Начальник службы платёжных сервисов Московского метрополитена отвечает на частые вопросы о Face Pay.
Материал подготовлен при поддержке Департамента транспорта Москвы
15 октября 2021 года на всех станциях московского метро заработал Face Pay — сервис оплаты проезда с помощью распознавания лиц. У пассажиров есть к нему вопросы — о принципе работы и безопасности персональных данных.
Мы собрали самые частые из них и задали специалисту Московского метрополитена, которая руководила внедрением новой биометрической системы оплаты.
Зачем распознавать лица в метро?
У системы распознавания лиц две ключевые задачи: транспортная безопасность и удобство для пассажиров. С транспортной безопасностью понятно — система помогает правоохранительным органам ловить подозреваемых в преступлениях. А удобство пассажиров — это оплата с помощью распознавания лиц. Чем больше способов оплаты проезда, тем меньше очередей.
Мосметро — мировой лидер по количеству способов оплаты проезда: их более 10, включая оплату смартфоном и банковской картой. Благодаря этому за 10 лет мы втрое сократили очереди в кассы метро: c 5 до 1,5 минут.
Дело не только в скорости, но и в удобстве: пассажиру больше не обязательно доставать карту или телефон, а ещё — лишний раз к чему-либо прикасаться (пандемия нас от этого понемногу отучает).
Как система понимает, кто перед камерой?
Для начала пользователю нужно сфотографироваться в приложении «Метро Москвы»: важно, чтобы фото было актуальное, изображение десятилетней давности для распознавания не подойдёт.
Нейросеть разбивает картинку на миллион точек, строит математическую модель и биометрический вектор — совокупность этих точек. Грубо говоря, мы переводим 3D-изображение лица в плоскую 2D-картинку, из которой извлекаем точки для сравнения с биометрическим вектором из базы.
Мосметро хранит на серверах не фотографии, а зашифрованные обезличенные вектора пассажиров. Часть кода выглядит примерно так, но набор символов гораздо больше
Этот набор зашифрованных символов мы храним на своих серверах. Когда человек подходит к турникету, камера на нём делает несколько снимков. Лучший кадр по освещённости, положению головы, открытости лица и многим другим параметрам переводится в биометрический вектор, сравнивается с точками в базе. Для распознавания нужно совпадение 95%.
Важно понимать: Face Pay — это система сравнения. Она сопоставляет два обезличенных биометрических вектора и, если обнаруживает совпадения, открывает турникет.
Система не способна «связать» фотографию человека с его личностью — у неё просто нет данных для этого: в личном кабинете пассажир привязывает только банковскую карту, номер телефона и «Тройку» (в будущем деньги за проход «по лицу» можно будет списывать и с неё).
Ничего больше мы не запрашиваем: ни имя, ни номер паспорта, ни тем более отпечатки пальцев. Да, по данным карты и телефону идентифицировать человека можно, но это могут сделать только банки и мобильные операторы, с которыми мы не обмениваемся информацией.
Face Pay связан с банковским платежом, поэтому оплатить проезд пока можно только на соответствующих турникетах: их сейчас минимум по одному в каждом вестибюле станций. Если мы видим, что у турникетов возникает очередь на оплату банковской картой, то увеличиваем их количество. Например, на «Белорусской» Кольцевой линии их теперь четыре.
Сами турникеты в метро скоро начнут заменять, и среди новых тех, что интегрированы с Face Pay, станет ещё больше. Сервис, конечно, не станет обязательным для всех пассажиров. Оплачивать проезд «по лицу» или нет — исключительно добровольный выбор пассажира. Все остальные способы оплаты проезда никуда не денутся.
Правда, что камеры на турникетах использует МВД?
Да, в 2020 году камеры установили в каждый турникет — с их помощью правоохранительные органы отслеживают людей, находящихся в розыске. Но в метрополитене решили, что одновременно те же камеры могут приносить пользу и рядовым пассажирам — так появился сервис Face Pay.
Несмотря на то, что камеры у нас и правоохранителей общие, инфраструктура разделена — данные из двух баз никак не пересекаются.
