Чи зберігає World Orb фотографії очей користувачів?

За офіційними поясненнями проєкту, Orb перетворює зображення райдужки у математичний код і може видаляти самі зображення після обробки. У систему передається лише зашифрований iris code, який використовується для перевірки, що людина реєструється лише один раз.

Чому для цифрової ідентифікації обрали саме райдужку ока?

Райдужка ока має дуже складний і унікальний візерунок, що дозволяє точно відрізняти одну людину від іншої. Саме тому технології розпізнавання райдужки використовуються у системах безпеки та цифрової ідентифікації, де важливо підтвердити унікальність користувача.

Чи безпечно сканувати райдужку ока через World Orb?

Розробники World стверджують, що після сканування райдужка перетворюється на цифровий код (iris code), а самі зображення можуть бути видалені з пристрою. Цей код використовується лише для перевірки унікальності людини і не містить персональних даних. Проте експерти з приватності все одно обговорюють можливі ризики централізованого збору біометрії.

Які ризики має використання біометрії райдужки ока?

Головний ризик біометрії полягає в тому, що біологічні характеристики людини неможливо змінити. Якщо база біометричних даних буде скомпрометована, користувач не зможе «замінити» свою райдужку, як це можна зробити з паролем або банківською карткою.

Чому технології біометрії викликають дискусії про приватність?

Біометричні системи працюють з унікальними фізичними характеристиками людини — такими як відбитки пальців, обличчя або райдужка ока. Через це експерти з цифрових прав застерігають, що централізоване збирання таких даних може створювати ризики для приватності та потенційного масового спостереження.

TUTORIALS 11 березня 2026 19 хв читання 18 перегляд

World Orb і приватність: ризики біометрії райдужки

Оновлено: 11 March 2026

Мова: 🇺🇦 🇺🇸 🇩🇪 🇪🇸

Vadim Kharovyuk

Web Developer & Content Creator

World Orb і приватність: ризики біометрії райдужки

Сканування райдужки — технічно один із найзахищеніших методів біометричної верифікації. Але технічна захищеність і відсутність ризиків — не одне і те саме. У цій статті ми розбираємо, що насправді відбувається з вашими даними, де архітектура World Orb дійсно захищає — і де залишаються відкриті питання, які компанія досі не відповіла публічно.

⚡ Коротко

✅ Зображення райдужки видаляється з Orb одразу після генерації IrisCode

✅ З травня 2024 IrisCode зберігається через SMPC — жодна сторона не має повного коду

⚠️ Алгоритм генерації IrisCode пропрієтарний — незалежна перевірка неможлива

⚠️ Регуляторні заборони або розслідування у 10+ країнах

❌ Кенія (травень 2025) — суд зобов'язав видалити всі зібрані біометричні дані

❓ Склад і незалежність SMPC-вузлів досі не розкриті публічно

📚 Зміст статті

Які дані реально збирає Orb: що іде, що залишається

Централізація vs децентралізація: хто контролює дані

Чому витік біометрії небезпечніший за витік пароля

Реакція регуляторів: Іспанія, Німеччина, Кенія, Індонезія

Що говорить GDPR про біометричні дані

Що ми не знаємо про систему World Orb

Часті питання (FAQ)

Висновки

🎯 Які дані реально збирає Orb: що іде, що залишається

Офіційна позиція World: зображення видаляється одразу після генерації IrisCode, а сам код зберігається через SMPC без можливості відновлення оригіналу. Це технічно обґрунтована архітектура — але є нюанси, які важливо розуміти.

Розділимо дані на три категорії: що збирається, що зберігається і що передається третім сторонам.

Що збирається під час сканування

Тип даних	Збирається?	Що відбувається далі
NIR-зображення райдужки	✅ Так	Обробляється локально на Orb, видаляється після генерації IrisCode
Зображення обличчя (liveness check)	✅ Так	Видаляється після перевірки живості
IrisCode (числовий вектор)	✅ Так	Передається зашифровано, зберігається через SMPC
Публічний ключ World ID	✅ Так	Записується у смарт-контракт на World Chain (публічний блокчейн)
Геолокація сканування	⚠️ Метадані	Зберігається як метадані верифікації (локація Orb)
Ім'я, email, документи	❌ Ні	Не збираються і не вимагаються

Важливий виняток: добровільне зберігання зображень

За замовчуванням зображення видаляються. Але під час верифікації World App пропонує користувачу дозволити тимчасове зберігання зображень для покращення алгоритмів розпізнавання. Це добровільно — але формулювання згоди у ранніх версіях застосунку критикували регулятори: зокрема, Іспанське агентство з захисту даних (AEPD) у 2023 році призупинило операції саме через порушення принципу інформованої згоди.

