Об оплате проезда «лицом» в московском метро (система Face Pay)

 С 15 октября на всех линиях и станциях московского метро заработал сервис Face Pay. Он позволит пассажирам оплачивать проезд при помощи системы распознавания лица, нужно лишь посмотреть в камеру на турникете, - сообщил официальный сайт Мэра Москвы.

Антон Нехаенко на портале Banki.ru достаточно подробно разобрал тему внедрения системы оплаты проезда «лицом» Face Pay и возможные последствия ее использования,  в комментировании которой я также поучаствовал, но посчитал нужным более детально разъяснить свою позицию в личном блоге, поскольку проблема касается буквально каждого из нас и связана с большим количеством, мягко скажем, «недоговоренностей», возникших при внедрении системы.

О целях внедрения системы Face Pay. В ответах на вопросы о системе начальник службы платёжных сервисов Московского метрополитена, на первое место ставит транспортную безопасность, поиск преступников, а не удобство прохода для пассажиров. Именно для этой цели установили первые камеры, которые теперь приспособили для оплаты, что несколько странно в такой ситуации.

О том, какие данные о пассажире собирает система и об их защите. На сайте mos.ru, в анонсе новой системы оплаты, указывается, что для ее использования нужно привязать банковскую карту со средствами для оплаты проезда и карту «Тройка» к сервису через приложение «Метро Москвы», но скромно умалчивается о необходимости передать в систему через это приложение еще и изображение лица владельца карты. Стоит обратить внимание на то, что нет ни слова о том, как защищается передаваемая приложением информация, в частности, о средстве платежа и биометрических данных, где и как она будет храниться, кто является в отношении нее оператором персональных данных и несет ответственность за возможные инциденты с персональными данными. Ничего не сообщается о величине допустимых ошибок первого и второго рода (отказать в проходе владельцу или пропустить похожее на него лицо).

Особенно удивляет такая информация в комментариях Департамента транспорта: «Система не способна «связать» фотографию человека с его личностью — у неё просто нет данных для этого: в личном кабинете пассажир привязывает только банковскую карту, номер телефона и «Тройку»»‎. Но ведь банковская карта привязана к конкретному владельцу и к его лицу при его распознавании, иначе и быть не может.

О роли турникета метро в обработке персональных данных. В Департаменте транспорта Москвы рассказали о том, что «вся информация будет надежно зашифрована, камера на турникете считывает биометрический ключ, а не изображение лица или другие персональные данные». Веб-камера не может считывать «биометрический ключ», она может только зафиксировать изображение лица, которое затем надо преобразовать в «биометрический ключ», точнее – в математический шаблон, который и будет сверяться в базе данных с другими шаблонами. Опровержение этого алгоритма содержится в той же публикации: «Когда человек подходит к турникету, камера на нём делает несколько снимков. Лучший кадр по освещённости, положению головы, открытости лица и многим другим параметрам переводится в биометрический вектор, сравнивается с точками в базе». Сложно представить, что такое преобразование выполняется на каждом турникете станций метро, а не передается для обработки на серверы.

Относительно шифрования, используемого для защиты персональных данных. Утверждается, что шаблоны изображений лиц на сервере, которые есть «в каждом вестибюле», зашифрованы. Тогда вопрос: для распознавания по каждому пассажиру шаблоны расшифровываются, или шифруется шаблон и сравнивается с зашифрованными же образами? Как происходит обновление данных на каждом из серверов, какие используются протоколы и алгоритмы шифрования? Все эти вопросы покрыты мраком и даже не обсуждаются. Я уже не говорю про межсетевые экраны, системы обнаружения компьютерных атак и обо всем остальном, что должно быть в любой информационной системе персональных данных и, в соответствии со статьей 18.1 Закона о персональных данных, указываться в политике оператора, размещаемой для неограниченного доступа.

О создании маршрута передвижения пассажира и необходимой для этого информации. Департамент транспорта сообщает: «Посмотреть историю своих маршрутов может только сам пассажир — в личном кабинете, пароль от которого знает только он (при этом вход защищён двухфакторной аутентификацией)». Это значит, что лицо пассажира фиксируется и при выходе со станции, иначе будет невозможно отследить маршрут. Вопрос – зачем и как это связано с оплатой «по лицу» и не является ли распознавание лица пассажира на выходе из метро избыточным для целей оплаты проезда в метро? И, конечно же, ко всему, что лежит в базах данных о передвижениях пассажиров, включая личные кабинеты, имеют доступ администраторы системы.

