Kina lader nu borgere fravælge privat ansigtsgenkendelse. Gør dit land?
Det er ingen hemmelighed, at Kinas brug af ansigtsgenkendelsesteknologi (FRT) er den mest invasive i verden. I vores nyere analyse af, hvordan 100 lande bruger FRT , Kina havde den dårligste score med den mest udbredte brug af teknologien.
Men i en nylig drejning har Kinas højesteret givet borgerne ret til at nægte FRT-brug af private virksomheder, herunder banker, hoteller og natklubber. Dommen, som Højesteret har skyndt sig at eksekvere, fordi den 'ikke kunne vente længere', sikrer, at der opnås informeret, opt-in samtykke fra private virksomheder, der ønsker at bruge FRT.
Dette gør dette til et skelsættende tilfælde, placerer Kina hoved-og-skuldre over folk som USA, Storbritannien, Canada og Australien, når det kommer til at beskytte borgernes privatliv mod FRT-brug i private virksomheder.
Ikke alene er dette en iøjnefaldende sag, fordi den kommer fra et land, der er kendt for at tilsidesætte borgernes privatliv, men det placerer Kina i en elite (og utrolig lille) gruppe af lande, der har specifikke kendelser/lovgivninger omkring brugen af FRT til private virksomheder. Mens FRT vokser med en eksponentiel hastighed, formår mange lande ikke at holde trit med det gennem deres lovgivning. Så selvom visse privatlivsbeskyttelser kan ydes gennem f.eks. GDPR, betyder manglen på specifik og eksplicit lovgivning omkring brugen af ansigtsgenkendelse, at der er huller og smuthuller, der kan udnyttes.
For at finde ud af, hvordan Kinas nye dom står over for andre lande, har vi undersøgt de 25 bedste lande (ifølge BNP) for at se, hvilken lovgivning/domstolskendelser der er.
(Bemærk venligst: Thailand er i gang med at indføre en databeskyttelseslov, der vil sikre, at der søges eksplicit samtykke ved brug af følsomme data (inklusive biometriske data), men løbende forsinkelser gør dette uklart på nuværende tidspunkt).
Kina er blot et af seks lande, der styrer FRT i private virksomheder
Ud af de 25 lande, vi dækkede, har kun seks lande eksplicitte love/regler omkring brugen af FRT i private omgivelser. Disse er Kina, Brasilien, Spanien, Holland, Sverige og Belgien. Belgien forbyder kategorisk brugen af FRT, mens Spanien strengt begrænser brugen af det (generelt har det ikke noget juridisk grundlag undtagen under ekstreme omstændigheder, f.eks. for kritisk infrastruktur). Resten af reglen om, at udtrykkeligt samtykke er påkrævet (informeret, opt-in-samtykke). Men i Sveriges tilfælde er dette kun nødvendigt, hvis teknologien bruges til at identificere personer. Hvis det bruges på en anonymiseret måde (det bruger et tilfælde, hvor besøgendes bevægelsesmønstre blev overvåget, men ansigtsbilleder blev gemt/analyseret), er samtykke ikke påkrævet. Dette gør Sveriges dom mindre privatlivsbeskyttende end de andre inden for denne kategori.
Frankrig og Tyskland har også en vis vejledning fra deres relevante databeskyttelsesmyndigheder, som fastslår, at informeret, opt-in samtykke er nødvendigt.
I skarp kontrast er syv lande ikke i stand til at yde tilstrækkelig beskyttelse til borgerne, når det kommer til FRT ved ikke at have klare love og ikke udtrykkeligt at kræve samtykke. Disse er USA, Saudi-Arabien, Thailand, Taiwan, Indonesien, Canada og Indien.
I USA har kun en håndfuld stater/byer forbudt FRT (inklusive Maine, Massachusetts og byerne Minneapolis og San Francisco), men uden nogen føderal afgørelse eller vejledning om brugen heraf lader dette hver stat frit bestemme over FRT som den ønsker. I Canada er det i øjeblikket muligt at indsamle og dele ansigtsbilleder til identifikationsformål uden samtykke. Privacy Act undlader heller at inkludere eller definere ansigts- og biometriske oplysninger.
Nogle andre lande falder i mellem de to yderpunkter, der er nævnt ovenfor, med generel databeskyttelseslovgivning/-vejledning, der kan hjælpe med at begrænse brugen af FRT i private omgivelser. For eksempel kan EU-love og -anbefalinger træde i kraft i Schweiz, Tyskland, Polen og Italien, hvilket sikrer, at der opnås informeret, opt-in-samtykke. Men da lokal lovgivning ikke fortolker/håndhæver disse handlinger, er der mangel på klarhed på disse områder.