Чтобы получить доступ к информации, полученной по системе Face Pay, ведомство обязано подать официальный запрос. Но даже в этом случае мы предоставляем лишь идентификаторы — ведомство узнает только когда некий TFr3)Ntu заходил в метро. Если у полиции нет фотографии разыскиваемого, то мы не сможем получить вектор и чем-то помочь правоохранителям.
Система позволяет кому-нибудь отслеживать мои перемещения?
К персональным данным пользователя, включая маршрут его передвижения, не может получить доступ даже сам метрополитен: поездки фиксируются в обезличенном виде. Система знает, лишь сколько человек прошли в определённом вестибюле подземки за определённое время. Для этого используется хеш — зашифрованный идентификатор прохода.
Грубо говоря, мы знаем количество сигналов от камеры, которое поступает турникету на открытие створок, — это что-то вроде счётчика транзакций. Но привязать эти данные к конкретному лицу мы не можем.
Посмотреть историю своих маршрутов может только сам пассажир — в личном кабинете, пароль от которого знает только он (при этом вход защищён двухфакторной аутентификацией).
Данные пассажиров не хранятся в базе вечно — пассажир может удалить свои данные. Тогда по требованию законодательства мы будем обязаны полностью убрать человека из системы, в том числе удалить его историю проходов. На техническом уровне система просто разучится вас распознавать.
Камера может принять меня за другого человека?
Распознавание происходит в среднем за 0,8–1,5 секунды — если лицо при проходе через турникет открыто (более 40%), а в сервис пассажир загрузил чёткую фотографию. На тёмной станции или в медицинской маске процесс может занять чуть больше времени. Мы рекомендуем её сдвинуть вниз во время прохода через турникеты. Но пассажира в очках, шапке и шарфе камера почти сразу опознает. Главное, чтобы открыто было более 40% лица.
Погрешность распознавания — не более 0,01%. Система не распознает человека, только если его лицо сильно изменилось с тех пор, как он сфотографировался для приложения. Например, перенёс серьёзную травму или пластическую операцию. В таком случае фото нужно обновить.
Теоретически система может спутать двух людей, если 95% точек на векторах совпадут. Но вероятность этого ничтожна: даже векторы близнецов совпадают меньше — их система различить способна. Но если вдруг произойдёт технический сбой и одного пассажира спутают с другим, он может написать об этом чат-боту Александре. В течение трёх дней деньги за поездку вернутся.
Face Pay распознаёт только тех, кто зарегистрировался в системе — на остальных пассажиров камера не реагирует: ей просто не с чем сравнивать.
Как вы защищаете данные от слива?
Чтобы отклик на сигнал и распознавание пассажира был максимально быстрым, мы расположили по серверу в каждом вестибюле. Сами они находятся в закрытых помещениях — так называемом защищённом контуре метро. Но даже если предположить, что злоумышленник получит к ним физический доступ, информация на серверах защищена дополнительно.
По требованиям безопасности все три зашифрованных идентификатора (вектор, данные карты и телефон) разнесены и хранятся в разных системах. Каждый из них имеет собственные средства защиты. Платежные данные хранятся только на стороне банка и защищены по протоколу PCI DSS. Это общепринятый в мировой индустрии платежных карт стандарт безопасности.
А в это время проворные уже шуточек понаделали...
Тогда как выйти с кольца? Вот так по кольцевой и будем кружить.
Ляя крыысыыы 😂🤦♂️
Знают только банковскую карту и номер телефона. А уж по телефону установить личность невозможно. Правда-правда!
Тут эта девочка столько наговорила, что уже понятно, что там все можно связать, и данные там с прямым доступом мвд))))
Да и карты именные
При привязке карты хранят не саму карту, а какой-то идентификационный token от нее, выданный банком, который обрабатывает платежи. То есть реальные данные карты могут быть только у банка.
Карты скорее всего хранятся у эквайринга, так что тут скорее всего правда.
Но если вдруг у системы есть четкие фотографии, например это публичная личность или некто, отметившийся на неком событии, например гуляющий во время митинга, то считай история есть.
Ну а про транзакции - скорее всего хитрым запросиком в базу, получить историю перемещений все таки можно:)
Система не способна, а вот человек, который оттуда выкачал данные, очень даже ))
Уважаемо МосМетро, у вас совесть есть? Вот сегодня после прочтения ЭТОГО я уже не смогу расплатиться через FaceID - потому что рожу со смеху до ночи будет кривить, видимо.
