Основным актом, регулирующим обработку персональных данных в России, является Федеральный закон от 27.07.2006 No 152-ФЗ «О персональных данных» (далее – Закон о персональных данных). Персональные данные определяются законом как любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу. Фотография лица или изображение человека, позволяющее его опознать, относится к персональным данным, поскольку по нему можно идентифицировать конкретное лицо.

Закон уделяет особое внимание биометрическим персональным данным. Под ними понимаются сведения, которые характеризуют физиологические и биологические особенности человека и на основании которых можно установить его личность (например, изображение лица, параметры голоса, отпечатки пальцев). Если такие сведения используются оператором для установления личности субъекта, они признаются биометрическими персональными данными.

Таким образом, технология распознавания лиц, которая анализирует уникальные черты лица для идентификации человека, затрагивает биометрические персональные данные. Даже если имя человека неизвестно, сама возможность отличить одного посетителя от другого посредством анализа изображения лица означает обработку персональных данных идентифицируемого лица. Законодатель и Роскомнадзор уточняют, что само по себе фотоизображение без автоматизированной идентификации может не считаться биометрическим, однако при использовании алгоритмов распознавания для установления личности такие данные приобретают статус биометрических.

Закон о персональных данных устанавливает строгие требования к сбору, хранению и использованию биометрических данных граждан. Ключевая норма – часть 1 статьи 11 Закона No 152-ФЗ, согласно которой биометрические персональные данные можно обрабатывать только при наличии согласия субъекта в письменной форме. Иначе говоря, каждый гражданин должен дать явное информированное согласие именно на обработку его биометрических данных. Обычного согласия на обработку персональных данных недостаточно – оно должно быть оформлено письменно (в бумажном виде или электронно с электронной подписью) и содержать все предусмотренные законом сведения (оператор, цели, перечень данных, действия с ними, срок действия согласия и т.д. – требования изложены в ч.4 ст.9 Закона No 152-ФЗ). Судебная практика показывает, что согласие “на фотографирование” или общее согласие на обработку фото не равносильно согласию на биометрию – такое согласие признаётся недействительным, если не отражает именно обработку биометрических данных. Поэтому для законного внедрения системы распознавания лиц организация должна заранее получить у каждого затрагиваемого лица отдельное письменное согласие на биометрическую идентификацию.

Исключительные случаи без согласия. Закон содержит ограниченный перечень ситуаций, когда биометрические данные могут обрабатываться без согласия (ч.2 ст.11). Эти исключения касаются преимущественно государственных функций: например, правосудие, исполнение судебных решений, обязательная дактилоскопическая или геномная регистрация, оборона и безопасность, оперативно-розыскные мероприятия, противодействие терроризму и т.п.. В частном секторе (ритейл, частные компании) такие основания, как правило, неприменимы. То есть ни ведение маркетингового учёта посетителей, ни внутренняя безопасность коммерческой организации не поименованы законом в качестве основания для обработки биометрии без согласия. Следовательно, в рассматриваемых контекстах (магазины, частные предприятия) обязательно нужно опираться на добровольное согласие гражданина.

Добровольность согласия. Важно, что получение биометрии не может быть обязательным требованием со стороны компании. Закон прямо запрещает делать предоставление биометрических данных условием обслуживания или доступа к услугам, кроме случаев, прямо установленных законом. Согласно ч.3 ст.11 Закона No 152-ФЗ, оператор (например, магазин или работодатель) не вправе отказать человеку в обслуживании или ущемлять его права в случае отказа предоставить биометрические данные или дать согласие на их обработку. Проще говоря, посетитель магазина или сотрудник фирмы имеет законное право сказать «нет» распознаванию лица, и организация должна либо предоставить альтернативу, либо воздержаться от применения технологии к этому лицу. Этот принцип добровольности особенно релевантен в трудовых отношениях, где работодатель находится в позиции власти - даже если работник подписывает согласие, оно не должно быть вынужденным под угрозой увольнения. (Практические аспекты такого отказа рассмотрены ниже в контексте трудового права.)

