Три системи збирають біометричні дані. Всі три стверджують, що захищають приватність. Але вони принципово різні за архітектурою, метою і моделлю загроз — і «безпечніша» система залежить від того, від чого саме ви захищаєтесь.
Коротко: ця стаття — аналітичне порівняння трьох моделей біометричної ідентифікації без маркетингових висновків.
⚡ Коротко
- ✅ Face ID — локальна біометрія. Ніколи не покидає пристрій, не ідентифікує вас у жодній зовнішній системі
- ✅ Державна біометрія — централізована ідентифікація. Прив'язана до особи, керується державою, використовується для доступу до послуг
- ✅ World ID — глобальна анонімна унікальність. Не ідентифікує особу, але доводить, що за акаунтом стоїть реальна людина
- ⚠️ Жодна з систем не є «найкращою» — кожна захищає від різних загроз і несе різні ризики
📚 Зміст статті
🎯 Три моделі біометрії: локальна, державна, глобальна
Біометричні системи відрізняються не лише технологією, а й фундаментальним питанням: хто є довіреною стороною і для чого використовуються дані. Відповідь на це питання визначає архітектуру, ризики і застосовність кожної системи.
Популярна дискусія про біометрію часто зводиться до питання «чи безпечно давати свої дані». Але це неточне формулювання — воно змішує три принципово різні архітектури з різними моделями довіри.
Розрізнимо їх за трьома ключовими вимірами:
| Вимір |
Face ID (локальна) |
Державна (централізована) |
World ID (глобальна анонімна) |
| Питання, на яке відповідає |
Це ваш пристрій? |
Хто ви є? |
Ви — унікальна людина? |
| Довірена сторона |
Ви самі (дані лише на вашому пристрої) |
Держава |
Tools for Humanity + криптографія |
| Ціль ідентифікації |
Розблокувати пристрій або застосунок |
Ідентифікувати особу для держпослуг |
Довести людяність без розкриття особи |
Ця різниця у меті визначає все інше: де зберігаються дані, хто має до них доступ і що відбувається при компрометації. Розглянемо кожну модель окремо.
🎯 Як працює Face ID і де зберігає дані
Face ID — найбільш замкнена з трьох систем. Математична модель обличчя зберігається виключно у Secure Enclave — захищеному сопроцесорі на чіпі пристрою. Apple не має доступу до цих даних фізично.
При першому налаштуванні Face ID TrueDepth-камера проєктує 30 000 інфрачервоних точок на обличчя і будує тривимірну карту глибини. Ця карта перетворюється на математичне представлення — faceprint — і зберігається у Secure Enclave: окремому мікропроцесорі на чіпі Apple Silicon з власною пам'яттю і ключами шифрування.
Що це означає на практиці:
- Faceprint не передається на сервери Apple — навіть під час резервного копіювання iCloud.
- Операційна система iOS не має прямого доступу до Secure Enclave — лише до результату перевірки («збіг / не збіг»).
- Застосунки отримують лише булеве значення: верифікація пройшла або ні.
- Зміна пристрою = повне стирання faceprint. Даних для перенесення не існує.
Принципове обмеження: Face ID вирішує лише одну задачу — автентифікацію власника конкретного пристрою. Він не підтверджує вашу особу для зовнішніх систем і не доводить, що ви — унікальна людина в глобальному масштабі. Це локальний ключ до локального замка.
🎯 Як працює державна біометрія: паспорти, Aadhaar, eID
Державна біометрія будується на протилежному принципі: дані зберігаються централізовано, прив'язані до особи і керуються державою. Мета — не анонімність, а ідентифікація. Рівень захисту і прозорості суттєво відрізняється між країнами.
Державна біометрія — найстарша з трьох моделей. Відбитки пальців у кримінальних реєстрах з'явились ще у XIX столітті. Сучасні системи додали фото, райдужку і ДНК — але базова архітектура залишилась тією самою: централізована база, прив'язана до юридичної особи.
Розглянемо три архетипи — від найпоширенішого до найамбітнішого:
Біометричні паспорти (стандарт ICAO 9303)
З 2004 року ICAO (Міжнародна організація цивільної авіації) стандартизувала біометричні паспорти. Станом на 2025 рік більше 150 країн видають паспорти з чіпом стандарту ICAO 9303.
Чіп містить: цифрове фото (обов'язково), відбитки двох пальців (у більшості країн ЄС і США), іноді — скан райдужки (Об'єднані Арабські Емірати, Нідерланди). Дані зберігаються на чіпі і дублюються у національному реєстрі.