И сисадмин, который админит базу )))
Ну разве что он не поймет кто есть кто
"Мосметро — мировой лидер по количеству способов оплаты проезда: их более 10, включая оплату смартфоном и банковской картой. Благодаря этому за 10 лет мы втрое сократили очереди в кассы метро: c 5 до 1,5 минут"
Сделайте оплату банковской картой по цене тройки - и у вам не нужно будет придумывать 10 способов оплаты. И очереди в кассы будут 0 минут
Комментарий недоступен
Ловить оппозиционеров, вот зачем эта система
Господа оппозиционеры, мне жаль вас расстраивать, но вы сейчас находитесь на положении Неуловимого Джо.
Комментарий недоступен
О нас уже давно все известно. Наши смартфоны знают о нас практически все)
Да не надо ничего взламывать, админ просто сделает бекап базы и закинеть ее куда-нить во внешку или зальет себе на винт.
"Для начала пользователю нужно сфотографироваться в приложении «Метро Москвы»: важно, чтобы фото было актуальное, изображение десятилетней давности для распознавания не подойдёт. "
- вот тут не совсем понятно, как пользователь может сфотографироваться с лицом 10-летней давности? Или упреждение на перспективу в надежде, что пользователь найдет эту статью через десять лет чтобы понять, почему его перестал пропускать турникет)?
"Нейросеть разбивает картинку на миллион точек, строит математическую модель и биометрический вектор — совокупность этих точек. Грубо говоря, мы переводим 3D-изображение лица в плоскую 2D-картинку, из которой извлекаем точки для сравнения с биометрическим вектором из базы."
- тут тоже есть вопрос, вы берете фото клиента 2D из приложения, делаете из него 3D, потом из 3D делаете снова 2D заносите в базу, а на входе живое фото посетителя 3D переводите в 2D клиента и сравниваете c 2D из базы?
Видимо был kpi по количеству слов, пришлось импровизировать))))
Может кто-то захочет понастальгировать и решит отсканировать из фотоальбома)
с помощью этой системы правоохранительные органы отслеживают людей, находящихся в розыске
Посмотреть историю своих маршрутов может только сам пассажир — в личном кабинете, пароль от которого знает только он
Классные, вы, конечно
Может ли система связать фотографию человека с расстройством личности? Вот в чём вопрос.
А вот и заказной damage control подъехал.
Комментарий недоступен
Для мэрии врать - явление нормальное. Вот свежее:
"ДИТ Москвы соврал, что фотографии пользователей mos.ru не будут передаваться МВД
Заявление департамента информационных технологий Москвы прозвучало очень странно: «Необходимо подчеркнуть, что в личном кабинете пользователей mos.ru загрузка фотографий не предусмотрена. Системой, предназначенной для хранения фотоизображений, является ГИС ЕЦХД (Единый центр хранения и обработки данных Москвы). Более того, сама загрузка фотографий не является обязательной при пользовании порталом mos.ru». То есть сначала говорится, что возможность загрузки не предусмотрена, а потом — что она является необязательной (то есть все же есть).
На mos.ru для создания профиля пользователя загружается скан паспорта, где есть фотография человека. Кроме того, при записи на оформление загранпаспорта, лицензии на оружие, водительского удостоверения, охотничьего билета и т.д. в обязательном порядке загружается и фотография в хорошем разрешении. Об этом упоминает и ДИТ в своем заявлении. Сохраняется ли эта информация на сайте, привязывается ли она к личному кабинету — хороший вопрос, на который пользователи точно не могут ответить.
Можно добавить и то, что пресс-секретарь президента Дмитрий Песков синхронно с заявлением ДИТ сообщил, что «все данные, которые содержатся на Госуслугах, и так прозрачны и доступны по закону для силовых структур». Понятно, что gosuslugi.ru и mos.ru это разные сайты, но принцип-то доступа не меняется." https://t.me/readovkanews/22513
Комментарий недоступен
Можно быть уверенным, что систему проектировали так, что не было сливов от рядового персонала.
И так, чтобы ФСБ ни в чем не нуждалось.
