Wykorzystanie technologii rozpoznawania twarzy. Ułatwienie czy zagrożenie?

Technologia rozpoznawania twarzy to nic innego jak możliwość automatycznej identyfikacji osoby na podstawie jej zdjęcia (obrazu cyfrowego). Polega na porównaniu nagranego lub rejestrowanego na bieżąco obrazu do wcześniej zgromadzonej bazy danych. Zastanówmy się jakie korzyści, ale i zagrożenia niesie za sobą ta technologia i czy warto z niej korzystać?
Technologię rozpoznawania twarzy, z wykorzystaniem odpowiednich filtrów i algorytmów pracujących w czasie rzeczywistym, jak również poprzez analizę nagrań z monitoringu, oferuje coraz więcej firm informatycznych. Oprócz identyfikacji, może być ona również wykorzystywana do kategoryzacji osób według określonych cech, np. płci, wieku, wagi etc.

Zastosowanie technologii

Nie jest tajemnicą, że technologia ta jest coraz tańsza i bardziej dostępna. Jakiś czas temu w jednym ze stanów Australii rozważano zastosowanie jej w komunikacji miejskiej, w celu łatwiejszego dokonywania opłat za przejazd. Spotkało się to jednak z krytyką wielu aktywistów, którzy wskazywali, iż pomysł ten stanowi zagrożenie dla prywatności obywateli. Od niedawna system „Face Pay”, jest za to dostępny na stacjach moskiewskiego metra. Wszyscy zainteresowani skorzystaniem z tej formy zakupu biletów muszą dokonać wcześniejszej rejestracji w systemie, udostępniając operatorowi swoje zdjęcie, numer karty kredytowej oraz telefonu. Kamery przy bramkach rozpoznają takie osoby, a system pobiera z ich kont odpowiednią opłatę. Wykorzystanie technologii rozpoznawania twarzy testowane jest również w sklepach Amazon. Rozwiązanie o nazwie „Just walk out” umożliwia robienie zakupów bez korzystania z kas, dzięki rozpoznaniu osób oraz połączeniu z odpowiednią aplikacją mobilną.

Czy za tymi przykładami mogą pójść podmioty działające w innych sektorach gospodarki? Nietrudno wyobrazić sobie wykorzystanie tej technologii w branży eventowej. Może wspomagać chociażby kontrolę dostępu, w tym weryfikację biletów na imprezy. Wystarczy, aby zainteresowane osoby dokonały rejestracji w odpowiednim systemie i udostępniły swoją fotografię. Skoro da się w ten sposób przejść przez bramki moskiewskiego metra czy lotniska w Osace, to nie ma przeszkód, aby stadiony czy hale koncertowe również zastosowały takie ułatwienia. Czy jednak przepisy polskiego i unijnego prawa pozwalają na takie działanie?

Regulacje prawne

Bez wątpienia wykorzystanie technologii rozpoznawania twarzy może zagrażać prawom osób, których dane są w ten sposób przetwarzane. Może mieć to miejsce, gdy taka technologia jest wykorzystywana bez ich wiedzy lub gdy zebrane dane są używane w celach innych niż te, na które identyfikowane osoby się zgodziły. Dlatego przepisy regulujące korzystanie z technologii rozpoznawania twarzy to głównie uregulowania w obszarze ochrony danych osobowych.

Zgodnie z przepisami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 („RODO”), „wizerunek twarzy” może należeć do danych specjalnej kategorii – tzw. danych biometrycznych, których przetwarzanie jest mocno ograniczone. Podobnie jak informacji o pochodzeniu rasowym, przekonaniach religijnych czy danych genetycznych. Przetwarzanie zdjęć nie zawsze stanowi jednak przetwarzanie szczególnych kategorii danych osobowych. Dochodzi do tego wówczas, gdy są one przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości.

Jeżeli zatem np. nasze zdjęcie widnieje w firmowym intranecie jako nasza wizytówka lub nasz wizerunek pojawił się na zdjęciu widowni koncertu i został zamieszczony na stronie internetowej wydarzenia, to według RODO są to dane zwykłe. Jeżeli jednak zdjęcie jest analizowane za pomocą specjalnych systemów w taki sposób, aby skatalogować nasze cechy i ustalić tożsamość, to mamy już do czynienia z danymi „wrażliwymi”, co ma miejsce w przypadku technologii rozpoznawania twarzy.