Що залишається назавжди

Навіть після видалення зображення у системі залишається:

SMPC-фрагменти IrisCode — на незалежних вузлах. Після січня 2025 повний код зберігається лише на пристрої користувача, але фрагменти для дедуплікації залишаються у системі.

Публічний ключ у блокчейні — незмінний запис у World Chain. Анулювати World ID можна, але запис у блокчейні залишається назавжди.

Метадані верифікацій — на яких платформах і коли використовувався World ID. За архітектурою nullifier ці дані не корелюються між платформами — але самі платформи зберігають свої логи.

Джерела: World: Privacy Update 2024 · World Whitepaper

🎯 Централізація vs децентралізація: хто контролює дані

Архітектура World пройшла три етапи за менш ніж два роки: централізоване AWS-сховище → SMPC → зберігання повного IrisCode виключно на пристрої користувача. Кожен крок технічно обґрунтований. Але криптографічна децентралізація і корпоративна підзвітність — різні речі, і друга залишається відкритим питанням.

Еволюція архітектури: три етапи за 18 місяців

Період	Архітектура	Основний ризик	Що спричинило зміну
До травня 2024	Централізовані AWS-сервери. IrisCode зашифровані, але зберігаються разом.	Злом або витік ключів = доступ до всіх кодів одночасно.	Критика дослідників, регуляторні розслідування в ЄС.
Травень 2024	SMPC: IrisCode розбито на фрагменти між незалежними вузлами. Всі старі коди видалені.	Для злому потрібна змова кількох вузлів одночасно.	Власна ініціатива + тиск Баварського DPA і AEPD.
Січень 2025	Повний IrisCode зберігається виключно на пристрої користувача. SMPC-фрагменти у централізованій системі видалені.	Компанія фізично не має доступу до повного коду.	Кенійське судове рішення (2025) і продовження регуляторного тиску.

Що означає SMPC на практиці — і де межі гарантій

SMPC (Secure Multi-Party Computation) — не просто «зберігання у кількох місцях». Це математичний метод, при якому фрагменти коду є криптографічно незалежними: кожен окремий фрагмент — це випадкове число без будь-якого зв'язку з оригіналом. Навіть якщо зловмисник отримає всі фрагменти, крім одного — він не отримає нічого корисного.

Але реальна безпека SMPC залежить від двох факторів, які World не розкриває публічно:

Кількість вузлів і поріг відновлення. У схемі Шаміра для відновлення секрету потрібна мінімальна кількість фрагментів — наприклад, 3 з 5 або 5 з 9. Що вищий поріг, то складніша змова. World не вказала ці параметри.

Реальна незалежність вузлів. Якщо більшість вузлів контролює одна організація або пов'язані юридичні особи — математичний захист SMPC нівелюється корпоративною структурою. Склад операторів вузлів не розкритий.

Карта контролю: хто що контролює у системі World

Суб'єкт	Що контролює	Підзвітність	Ризик
Tools for Humanity (США, Delaware)	Апаратне забезпечення Orb, World App, правила верифікації, оновлення системи	Американське корпоративне право, SEC (частково)	Одна компанія контролює всю інфраструктуру
Worldcoin Foundation (Кайманські острови)	Юридичний власник протоколу World ID і токену WLD	Законодавство Кайманських островів	Офшорна юрисдикція з обмеженим зовнішнім наглядом
SMPC-вузли (невідомі організації)	Фрагменти IrisCode для дедуплікації	Невідома	Склад, незалежність і юрисдикція непрозорі
World Chain (публічний блокчейн)	Реєстр публічних ключів World ID	Децентралізований — але код пишеться TfH	TfH може оновити смарт-контракти через governance
Community Operators	Фізична верифікація через Orb Gen2 у своїх локаціях	Договір з TfH	Якість верифікації і дотримання протоколу залежить від оператора

