Veido atpažinimo technologijos – europietiško požiūro formavimo procesas
2021 m. sausio 28 d. Europos Tarybos konsultacinis komitetas dėl 108 konvencijos (Konvencija dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu) pateikė gaires dėl veido atpažinimo technologijų naudojimo. Straipsnyje apžvelgiamos svarbiausios šių gairių nuostatos.
Veido atpažinimas yra automatinis skaitmeninių vaizdų, kuriuose yra asmenų veidai, apdorojimas siekiant identifikuoti ar patikrinti tuos asmenis, naudojant veido šablonus. Iš esmės, veido atpažinimo sistemos veikimo principą galima būtų suskirstyti į tris žingsnius – veido aptikimą (sistema atpažįsta ir suranda žmogaus veidą vaizdiniuose ar vaizdo įrašuose), veido fiksavimą (žmogaus veidas, jo veido bruožai yra transformuojami į skaitmeninės informacijos (duomenų) rinkinį) ir veidų atitikimo procesą (šio proceso metu tikrinama, ar du veidai priklauso tam pačiam asmeniui).
Pažymėtina, jog biometrinių duomenų svarba Europoje buvo pripažinta įtraukus duomenis, padedančius unikaliai identifikuoti asmenį, priklausantį specialioms kategorijoms į Konvenciją dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (toliau – Konvencija). Antai 6 Konvencijos straipsnyje įtvirtinta, jog asmens duomenys apie rasinę kilmę, politines pažiūras ir religinius bei kitus įsitikinimus ir asmens duomenys apie sveikatą bei intymų gyvenimą negali būti tvarkomi automatizuotai, jeigu nacionaliniuose teisės aktuose nėra numatyta atitinkamų apsaugos garantijų. Tokie pat reikalavimai taikomi ir asmens duomenims apie teistumą. Atitinkamai, tokie duomenys laikomi ypatingais asmens duomenimis.
Nors veido atpažinimo sistemų naudojimas, tarkime, telefono įrenginio atrakinimui atrodo visai nekenksmingas, masinis stebėjimas ar didelio masto didžiųjų duomenų (angl. big data) rinkimas ir apdorojimas gali kelti pavojų fundamentaliai asmens teisei į privatumą bei į asmens duomenų apsaugą, taip pat kitoms pagrindinėms teisėms. Antai 2020 m. vasario 19 d. Europos Komisijos priimtoje Europos duomenų strategijoje akcentuojama, jog Europos Sąjunga turi potencialą susilaukti sėkmės duomenų ekonomikoje. Ji turi reikiamas technologijas, praktinę patirtį ir aukštos kvalifikacijos darbo jėgą. Europos potencialą turime išnaudoti europietiškai – užtikrinti duomenų judėjimą ir platų jų naudojimą kartu išlaikant aukštus privatumo, saugumo, saugos ir etikos standartus. Būtent šio – europietiško – modelio, kuriame itin vertinamos pagrindinės žmogaus teisės, kontekste yra formuojamas europietiškas požiūris į veido atpažinimo technologijas.
Svarbiausios mintys iš Europos Tarybos konsultacinio komiteto dėl Konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (Konvencija Nr. 108) 2021 m. sausio 28 d. pateiktų gairių dėl veido atpažinimo technologijų:
I. Gairės įstatymų leidėjams bei sprendimų priėmėjams.
- Veido atpažinimo priemonių naudojimas turi būti įvertintas atsižvelgus į proporcingumą tikslui ir poveikiui duomenų subjekto teisėms.
- Skirtingi naudojimo atvejai turėtų būti suskirstyti į kategorijas, o duomenų tvarkymui, kai naudojamos veido atpažinimo technologijos, turėtų būti taikomas atitinkamas teisinis reglamentavimas. Šis teisinis reglamentavimas turėtų apimti: išsamius konkretaus tikslo ir paskirties paaiškinimus; minimalų naudojamo algoritmo patikimumą ir tikslumą; naudojamų nuotraukų saugojimo trukmę; galimybę atlikti šių kriterijų auditą; proceso atsekamumą; apsaugos priemones.
