В метро Москвы теперь можно платить за проезд лицом. Спросили авторов проекта — как это работает

Начальник службы платёжных сервисов Московского метрополитена отвечает на частые вопросы о Face Pay.

Материал подготовлен при поддержке Департамента транспорта Москвы

15 октября 2021 года на всех станциях московского метро заработал Face Pay — сервис оплаты проезда с помощью распознавания лиц. У пассажиров есть к нему вопросы — о принципе работы и безопасности персональных данных.

Мы собрали самые частые из них и задали специалисту Московского метрополитена, которая руководила внедрением новой биометрической системы оплаты.

У системы распознавания лиц две ключевые задачи: транспортная безопасность и удобство для пассажиров. С транспортной безопасностью понятно — система помогает правоохранительным органам ловить подозреваемых в преступлениях. А удобство пассажиров — это оплата с помощью распознавания лиц. Чем больше способов оплаты проезда, тем меньше очередей.

Мосметро — мировой лидер по количеству способов оплаты проезда: их более 10, включая оплату смартфоном и банковской картой. Благодаря этому за 10 лет мы втрое сократили очереди в кассы метро: c 5 до 1,5 минут.

Дело не только в скорости, но и в удобстве: пассажиру больше не обязательно доставать карту или телефон, а ещё — лишний раз к чему-либо прикасаться (пандемия нас от этого понемногу отучает).

Для начала пользователю нужно сфотографироваться в приложении «Метро Москвы»: важно, чтобы фото было актуальное, изображение десятилетней давности для распознавания не подойдёт.

Нейросеть разбивает картинку на миллион точек, строит математическую модель и биометрический вектор — совокупность этих точек. Грубо говоря, мы переводим 3D-изображение лица в плоскую 2D-картинку, из которой извлекаем точки для сравнения с биометрическим вектором из базы.

Этот набор зашифрованных символов мы храним на своих серверах. Когда человек подходит к турникету, камера на нём делает несколько снимков. Лучший кадр по освещённости, положению головы, открытости лица и многим другим параметрам переводится в биометрический вектор, сравнивается с точками в базе. Для распознавания нужно совпадение 95%.

Важно понимать: Face Pay — это система сравнения. Она сопоставляет два обезличенных биометрических вектора и, если обнаруживает совпадения, открывает турникет.

Система не способна «связать» фотографию человека с его личностью — у неё просто нет данных для этого: в личном кабинете пассажир привязывает только банковскую карту, номер телефона и «Тройку»‎ (в будущем деньги за проход «по лицу» можно будет списывать и с неё).

Ничего больше мы не запрашиваем: ни имя, ни номер паспорта, ни тем более отпечатки пальцев. Да, по данным карты и телефону идентифицировать человека можно, но это могут сделать только банки и мобильные операторы, с которыми мы не обмениваемся информацией.

Face Pay связан с банковским платежом, поэтому оплатить проезд пока можно только на соответствующих турникетах: их сейчас минимум по одному в каждом вестибюле станций. Если мы видим, что у турникетов возникает очередь на оплату банковской картой, то увеличиваем их количество. Например, на «Белорусской» Кольцевой линии их теперь четыре.‎

Сами турникеты в метро скоро начнут заменять, и среди новых тех, что интегрированы с Face Pay, станет ещё больше. Сервис, конечно, не станет обязательным для всех пассажиров. Оплачивать проезд «по лицу» или нет — исключительно добровольный выбор пассажира. Все остальные способы оплаты проезда никуда не денутся.‎

Да, в 2020 году камеры установили в каждый турникет — с их помощью правоохранительные органы отслеживают людей, находящихся в розыске. Но в метрополитене решили, что одновременно те же камеры могут приносить пользу и рядовым пассажирам — так появился сервис Face Pay.

Несмотря на то, что камеры у нас и правоохранителей общие, инфраструктура разделена — данные из двух баз никак не пересекаются.

Чтобы получить доступ к информации, полученной по системе Face Pay, ведомство обязано подать официальный запрос. Но даже в этом случае мы предоставляем лишь идентификаторы — ведомство узнает только когда некий TFr3)Ntu заходил в метро. Если у полиции нет фотографии разыскиваемого, то мы не сможем получить вектор и чем-то помочь правоохранителям.

К персональным данным пользователя, включая маршрут его передвижения, не может получить доступ даже сам метрополитен: поездки фиксируются в обезличенном виде. Система знает, лишь сколько человек прошли в определённом вестибюле подземки за определённое время. Для этого используется хеш — зашифрованный идентификатор прохода.

Грубо говоря, мы знаем количество сигналов от камеры, которое поступает турникету на открытие створок, — это что-то вроде счётчика транзакций. Но привязать эти данные к конкретному лицу мы не можем.

Посмотреть историю своих маршрутов может только сам пассажир — в личном кабинете, пароль от которого знает только он (при этом вход защищён двухфакторной аутентификацией).

Данные пассажиров не хранятся в базе вечно — пассажир может удалить свои данные. Тогда по требованию законодательства мы будем обязаны полностью убрать человека из системы, в том числе удалить его историю проходов. На техническом уровне система просто разучится вас распознавать.

Распознавание происходит в среднем за 0,8–1,5 секунды — если лицо при проходе через турникет открыто (более 40%), а в сервис пассажир загрузил чёткую фотографию. На тёмной станции или в медицинской маске процесс может занять чуть больше времени. Мы рекомендуем её сдвинуть вниз во время прохода через турникеты. Но пассажира в очках, шапке и шарфе камера почти сразу опознает. Главное, чтобы открыто было более 40% лица.

Погрешность распознавания — не более 0,01%. Система не распознает человека, только если его лицо сильно изменилось с тех пор, как он сфотографировался для приложения. Например, перенёс серьёзную травму или пластическую операцию. В таком случае фото нужно обновить.

Теоретически система может спутать двух людей, если 95% точек на векторах совпадут. Но вероятность этого ничтожна: даже векторы близнецов совпадают меньше — их система различить способна. Но если вдруг произойдёт технический сбой и одного пассажира спутают с другим, он может написать об этом чат-боту Александре. В течение трёх дней деньги за поездку вернутся.

Face Pay распознаёт только тех, кто зарегистрировался в системе — на остальных пассажиров камера не реагирует: ей просто не с чем сравнивать.

Чтобы отклик на сигнал и распознавание пассажира был максимально быстрым, мы расположили по серверу в каждом вестибюле. Сами они находятся в закрытых помещениях — так называемом защищённом контуре метро. Но даже если предположить, что злоумышленник получит к ним физический доступ, информация на серверах защищена дополнительно.

По требованиям безопасности все три зашифрованных идентификатора (вектор, данные карты и телефон) разнесены и хранятся в разных системах. Каждый из них имеет собственные средства защиты. Платежные данные хранятся только на стороне банка и защищены по протоколу PCI DSS. Это общепринятый в мировой индустрии платежных карт стандарт безопасности.