Yritykset joutuvat kamppailemaan kasvojentunnistuksen vaatimustenmukaisuuden kanssa

Minun kasvoni vai sinun?

Kasvojentunnistusteknologioiden lisääntyvä käyttö asettaa yritykset kohtaamaan vakavan yksityisyyden ja säännösten noudattamisen ongelman.

Kasvojentunnistusteknologian avulla voidaan tunnistaa tai vahvistaa henkilön henkilöllisyys hänen kasvojensa avulla. Tekniikka tunnistaa ja mittaa kasvojen piirteet kuvasta tai videosta ennen kuin se vertaa tietoja tunnettujen kasvojen tietokantaan löytääkseen vastaavuuden.

Julkiset tilat

Kasvojentunnistustekniikkaa voidaan käyttää CCTV:n kanssa yleisen turvallisuuden takaamiseksi, erityisesti lentokenttien ja rautatieasemilla. Silti käyttöönotot molemmissa US ja Eurooppa ovat joskus olleet kiistanalaisia.

Kasvojentunnistus hallitsemattomissa ympäristöissä on epäluotettavaa, yksityisyyden puolestapuhujat väittävät.

Sen lisäksi, että kasvojentunnistuksella varustetusta massavalvonnasta aiheutuu mahdollisia uhkia yksilön yksityisyydelle, on myös huolia siitä, että teknologia julkisissa tiloissa voi johtaa sukupuoleen kohdistuvaan ennakkoluuloisuuteen ja rotuprofilointi – ei vähiten siksi, että jotkut algoritmit näyttävät enemmän vääriä positiivisia värillisiä ihmisiä vastaan.

Euroopan unioni ehdotti kolme vuotta aiemmin kasvojentunnistuksen moratoriota julkisissa tiloissa ajatuksesta luopuminen.

Sitä vastoin tekniikan käyttö rajatarkastuksissa, kuten lentokentillä tai turvallisissa tiloissa tiukan pääsyn valvonnan toteuttamiseksi, on paljon luotettavampaa. Hyvin suunniteltuja kasvojentunnistusbiometrioita voidaan käyttää myös loogisten järjestelmien tai sovellusten todennusmekanismina.

EU Yleinen tietosuojadirektiivi (GDPR) asettaa tiukat vaatimukset biometristen tietojen käsittelylle, mukaan lukien suostumus, läpinäkyvyys, käyttötarkoituksen rajoittaminen ja yksityisyyden vaikutusten arviointi (tehtävän hiipimisen välttämiseksi) sekä tietojen säilyttämis- ja minimointisäännöt.

Suojattu todennus

Yleiset yritykset luottavat yhä enemmän kasvojentunnistukseen fyysisiin tiloihin pääsyn hallitsemiseksi tai käyttäjien todentamiseksi henkilöllisyystodistuspalvelujen avulla. Nämä voivat olla GDPR:n mukaisia, mutta vain edellyttäen, että tietosuoja- ja vaatimustenmukaisuusvaatimukset huomioon ottavat huolelliset tietosuojavaikutusten arvioinnit suoritetaan ensin.

"Teknologisen nopean kehityksen edessä yritysten on pysyttävä ketterinä paitsi omaksumisessa, myös siihen liittyvien riskien ymmärtämisessä." Dave Holloway, ISMS.onlinen markkinajohtaja kommentoi.

Acuity Law -kumppani Declan Goodwin lisäsi: "Olen nähnyt esimerkkejä, joissa kasvojentunnistusohjelmistojen/laitteistojen myyjät ovat myyneet järjestelmiä yrityksille ilman, että ostaja on ensin täysin harkinnut vaatimustenmukaisuusvaatimuksia. 

"Kun vaatimustenmukaisuusvaatimukset on käyty läpi, ostaja on ymmärtänyt, ettei hän pysty toteuttamaan ostamaansa järjestelmää vaatimustenmukaisella tavalla tai se on puutteellinen."

Goodwin selitti: "Esimerkiksi työntekijän suostumus vaaditaan ennen kuin järjestelmää voidaan käyttää työntekijöiden töihin ja poissaoloon, ja tällainen suostumus voidaan peruuttaa milloin tahansa, mikä tekee uuden teknologian eduista erittäin rajalliset. ICO yrittää auttaa rekisterinpitäjät tällaisella tekniikalla heidän [äskettäin] kuuleminen biometristen tietojen ohjeista"

Compliance Frameworks tarjoaa suunnitelman

Alex Wilkins, ProCompliancen johtaja ja tietosuojaasiantuntija, kertoi ISMS.online-sivustolle, että "kehykset ja standardit, mukaan lukien ISO 27001, ISO 27701 ja NIST CSF, ovat ratkaisevassa asemassa auttaessaan yrityksiä asettamaan itsensä vaatimusten mukaiseksi" kasvojentunnistuksen käyttöönotossa. teknologioita.

Esimerkiksi ISO 27001 -standardi tarjoaa järjestelmällisen lähestymistavan arkaluonteisten tietojen hallintaan ja suojaamiseen, mukaan lukien kasvojentunnistustekniikan käyttämät tiedot. "ISO 27001:n käyttöönotto voi auttaa yrityksiä tunnistamaan riskejä, luomaan valvontaa ja luomaan vankan tietoturvan hallintajärjestelmän (ISMS), Wilkinsin mukaan.