Обязанности оператора при обработке. Если субъект дал согласие и биометрические данные собираются, оператор обязан соблюдать всеобщие требования закона к обработке персональных данных. Во-первых, данные должны собираться только для конкретных заранее определённых и законных целей, указанных в согласии (принцип целевого использования, ст.5 Закона). Нельзя использовать систему распознавания лиц для целей, не уведомленных субъекту. Во-вторых, должны применяться необходимые меры защиты данных (ст.19 Закона). Биометрические данные – одни из самых чувствительных, поэтому их конфиденциальность и безопасность должны обеспечиваться особенно тщательно: шифрование хранимых изображений или шаблонов лиц, разграничение доступа к ним, журналы доступа, регулярные проверки уязвимостей. Роскомнадзор и ФСТЭК установили в подзаконных актах требования к защите информационных систем персональных данных; как правило, система распознавания лиц будет относиться к информационной системе с высоким уровнем угроз, и оператор обязан внедрить средства защиты соответствующего класса.

Отдельно следует отметить требование локализации персональных данных граждан РФ. Согласно ч.5 ст.18 Закона No 152-ФЗ, при сборе персональных данных россиян оператор обязан обеспечивать хранение и обновление таких данных в базах данных, находящихся на территории Российской Федерации. Если компания планирует отправлять изображения или шаблоны лиц на зарубежные серверы (например, облачный сервис распознавания), требуется соблюдать дополнительные условия трансграничной передачи (ст.12 Закона) – в частности, проверить, включена ли страна в перечень обеспечивающих адекватную защиту или получить отдельное разрешение от субъекта на зарубежную передачу.

Уведомление регулятора. Российское законодательство обязывает большинство операторов персональных данных уведомлять Роскомнадзор о начале обработки (ст.22 Закона No 152-ФЗ). Есть исключения (например, обработка только персональных данных сотрудников для кадровых целей освобождена от обязательного уведомления, если данные не распространяются и не предоставляются третьим лицам). Однако использование биометрической системы в магазине (для клиентов) почти наверняка требует подачи уведомления в Роскомнадзор, поскольку не подпадает под упрощённые случаи. Несоблюдение этой обязанности может повлечь административный штраф, хотя сам по себе факт неуведомления не легитимирует незаконность обработки, но является нарушением процедурных требований.

Практика применения показывает, что надзорные органы и суды строго подходят к вопросам биометрии. Роскомнадзор – уполномоченный орган по защите прав субъектов персональных данных – в своих разъяснениях неоднократно подчёркивал, что изображения лиц и видеозаписи при использовании технологий распознавания являются биометрическими данными и требуют соблюдения ст.11 Закона. В одном из писем Управления Роскомнадзора по СЗФО отмечалось, что само по себе фото физического лица не содержит биометрической информации в чистом виде (не отражает уникальных параметров вроде радужки глаза или папиллярных узоров). Однако это разъяснение не означает разрешения свободно собирать фотографии без согласия. Роскомнадзор делает акцент: как только фотоизображение используется для идентификации личности с помощью компьютерного алгоритма, такая обработка подпадает под ограничения, установленные для биометрических данных. Иными словами, обычная система видеонаблюдения без функции распознавания – одно дело, а интеграция нейросети, выделяющей и узнающей лица, – совсем другое с точки зрения закона.

Судебная практика уже сталкивалась с оценкой законности систем распознавания лиц. Примечательный пример – споры вокруг введения распознавания лиц в некоторых образовательных учреждениях (для прохода студентов по лицу или учета посещаемости). В ряде таких дел суд признал нарушение Закона No 152-ФЗ, поскольку школы собирали биометрию несовершеннолетних без надлежащих согласий родителей. Судьи указали, что сопоставление изображения лица ученика с цифровым шаблоном с целью идентификации – это именно обработка биометрических персональных данных, требующая соблюдения ст.11. Предоставленные школой согласия родителей «на обработку фотографий» были признаны недостаточными и не соответствующими требованиям закона к письменному согласию на биометрию. В частности, они не содержали полного объёма информации, предусмотренной пп.6–8 ч.4 ст.9 (об объёме обрабатываемых биометрических данных, конкретной цели, сроке хранения и т.д.), и родители не были прямо проинформированы, что фотография будет использована для системы автоматического распознавания. Эти решения подтвердили: внедряя биометрические технологии, организации должны получать конкретное и информированное согласие, иначе обработка будет незаконной.