Порівняння моделей контролю: World vs аналоги

Щоб оцінити рівень концентрації контролю у World, порівняємо з двома аналогами:

Параметр	World ID	Aadhaar (Індія)	eIDAS 2.0 (ЄС)
Хто встановлює правила	Приватна компанія	Державний орган (UIDAI)	Наднаціональне законодавство (ЄС)
Незалежний нагляд	Відсутній	Верховний суд Індії (обмежено)	Національні DPA + EDPB
Механізм оскарження	Умови використання компанії	Адміністративні та судові процедури	GDPR: право на оскарження у DPA
Прозорість алгоритму	Часткова (конвеєр відкритий, модель — ні)	Закрита	Регульована (вимоги до відкритості)

⚠️ Аналітичний висновок: World досягла криптографічної децентралізації — це реальне досягнення. Але корпоративна структура залишається вертикальною: одна компанія контролює правила, пристрої, застосунок і може змінювати їх через оновлення без зовнішнього затвердження. Це не унікально для World — так само влаштовані Apple, Google та інші технологічні платформи. Але для системи, яка претендує на роль глобальної ідентифікаційної інфраструктури, цей рівень концентрації є структурним ризиком.

Джерела: World: SMPC announcement, травень 2024 · Biometric Update: SMPC open source · World Whitepaper

🎯 Чому витік біометрії небезпечніший за витік пароля

Пароль можна змінити за 30 секунд. Райдужку — ніколи. Це фундаментальна асиметрія між відновлюваними і невідновлюваними ідентифікаторами. Але реальна небезпека складніша: справа не лише у незворотності, а й у тому, що скомпрометований IrisCode залишається вразливим назавжди — навіть якщо сьогодні атака неможлива.

Таксономія ідентифікаторів: що можна замінити, що — ні

Ідентифікатор	Змінюваний?	Час на усунення компрометації	Наслідки витоку
Пароль	✅ Так	Хвилини	Тимчасовий доступ до акаунту
Номер банківської картки	✅ Так	Дні (перевипуск)	Фінансові транзакції до блокування
Номер соціального страхування (SSN)	⚠️ Рідко (лише у виняткових випадках у США)	Роки (кредитний моніторинг)	Крадіжка ідентичності, шахрайство з кредитами
Відбиток пальця	❌ Ні	Ніколи	Постійна вразливість у всіх системах, що використовують відбитки
IrisCode (World ID)	❌ Ні	Ніколи	Постійна вразливість + можлива крос-система ідентифікація
3D-модель обличчя (Face ID)	❌ Ні (обличчя змінюється, але повільно)	Роки (природне старіння)	Обмежена через локальне зберігання

П'ять сценаріїв після витоку IrisCode

Сценарій 1: Підробка верифікації через синтетичний NIR-патерн.

Якщо зловмисник має IrisCode і достатні ресурси — він може спробувати синтезувати NIR-зображення, яке дає такий самий код. Складність залежить від якості liveness detection і того, наскільки алгоритм є оборотним. Сьогодні це технічно надскладно. Але «надскладно сьогодні» ≠ «неможливо через 10 років».

Сценарій 2: Крос-система ідентифікація.

IrisCode з World теоретично може бути зіставлений з кодами інших систем сканування райдужки — аеропортних, прикордонних, банківських. Якщо дві системи використовують схожий алгоритм кодування, один і той самий IrisCode може ідентифікувати людину у двох базах одночасно. Саме тому урядові системи (ОАЕ, Індія) технічно не сумісні з World навмисно — це архітектурне рішення для уникнення крос-ідентифікації.

Сценарій 3: Довгострокова вразливість при зміні законодавства.

Навіть якщо сьогодні компанія не передає IrisCode третім сторонам — законодавство може змінитись. У США Patriot Act і FISA дозволяють примусовий доступ до даних компаній за судовим ордером. Якщо Tools for Humanity колись отримає такий ордер — IrisCode, зібраний сьогодні, може стати доступним урядам через роки.

Сценарій 4: Реідентифікація через допоміжні дані.

IrisCode сам по собі анонімний. Але у поєднанні з метаданими — часом і місцем верифікації, IP-адресою, поведінковими патернами — анонімність може бути знята. Дослідники AOL Query Logs (2006) і Netflix Prize (2007) показали: навіть «анонімізовані» набори даних реідентифікуються при наявності допоміжної інформації.