Domyślny zakaz przetwarzania danych biometrycznych nie obowiązuje jedynie w przypadkach wskazanych w przepisach RODO. Jeżeli chodzi o wykorzystanie tej technologii w sektorze prywatnym, w praktyce podstawą do podjęcia takich działań może być wyłącznie zgoda na przetwarzanie danych osobowych. Zgoda musi być wyraźna (nie domniemana), konkretna, dobrowolna, świadoma i musi zostać udzielona w konkretnym celu. Jednocześnie osoby udostępniające wizerunek w celu identyfikacji powinny zostać wyczerpująco poinformowane o zasadach przetwarzania ich danych osobowych, w szczególności o prawie do cofnięcia zgody w dowolnym momencie i prawie do usunięcia ich danych osobowych (a zatem do usunięcia z bazy ich wizerunku). Aby zapewnić dobrowolność wyrażenia zgody, osobom, których dane dotyczą, należy zaoferować alternatywne rozwiązania do technologii rozpoznawania twarzy, które nie będą zbyt uciążliwe dla tych osób. Inaczej wybór nie byłby prawdziwy, a zgoda nie byłaby dobrowolna.

Na początku 2021 r. Komitet Konwencji nr 108 Rady Europy przyjął „Wytyczne dotyczące rozpoznawania twarzy”, które zawierają szereg wskazówek dotyczących zasad, które powinny być przestrzegane i stosowane w celu zapewnienie nienaruszalności godności, praw i podstawowych wolności każdej osoby, w tym prawa do ochrony danych osobowych. Wytyczne te adresowane są zarówno do ustawodawców krajowych, ale również twórców, producentów i dostawców oraz podmiotów wykorzystujących technologie rozpoznawania twarzy. Zgodnie z nimi, korzystanie z tej technologii to przede wszystkim przetwarzanie szczególnej kategorii danych, a zatem obowiązek zachowania wyższych standardów ochrony. Decydując się na takie rozwiązania, należy zadbać o sprawdzoną technologię i rzetelnych dostawców, którzy będą przestrzegać przepisów prawa oraz stosować wytyczne przedstawione przez organy zajmujące się ochroną danych osobowych.

W świetle dokumentu Rady Europy, kluczowe jest zapewnienie odpowiedniego poziomu bezpieczeństwa. Incydenty naruszenia danych mogą mieć bowiem poważne konsekwencje dla osób, których dane dotyczą. A to dlatego, że nieuprawnione ujawnienie wrażliwych danych może spowodować nieodwracalne skutki. Należy zatem zastosować odpowiednie środki bezpieczeństwa, zarówno na poziomie technicznym, jak i organizacyjnym. W celu ochrony danych, dotyczących rozpoznawania twarzy, przed utratą i nieuprawnionym dostępem lub wykorzystaniem przez podmioty nieuprawnione. Warto też podkreślić, że zgodnie z wytycznymi Rady Europy technologia rozpoznawania twarzy nie powinna być wykorzystywana w celu identyfikacji osób do celów marketingowych.

Korzyści i zagrożenia

Urząd Ochrony Danych Osobowych podkreśla, że „integracja technologii rozpoznawania twarzy z istniejącymi systemami nadzoru stwarza poważne zagrożenie dla praw do prywatności i ochrony danych osobowych, a także innych praw podstawowych, ponieważ korzystanie z tych technologii nie zawsze wymaga świadomości lub współpracy osób, których przetwarzane są dane biometryczne, z uwzględnieniem np. możliwości dostępu do cyfrowych zdjęć osób fizycznych w internecie”. W tym kontekście warto przywołać słynną  sprawę dotyczącą algorytmów Amazona, które „pomyliły” amerykańskich kongresmenów z osobami poszukiwanymi przez organy ściągania w ramach testów prowadzonych przez jedną z organizacji broniących praw obywateli. Pomyłki algorytmów rozpoznających twarz mogą skutkować wykluczeniem lub innymi negatywnymi konsekwencjami dla osób fizycznych.

W świetle publikacji organów zajmujących się ochroną prywatności i danych osobowych, technologia rozpoznawania twarzy niesie ze sobą wiele zagrożeń. Nie można tego typu argumentom odmówić słuszności. Wyciek baz danych biometrycznych, ich przejęcie i wykorzystanie przez podmioty nieuprawnione, wykorzystanie danych do celów innych niż zostały zebrane, a także bezprawna i nieuzasadniona inwigilacja obywateli, to tylko niektóre niebezpieczeństwa, jakie można sobie wyobrazić. Niemniej, technologia ta jest atrakcyjna i posiada ogromny potencjał. Daje wymierne korzyści nie tylko dla podmiotów ją wdrażających, ale także dla jej użytkowników (może służyć podnoszeniu ich komfortu). Dlatego należy założyć, że technologia rozpoznawania twarzy będzie z całą pewnością coraz szerzej wykorzystywana w różnych dziedzinach życia. Aby jednak nie dopuścić do nadużyć, konieczne jest pilne wprowadzenie szczegółowych regulacji w tym zakresie oraz zapewnienie nadzoru przez odpowiednie organy państwowe.

Artykuł ukazał się w magazynie Think Mice –https://www.thinkmice.pl/news/prawo/3453-wykorzystanie-technologii-rozpoznawania-twarzy-ulatwienie-czy-zagrozenie