Другой резонансный случай – дело гражданской активистки Алены Поповой против использования системы распознавания лиц в Москве (через городскую сеть камер видеонаблюдения). В 2020 г. она оспаривала законность обработки ее изображений городскими властями. Московский городской суд в итоге отказал в удовлетворении иска, приняв во внимание особый статус этой системы. Суд указал, что Единый центр хранения и обработки данных (ЕЦХД) фиксирует видеоизображения людей в общественных местах, но не производит идентификацию каждого гражданина по ФИО – персональные данные (имя, паспортные данные и т.п.) в систему не загружены. Камеры снимают поток граждан в местах общего пользования, и сама по себе фиксация образа лица прохожего без соотнесения с конкретными анкетными данными не считается сбором биометрических персональных данных, если отсутствует процедура установления личности. Кроме того, суд сослался на ст.152.1 Гражданского кодекса РФ, которая позволяет использовать изображение гражданина без его согласия, если съемка ведётся в местах, открытых для свободного посещения, и изображение не является главным объектом использования (например, человек попал в кадр на улице). Фактически, суд занял позицию, что городские камеры решают задачи общественной безопасности и не идентифицируют каждого, поэтому требования Закона No 152-ФЗ о согласии не нарушены.

Эта судебная позиция вызвала дискуссии, но важна для разграничения частных и публичных интересов. Государство вправе использовать видеонаблюдение в публичных местах в целях безопасности, опираясь на нормы ГК РФ и специальные законы (о полиции, об оперативно- розыскной деятельности и пр.). Однако частные компании не могут ссылаться на такие общие основания. Для них действует общее правило: либо получите согласие, либо воздержитесь от распознавания лиц. В коммерческих целях (маркетинг, пропускной режим и т.п.) механизм «молчаливого согласия» неприменим – необходимо явно урегулировать обработку персональных данных договором или согласием субъекта.

Резюмируя, Роскомнадзор занимает строгую позицию: использование технологий распознавания лиц частными структурами должно строго соответствовать закону о персональных данных. Регулятор выпустил подробные рекомендации по содержанию политик обработки персональных данных и согласий, и регулярно проводит проверки. Нарушение требований (отсутствие согласий, недостаточная защита данных и т.д.) грозит значительными штрафами по КоАП РФ (ст.13.11 КоАП предусматривает штрафы до 300–500 тыс. руб. для организаций за грубые нарушения порядка обработки персональных данных, а при повторных нарушениях – до 1 млн руб. и приостановление деятельности). Особенно пристальное внимание уделяется сейчас сфере биометрии, поскольку общество и государство признают высокие риски неправомерного вмешательства в частную жизнь через такие технологии.

В конце 2022 года законодатель существенно изменил правила игры, приняв Федеральный закон от 29.12.2022 No 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных...» (вступил в силу с января 2023 года, с переходными периодами). Этот закон направлен на создание Единой биометрической системы (ЕБС) и централизованного порядка работы с биометрией граждан. Для частных компаний он вводит принципиально новые ограничения на самостоятельное использование технологий распознавания лиц.

Согласно ст.15 Закона No 572-ФЗ, запрещается обработка (включая сбор и хранение) биометрических персональных данных вне Единой биометрической системы, если эти данные используются в целях идентификации или аутентификации личности. Проще говоря, все организации, которые собирают и используют биометрию лица или голоса для опознания людей (будь то клиенты или сотрудники), обязаны подключиться к государственной платформе ЕБС и не имеют права создавать собственные автономные базы с биометрическими шаблонами. Компаниям предоставляется доступ к ЕБС только при получении аккредитации в установленном порядке; они работают не с самими изображениями, а с так называемыми векторами ЕБС – обезличенными шаблонами, которые хранятся централизованно. Таким образом, закон устанавливает единые процедуры: организация, желающая распознавать лица, должна отправлять биометрические данные в ЕБС (с согласия гражданина) и получать от системы результат идентификации, вместо того чтобы держать фотографии/сканы локально.

Важно подчеркнуть, что требование это распространяется именно на идентификацию по лицу и голосу. В Законе No 572-ФЗ под биометрическими параметрами понимается комбинация лица и голоса человека. Другие биометрические показатели (например, отпечатки пальцев, рисунок радужки) прямо под действие этого закона не подпадают. Поэтому, например, системы контроля доступа по отпечатку пальца пока могут использоваться организациями автономно (хотя и остаются в сфере 152-ФЗ, требующего согласия). Но распознавание лиц теперь поставлено под жёсткий контроль государства.