О технических сбоях системы и «перепутанных» пассажирах. Сообщается, что, если вдруг произойдёт технический сбой и одного пассажира перепутают с другим, он может написать об этом чат-боту Александре, и в течение трёх дней деньги за поездку вернутся. И как тогда будут разрешаться конфликты? Желающих отказаться от поездки и сэкономить найдется достаточно много и всем вернут деньги?

Face Pay и не «привязанные» к ней пассажиры. Ну и вишенка на торте: «Face Pay распознаёт только тех, кто зарегистрировался в системе — на остальных пассажиров камера не реагирует: ей просто не с чем сравнивать» Что значит – не реагирует? Умная камера заранее знает, кого снимать, а кого нет? И по базе данных не прогоняются шаблоны лица всех проходящих через турникет? Этого просто не может быть, такая система работать не сможет.

О согласии пассажиров на обработку их биометрических персональных данных. Мне не удалось найти в мобильном приложении интерфейса для использования Face Pay, текст согласия на обработку биометрических персональных данных (а оно, согласно Закону о персональных данных, должно быть дано в письменной форме и соответствовать по содержанию требованиям законодательства). Текст согласия есть на сайте метрополитена, но закону он совсем не соответствует, оно анонимное, без паспортных данных, адресов субъекта и оператора. Целью обработки биометрических данных, помимо оплаты проезда, указано получение «иных услуг», каких – не сообщается (что тоже не законно), а вот про поиск преступников и обработке с этой целью данных пассажиров в согласии нет ни слова. Согласие дается ГУП «Московский метрополитен», а также организациям, подведомственным Департаменту транспорта и развития дорожно-транспортной инфраструктуры города Москвы и иным лицам, обеспечивающим достижение целей обработки изображения, указанным в пункте 4 настоящего согласия.

Что это за организации, какие у них цели, и что они делают с персональными данными пассажиров? Если исполняют получение обработки, полученное от метрополитена, то эти лица должны быть поименованы с указанием их адреса – это требования Закона о персональных данных. Если решают иные задачи, не связанные с поручением, хотелось бы знать, какие именно, иначе согласие не отвечает требованиям конкретности, информированности и сознательности.

Указано, что согласие действует со дня его выдачи, в том числе в форме электронного документа, подписанного простой электронной подписью, но о том, как его подписать электронной подписью и какой, не сообщается.

Между тем, штраф за согласие, оформленное с нарушением установленных законом требований к составу сведений, включаемых в согласие субъекта в письменной форме, влечет административную ответственность в размере до 150 тысяч рублей по каждому случаю нарушения. Но ГУП «Московский метрополитен», похоже, это совсем не пугает. Интересно, почему? Действительная цель создания системы оправдывает средства?

О скорости оплаты проезда «лицом». Большие сомнения вызывает и декларируемая высокая скорость оплаты проезда. Заммэра Максим Ликсутов оптимистично оценивает количество пользователей системы в 10-15 процентов всех пользующихся метро пассажиров. Сам метрополитен оценивал ежедневный пассажиропоток в 2019 году более, чем в 7 миллионов человек. Предположим, что пассажир в среднем совершает в день две поездки, это значит в базе должно быть не менее 350 тысяч шаблонов изображений лица. Прогнать шаблон фото через 350 тысяч образов быстрее, чем считать данные с «Тройки» и записать на нее? Не верится...  

В целом, предлагаемая система пока гораздо больше похожа на систему контроля, а не оплаты. Так может об этом честно заявить и сделать ее соответствующей закону?

И самое главное - что должен делать пассажир, биометрические данные которого скомпрометированы? Отсутствие во всех подобных внедряемых системах биометрической идентификации и аутентификации, начиная с Единой биометрической системы, сведений о том, что должен делать пользователь, биометрические данные которого скомпрометированы и как ему после этого жить дальше, а также отсутствие процедур разрешения конфликтов при оспаривании транзакций делают риски использования таких систем вообще неприемлемыми.

Использование данной системы для оплаты проезда в метрополитене я считаю крайне рискованным для граждан и ни в коем случае не рекомендую ею пользоваться.