Сценарій 5: Поглинання або банкрутство компанії.

При продажу компанії SMPC-вузли, інфраструктура і бази метаданих стають активами. Новий власник може мати іншу політику приватності, іншу юрисдикцію і інші стимули. Умови використання World дозволяють передачу даних при корпоративних транзакціях — це стандартна юридична формула, яка є у більшості технологічних компаній.

Що означає «незворотність» у реальних прецедентах

Це не теоретичні ризики. Ось задокументовані випадки незворотньої компрометації біометрії:

OPM Breach, США (2015) — злом бази Управління кадрової служби США. Скомпрометовано відбитки пальців 5.6 мільйона федеральних службовців. Директор OPM публічно визнала: замінити відбитки неможливо. ФБР попередило, що ці дані можуть використовуватись для розкриття особи агентів протягом десятиліть. Wired, 2015

Biostar 2 Leak (2019) — злом платформи контролю доступу Suprema. Витекли відбитки пальців і дані розпізнавання обличчя 1+ мільйона людей у відкритому (незашифрованому) форматі. Дослідники vpnMentor виявили базу у відкритому доступі. The Guardian, 2019

Aadhaar Data Exposure (2018) — журналісти Tribune India продемонстрували, що анонімні посередники продавали доступ до системи за $8. Потенційно під загрозою — дані мільярда людей, включно з біометрією. Tribune India, 2018

Що World робить правильно — і де залишається ризик

Ризик незворотності	Що знижує ризик у World	Що залишається відкритим
Витік зображення	Зображення видаляється локально одразу після генерації IrisCode	Добровільне зберігання для покращення моделі — деталі не розкриті
Витік IrisCode	SMPC: повний код не існує в одному місці	Склад вузлів непрозорий; поведінка при зміні власника компанії невизначена
Крос-система ідентифікація	Інший алгоритм кодування, ніж у державних системах	Сумісність з майбутніми системами невизначена
Довгострокова вразливість	Квантова стійкість SMPC (information-theoretic security)	Майбутні методи атаки на liveness detection непередбачувані

❌ Ключовий висновок: World архітектурно вирішила проблему сьогоднішнього витоку IrisCode. Але біометрія — це не пароль, термін дії якого закінчується. Це ідентифікатор на все життя. Оцінювати ризики потрібно не на горизонті 2–3 роки, а на горизонті 20–30 років — з урахуванням змін технологій атаки, законодавства і корпоративних структур.

Джерела: Wired: OPM breach fingerprints, 2015 · The Guardian: Biostar 2, 2019 · Tribune India: Aadhaar, 2018

🎯 Реакція регуляторів: Іспанія, Німеччина, Кенія, Індонезія

З 2023 по 2025 рік World зіткнулась з регуляторними діями у більш ніж 10 країнах. Претензії різні: від порушення принципу інформованої згоди до відмови надати документацію регуляторам. Кенія у травні 2025 стала першою країною, яка юридично зобов'язала компанію видалити всі зібрані дані.

Хронологія регуляторних дій

Країна	Дата	Дія	Статус (2025)
🇪🇸 Іспанія (AEPD)	Березень 2023	Тимчасова заборона операцій. Претензія: недостатня інформована згода, збір даних неповнолітніх.	Розслідування триває. Штраф не виданий.
🇩🇪 Баварський DPA	Вересень 2024	Офіційний висновок: обробка IrisCode порушує GDPR — відсутня законна підстава для обробки біометрії. Рекомендовано припинити обробку у ЄС.	Обов'язкового наказу не видано, але висновок є прецедентом для ЄС.
🇧🇷 Бразилія (ANPD)	Червень 2023	Призупинення операцій. Претензії: ризики для неповнолітніх, недостатній захист даних.	Часткове відновлення після змін у політиці конфіденційності.
🇰🇪 Кенія	Травень 2025	Рішення суду: World зобов'язана видалити всі біометричні дані громадян Кенії. Підстава: відсутність належної оцінки впливу на приватність (DPIA) до початку операцій.	Виконання рішення під наглядом. Найжорсткіша регуляторна дія проти World.
🇮🇩 Індонезія	Травень 2025	Тимчасова заборона операцій. Міністерство зв'язку: компанія не виконала вимоги щодо реєстрації та захисту даних за індонезійським законодавством.	Переговори тривають.
🇭🇰 Гонконг	2023	Обшуки поліції в офісах операторів. Заборона подальших операцій.	Операції не відновлені.
🇵🇹 Португалія, 🇨🇴 Колумбія, 🇮🇳 Індія, 🇰🇷 Південна Корея	2023–2024	Відкриті розслідування або запити на надання документації.	Різний статус, жодного остаточного рішення.