Закон No 572-ФЗ ввёл административную ответственность за несоблюдение нового порядка. С 4 декабря 2024 года вступила в силу ст.13.11.3 КоАП РФ, устанавливающая штрафы за нарушение обязанности по размещению биометрических данных в ЕБС для организаций, которые обязаны это делать. Штраф для юридических лиц может достигать 700 тыс. – 1 млн рублей за уклонение от передачи биометрии в единую систему. Таким образом, у компаний появился мощный стимул либо отказаться от локальных систем распознавания лиц, либо перейти на работу через государственную инфраструктуру.

Отдельно разъяснено, что не все случаи видеосъемки подпадают под 572-ФЗ. Если камера используется лишь для наблюдения и изображение анализируется человеком (например, охранником) без применения алгоритмов распознавания, то такие данные не нужно загружать в ЕБС. Закон ориентирован именно на автоматизированную идентификацию/аутентификацию. Поэтому обычное видеонаблюдение в магазине или офисе можно вести, не подключаясь к ЕБС (но при этом нужно соблюдать 152-ФЗ: камеры не должны нарушать права граждан, должны быть предупредительные таблички о ведении наблюдения, и нельзя без оснований передавать записи третьим лицам). Однако как только система начинает сравнивать лица с шаблонами, определяя кто есть кто, – такая обработка должна происходить через ЕБС или вообще не происходить.

Подводя итог по новому закону: самостоятельное применение технологий распознавания лиц в частных компаниях ныне существенно ограничено. Государство централизует биометрические данные граждан, аргументируя это повышением защищённости и контролем. Для бизнеса это означает, что проекты по внедрению face ID необходимо соотнести с требованиями 572-ФЗ: либо пройти аккредитацию и использовать ЕБС (что на практике доступно пока ограниченному кругу организаций, в основном банкам и крупным компаниям), либо отказаться от технологии распознавания лиц, либо переключиться на альтернативные методы идентификации. Неисполнение новых требований чревато как прямыми штрафами, так и рисками привлечения внимания Роскомнадзора с проверками и предписаниями.

Использовать технологии распознавания лиц в РФ в частных компаниях можно только при условии строгого соблюдения законодательства о персональных данных. На практике это означает: получение письменных согласий (ст.11 152-ФЗ), соблюдение принципов законности, минимизации и безопасности обработки (ст.5, ст.19 152-ФЗ), выполнение обязанностей оператора (ст.18, 22 152-ФЗ), а также учёт трудового законодательства в отношении работников. Конкретные нормы – например, обязанность хранения данных на серверах в РФ, запрет отказывать в услугах при отказе от биометрии - устанавливают рамки, в которых должна действовать организация.

Разъяснения Роскомнадзора и судебные решения требуют воспринимать эти рамки всерьёз: любое отклонение (неполучение согласия, сокрытие информации, сверхнужный сбор данных) может повлечь признание обработки неправомерной. Новая же политика государства в виде Единой биометрической системы стремится централизовать и контролировать эту сферу еще жёстче, фактически не оставляя пространства для самостоятельных инициатив бизнеса без участия государства.

Современное законодательство РФ строго ограничивает использование биометрических данных — особенно технологий распознавания лиц. Частные компании, не подключенные к Единой биометрической системе (ЕБС), не вправе обрабатывать изображения лиц с целью идентификации. Однако это не означает отказ от автоматизации контроля — напротив, существуют законные и экономически эффективные альтернативы.

Решение — использование нейросетевой видеоаналитики CVC, не требующей идентификации конкретного человека. В фокусе — действия и роли, а не личности. Система определяет, был ли на рабочем месте сотрудник с нужной функцией, реагировал ли персонал на остановку линии, проводилась ли инспекция — не по лицу, а по элементам униформы, цветовым меткам или закреплённым визуальным символам.

Такой подход исключает обработку биометрии и, следовательно, не требует письменного согласия, подключения к ЕБС и соблюдения дополнительных ограничений закона №572-ФЗ. Более того, система CVC полностью соответствует требованиям закона №152-ФЗ — хранит и обрабатывает данные внутри IT-контура заказчика, не передаёт их за границу, не нарушает права сотрудников или клиентов.

Итог: бизнес сохраняет контроль, повышает прозрачность процессов и избегает штрафов — легально, просто и эффективно.