Домофон с распознаванием лиц: как работает, безопасно ли по 152-ФЗ и можно ли добавить к существующему

Жилец подходит к подъезду, дверь открывается сама — ни ключа, ни телефона. Красиво. А через полгода тот же жилец читает новость, что у оператора умных домофонов «утекла» база и в ней оказались фотографии лиц с геопривязкой к адресу. И вот уже общий чат дома спорит: отключать или оставить.

Это и есть главный нюанс домофона с распознаванием лиц. Технология одна, а реализаций две — и они отличаются не удобством, а тем, где физически лежит ваше лицо и кто может до него дотянуться. Разберёмся по-инженерному, без рекламной ваты.

Как вообще работает распознавание на двери

Под капотом — та же цепочка, что в любой системе биометрии. Камера на панели видит человека, нейросеть находит лицо, переводит его в набор чисел — вектор-эмбеддинг. Этот вектор сравнивается с сохранёнными в базе. Совпало с допустимой погрешностью — реле щёлкает, замок открывается.

Важная деталь, которую путают почти все: в нормальной системе хранится не фотография, а математический вектор. По вектору нельзя восстановить узнаваемое лицо обратно — это необратимое преобразование. Если хотите детали, мы разбирали весь путь в статье как работает распознавание лиц. Но есть оговорка: многие облачные домофоны хранят и сам кадр тоже — «для истории посещений». И вот тут начинается самое интересное.

Две архитектуры: облако оператора против on-premise

Это водораздел. От него зависит всё остальное — закон, риски, кто хозяин данных.

Облачный «умный домофон» оператора. Панель на подъезде — по сути тонкий клиент. Видео и кадры лиц уходят на серверы провайдера (Ростелеком, МТС, операторские экосистемы умного дома). Распознавание считается там же, в дата-центре. Плюсы честные: ничего не надо обслуживать, приложение, история, доставка-курьер по лицу. Минус один, но крупный: база лиц всего дома лежит у внешней компании, и вы не контролируете ни её защиту, ни срок хранения, ни то, кому она передаётся по запросу.

On-premise (локальная обработка). Камера и вычислитель стоят на самом объекте — в подъезде, в серверном шкафу ТСЖ, в щитовой. Лица превращаются в векторы и сравниваются здесь же, никуда не уходят. Наружу — максимум событие «открыто такому-то жильцу в 19:42». Это дороже на старте и требует, чтобы кто-то отвечал за железо. Зато биометрия не покидает периметр дома.

Грубо говоря: облако — это удобство в обмен на доверие чужому дата-центру. On-premise — это контроль в обмен на ответственность.

Где живёт биометрия и почему это вопрос №1

Лицо — особая категория персональных данных. Биометрические ПД. Их нельзя обрабатывать «по умолчанию», как номер квартиры.

В облачной модели вы должны понимать неприятную вещь: фотографии и векторы лиц жильцов хранятся на стороне оператора, часто с привязкой к конкретной двери и времени. Это идеальная цель для утечки — не абстрактные мейлы, а «кто, где живёт и как выглядит». Утечки операторских баз в России уже случались, и биометрия в них — худший из возможных активов, потому что пароль можно сменить, а лицо нет.

В on-premise модели утечь нечему в том же масштабе: на сервере дома лежат векторы, по которым лицо не восстановить, и они не выгружены в общий облачный пул на миллионы абонентов. Риск локализован одним объектом.

Согласие жильцов: 152-ФЗ и ФЗ-572

Тут многие УК и застройщики наступают на грабли. Поставить распознавание лиц на общий вход — это обработка биометрии всех, кто им пользуется. А значит:

• Нужно письменное согласие каждого субъекта на обработку биометрических ПД (152-ФЗ). Не общим собранием «за всех», а персонально. Кто не дал согласие — для него должен остаться обычный способ: ключ, код, карта, кнопка консьержа. Нельзя превращать биометрию в единственный путь домой.
• Альтернатива обязательна. Право человека не сдавать лицо — не блажь, а норма. Дверь должна открываться и без распознавания.
• ФЗ-572 и ЕБС. Закон развёл два мира. Единая биометрическая система (ЕБС, ГИС) — это государственная история про госуслуги и банки, со своим строгим регламентом. А локальная база лиц домофона — это «коммерческая» биометрия под 152-ФЗ, и в ЕБС она не передаётся (и не должна без отдельных оснований). Путаница «раз биометрия — значит ЕБС» неверна. Подробнее про этот раздел — в материале биометрия и ЕБС.