ISO 27701 tarjoaa ISO 27001 -standardin tietosuojalaajennuksen, joka käsittelee yksityisyyden hallintaa.

Yritykset, jotka käyttävät kasvojentunnistustekniikkaa varmistaakseen, että he käsittelevät henkilötietoja tietosuojamääräysten, kuten GDPR:n, mukaisesti.

"Vaikka NIST CSF ei ole nimenomaan kasvojentunnistukseen, se on kattava kehys kyberturvallisuusriskien hallintaan", Wilkins totesi.

Matt Lewis, NCC Groupin tekninen tutkimusjohtaja, on tutkinut kasvojentunnistusteknologian vaikutuksia ja sen vaikutuksia yritysten yksityisyyteen.

Kasvojentunnistuksen riskit ja ristiriidat

Kasvojentunnistustekniikkaan liittyy useita kiistoja.

Helmikuussa 2023 Madison Square Garden ilmoitti kieltävänsä kasvojentunnistustekniikan käytön paikoissaan sen jälkeen, kun aktivistit ja asiakkaat vastustivat massavalvontaa tapahtumapaikalla.

Vuonna 2022 paljastettiin, että Clearview AI oli koonnut yli kolmen miljardin kasvokuvan tietokannan ilman kuvattujen henkilöiden suostumusta. Yhdistyneen kuningaskunnan tietokomissaarin toimisto määräsi kasvojentunnistusyritykselle yli 7.5 miljoonan punnan sakon tietosuojalakien rikkomisesta.

Vaatimustenmukaisuus ja kasvojentunnistus

Vaikka huoli kasvojentunnistuksen väärinkäytöstä on otettava vakavasti, tekniikalla voi olla hyödyllisiä sovelluksia.

Selkeys, taloudellisten vaatimustenmukaisuuden asiantuntija, käsittelee vuosittain noin 6 miljardia dollaria rajat ylittäviä maksuja ja käyttää kasvojentunnistustekniikkaa varmuuden ja vaatimustenmukaisuuden takaamiseen.

Clarencyn mukaan tekniikka tarjoaa taloudellisen osallisuuden syrjäytyneille alueille ja yhteiskunnan jäsenille, jotka ovat historiallisesti olleet rahoituspalvelujen ulkopuolelle.

"Monet liiketoimistamme koskevat alueita, jotka pankit suurelta osin sulkevat pois", Clarencyn viestintäpäällikkö Jem Shaw kertoi ISMS.online-sivustolle. "Kasvojentunnistus on osa tehostettua due diligence -ohjelmaa, jonka avulla voimme toimia vaatimusten mukaisesti tällaisilla alueilla. 

Clarency tallentaa rutiininomaisesti valokuvallisen henkilötodistuksen ja joissakin tapauksissa live-videon asianomaisista vastapuolista henkilöllisyyden vahvistamista varten.

"Koehenkilöt hyväksyvät vaatimuksen helposti, koska sen avulla he voivat käydä laillista, turvallista ja vaatimustenmukaista liiketoimintaa, joka muuten olisi mahdotonta", Shaw lisäsi.

Clarency käyttää myös kasvojentunnistustekniikkaa kotilähetyksiin ja käteismaksuihin.

"Tarjoamme menetelmän käteisen jäljittämiseen maksusta sen digitointiin, jotta se voidaan lähettää edelleen vastaanottajalle", Shaw selitti. "Tätä ohjaa kasvojentunnistus maksupisteessä."

Pankkitoiminnan noudattamista koskevat määräykset, jotka yleensä edellyttävät, että tietoja on säilytettävä vähintään kuusi vuotta, ovat ristiriidassa GDPR:n vaatimusten kanssa. Clarency käyttää datavarastoteknologiaa sovittaakseen yhteen nämä näennäisesti ristiriitaiset vaatimukset.

"Voimme vanhentaa, poistaa tai muuttaa varaston tietoja GDPR-vaatimusten mukaisesti", Shaw selitti. "Jos henkilö pyytää henkilötietojen poistamista, voimme tehdä sen välittömästi. Pääsyä voidaan hallita rajoittamattomalla tarkkuudella aina yksilöihin, organisaatioihin, vanhentumispäiviin, näyttökertojen määrään ja niin edelleen loputtomiin."

 Kasvojentunnistustekniikka "herättää kaikenlaisia ​​kysymyksiä siitä, voisiko tämä tekniikka heikentää perusoikeuksia yksityisyyteen ja kuinka se voidaan pitää kurissa", datatieteen konsulttiyhtiö Profusionin pääjohtaja Natalie Cramp sanoo.

 Cramp jatkoi: "Kasvojentunnistustekniikka tarjoaa kuitenkin monia etuja - turvatoimien parantamisesta, digitaalisten kokemusten parantamisesta ja yritysten suojaamisesta varkauksilta aina kadonneiden ihmisten löytämiseen."

 Rebecca Harper, ISMS.onlinen kyberturvallisuusanalyysin päällikkö, totesi: "Kasvojentunnistuksella on puolensa, mutta kuten kaikissa työkaluissa, se riippuu siitä, miten sitä käytetään. Sääntöjen noudattaminen ei voi olla jälkikäteen."