверки витальности при идентификации.

Цитата из документа:
«Идентификация проводится с использованием средств, обеспечивающих проверку наличия пользователя перед камерой в реальном времени».

4. ГОСТ Р 59708-2021

• Государственный стандарт на биометрическую идентификацию по лицу.

• В разделе требований к защите от атак указывается необходимость защиты от presentation attacks — именно то, против чего и направлена проверка liveness.

Международные стандарты и практики

1. ISO/IEC 30107-3 (Presentation Attack Detection - PAD)

• Международный стандарт, определяющий методы противодействия атакующим попыткам подделки.

• Liveness Detection является частью PAD.

• Классифицирует типы атак (фото, видео, маски, синтетика) и способы их распознавания.

2. Регламент eIDAS 2.0 (ЕС)

• В версии 2.0 особое внимание уделяется удалённой идентификации, включая liveness.

• Требует, чтобы удостоверяющие сервисы гарантировали, что личность подтверждена в реальном времени и без возможности подделки.

3. NIST (Национальный институт стандартов и технологий, США)

• Публикует методики оценки biometric liveness systems.

• Указывает, что PAD и liveness должны быть обязательным элементом всех онлайн-систем верификации.

Ответственность за нарушения

Нарушение требований к обработке биометрических данных и отсутствию проверки витальности может повлечь:

• штрафы по 152-ФЗ;

• отказ в аккредитации к ЕБС;

• уголовную или административную ответственность при утечке данных или мошенничестве;

• отзыв лицензий у удостоверяющих центров или банков.

С каждым годом требования к технологиям идентификации становятся строже. Liveness Detection — обязательный компонент любой современной биометрической системы. Для компаний, работающих в сфере удалённой идентификации, важно:

• соответствовать как национальным, так и международным стандартам;

• применять эффективные методы защиты от фейков;

• регулярно тестировать и обновлять свои решения.

Таким образом, соответствие нормативным требованиям — это не только вопрос правовой безопасности, но и ключ к доверию пользователей и партнёров.