Три модели работы, две юридические ловушки и цифры, которые стоит знать до первого проекта
1. Что изменил 572-ФЗ и кого это касается
С 2022 года в России действует 572-ФЗ — закон, который перестроил всю правовую базу вокруг биометрической идентификации. Его суть в одном требовании: любая организация, которая использует биометрию для аутентификации, обязана делать это через ГИС ЕБС или аккредитованную КБС. Третьего варианта нет.
На практике это означает, что большинство систем, которые работали до этого — локальные базы лиц, терминалы с встроенным распознаванием, СКУД с собственной аналитикой — теперь находятся вне закона. Не «в серой зоне», не «под вопросом», а именно вне закона. Штрафы за незаконную обработку биометрических персональных данных (БПДН) выросли до 20 млн рублей за каждый выявленный факт нарушения. За повторное — уголовная ответственность.
Для интегратора это означает смену логики. Раньше можно было поставить оборудование и уйти. Теперь схема участия в проекте требует понимания того, кто юридически отвечает за каждый элемент системы — и это нужно знать до того, как подписан первый договор с клиентом.
2. Три модели работы: КБС, ГИС ЕБС и госсервисы
Рынок работает по трём принципиально разным моделям. Выбор между ними определяется не предпочтениями, а типом заказчика и его правовым статусом.
Коммерческая биометрическая система (КБС) — основной путь для большинства проектов. Аккредитованный Минцифры оператор берёт на себя всю ответственность за обработку биометрии. Клиент заключает договор напрямую с КБС, интегратор участвует через агентскую схему и получает вознаграждение за приведённый проект. Именно эта модель — рабочая точка входа для интегратора в большинстве случаев.
ГИС ЕБС подходит крайне узкому кругу: объектам критической информационной инфраструктуры первой категории и организациям, работающим с государственной тайной. Разовые затраты — от 20 млн рублей, плюс оплата каждой транзакции и каждого фактора распознавания, плюс обязательная аттестация по 21-му приказу ФСТЭК. На практике в эту схему не идёт почти никто — только там, где закон прямо обязывает. Если клиент не попадает в эту категорию, ГИС ЕБС — не его история.
Государственные сервисы — третье направление с другой логикой участия. В проектах с МФЦ, гостиницами и рядом социальных объектов интегратор может выступать полноценным исполнителем без обязательного прямого договора с аккредитованным оператором. Одно из немногих мест, где у интегратора больше самостоятельности в реализации.
3. Почему нельзя продавать терминалы клиенту
Это один из самых частых вопросов в рабочих переговорах. Интуитивно кажется, что продажа терминала — это обычная поставка оборудования. По факту это юридическая ловушка для клиента, в которую его помещает интегратор — иногда не понимая этого сам.
Механика такова: согласно разъяснениям Минцифры, сам факт детекции лица камерой уже является обработкой БПДН. Как только клиент становится владельцем терминала, он автоматически становится обработчиком биометрических данных. Для этого нужна аккредитация — с уставным капиталом от 500 млн рублей. Очевидно, что ни торговый центр, ни завод, ни управляющая компания ЖК этим требованиям не отвечают.
Дальше сложнее. По 572-ФЗ на терминалах обязательны СКЗИ — средства криптографической защиты. Владелец терминала обязан принять их на баланс и обслуживать. А для обслуживания СКЗИ нужна лицензия ФСБ. Добавьте требование модели угроз ФСБ: при передаче биометрических данных между юридическими лицами каждое из них обязано подписывать изображение своей ЭЦП — это удорожает транзакцию и увеличивает её время.
Итог: 99% клиентов, которым объясняют эти последствия, просят забрать всё на сторону оператора. Рабочая модель — не продажа терминала, а сервис под ключ: оператор несёт ответственность, клиент получает результат без правовых рисков. Продать терминал без объяснения последствий — значит поставить клиента в ситуацию, из которой он выйдет с предписанием или штрафом.
4. Как правильно выстроить схему участия интегратора
Интегратор не может перепродавать услугу аутентификации — это прямо следует из логики закона. Если между аккредитованным оператором и клиентом появляется посредник, который самостоятельно оказывает услугу аутентификации, он делает это без аккредитации. Клиент фактически получает услугу от неаккредитованной организации. Рискуют оба.
Единственная законная схема — агентский договор с аккредитованным оператором. Интегратор приводит проект, помогает с технической интеграцией, участвует в реализации — и получает агентское вознаграждение. Договор с клиентом заключает оператор напрямую.
На практике схема выглядит так: интегратор выступает точкой входа для клиента, помогает разобраться в требованиях закона, оценивает объект (количество пользователей, точки прохода, тип установленного СКУД), передаёт данные оператору для формирования коммерческого предложения и сопровождает реализацию. Технические компетенции интегратора здесь не теряются — он остаётся ключевым участником проекта, просто в правильно выстроенной юридической конструкции.
5. Ловушки, которые уже работают против рынка
На рынке сложились два устойчивых заблуждения, которые создают реальные риски — и для интеграторов, и для их клиентов.
Заблуждение первое: «проверок пока нет — можно работать по-старому». Проверки уже идут. В практике аккредитованных операторов зафиксированы случаи, когда госучреждения, использующие локальное распознавание лиц в нарушение 572-ФЗ, получили предписания об устранении нарушений. Тем, кто успел оформить всё правильно — по контракту с аккредитованным оператором — при той же проверке вопросов не задавали. Разница между двумя этими организациями не в технологиях, а в юридической схеме.
