Кратко: система распознавания лиц в школах несет серьёзные риски для приватности, равного обращения и прав учащихся; их нужно нейтрализовать техническими и политическими мерами, а где возможно — заменить менее инвазивными альтернативами.
Риски
- Приватность: сбор и хранение биометрии, фото и шаблонов — риск утечки, слежки, долгого хранения и «функционального расползания» (mission creep).
- Свобода и поведение: эффект наблюдения (chilling), снижение доверия, стигматизация.
- Дискриминация и неравная эффективность: алгоритмы могут хуже работать для определённых рас/пол/возраста → больше ложных срабатываний и ошибок.
- Нарушение прав детей: несовершеннолетние — уязвимая группа; проблемы с информированным согласием.
- Злоупотребление данными и передача третьим лицам (вендоры, правоохранители).
- Технические: ложные положительные/отрицательные срабатывания, атаки (спуфинг), уязвимости доступа.
Технические меры (обязательно)
- Минимизация данных: не хранить сырые изображения; хранить только необратимые биометрические шаблоны или хэши.
- Обработка на краю (on-device): распознавание локально в камере/терминале, без отправки видео в облако.
- Криптография и безопасность: шифрование данных в покое и в передаче; RBAC и строгие логи доступа с неизменяемыми журналами.
- Ограничение хранения: установить жёсткие сроки (примерно: сырые фото — не дольше $\le 7$ дней, биометрические шаблоны — минимально и не дольше, чем нужно; агрегированные журналы посещаемости — например $\le 1$ год).
- Тестирование и валидация: независимая оценка точности и стабильности по подгруппам; публиковать метрики FPR/FNR по демографическим группам. Ориентиры: требовать равномерность показателей, например разница в FPR между группами \< $0.02$ (2 проц. пункта) — как целевой порог.
- Антиспуфинг: детекция поддельных лиц/фотографий.
- Человеческий контроль: никакие автоматические решения о наказании/дисциплине не принимаются без человеческой проверки.
- Анонимизация/агрегация: там, где возможно, хранить только агрегированные данные (например процент посещаемости), не индивидуальные идентификаторы.
- Прозрачность алгоритма: по возможности открытые или доступные для аудита модели; независимые аудиты безопасности и соответствия.
Политические и организационные меры
- Чёткая цель и ограничение использования: использовать только для явной, узкой цели — учёт посещаемости; запрет на использование для мониторинга поведения, поиска «недопустимых» лиц и передачи третьим лицам (включая полицию) без судебного приказа.
- Согласие и альтернативы: получать информированное согласие родителей/совершеннолетних учеников; обеспечивать удобную альтернативу (ручной учёт, карточки) без штрафов для тех, кто отказался.
- DPIA / EIA: провести оценку воздействия на защиту данных и равенство ДО внедрения; публиковать отчёт.
- Гражданский контроль: создать независимый комитет (включая родителей, преподавателей, экспертов по приватности) для надзора, регулярных отчётов и ревью контрактов.
- Юридическая проверка и соответствие: соблюдение местного законодательства (закон о детях/биометрии/персональных данных); включить в контракт ограничения по использованию и санкции за утечки.
- Публичная прозрачность: публичное уведомление о технологиях, политиках хранения, доступе и процедуре обжалования.
- Обучение персонала и информирование: инструкции по допустимому использованию, защите данных и обработке инцидентов.
- Грейс-период и пилот: начать с ограниченного пилота с независимым мониторингом, чёткими критериями успеха/прекращения.
Альтернативы (посмотреть прежде, чем внедрять)
- RFID/карточки, пропуска с контролем;
- Электронные журналы/QR-коды у входа;
- Автоматизированные системы на основе присутствия устройств (BLE) или сенсоров, не использующие биометрию.
Ключевые требования для закупки/контрактов
- Запрет передачи данных третьим лицам без явного разрешения.
- Положения о неприспособляемости моделей (тестирование на бóльших и уязвимых группах).
- Обязательные независимые аудиты и право округа на технический аудит кода/моделей.
- Штрафы и обязательства по уведомлению в случае утечки.
Короткое резюме действий
1) не внедрять повсеместно без DPIA и пилота; 2) выбирать on-device и минимизацию данных; 3) обеспечить опт‑аут и альтернативы; 4) требовать независимой проверки на справедливость и безопасность; 5) ввести прозрачные политики хранения и запрет на иное использование.
Если нужно, могу кратко сформулировать проект DPIA/политику хранения или перечень требований к тендеру.