При перетині кордону зчитувач порівнює обличчя з фото на чіпі (і/або у базі) через систему розпізнавання обличчя. Кожне перетинання — запис у базі: хто, коли, де, з якого напрямку. Цей журнал зберігається від 5 до 15 років залежно від країни.
| Країна / регіон |
Біометрія у паспорті |
Де зберігається база |
Доступ третіх сторін |
| ЄС (загалом) |
Фото + 2 відбитки |
Національні реєстри |
Правоохоронні органи (Prüm) |
| США |
Фото (відбитки — при в'їзді) |
DHS / FBI (NGI) |
Федеральні агентства, деякі штати |
| ОАЕ |
Фото + відбитки + райдужка |
Федеральна база ICP |
Поліція, імміграція |
| Україна |
Фото + відбитки (з 2015) |
Єдиний держреєстр |
МВС, СБУ, суди |
Aadhaar (Індія) — найбільша біометрична система у світі
Запущена у 2009 році, Aadhaar охоплює 1.4 мільярда осіб — понад 99% дорослого населення Індії. Кожен запис містить: відбитки 10 пальців, сканування обох райдужок, фото і демографічні дані. Всі дані централізовано зберігаються у UIDAI (Unique Identification Authority of India).
Aadhaar — це інфраструктура, а не лише ID. На ній побудовані: субсидії на їжу і паливо (Direct Benefit Transfer), банківські рахунки (Jan Dhan), мобільні SIM-карти, медичні записи, податкові декларації, голосування у деяких штатах.
Зручність системи безперечна: мільйони людей без банківських рахунків отримали доступ до фінансових послуг. Але централізація створила відповідну поверхню атаки:
- 2018 рік — журналісти Tribune купили доступ до бази за $8 через анонімного посередника.
- 2023 рік — дослідник виявив витік даних 815 мільйонів індійців через урядовий портал ICMR.
- Верховний суд Індії у 2018 році визнав обов'язкову прив'язку Aadhaar до приватних сервісів неконституційною.
European eID (eIDAS 2.0) — найбільш децентралізована державна модель
Євросоюз рухається принципово іншим шляхом. Регламент eIDAS 2.0 (набрав чинності у 2024 році) передбачає European Digital Identity Wallet — застосунок на смартфоні, що зберігає верифіковані атрибути особи.
Ключова архітектурна відмінність від Aadhaar: держава верифікує атрибути (підтверджує, що вам є 18 років, що у вас є водійське посвідчення), але не зберігає всю біометрію централізовано. Дані знаходяться на пристрої користувача. Платформа отримує лише ті атрибути, які потрібні для конкретної транзакції — і нічого більше.
Це архітектурно ближче до World ID, ніж до Aadhaar — але з фундаментальною різницею: eID прив'язаний до юридичної особи і керується державою. Анонімність неможлива за визначенням.
⚠️ Спільний знаменник усіх державних систем: держава знає, хто ви є. Це не архітектурний недолік — це ціль системи. Питання не в тому «чи знає держава», а в тому: які правові гарантії проти зловживання цим знанням, чи є незалежний нагляд, і що відбувається, коли уряд змінюється.
🎯 Чим принципово відрізняється World ID
World ID вирішує задачу, яку не вирішують ані Face ID, ані державна біометрія: довести, що за акаунтом стоїть унікальна реальна людина — без прив'язки до особи, без централізованого сховища і без участі держави.
Формулювання важливе: World ID не відповідає на питання «хто ви є?». Він відповідає на питання «ви — людина, і ви ще не реєструвались?». Це принципово інша задача з принципово іншою архітектурою.
Властивість 1: Глобальна унікальність без ідентифікації
Face ID не порівнює вас ні з ким — він лише перевіряє власника конкретного пристрою. Державна біометрія порівнює вас з вашим записом у реєстрі і знає, хто ви. World ID порівнює ваш IrisCode з усіма зареєстрованими кодами в глобальному масштабі — але через ZKP платформа дізнається лише «унікальна людина», не «хто саме».
Це дозволяє вирішити задачу, яка виникла з появою генеративного ШІ: довести, що за акаунтом стоїть людина, а не бот — без розкриття особи. Ані паспорт, ані Face ID для цього не підходять: паспорт розкриває занадто багато, Face ID взагалі не верифікує особу для зовнішніх систем.