Спільні претензії регуляторів

Аналіз регуляторних рішень виявляє три системні проблеми, які повторюються у різних юрисдикціях:

Інформована згода. Регулятори у кількох країнах встановили, що користувачі не були належним чином поінформовані про те, які дані збираються, як вони зберігаються і які права вони мають. Особливо гостро це питання стоїть щодо збору даних неповнолітніх.

Відсутність оцінки впливу (DPIA). GDPR і аналогічні закони вимагають проведення Data Protection Impact Assessment перед запуском масового збору біометрії. Кенійський суд прямо вказав на відсутність DPIA як підставу для видалення даних.

Юрисдикція і підзвітність. Worldcoin Foundation зареєстрована на Кайманських островах. Для регуляторів ЄС і інших демократичних країн це означає відсутність прямих важелів впливу — вони можуть заборонити операції на своїй території, але не можуть безпосередньо перевірити відповідність.

Джерела: Баварський DPA: офіційний висновок, вересень 2024 · Reuters: Кенія, серпень 2023 · TechCrunch: Кенія та Індонезія, травень 2025

🎯 Що говорить GDPR про біометричні дані

GDPR відносить біометричні дані до «особливих категорій» з найвищим рівнем захисту. Обробка за замовчуванням заборонена. World посилається на виключення «явна згода» — але регулятори ЄС послідовно оскаржують відповідність цієї згоди чотирьом критеріям GDPR.

Що таке «особливі категорії» за GDPR і чому це важливо

Стаття 9 GDPR виділяє дев'ять категорій даних, обробка яких несе підвищений ризик для прав людини: расове і етнічне походження, політичні погляди, релігійні переконання, біометричні дані, дані про здоров'я та інші. Для цих категорій стандартних підстав обробки (ст. 6 GDPR) недостатньо — потрібна додаткова підстава з десяти виключень Статті 9(2).

Ключове формулювання Статті 9(1): заборонена обробка біометричних даних «з метою однозначної ідентифікації фізичної особи». Саме це World і робить — IrisCode генерується для глобальної дедуплікації, тобто для однозначної ідентифікації унікальності людини. Ця ціль підпадає під заборону за замовчуванням.

Десять виключень зі Статті 9(2) — і яке з них застосовує World

Виключення	Суть	Застосовність до World
9(2)(a) — Явна згода	Суб'єкт надав явну, вільну, конкретну, поінформовану і однозначну згоду	⚠️ World посилається на це виключення. Регулятори оскаржують усі чотири критерії
9(2)(b) — Трудові права	Необхідно для виконання зобов'язань у сфері трудового права	❌ Не застосовується
9(2)(g) — Суспільний інтерес	Необхідно з міркувань суттєвого суспільного інтересу на підставі права ЄС або держави-члена	❌ Приватна компанія не може посилатись на суспільний інтерес без законодавчої підстави
9(2)(j) — Наукові дослідження	Необхідно для наукових або статистичних цілей	❌ Комерційна верифікація не є науковим дослідженням
Інші 6 виключень	Охорона здоров'я, юридичні вимоги, захист інтересів тощо	❌ Не застосовуються до сценарію World

Таким чином, World має лише одну реалістичну підставу — явна згода за ст. 9(2)(a). І саме цю підставу регулятори послідовно оскаржують.