Yderligere seks lande kræver informeret, fravalgssamtykke, hvilket betyder, at et skilt, der viser brugen af FRT ved f.eks. en butiksdør, kan være tilstrækkeligt. Dette er tilfældet i Mexico, Japan, Tyrkiet, Sydkorea, Australien og Storbritannien.
I Australien, f.eks. en dagligvarebutikskæde, 7-Eleven, lanceret ansigtsgenkendelse på tværs af alle 700 af sine butikker for at bekræfte vurderinger i sin app. Et skilt, hvor der står: “Site er under konstant videoovervågning. Ved at gå ind i butikken giver du dit samtykke til, at ansigtsgenkendelseskameraer optager og gemmer dit billede” blev anset for tilstrækkeligt nok af butikkens advokater. Men i Storbritannien blev en tilsyneladende mere invasiv brug af teknologien implementeret i Co-op supermarkedet. Det stille installeret ansigtsgenkendelse i 18 af dets sydlige butikker i et forsøg på at bekæmpe butikstyveri. Systemet, Facewatch, scanner kundernes ansigter mod en database med mistænkte af interesse. Hvis nogen bliver 'genkendt', bliver de bedt om at forlade butikken. Virksomheden sagde, at der var klare skilte på plads for at overholde relevant lovgivning.
Hvordan opnår virksomheder informeret, opt-in-samtykke?
Ovenstående eksempler ses højst sandsynligt som den nemmeste og klareste måde at få folks samtykke på. Et skilt ved dørens indgang advarer besøgende om den anvendte teknologi, og hvis de træder ind i den viden, at FRT er på plads, giver de deres samtykke.
Dette er dog informeret, fravalgssamtykke (den besøgende giver ikke eksplicit sit samtykke gennem et underskrevet dokument, som de får på en tablet, før de går ind i butikken, for eksempel) og kommer med et stort antal bekymringer om privatlivets fred.
For det første kan skiltene være inden for frit udsyn for folk, der kommer ind i butikken, men tilføjer en menneskemængde, travl gade, folk, der skynder sig at udføre ærinder, og kan det garanteres, at alle besøgende har set eller stoppet op for at læse skiltet? Ingen.
For det andet kan teknologien installeres ved butiksindgange. Så hvis en kunde går op til butikken, bemærker skiltet, ikke giver sit samtykke og går væk, er deres billede muligvis allerede blevet fanget.
For det tredje giver butikken ikke kunderne en mulighed. Hvis de vil bruge butikken, skal de give samtykke. Dette fjerner det 'frit' og 'eksplicit' givne element, som nogle love kræver, når det kommer til samtykke.
Den komplekse proces, virksomheder skal igennem for at opnå samtykke, er måske grunden til, at der er få eksempler i lande med strenge, informerede, opt-in-samtykkekrav. At skulle få alle kunder til at underskrive en samtykkeerklæring for at komme ind i butikken ville være tidskrævende, dyrt og måske afskrækkende. Og det er før de overhovedet har adresseret, hvad der ville ske, hvis en besøgende nægtede deres samtykke (hvordan ville de fjerne deres billede fra kameraerne, mens de beholdt billederne af dem, der har givet samtykke?).
Men i lande med mere afslappede love, og hvor fravalgssamtykke anses for tilstrækkeligt nok, ser FRT på offentlige steder og især i supermarkeder ud til at vokse med en alarmerende hastighed.
Grundlæggende begrænser lande ved lovligt at kræve informeret, opt-in-samtykke alvorligt FRT-brug i private omgivelser, mens de i høj grad styrker borgernes beskyttelse af privatlivets fred. Og det faktum, at Kina nu er på forkant med disse beskyttelser, burde være et klart tegn for alle andre lande, der bruger FRT, som ikke har sådanne foranstaltninger på plads, at de skal handle hurtigt.
Metodik
Ved at bruge de 25 bedste lande i henhold til BNP søgte vi efter relevant lovgivning og afgørelser omkring brugen af ansigtsgenkendelsesteknologi i private omgivelser. Disse love/kendelser gælder muligvis for regeringer eller retshåndhævende myndigheder og/eller separate regler kan gælde for disse. Dette er ikke blevet dækket i denne undersøgelse.
Desuden har mange lande bestemmelser i deres lovgivning, der giver regeringer og retshåndhævende myndigheder ret til at bruge FRT i tilfælde af offentlig sikkerhed og andre sådanne omstændigheder. I disse typer sager kan offentlige myndigheder muligvis tilsidesætte krav til privatlivets fred i private virksomheder, hvis de kan bevise, at det er i den offentlige sikkerhed. Igen er dette uden for rammerne af vores forskning.
For en komplet liste over kilder og lovgivning, venligst besøg her .
Dataforsker:Rebecca Moody