Властивість 2: Відсутність центрального зберігача ідентичності
Порівняємо, що знає кожна сторона у трьох системах:
| Сторона |
Face ID |
Державна біометрія |
World ID |
| Компанія / держава |
Apple знає: у вас є iPhone. Faceprint — ні. |
Держава знає: ім'я, адреса, дата народження, біометрія |
TfH знає: факт верифікації (публічний ключ). IrisCode — лише фрагментами через SMPC. |
| Платформи, де ви логінитесь |
Знають: ви — власник пристрою |
Знають: ваша юридична особа (при використанні eID) |
Знають лише: «унікальна людина». Різні платформи не можуть скорелювати ваші дії. |
| Потенційний зловмисник при зламі |
Нічого (дані не передаються) |
Повна ідентичність мільйонів людей |
Фрагменти IrisCode без цінності (при зламі одного SMPC-вузла) |
Властивість 3: Верифікація без участі держави
Для отримання World ID не потрібен паспорт, ІПН або будь-який державний документ. Достатньо мати очі і смартфон. Це принципово важливо для двох категорій людей:
- 1.1 мільярда людей без документів (за даними ООН) — переважно у країнах Африки та Азії. Вони не можуть отримати банківський рахунок, голосувати або підписати контракт. World ID може стати першим цифровим ідентифікатором для цієї аудиторії.
- Люди у авторитарних режимах — де державна ідентифікація використовується для переслідувань. World ID не передає дані державним органам за архітектурою (хоча регулятори можуть вимагати доступу до компанії).
Де World ID програє обом системам
Чесний аналіз вимагає визнати обмеження:
- Немає юридичної сили. World ID не є документом. Він не підтвердить вашу особу в суді, при підписанні контракту або при отриманні держпослуг.
- Залежність від приватної компанії. На відміну від державних систем, World ID керується Tools for Humanity — приватною компанією без публічного нагляду і регуляторної підзвітності, порівнянної з державними інституціями.
- Незворотність при компрометації. Якщо IrisCode якимось чином витече — замінити райдужку неможливо. Державний паспорт можна перевипустити. Пароль — змінити. Біометрія — ні.
- Непрозорість вузлів SMPC. World не розкриває, хто саме керує SMPC-вузлами і яка мінімальна кількість вузлів для змови. Це відкрите питання до реальної децентралізації системи.
⚠️ Аналітичний підсумок: World ID є технічно найінноваційнішою з трьох архітектур — і найменш перевіреною часом. Державні системи існують десятиліттями, пройшли правові тести і мають (у демократичних країнах) механізми нагляду. World ID — це ставка на криптографію і довіру до приватної компанії замість правових інститутів. Ця ставка може виявитись правильною — або ні.
🎯 Порівняльна таблиця за 10 параметрами
Порівняння трьох систем за ключовими параметрами — від технічної архітектури до правових гарантій. Жодна система не домінує за всіма параметрами одночасно. Читайте коментарі під таблицею — цифри без контексту вводять в оману.
| Параметр | Face ID (Apple) | Державна біометрія | World ID |
|---|
| 1. Мета системи | Автентифікація власника пристрою | Ідентифікація особи для держпослуг | Доказ людяності та унікальності |
| 2. Де зберігаються дані | Secure Enclave на чіпі пристрою. Не передається нікуди. | Централізовані державні реєстри. Дублюються між відомствами. | SMPC-фрагменти на незалежних вузлах. Повний IrisCode — на пристрої користувача (з 2025). |
| 3. Хто має доступ до даних | Фізично — ніхто, крім Secure Enclave. Apple не має технічного доступу. | Держава, уповноважені органи, у деяких країнах — треті сторони за договором. | Жодна сторона не має повного IrisCode за архітектурою SMPC. Але склад вузлів непрозорий. |
| 4. Чи розкриває особу | Ні. Локальна перевірка без зовнішньої передачі. | Так — повністю. Ім'я, адреса, дата народження прив'язані до запису. | Ні за архітектурою (ZKP + nullifier). Але компанія знає факт верифікації. |
| 5. Глобальна унікальність | ❌ Прив'язана до одного пристрою. Не порівнює вас ні з ким. | ⚠️ У межах країни або двосторонніх угод (Prüm, Five Eyes). | ✅ 160+ країн, 26+ млн верифікацій. |
| 6. Відкритість алгоритму | Часткова: загальна архітектура Secure Enclave описана. Конкретна реалізація — закрита. | Різна: від повністю закритих (Aadhaar) до частково відкритих (eIDAS). | Часткова: конвеєр IRIS відкритий на GitHub. Модель витягання ознак — пропрієтарна. |
| 7. Правова база | Умови використання Apple. GDPR у ЄС. Немає спеціального біометричного законодавства. | Національне законодавство. Найсильніша правова база з трьох — але якість залежить від країни. | Спірна. Регуляторні заборони або розслідування у 10+ країнах. Правовий статус не визначений в більшості юрисдикцій. |