Чотири критерії «явної згоди» — і де World їх не виконує

За GDPR згода є дійсною лише якщо вона одночасно: вільна, конкретна, поінформована і однозначна. Розглянемо кожен критерій:

Критерій	Вимога GDPR	Ситуація у World	Позиція регуляторів
Вільна	Відмова від згоди не повинна мати негативних наслідків для суб'єкта	Без верифікації — немає WLD-токенів. Матеріальне стимулювання створює тиск на рішення.	Баварський DPA (2024): стимул у вигляді криптовалюти ставить під сумнів вільність згоди
Конкретна	Окрема згода для кожної мети обробки	Одна згода охоплює: верифікацію, дедуплікацію, покращення алгоритмів, можливе зберігання зображень	AEPD Іспанія (2023): недостатня гранулярність згоди для різних цілей обробки
Поінформована	Суб'єкт повинен розуміти, хто, що, як і навіщо обробляє	Ранні версії застосунку не розкривали деталі SMPC, склад вузлів, алгоритм дедуплікації	Бразилія ANPD (2023): недостатня інформація про трансфер даних і субобробників
Однозначна	Чітка ствердна дія — не мовчазна згода або пре-відмічені чекбокси	Кнопка «Почати верифікацію» без окремого підтвердження для кожної категорії даних	Баварський DPA: дизайн згоди не відповідає вимогам однозначної ствердної дії

Стаття 35 GDPR: обов'язкова оцінка впливу (DPIA)

Окрім питання згоди, є ще одне системне порушення, яке згадують майже всі регулятори: відсутність Data Protection Impact Assessment (DPIA) перед запуском операцій.

Стаття 35 GDPR вимагає обов'язкового DPIA у трьох випадках — World підпадає під всі три одночасно:

Систематична і масштабна обробка біометричних даних.

Обробка, що може призвести до ризику для прав і свобод фізичних осіб.

Нові технології, вплив яких на приватність не оцінений.

DPIA повинен бути проведений до початку обробки — не після. Кенійський суд (травень 2025) прямо вказав відсутність DPIA як основну підставу для наказу про видалення всіх зібраних даних.

Практичні наслідки для користувачів у ЄС

Право за GDPR	Стаття	Реалізація у World	Як скористатись
Право на видалення («право бути забутим»)	Ст. 17	✅ Функція «unverify» у World App	Settings → Privacy → Delete my data
Право на доступ до своїх даних	Ст. 15	⚠️ Частково: можна отримати метадані, але не IrisCode у читабельному форматі	Запит через [email protected]
Право на портативність	Ст. 20	⚠️ Обмежено: IrisCode як числовий вектор не надається — лише агреговані дані акаунту	Запит через офіційні канали
Право на заперечення	Ст. 21	✅ Можна відмовитись від обробки для маркетингу і аналітики	Settings → Privacy Preferences
Право на пояснення автоматизованих рішень	Ст. 22	❓ Невизначено: якщо верифікацію відхилено — пояснення алгоритму не надається	Механізм оскарження не описаний публічно
Право на скаргу до DPA	Ст. 77	✅ Повністю — як громадянин ЄС ви можете подати скаргу до національного DPA	Знайти свій DPA: edpb.europa.eu

⚠️ Важливо знати: навіть якщо ви скористались «unverify» і видалили IrisCode — ваш публічний ключ залишається у блокчейні World Chain назавжди. GDPR гарантує «право бути забутим» щодо персональних даних у системах компанії — але не щодо публічних записів у децентралізованому блокчейні. Це юридично невирішена колізія між правом на видалення і незмінністю блокчейну.

Джерела: GDPR Article 9 · GDPR Article 35: DPIA · Баварський DPA · EDPB Guidelines on Consent

🎯 Що ми не знаємо про систему World Orb

Прозорість World вища за більшість комерційних біометричних систем. Але є шість критичних питань, на які компанія досі не відповіла публічно. У сфері безпеки відсутність інформації — це не нейтральна позиція. Це ризик за замовчуванням.

Нижче — перелік відкритих питань, впорядкованих за критичністю для незалежної оцінки ризиків. Для кожного питання вказано: чому це важливо, що компанія говорить (якщо говорить) і що залишається невідомим.

1. Хто керує SMPC-вузлами, скільки їх і яка порогова схема?

Чому це критично: безпека SMPC повністю залежить від реальної незалежності вузлів. Якщо 3 з 5 вузлів контролює одна корпоративна група — математичний захист SMPC стає ілюзорним. Компанія може бути технічно чесною («ми не маємо доступу до повного коду») і водночас контролювати достатньо вузлів для відновлення секрету через афілійовані структури.

Що компанія говорить: World підтвердила перехід на SMPC, опублікувала код системи на GitHub і пройшла аудит Least Authority. Але склад операторів вузлів, їх кількість і мінімальний поріг для відновлення секрету не розкриті.

