Привет, Хабр! Пока Минцифры изучает введение возрастной идентификации на онлайн-платформах и весь мир ищет способы проверять возраст пользователей, не подвергая риску конфиденциальность их персональных данных, мы в Smart Engines пришли с готовым решением. В этой статье рассказываем о простом способе идентификации возраста пользователей в веб-среде, который не требует биометрии, раскрытия персональных данных и не несет рисков утечек. Мы реализовали это с помощью WASM-модуля, который позволяет решать задачу проверки возраста в интернете также надежно и безопасно для пользователя, как и в обычной жизни. Заглядывайте под кат!

Возрастная идентификация стала глобальным трендом

Внедрение цифрового подтверждения возраста в онлайне – идея далеко не новая. Во многих странах эта процедура уже является обязательной по закону.

В прошлом году в Великобритании вступил в силу Online Safety Act – положение, обязывающее платформы с контентом для взрослых внедрить механизм верификации возраста пользователей. В США проверка возраста уже законодательно закреплена на уровне ряда штатов, а Италия пошла дальше всех, обязав онлайн-платформы проводить проверку возраста в соответствии с принципом «двойной анонимности» – без раскрытия персональных данных. При таком сценарии платформа должна получать только специальный цифровой токен.

Возрастная идентификация становится обязательным элементом цифровой инфраструктуры, а вся дискуссия уже свелась к вопросу «как это реализовать правильно». Законы не предписывают интегрировать конкретную технологию или механизм проверки, однако всегда требуют минимизации раскрытия персональных данных – вплоть до сохранения полной анонимности.

Какой способ проверки возраста самый надежный

На самом деле человечество давно придумало простой и понятный способ возрастной идентификации, который прекрасно работает в физическом мире и с которым многие сталкиваются на ежедневной основе – просто предъявить паспорт.

Никаких высокотехнологичных решений, баз данных, ЕБС или передачи информации третьим лицам для этого, как все мы знаем, не требуется. Проблемы начинаются тогда, когда тот же самый процесс переносится в цифровую среду. Многие справедливо опасаются, что переданные для проверки документы могут быть сохранены, использованы не по назначению или банально попасть в чужие руки.

Эти опасения небезосновательны: как только в цепочке проверки возраста появляется промежуточное звено – облачный сервис распознавания, KYC-провайдер или внешняя база данных, – про вашу анонимность можно просто забыть. И это только в лучшем случае. В худшем ваши персональные данные становятся частью огромного массива информации, который может оказаться в числе очередных утечек. А последствия от этого всем хорошо известны.

Практика показывает, что от утечек данных не застрахованы и государственные информационные системы. Вспомнить хотя бы недавний взлом французского госсервиса ANTS, который привел к краже 18 млн записей, связанных с биометрическими паспортами, национальными удостоверениями личности и водительскими правами. Объем украденных записей охватил примерно треть взрослого населения Франции. А преступнику, “положившему” инфраструктуру государственного уровня, и шестнадцати-то не было. Выводы делайте сами.

Если же говорить о России, то только в 2025 году в открытый доступ попали данные более чем из 50 млн записей о россиянах, а годом ранее объем скомпрометированных данных превысил 700 млн записей. Если для банального доступа к онлайн-платформе или интернет-услуге необходимо отправить ваши данные “на сторону” – шансы пополнить эту неутешительную статистику растут как на дрожжах.

Как ситуация выглядит с позиции онлайн-платформ

Для самих платформ вопрос возрастной верификации – это не только выполнение потенциальных требований регуляторов, но и поиск баланса между безопасностью, удобством пользователей и стоимостью внедрения. И именно здесь многие обсуждаемые в высоких кабинетах методы создают больше проблем, чем решают.

Во-первых, передача проверки возраста внешнему подрядчику не означает передачу ответственности. Если утечка данных произойдет на стороне облачного сервиса или KYC-провайдера (а это далеко не редкое явление), последствия затронут всех участников процесса, включая платформу, которая инициировала сбор данных пользователей. После ужесточения российского законодательства цена подобных инцидентов существенно выросла: ответственность за нарушения в области персональных данных сегодня может достигать 500 миллионов рублей штрафов и в отдельных случаях уголовки.

Во-вторых, использование внешних систем зачастую превращает простую проверку возраста в полноценную процедуру идентификации личности. Хотя в большинстве случаев платформе необходимо знать только один факт: достиг ли пользователь установленного возрастного порога. В итоге ресурсу необходимо передавать и хранить избыточные персональные данные, которые ей зачастую вообще не нужны.

В этих условиях выходом может быть только механизм проверки, который бы работал как предъявление паспорта в реальной жизни. То есть работал прямо “на месте” и был бы одновременно надежным, проверяемым и, главное, абсолютно безопасным. Именно для решения этой задачи мы в Smart Engines создали WASM-модуль распознавания документов, который встраивается непосредственно в код веб-страницы и позволяет выполнять проверку возраста прямо в браузере пользователя – без обращения к внешним базам данных, отправки документов в облако и пересылки персональных данных третьим сторонам.