| 8. Ризик витоку | Низький: дані не передаються і не зберігаються централізовано. | Високий: централізовані бази є доведеними цілями атак (OPM 2015 — 21 млн записів, Aadhaar 2018). | Середній: SMPC суттєво знижує ризик. Але реальна незалежність вузлів невідома. |
| 9. Що відбувається при компрометації | Скидання налаштувань на пристрої. Faceprint не витікає — він не існує поза Secure Enclave. | Незворотньо для біометрії. Документи можна перевипустити — але відбитки і райдужку не можна змінити. | Незворотньо для IrisCode. Компанія може анулювати World ID — але замінити райдужку неможливо. |
| 10. Участь держави | Не потрібна для роботи. Але держава може вимагати доступ до пристрою через суд. | Обов'язкова за визначенням — це і є державна система. | Не потрібна для реєстрації. Але регулятори вже вимагали видалення даних (Кенія, 2025). |
Коментарі до таблиці: що цифри не показують
Параметр 3 (доступ до даних) — найбільш оманливий. «Ніхто не має доступу» у Face ID — це технічна правда про faceprint. Але Apple має доступ до метаданих: коли ви розблокували телефон, які застосунки відкрили, де знаходились. У World ID «жодна сторона не має повного коду» — правда про IrisCode, але Tools for Humanity знає публічні ключі всіх верифікованих користувачів у блокчейні. Повна анонімність — не те саме, що відсутність будь-яких слідів.
Параметр 7 (правова база) — найважливіший на практиці. Технічна архітектура визначає, що система може робити. Правова база визначає, що вона повинна робити. Державна біометрія у демократичних країнах має десятиліття судової практики, незалежний нагляд і механізми оскарження. World ID має умови використання приватної компанії і юрисдикцію Кайманових островів. Це якісно різні рівні захисту прав користувача.
Параметр 9 (компрометація) — однаковий наслідок, різна ймовірність. Усі три системи використовують біометрію, яку не можна замінити. Але Face ID з архітектурних причин має найнижчу ймовірність витоку — дані просто ніколи не передаються. World ID через SMPC — середню. Державні централізовані бази — найвищу, що підтверджується реальними інцидентами.
🎯 Яка система безпечніша — залежить від загрози
«Безпечніша» система — та, що захищає від актуальної для вас загрози. Три системи проєктувались для різних сценаріїв. Правильне питання не «яка краща», а «від чого саме ви захищаєтесь».
Модель загроз (threat model) — це інструмент аналізу безпеки: визначити, хто є потенційним зловмисником, які його можливості і яка ціна успішної атаки. Без цього питання «безпечніша» не має відповіді.
Сценарій 1: Несанкціонований доступ до вашого пристрою
Загроза: зловмисник хоче розблокувати ваш телефон — фізично або дистанційно.
Найкраща архітектура: Face ID.
Faceprint ніколи не залишає Secure Enclave. Навіть якщо зловмисник зламає сервери Apple, отримає доступ до iCloud або перехопить трафік — він не отримає нічого корисного. Єдиний вектор атаки — фізична присутність: примусити вас подивитись на телефон або використати глибокий 3D-дубль обличчя (задокументованих успішних атак на Face ID через 3D-маску — одиниці, і всі потребували значних ресурсів).
World ID і державна біометрія для цього сценарію нерелевантні — вони не захищають пристрій.
Сценарій 2: Масова крадіжка ідентичності через злом бази даних
Загроза: зловмисник атакує централізоване сховище і отримує біометрію мільйонів людей.
Найгірша архітектура: класична державна централізована біометрія.
Задокументовані прецеденти: злом OPM у США (2015) — 5.6 мільйона відбитків пальців федеральних службовців. Витік бази Aadhaar (2018) — потенційний доступ до 1+ мільярда записів. Злом бази Національної поліції Індонезії (2021) — 279 мільйонів записів.
Face ID принципово захищений від цього сценарію: централізованої бази faceprint просто не існує. World ID через SMPC суттєво знижує ризик — але не до нуля, оскільки склад і незалежність вузлів непрозорі.
Сценарій 3: Стеження і профілювання через кореляцію даних
Загроза: держава, корпорація або зловмисник відстежує вашу активність на різних платформах і будує поведінковий профіль.
Найкраща архітектура: World ID (за умови коректної реалізації).
Державна біометрія — найгірший варіант: держава знає вашу особу і може юридично зобов'язати платформи розкрити активність. Face ID при використанні Sign in with Apple дає ізольований ідентифікатор — але це не біометрія, а OAuth-логін. World ID через nullifier математично гарантує: два різних сервіси не можуть встановити, що за двома верифікаціями стоїть одна людина. Це архітектурна, а не юридична гарантія.