Що залишається невідомим: чи є серед операторів вузлів афілійовані з TfH компанії; яка юрисдикція більшості вузлів; чи може суд однієї країни отримати доступ до достатньої кількості вузлів для відновлення IrisCode.

2. Що саме витягує пропрієтарна модель feature extraction?

Чому це критично: нейронні мережі, навчені на зображеннях очей, потенційно можуть витягувати інформацію за межами текстури райдужки. Медичні дослідження задокументували кореляції між змінами райдужки і рядом захворювань: діабетична ретинопатія, гіпертонія, розсіяний склероз впливають на судини і тканини навколо ока. Якщо модель ненавмисно навчилась кодувати ці ознаки — IrisCode містить медичну інформацію, яку компанія не декларує.

Що компанія говорить: TfH стверджує, що модель витягує виключно текстурні ознаки для ідентифікації. Незалежно верифікувати це без доступу до ваг моделі неможливо.

Що залишається невідомим: точна архітектура і ваги моделі; на яких даних вона навчалась; чи проводилась перевірка на наявність прихованих кореляцій з демографічними або медичними ознаками.

3. Яка реальна точність системи (FAR і FRR)?

Чому це критично: будь-яка система розпізнавання має два типи помилок. FAR (False Accept Rate) — частота хибних підтверджень: система вирішує, що дві різних людини — одна. FRR (False Reject Rate) — частота хибних відмов: реальна людина не проходить верифікацію. При 26+ мільйонах користувачів навіть FAR = 10⁻⁷ означає статистично очікувані ~2-3 хибних підтвердження — тобто дві різних людини отримали однаковий World ID. Це підриває саму концепцію глобальної унікальності.

Що компанія говорить: World не опублікувала жодних показників точності. Для порівняння: класичний алгоритм Дофмана (IrisScan) має FAR ~10⁻⁶, що є академічним стандартом з 1990-х. World не вказала, чи перевищує її система цей поріг.

Що залишається невідомим: FAR і FRR при різних умовах освітлення; показники точності для різних демографічних груп (вікові, расові відмінності у текстурі райдужки); чи були задокументовані хибні збіги при дедуплікації.

4. Що відбудеться з даними при банкрутстві, поглинанні або примусовій ліквідації?

Чому це критично: при банкрутстві активи компанії — включно з SMPC-інфраструктурою, контрактами з операторами вузлів і метаданими верифікацій — переходять до ліквідатора або покупця. Новий власник може мати іншу політику приватності, іншу юрисдикцію і зовсім інші стимули. Умови використання World містять стандартне формулювання про передачу даних при корпоративних транзакціях — без обмежень щодо того, хто може стати покупцем.

Що компанія говорить: TfH вказує, що World Chain є публічним блокчейном і продовжить існувати незалежно від компанії. Але це стосується лише реєстру публічних ключів — не SMPC-інфраструктури, не World App і не правил верифікації.

Що залишається невідомим: чи існує юридично зобов'язуючий механізм захисту даних при зміні власника; хто контролюватиме SMPC-вузли після банкрутства; чи можуть WLD-токенхолдери через governance заблокувати продаж інфраструктури небажаному покупцю.

5. Як обробляються дані при невдалій верифікації?

Чому це критично: під час верифікації Orb збирає зображення райдужки і обличчя навіть якщо верифікація зрештою не проходить — через невдалий liveness check, низьку якість зображення або відмову системи. Що відбувається з цими даними? Чи вони видаляються одразу? Чи зберігаються для аналізу збоїв? Чи передаються у хмару для покращення моделі без явної згоди?

Що компанія говорить: World App не дає чіткої відповіді на це питання. Регулятори Бразилії і Іспанії ставили його під час розслідувань — публічна відповідь у документації компанії відсутня.

Що залишається невідомим: повний lifecycle даних при невдалій верифікації; чи є різниця в обробці між «технічним збоєм» і «відмовою через liveness detection»; чи сповіщається користувач про те, що його дані зібрані навіть якщо верифікація не завершена.

6. Чи може лікар або страхова компанія з IrisCode встановити медичний стан?