Просто зная эту контору...
Возможно, МВД действительно так не смогут. Ранг не тот ))
"Если что-то тебе дают бесплатно, значит продукт это ты"
Комментарий удален модератором
Комментарий удален модератором
Осталось понять как эта прастихопади инициатива соотносится с законами и добровольностью предоставления своих персональных данных кому-либо.
Думаю СК и прокуратура заинтересуется столь безусловно навязываемой процедурой сбора персональных данных.
Тебе это безусловно навязывают и ты не в праве отказаться? Что за чушь
Думаю это в их интересах собрать такие данные и однозначно идентифицировать людей по тел + ФИО + фотки из метро ;) от них не спрячится никто ;(
Конечно, заинтересуются. Думаете, им не хочется иметь столь детальную историю перемещения?
Все всё понимают. Можно быстро найти и посадить. Не понятно только одно: зачем столько букв писать?
Да по привычке. Никак они пока не готовы спокойно заявить чего и как.
Конечно никто ничего посмотреть не может. Именно поэтому в даркнете еще задолго до официального запуска это всё можно было найти и глянуть.
"Но пассажира в очках, шапке и шарфе камера почти сразу опознает."
Это как? У меня закрыты глаза, закрыт рот и пол лица. По чему там распознавание идет? По затылку?
Там инфракрасная камера, она просвечивает одежду и очки.
1. Понаставили везде камер (особенно на выход)
2. Чтоб народ не роптал о слежке - рассказывают о ПлатиЛицо ( но не ясно, зачем камеры смотрят выходящих пассажиров)
PS Вопрос знатокам МЛ - распознавание для ПлатиЛицо при текущем развитии нейросеток вообще реализуемо?
Для сценария "я Вася. Вот мое лицо как доказательство" - понятно, что реализуемо, тк точность 99.99% и злоумышленнику нужно перебрать очень много лиц, чтобы хакнуть систему.
Но если сценарий "вот мое лицо. Скажи мне, кто я" при зарегистрированном условном миллионе пользователей и условной точности 99.99% система работать не будет?
Думаю, на выходе смотрят для двух вещей сразу:
1) Опять же, чтобы свериться с базами полиции, вдруг, ты в розыске и каким-то чудом при входе турникет тебя не опознал;
2) Скорее всего на будущее. Я к тому, что можно будет пересадки на МЦК и МЦД делать с помощью «Фэйс Пэя».
Комментарий недоступен
Вероятно, будет работать как с ложными штрафами ГИБДД, когда на фото чужая машина. Через претензию.
Когда поговорка "Не торгуй ебал*м" приобретает истинный смысл.
в метро нужно не FacePay ставить, а AlcoControl. Столько пьяных, все без масок, и треть из них агрессивные и разговаривают матом. При этом «работает» целая армия охраны и распознавание лиц
"Погрешность распознавания — не более 0,01%" - а цифры можно раскрыть подробнее?
Ну там всякие ошибки первого и второго рода
Одно дело Васе сказать, что он неизвестно кто; а другое дело сказать Васе, что он Петя - цена ошибки разная.
Скоро выражение торговать лицом приобретет реальный смысл
Правильно ли я понимаю, что сейчас при таком методе идентификации оплата только банковской картой, и тариф соответствующий? А когда планируется подключение обычной Тройки? Просто по ней проезд значительно дешевле...
специально не регистрируюсь в этой платежной системе, жду когда без моего спроса подключат мою биометрию в метро
К 2024 году во всех видах общественного транспорта в России будет применяться биометрия - лица пассажиров будут сканироваться, сообщил в начале сентября глава Минтранса. А стратегия рассчитанная на срок до 2035 года, планирует сделать биометрию практически тотальной. 80% пассажиропотока пригородных, междугородних и международных перевозок предполагается перевести на биометрический контроль.
Комментарий недоступен
Ну хоть очком платить не надо
Сделайте чтоб работали социальные карты
Самая пугающая фраза вот эта:
"Сервис, конечно, не станет обязательным для всех пассажиров."
Комментарий недоступен
стану мэром и снесу этот сервис к херам, вместе с бесконечной плиткой летом и солью зимой
Комментарий удален модератором