Как это работает?

Распознавание паспорта для проверки возраста выполняется непосредственно в веб-интерфейсе онлайн-платформы. Все необходимые операции выполняются полностью локально, а результатом становится не передача персональных данных, а формирование возрастного атрибута – например, подтверждения того, что пользователь старше 18 лет.

Таким образом, платформа получает именно ту информацию, которая ей необходима для принятия решения о предоставлении доступа, и ничего сверх этого. С точки зрения пользователя система работает следующим образом:

1. Пользователь заходит на нужную платформу и прямо на веб-странице сканирует паспорт или другой удостоверяющий личность документ. Это может быть например, водительское удостоверение или загранпаспорт.

2. WASM-модуль распознает документ, осуществляя все необходимые вычисления непосредственно на стороне пользователя – без сохранения и отправки данных за пределы устройства.

3. Из документа извлекается необходимый атрибут – это может дата рождения или готовый возрастной токен. Платформа получает ответ на вопрос: соответствует ли пользователь установленному возрастному порогу, а данные остаются в безопасности.

4. Чтобы пресекать попытки пройти проверку по чужому паспорту, проводится небиометрическая сверка лиц. Реализовать можно хоть за одну пользовательскую сессию: для распознавания, проверки возраста и сверки лиц будет достаточно буквально одного селфи. И главное – это абсолютно не требует обращения к ЕБС, создания, сохранения и передачи биометрического шаблона пользователя. 

По итогам распознавания система возвращает структурированный результат, состав которого полностью настраивается под требования заказчика. Платформа может получать как отдельные поля документа – например, только дату рождения, – так и готовый возрастной атрибут или токен вида «18+». Это позволяет гибко регулировать степень раскрытия персональных данных: от передачи минимально необходимой информации до полностью анонимного сценария, в котором сервис получает лишь токен без каких-либо сведений о личности пользователя.

Ключевое преимущество такого подхода заключается в полностью локальной обработке данных. Все вычисления выполняются непосредственно на устройстве пользователя, поэтому паспортные данные не покидают его контур и не могут оказаться в облачных хранилищах или сторонних базах данных.

Как сделать так, чтобы проверку возраста было нельзя обмануть

Безопасность данных – лишь одна сторона задачи. Если система умеет определять возраст, но ее легко обойти, весь механизм теряет смысл. Поэтому важно не только подтверждать возраст, но и автоматически противодействовать широкому спектру атак – от случаев предъявления примитивных подделок до дипфейков, созданных с помощью генеративного ИИ.

Для повышения надежности системы мы в Smart Engines пошли дальше и реализовали возможности антифрод-проверки.

• Выявление дипфейков. Наша система анализирует изображение документа на наличие следов генерации, редактирования и иных цифровых манипуляций. Это позволяет автоматически обнаруживать синтетические документы, поддельные паспорта и изображения, созданные или измененные с помощью нейросетей или фотошопа.

• Проверка живости документа. При работе в видеопотоке технология определяет, предъявляется ли реальный физический документ, а не его фотография, копия или изображение с экрана другого устройства. Система выявляет попытки скрыть элементы документа – например, дату рождения, фотографию или отдельные поля – с помощью бликов, посторонних предметов или цифровых наложений.

• Выявление муляжей и подделок. Контролируется логическая непротиворечивость реквизитов документа, соответствие серий, номеров, дат и других атрибутов. Выполняется проверка структуры и оформления документа на соответствие эталонному бланку, что позволяет обнаруживать подделки. И многое другое.

• Небиометрическая сверка лица с фотографией в документе. Технология позволяет убедиться, что документ принадлежит его предъявителю, без обращения к внешним базам данных и без выделения биометрии.

В результате возрастная верификация превращается из простой проверки даты рождения в комплексный механизм защиты от неавторизованного доступа. Но главное – такой подход позволяет проводить все проверки полностью локально, а значит анонимно для пользователя. Без раскрытия персональных данных, без биометрии и без ЕБС.

Вместо выводов

Мировая практика показывает, что возрастная идентификация постепенно становится обязательным элементом цифровых платформ. Наша страна движется в том же направлении, а значит о внедрении безопасных механизмов проверки имеет смысл задуматься уже сейчас.

Мы в Smart Engines внимательно следим за развитием регулирования в этой области и уверены, что возрастная идентификация будущего должна быть не только надежной, но и приватной по своей природе. Наш WASM-модуль доказывает, что для решения этой задачи вообще не требуется сбор и передача персональных данных, интеграция с внешними сервисами и раскрытие личности. 

Подписывайтесь на наш Хабр! Пока тут не надо подтверждать возраст