- Griežtas tam tikrų naudojimo būdų ribojimas. Veido atpažinimas naudojamas tik siekiant nustatyti žmogaus odos spalvą, religinius ar kitus įsitikinimus, lytį, rasinę ar etninę kilmę, amžių, sveikatos būklę ar socialinę padėtį, turėtų būti uždraustas, nebent įstatymai numato tinkamas apsaugos priemones, kad būtų išvengta bet kokios su diskriminacija susijusios rizikos.
- Poveikio atpažinimas (angl. affect recognition) taip pat gali būti atliekamas naudojant veido atpažinimo technologijas siekiant identifikuoti asmenybės bruožus, vidinius jausmus, psichinę sveikatą ar darbuotojų įsitraukimą. Poveikio pripažinimo susiejimas, pavyzdžiui, su darbuotojų samdymu, galimybe gauti draudimą, švietimu gali kelti didelį susirūpinimą tiek individualiu, tiek visuomenės lygmeniu ir turėtų būti uždraustas.
- Skaitmeninių vaizdų, patalpintų internete, įskaitant socialinę mediją, ar iš nuotraukų tvarkymo svetainių internete, ar tų, kurie buvo užfiksuoti per stebėjimo kameras, naudojimas negali būti laikomas teisėtu remiantis tik tuo pagrindu, kad tokie asmens duomenys buvo aiškiai prieinami.
- Įstatymų leidėjai ir sprendimus priimantys asmenys turėtų užtikrinti, kad esamos skaitmeninių vaizdų duomenų bazės, kurios buvo naudotos kitiems tikslams, galėtų būti naudojamos biometrinių šablonų sudarymui ir jų integravimui į biometrines sistemas tik tais atvejais, kai tam yra teisėti tikslai ir tai numato įstatymas, kai tai atitinka būtinojo reikalingumo kriterijus ir yra užtikrinamas proporcingumas (pavyzdžiui, teisėsaugos ar medicinos tikslais).
- Atsižvelgus į galios disbalansą tarp duomenų subjektų ir viešojo sektoriaus institucijų, tik asmens sutikimas naudoti veido atpažinimą paprastai neturėtų būti pakankamas pagrindas valdžios institucijoms naudoti veido atpažinimą. Veido atpažinimo technologijų naudojimo teisėtumas turi būti grindžiamas remiantis biometrinių duomenų apdorojimo tikslais, numatytais įstatymuose ir tik tokiais, kurie yra suvokiami kaip būtinos apsaugos priemonės, papildančios Konvenciją Nr. 108.
- Privačių subjektų veido atpažinimo technologijų naudojimas, išskyrus privačius subjektus, įgaliotus atlikti panašias užduotis, kaip ir valdžios institucijos, pagal Konvencijos Nr. 108 5 straipsnį reikalauja aiškaus, konkretaus, laisvo ir pagrįsto duomenų subjekto, kurio duomenys yra tvarkomi, sutikimo. Atsižvelgus į tokio duomenų subjekto sutikimo reikalavimą, veido atpažinimo technologijos gali vykti tik kontroliuojamoje aplinkoje, patikrinimo arba autentifikavimo, arba skirstymo į kategorijas tikslais.
- Privatūs subjektai neturi naudoti veido atpažinimo technologijų nekontroliuojamoje aplinkoje, pavyzdžiui, prekybos centruose, ypač siekiant nustatyti tam tikrus asmenis rinkodaros tikslais ar privataus saugumo tikslais. Buvimas aplinkoje, kurioje naudojamos veido atpažinimo technologijos, negali būti laikomas aiškiu sutikimo davimu.
II. Gairės kūrėjams, gamintojams ir paslaugų teikėjams.
- Biometriniams duomenims, neišvengiamai atskleidžiantiems kitus neskelbtinus duomenis, pavyzdžiui, informaciją apie ligos ar fizinės negalios tipą, turėtų būti taikomos papildomos apsaugos priemonės.