Практический вывод: чем меньше данных уходит наружу, тем проще закрыть требования закона. On-premise упрощает согласия и снижает зону ответственности УК — данных за периметром просто нет.

Точность: ночь, маска, близнецы и шапка

Маркетинг обещает «99%». В подъезде цифра живёт иначе, и честно про это надо знать заранее.

• Ночь и контровой свет. Лампа над дверью, темнота за спиной, фонарь телефона в кадре — классика провалов. Спасает ИК-подсветка на панели: камера видит лицо в инфракрасном диапазоне независимо от освещения. Без неё ночная точность падает заметно.
• Маска и шарф. Закрыта нижняя половина лица — современные модели работают по верхней (глаза, брови, контур), но точность ниже, чем по полному лицу. Это нормально для бытового сценария «свой/чужой», но не стоит ждать чудес зимой в капюшоне.
• Ракурс и высота. Панель на стандартной высоте, ребёнок или высокий человек — разные углы. Хорошая система прощает ±15–20 градусов, дальше начинает мазать.
• Похожие лица, близнецы. Редкий, но реальный случай ложного допуска. Поэтому распознавание на двери разумно держать как удобство, а не как единственный рубеж: в связке с кодом или картой для критичных дверей.

Отдельная тема — спуфинг: поднести фото жильца к камере. Защита — liveness-детекция (проверка «живости»): анализ глубины, микродвижений, ИК-отклика кожи. Без неё умный домофон обманывается распечаткой. С ней — заметно труднее.

Можно ли добавить распознавание к существующему домофону

Самый частый вопрос — и хорошая новость: да, чаще всего не надо менять домофон целиком.

Если в подъезде или на входе уже стоит IP-камера (или её ставят при модернизации), распознавание добавляется поверх — отдельным модулем, который берёт поток с камеры по RTSP/ONVIF, считает лица локально и отдаёт сигнал на открытие замка или на контроллер СКУД (Болид, Sigur и совместимые). Это и есть подход, который мы используем: видеоаналитика на действующих камерах, без выкидывания рабочего оборудования.

UMSecurity делает ровно это — локальное распознавание лиц поверх IP-камеры на входе, без отправки лиц провайдеру. Вектора жильцов хранятся на сервере объекта, наружу уходит только событие открытия. Аналоговый домофон при этом может остаться как резервный канал и для тех, кто не дал согласия. Если интересна не только дверь, а весь двор — детектор открытых ворот, чужие машины, периметр — это уже тема статьи про видеоаналитику для частного дома, там сценариев больше.

Честно: кому это нужно, а кому нет

Не каждому дому стоит вешать лица на дверь.

Имеет смысл:

• Закрытый коттеджный посёлок, клубный дом, бизнес-центр — небольшой круг известных лиц, понятная ответственность, есть кому обслуживать сервер.
• Объекты, где уже есть СКУД и IP-камеры — распознавание встраивается малой кровью.
• Сценарии, где удобство руки-заняты реально ценно: семьи с детьми, доставка, велосипеды.

Не стоит или с осторожностью:

• Большой многоквартирный дом без активного ТСЖ — некому отвечать за биометрию и собирать согласия. Риск выхлопа меньше хлопот.
• Если единственный аргумент — «модно». Обычный код или карта закрывают 90% задач без юридического хвоста.
• Облачный вариант там, где жильцы не готовы, чтобы их лица лежали у внешнего оператора. Тогда либо on-premise, либо не надо.

И главное правило, которое экономит нервы потом: распознавание лиц на двери — это дополнительный удобный способ входа, а не повод отбирать у людей ключ. Оставьте альтернативу, держите биометрию локально, соберите согласия — и умный домофон будет помогать, а не превращаться в источник жалоб и проверок РКН.

Хотите прикинуть, как добавить локальное распознавание к вашему входу без облака и без замены домофона — расскажите про объект в форме заявки, а технологию подробно разбираем на странице распознавание лиц.