Застереження: World ID захищає від кореляції на рівні верифікації. Але він не захищає від кореляції поведінкових даних після входу — якщо ви робите однакові дії на двох платформах, їх можна скорелювати без будь-якого ідентифікатора.
Сценарій 4: Примусова ідентифікація державою
Загроза: авторитарний уряд використовує біометричні дані для переслідування громадян — активістів, журналістів, меншин.
Найгірша архітектура: державна біометрія у цій юрисдикції.
Face ID не передає дані державі за архітектурою — але уряд може вилучити пристрій. World ID не прив'язаний до юридичної особи — але регулятори вже вимагали доступу до компанії (кейс Кенії). Жодна з трьох систем не дає абсолютного захисту від держави, яка контролює фізичний доступ до людини або юрисдикцію над компанією.
Сценарій 5: Незворотня компрометація унікального біометричного ідентифікатора
Загроза: ваша біометрія витікає і стає публічно доступною або використовується для підробки особи.
Однаковий наслідок для всіх — але різна ймовірність.
| Система | Ймовірність витоку | Наслідок при витоку | Можливість «скинути» |
|---|
| Face ID | Дуже низька (дані не передаються) | Компрометація пристрою | Так — скинути налаштування |
| Державна біометрія | Висока (централізовані бази атакуються) | Незворотня компрометація ідентичності | Частково — перевипустити документи, але не замінити відбитки |
| World ID | Середня (SMPC знижує, але не усуває) | Незворотня компрометація IrisCode | Ні — райдужку не замінити. Можна лише анулювати World ID. |
⚠️ висновок: жодна з трьох систем не є «найбезпечнішою» у всіх сценаріях. Face ID — оптимальний для захисту пристрою і мінімізації витоку. Державна біометрія — для юридично значущої ідентифікації, але з найвищим системним ризиком. World ID — для анонімного доказу людяності, з архітектурними перевагами у захисті від стеження, але з незакритими питаннями щодо корпоративної довіри і регуляторної стійкості. Реальна небезпека виникає не від самих систем — а від їхнього використання не за призначенням і від концентрації влади без адекватного нагляду.
❓ Часті питання (FAQ)
Чи може Apple передати дані Face ID на запит поліції?
Технічно — ні. Faceprint зберігається у Secure Enclave і Apple не має до нього доступу. Однак Apple може передати метадані: коли пристрій використовувався, які застосунки відкривались, дані iCloud. Сама біометрія — недоступна навіть для Apple.
Чи може держава отримати мій World ID?
World ID не прив'язаний до особи — держава не може встановити, хто саме стоїть за World ID без додаткової інформації від самого користувача. Однак регулятори кількох країн вже вимагали видалення зібраних біометричних даних, і в деяких випадках (Кенія, 2025) отримали таке рішення.
Що відбудеться з моїм World ID, якщо Tools for Humanity збанкрутує?
Це реальне відкрите питання. World Chain є публічним блокчейном, і смарт-контракти продовжать існувати. Але інфраструктура SMPC, Orb і підтримка застосунку залежать від компанії. Повної відповіді на питання довгострокової стійкості World не надала.
Чи можна використовувати всі три системи одночасно?
Так — і більшість користувачів вже це роблять. Face ID — для розблокування телефону. Паспорт — для перетину кордону. World ID — для верифікації на онлайн-платформах. Це не конкуруючі системи, а доповнюючі в різних контекстах.
✅ Висновки
Три системи вирішують три різні задачі. Намагатись порівняти їх за єдиною шкалою «краще/гірше» — методологічна помилка.
- Face ID — найзамкненіша архітектура. Мінімальна поверхня атаки, максимальна локальність. Не вирішує задачі глобальної ідентифікації.
- Державна біометрія — найвища юридична сила ідентифікації. Централізована архітектура несе найвищий системний ризик. Єдина система, яка прив'язана до правової ідентичності особи.
- World ID — єдина система, яка вирішує задачу глобальної унікальності без ідентифікації. Архітектура SMPC і ZKP технічно обґрунтовані. Залишаються відкриті питання: пропрієтарна модель ознак, непрозорість вузлів SMPC, регуляторна невизначеність.
Реальний ризик не в тому, яку систему ви обираєте — а в тому, коли система виходить за межі свого призначення: державна біометрія стає інструментом масового стеження, локальна перетворюється на вхідну точку для третіх сторін, а глобальна концентрує контроль над цифровою ідентичністю мільярдів людей в руках однієї приватної компанії.
