Virksomheder tvunget til at kæmpe med overholdelse af ansigtsgenkendelses gåde
Indholdsfortegnelse:
Mit ansigt eller dit?
Den voksende brug af ansigtsgenkendelsesteknologier efterlader virksomheder over for en alvorlig gåde med privatliv og overholdelse af lovgivning.
Ansigtsgenkendelsesteknologi kan bruges til at identificere eller bekræfte en persons identitet ved hjælp af deres ansigt. Teknologien identificerer og måler ansigtstræk i et billede eller en video, før den sammenligner information med en database med kendte ansigter for at finde et match.
Offentlige rum
Ansigtsgenkendelsesteknologi kan bruges sammen med CCTV for offentlig sikkerhed, især omkring lufthavne og togstationer. Alligevel er implementeringer i både US og Europa har nogle gange været kontroversielle.
Ansigtsgenkendelse i ukontrollerede miljøer er upålidelig, hævder privatlivsforkæmpere.
Bortset fra potentielle trusler mod individets privatliv fra ansigtsgenkendelsesaktiveret masseovervågning, er der også bekymring for, at teknologien i forbindelse med offentlige rum kan føre til kønsbias og racemæssig profilering – ikke mindst fordi nogle algoritmer udviser mere falske positive mod farvede mennesker.
Den Europæiske Union foreslog et moratorium for ansigtsgenkendelse i offentlige rum tre år før hurtigt opgive ideen.
Brug af teknologien i grænsekontrol såsom lufthavne eller inden for sikre faciliteter til at håndhæve streng adgangskontrol er derimod langt mere pålidelig. Velkonstrueret ansigtsgenkendelsesbiometri kan også bruges som en autentificeringsmekanisme til logiske systemer eller applikationer.
EU's Generel databeskyttelsesforordning (GDPR) stiller strenge krav til behandling af biometriske data, herunder samtykke, gennemsigtighed, formålsbegrænsning og vurdering af privatlivets fred (for at beskytte mod mission kryb) sammen med dataopbevaring og minimeringsregler.
Sikker godkendelse
Mainstream-virksomheder er i stigende grad afhængige af ansigtsgenkendelse til at kontrollere adgangen til fysiske rum eller autentificere brugere gennem ID-bekræftelsestjenester. Disse kan stemme overens med overholdelse af GDPR – men kun at give omhyggelige databeskyttelseskonsekvensvurderinger, der tager hensyn til privatlivs- og overholdelseskrav, afsluttes først.
"I lyset af hurtige teknologiske fremskridt skal virksomheder forblive agile, ikke kun med hensyn til adoption, men også med at forstå de tilknyttede risici." Dave Holloway, CMO hos ISMS.online kommenterede.
Acuity Law-partneren Declan Goodwin tilføjede: "Jeg har set eksempler, hvor leverandører af ansigtsgenkendelsessoftware/hardware har solgt systemer til virksomheder, uden at køberen fuldt ud har overvejet overholdelseskravene først.
"Når overholdelseskravene er blevet gennemarbejdet, har køberen indset, at de ikke kan implementere det system, de har købt på en kompatibel måde eller er mangelfuldt."
Goodwin forklarede: "For eksempel kræves der medarbejdersamtykke, før systemet kan bruges til at klokke medarbejdere ind og ud af arbejde, og et sådant samtykke kan trækkes tilbage til enhver tid, hvilket gør fordelene ved den nye teknologi meget begrænsede. ICO forsøger at hjælpe dataansvarlige med sådan teknologi via deres [nylige] høring om udkast til vejledning om biometriske data".
Overholdelsesrammer tilbyder en blåkopi
Alex Wilkins, direktør og databeskyttelsesekspert hos ProCompliance, fortalte ISMS.online, at "rammer og standarder, herunder ISO 27001, ISO 27701 og NIST CSF, spiller en afgørende rolle i at hjælpe virksomheder med at positionere sig til at opnå overholdelse", når de udruller ansigtsgenkendelse. teknologier.
For eksempel ISO 27001-standard giver en systematisk tilgang til håndtering og beskyttelse af følsomme oplysninger, herunder data, der bruges af ansigtsgenkendelsesteknologi. "Implementering af ISO 27001 kan hjælpe virksomheder med at identificere risici, etablere kontroller og skabe et robust informationssikkerhedsstyringssystem (ISMS)," ifølge Wilkins.