Заблуждение второе: «мы делаем аналитику, чтобы передать данные органам». Этот аргумент не работает юридически. Оперативно-розыскную деятельность ведут исключительно МВД и ФСБ. Частная организация не является уполномоченным органом, и намерение передать данные силовым структурам не снимает с неё ответственности за сбор и обработку БПДН. Это касается и «баз воришек» в ритейле: магазин не уполномочен разыскивать преступников, и такие системы сегодня находятся вне закона.
6. Видеоаналитика: серая зона без легальной схемы
Видеоаналитика с распознаванием лиц — отдельная тема с наибольшим правовым риском. Ситуация такова: видеоаналитика не прописана в модели угроз Минцифры (приказы 445 и 446). Легальной утверждённой схемы её использования в коммерческом секторе на сегодняшний день не существует.
При этом ФСБ занимает чёткую позицию: камеры, передающие изображение лица для аутентификации, обязаны иметь криптографическую защиту класса KS1. Производителей таких камер в России пока единицы — найти их сложно, стоят они дороже обычных.
Технически реализовать видеоаналитику сегодня можно — рынок партнёрств с NtechLab, VisionLabs, Trassir работает. Но правовой вопрос остаётся открытым. Для каждого заказчика это вопрос соотношения экономического эффекта и правового риска — и ответить на него должен именно заказчик, понимая реальную картину, а не получив презентацию без оговорок.
7. Что уже происходит в регионах
Новосибирск — не изолированный рынок. То, что сейчас происходит в Москве, через один-два года с высокой вероятностью придёт в регионы — и это не прогноз, а логика уже запущенного процесса.
В Москве крупнейшие застройщики — Самолёт, ПИК, Гранель — уже внедряют биометрическую идентификацию на стройплощадках по предписанию с лета 2024 года. Задача решается двойная: соответствие 572-ФЗ и реальная производственная проблема — незаконное присутствие на объектах, проход по чужой карте. Биометрия закрывает оба вопроса. Следующий шаг — масштабирование на Московскую область и другие регионы.
В Новосибирске биометрические системы уже работают. БиоСКУД от аккредитованного оператора установлен в торговой сети «Цвет» — проект на паузе из-за ремонта, но организация планирует масштабирование на другие здания. Первые объекты в регионе есть, рынок формируется. Интеграторы, которые разберутся в схемах сейчас — до волны предписаний — окажутся в принципиально другой позиции.
Отдельное направление, за которым стоит следить: региональные сегменты биометрической системы. Ряд регионов прорабатывает собственные сегменты по аналогии с Москвой. К такой системе в перспективе можно подключить СКУДы, медицинские сервисы, школы, городской транспорт. Это масштабные проекты на несколько лет, которые потребуют компетентных интеграторов на местах.
8. Практический вывод: с чего начать
Ситуация с 572-ФЗ сейчас напоминает любое регуляторное изменение на раннем этапе: закон работает, штрафная практика только формируется, рынок ещё не перестроился. Это окно, в котором можно войти правильно — а не переделывать потом то, что сделано вопреки закону.
Для интегратора первый шаг — не искать оборудование и не считать маржу, а разобраться в схемах: найти аккредитованного оператора для агентских отношений и понять, как квалифицировать проект клиента (КБС, ГИС ЕБС или госсервисы). Второй шаг — научиться объяснять клиенту последствия неправильной схемы. Не чтобы напугать, а потому что это честная позиция: клиент, который понимает риски, принимает осознанное решение. Тот, кто не понимает — однажды получит предписание или штраф.
Именно такие вопросы — практические, с конкретными схемами и живыми кейсами — будут центральной темой форума «Пробезопасность 2026» в Новосибирске.
Форум-выставка «ПРОБЕЗОПАСНОСТЬ 2026»
Пройдёт в Новосибирске в начале осени. Это отраслевая площадка для интеграторов, проектировщиков и заказчиков систем безопасности — с разбором реальных кейсов, практическими сессиями и прямым диалогом с вендорами.
Зарегистрироваться как участник можно на сайте форума: https://clck.ru/3SykwY
Узнать об участии в качестве экспонента: +79612224045 | Парфенова Валерия (telegram/MAX)
FAQ
1. Может ли интегратор самостоятельно оказывать услугу биометрической аутентификации?
Нет. По 572-ФЗ это вправе делать только аккредитованный оператор. Интегратор участвует через агентский договор и получает вознаграждение за приведённые проекты.
2. Что будет, если продать клиенту терминал с распознаванием лиц?
Клиент автоматически становится обработчиком БПДН — это требует аккредитации (уставной капитал от 500 млн руб.), принятия СКЗИ на баланс и лицензии ФСБ на их обслуживание. При проверке вопросы будут к клиенту.
3. Чем КБС отличается от ГИС ЕБС на практике?
КБС — для большинства коммерческих объектов, доступный вход, рабочая схема. ГИС ЕБС — только для КИИ-1 и организаций с гостайной: разовые затраты от 20 млн руб., оплата транзакций, аттестация по 21-му приказу ФСТЭК. Для обычного объекта экономически нецелесообразно.
4. Законна ли видеоаналитика с распознаванием лиц в ритейле?
Нет легальной утверждённой схемы. Видеоаналитика не включена в модель угроз Минцифры, камеры требуют криптозащиты KS1. «Базы воришек» вне закона: ритейлер не является органом, уполномоченным на ОРД.
5. Штрафуют ли уже за нарушение 572-ФЗ?
Практика штрафов пока не сложилась, но предписания уже выдаются. Штраф — до 20 млн руб. за каждый факт, за повторное нарушение — уголовная ответственность.
Источники:
- Приказы Минцифры России № 445 и № 446 (модели угроз биометрических данных) — публикуются на официальном портале правовых актов
- Разъяснения Минцифры по обработке биометрических персональных данных — digital.gov.ru
- Модель угроз ФСБ России (требования к передаче БПДН между юридическими лицами)