- Įmonės, kuriančios ir parduodančios veido atpažinimo technologijas, turėtų imtis pagrįstų priemonių, tokių kaip rekomendacijų teikimas ir konsultavimas, padėti subjektams, kurie naudojasi jų paslaugomis, užtikrinti skaidrumą ir pagarbą privatumui (pavyzdžiui, suteikiant jiems pavyzdinę kalbą dėl privatumo politikos arba rekomenduodami aiškius, lengvai suprantamus ženklus, kurie rodo, kad veido atpažinimo technologija yra įdiegta konkrečioje erdvėje).
III. Gairės subjektams, naudojantiems veido atpažinimo technologijas.
- Subjektai, naudojantys veido atpažinimo technologijas, turi sugebėti įrodyti, kad toks naudojimas yra būtinas ir proporcingas, atsižvelgiant į konkretų jų naudojimo kontekstą ir kad tai nevaržo duomenų subjektų teisių.
- Subjektai turi užtikrinti gyvos (angl. live) veido atpažinimo technologijų diegimą kad, kad skirtingiems perdirbimo etapams būtų taikomi skirtingi saugojimo ribojimo laikotarpiai: (i) jei nėra biometrinių šablonų atitikties, asmenų, kurie yra nekontroliuojamoje stebėjimo aplinkoje, biometriniai šablonai negali būti kaupiami ir turi būti automatiškai ištrinami; (ii) jei yra atitikimas, biometrinius šablonus galima laikyti griežtai ribotą laiką, kurį numato įstatymai kartu su būtinomis apsaugos priemonėmis ir atitikimo ataskaitomis, įskaitant asmens duomenis, kurie taip pat gali būti laikomi ribotą laiką; (iii) bet kuriuo atveju, stebėjimo sąrašas ir biometriniai šablonai turi būti ištrinti pasiekus tikslą, kuriam buvo pritaikytos gyvos veido atpažinimo technologijos.
IV. Duomenų subjektų teisės.
- Kadangi veido atpažinimas grindžiamas asmens duomenų tvarkymu, galioja visos duomenų subjektų teisės, numatytos Konvencijos Nr. 108 9 straipsnyje, pavyzdžiui, teisė į informaciją, teisė susipažinti su informacija ir teisė ją ištaisyti. Šios teisės gali būti ribojamos, tačiau tik tada, kai tokį apribojimą numato įstatymai ir tai yra būtina ir proporcinga priemonė demokratinėje visuomenėje esant teisėtiems tikslams. Duomenų subjektų teisių apribojimo atveju teisėsaugos institucijos turi informuoti duomenų subjektus, inter alia, apie jų teisę pateikti skundą priežiūros institucijoms valdžios institucijoms bei apie jų teisę į gynybą.
- Neteisingų atitikmenų (angl. matches) atveju duomenų subjektai gali prašyti ištaisyti duomenis, kad išvengtų tolesnių (pasikartojančių) klaidingų atitikmenų.
- Kai naudojant veido atpažinimo priemones siekiama priimti sprendimą, pagrįstą vien automatizuotu apdorojimu, kuris reikšmingai paveiktų duomenų subjektą, pastarasis turi turėti teisę į tai, kad toks tvarkymas nebūtų atliekamas neatsižvelgus į jo nuomonę apie tokį duomenų tvarkymą.
- Diegiant veido atpažinimo technologijas, veikiančias gyvai (angl. live), jei žmonės veikia ir priima sprendimus atsižvelgę tik į tokių technologijų sugeneruotus rezultatus, tai taip pat gali būti laikoma automatizuotu sprendimų priėmimu, kuris gali reikšmingai paveikti duomenų subjektą dėl galimai melagingų atitikmenų padarinių.
Informaciją parengė VU Teisės fakulteto Mokslinė teminė grupė „Administracinės teisės sistemos pokyčiai: adaptyvios lyderystės viešajame administravime link”