ISO 27701 tilbyder en privatlivsudvidelse til ISO 27001, der eksplicit omhandler privatlivsstyring.
Virksomheder, der bruger ansigtsgenkendelsesteknologi til at sikre, at de håndterer personlige data i overensstemmelse med reglerne om privatliv, såsom GDPR.
"Selv om det ikke er specifikt for ansigtsgenkendelse, er NIST CSF en omfattende ramme til styring af cybersikkerhedsrisici," konkluderede Wilkins.
Matt Lewis, teknisk forskningsdirektør hos NCC Group, har forsket i virkningen af ansigtsgenkendelsesteknologi og dens konsekvenser for privatlivets fred for virksomheder.
Ansigtsgenkendelsesrisici og kontroverser
Der har været flere kontroverser relateret til ansigtsgenkendelsesteknologi.
I februar 2023 annoncerede Madison Square Garden, at det ville forbyde brugen af ansigtsgenkendelsesteknologi på sine spillesteder efter et tilbageslag fra aktivister og kunder, der protesterede mod masseovervågning på spillestedet.
I 2022 blev det afsløret, at Clearview AI havde samlet en database med over tre milliarder ansigtsbilleder uden samtykke fra de afbildede personer. Den britiske informationskommissærs kontor idømte ansigtsgenkendelsesfirmaet en bøde på mere end 7.5 millioner pund for at have overtrådt privatlivslovgivningen.
Overholdelse og ansigtsgenkendelse
Mens bekymringer om misbrug af ansigtsgenkendelse bør tages alvorligt, kan teknologien have gavnlige anvendelser.
Klarhed, en finansiel compliance-specialist, behandler cirka 6 milliarder dollars årligt i grænseoverskridende betalinger og bruger ansigtsgenkendelsesteknologi til sikkerhed og overholdelse.
Teknologien tilbyder finansiel inklusion til udelukkede regioner og medlemmer af samfundet, som historisk set har været udelukket fra finansielle tjenester, ifølge Clarency.
"Rigtig mange af vores transaktioner involverer regioner, som banker stort set udelukker," fortalte Jem Shaw, kommunikationschef hos Clarency til ISMS.online. "Ansigtsgenkendelsen er en del af et forbedret due diligence-program, der giver os mulighed for at handle i overensstemmelse med reglerne i sådanne regioner.
Clarency fanger rutinemæssigt billed-id og, i nogle tilfælde, en live-video af involverede modparter til identitetsbekræftelse.
"Forsøgspersonerne accepterer let kravet, da det giver dem mulighed for at udføre lovlige, sikre og overensstemmende forretninger, som ellers ville være umulige," tilføjede Shaw.
Clarency bruger også ansigtsgenkendelsesteknologi til hjemmeoverførsler og kontantbetalinger.
"Vi tilbyder en metode til at spore kontanter fra indbetaling til digitalisering for videre transmission til modtageren," forklarede Shaw. "Dette er drevet af ansigtsgenkendelse på betalingstidspunktet."
Forordninger om overholdelse af banker, som typisk påbyder, at data skal opbevares i minimum seks år, indeholder en konflikt med kravene i GDPR. Clarency bruger datahvælvingsteknologi til at forene disse tilsyneladende modstridende krav.
"Vi kan udløbe, slette eller ændre oplysninger i boksen efter GDPR-krav," forklarede Shaw. "Skulle en person anmode om sletning af personlige data, kan vi gøre det med det samme. Adgang kan kontrolleres med ubegrænset granularitet, ned til enkeltpersoner, organisationer, udløbsdatoer, antal visninger og så videre i det uendelige."
Ansigtsgenkendelsesteknologi "kaster alle mulige spørgsmål op om, hvorvidt denne teknologi kan underminere grundlæggende privatlivsrettigheder, og hvordan den kan holdes i skak," ifølge Natalie Cramp, administrerende direktør hos datavidenskabskonsulentfirmaet Profusion.
Cramp fortsatte: "Men ansigtsgenkendelsesteknologi tilbyder mange fordele - fra at forbedre sikkerhedsforanstaltninger, forbedre digitale oplevelser og beskytte virksomheder mod tyveri til endda at hjælpe med at finde forsvundne personer."
Rebecca Harper, leder af cybersikkerhedsanalyse hos ISMS.online, konkluderede: “Ansigtsgenkendelse har sine fordele, men som ethvert værktøj handler det om, hvordan du bruger det. Overholdelse kan ikke være en eftertanke."