Чому це критично: це найбільш спекулятивне, але і найбільш довгострокове питання. Якщо майбутні дослідження підтвердять, що IrisCode містить приховані медичні ознаки — цінність бази стає зовсім іншою для страхових компаній, роботодавців або урядів. Сьогодні це гіпотетично. Але рішення про надання згоди приймається сьогодні — а наслідки матимуть місце через 10–20 років.

Що компанія говорить: TfH стверджує, що IrisCode не містить медичної інформації. Незалежних досліджень, що верифікують або спростовують це твердження для конкретної моделі World, не існує — через пропрієтарність моделі.

Що залишається невідомим: чи проводила компанія внутрішні дослідження на цю тему; чи є у технічній документації розділ про privacy-by-design щодо медичних ознак; яка позиція компанії щодо майбутніх запитів від медичних або страхових регуляторів.

❌ Методологічна ремарка: цей перелік — не звинувачення і не твердження про те, що компанія приховує щось негативне. Це стандартний перелік питань, які будь-який незалежний аудит безпеки поставив би будь-якій глобальній біометричній системі. Те, що більшість із них залишаються без публічної відповіді — само по собі є інформацією для оцінки ризиків. Зрілі технологічні компанії у сфері безпеки публікують threat models, показники точності і умови зберігання даних проактивно — не чекаючи регуляторних приписів.

Джерела: World: Open Sourcing IRIS · Least Authority: SMPC Audit · Forrester Research: World ID Overview · EDPB: Guidelines on Consent

❓ Часті питання (FAQ)

Чи може World передати мої дані уряду?

Технічно — після переходу на SMPC компанія не має доступу до повного IrisCode. Але Worldcoin Foundation зареєстрована на Кайманських островах і може бути зобов'язана виконати рішення місцевих судів. Кейс Кенії (2025) показав: регулятори можуть домогтись видалення даних — але не завжди отримують доступ до них.

Що станеться з моїм World ID, якщо я захочу його видалити?

World надає функцію «unverify»: IrisCode видаляється з SMPC-системи, World ID деактивується. Але публічний ключ у блокчейні залишається назавжди — це технічна особливість блокчейну, яку не можна усунути. Запис про те, що верифікація відбулась, залишиться у публічному реєстрі.

Чи безпечно давати згоду на зберігання зображень?

За замовчуванням зображення не зберігаються. Якщо ви надали згоду на тимчасове зберігання для покращення алгоритмів — вони зберігаються обмежений час (деталі у політиці конфіденційності World). Регулятори кількох країн мали претензії до формулювання цієї згоди — рекомендуємо не давати її, якщо ви не розумієте точних умов.

Чи поширюється GDPR на World, якщо я в ЄС?

Так. GDPR поширюється на будь-яку компанію, що обробляє дані громадян ЄС — незалежно від юрисдикції реєстрації компанії. Баварський DPA підтвердив це у своєму висновку (вересень 2024). Ви маєте права на видалення, доступ і заперечення.

⸻

✅ Висновки

World Orb має одну з найбільш технічно обґрунтованих архітектур серед комерційних біометричних систем: локальна обробка, необоротний IrisCode, ZKP для анонімної верифікації, SMPC для розподіленого зберігання. Це не маркетинг — це реальні криптографічні гарантії.

Але технічна архітектура — лише частина картини. Повна оцінка ризиків вимагає врахування:

Корпоративної структури — одна приватна компанія контролює правила, пристрої і інфраструктуру без незалежного нагляду, порівнянного з державними інституціями.
Регуляторної невизначеності — 10+ країн мають активні розслідування або заборони. Кенія (2025) показала: навіть при технічно коректній архітектурі юридична відповідність не гарантована.
Непрозорих елементів — модель витягання ознак, склад SMPC-вузлів, показники точності і план на випадок банкрутства залишаються невідомими.
Незворотності — якщо щось піде не так, замінити райдужку неможливо.

Аналітичний висновок: World Orb — це ставка на криптографічні гарантії замість правових інститутів. Ця ставка може виявитись правильною. Але вона вимагає рівня довіри до приватної компанії, який ще не підкріплений ані часом, ані незалежним аудитом у повному обсязі.

Читайте далі: Що таке World Orb і World ID: повний розбір Як World Orb перетворює райдужку на цифровий доказ World ID, Face ID і державна біометрія: у чому різниця Proof of Personhood: навіщо світу потрібен World Orb

Ключові слова:

World OrbWorld IDFace ID

Категорії