Ansiktsgjenkjenning - en trussel for personvernet?

Av: Vilde Koch Fredriksen

Vilde Koch Fredriksen er konsulent i A-2 Norge. Hun har mastergrad i økonomisk styring og har en stor interesse for digitalisering og digitale forretningsmodeller.

Intelligent videoanalyse er en av teknologiene innen digitalisering som muliggjør store gevinster i næringslivet.

EU vurderer et midlertidig forbud for å få på plass tydelige rammeverk for bruk. I Norge har vi et strengt reglement rundt personvern. I takt med digitaliseringen av samfunnet forventes det at bruken av intelligent videoanalyse og kunstig intelligens vil øke. Dermed blir det viktig å kontinuerlig verne om våre personvernprinsipper, samtidig som vi legger et grunnlag for å kunne høste gevinster av de nye teknologiene.

Kafé på løkka og Boarding på Heathrow

Individuelt tilpasset markedsføring, kundeanalyse og betalingsløsninger er noen av bruksområdene i utvikling i Norge i dag. Kaféen Heimatt ved Grünerløkka i Oslo, er et eksempel på sistnevnte. Her har TINE og DNB gjennomført en testpilot med deres betalingsløsning Blunk. Med Blunk behøver man hverken bankkort eller mobil for å gjennomføre en transaksjon.

Intelligent videoanalyse testes for stadig flere bruksområder på Heathrow flyplass. Tanken er at man ikke lenger skal behøve pass, boarding-kort eller mobil for hverken innsjekk, sikkerhetskontroll eller boarding.

Ifølge Datatilsynet er etterspørselen etter intelligent videoanalyse i Norge høy, og benyttes i økende grad i kommersielle sammenhenger. Teknologiene karakteriseres imidlertid ikke som «vanlige» riktig enda. Med andre ord kan vi i takt med digitaliseringen forvente en utvikling i årene fremover, hvor vi i økende grad vil ta i bruk ny teknologi. Spørsmålet er da om vi har gode nok retningslinjer, lover og rammeverk til å være rustet for utviklingen.

Forby ansiktsgjenkjenning?

Personvern er definert av Datatilsynet som retten til et privatliv og retten til å bestemme over egne personopplysninger.

Retten til et privatliv handler om at man skal kunne ha sin «personlige sfære» uten uønsket innblanding fra myndigheter eller andre mennesker. Videre skal man kunne påvirke hvilke personopplysninger som samles inn, hvordan de brukes og deles.

Under Personverndagen 2020 satte direktør i Teknologirådet, Tore Tennøe, ansiktsgjenkjenning og trusselen det utgjør for personvernet, på agendaen. Han trakk blant annet frem disse elementene som bakgrunn for at ansiktsgjenkjenning er «som plutonium for personvernet»:

Kan gjennomføres på avstand, uten at man legger merke til det
Krever ikke et «naturlig samtykke», for eksempel sammenlignet med et fingeravtrykk hvor man aktivt må legge på en finger
Ansiktet ditt er permanent over tid, det skal mye til for å endres
Kan heller ikke «legges igjen hjemme» dersom man ikke ønsker å bli sporet

Med andre ord muliggjør ansiktsgjenkjenning et samfunn hvor man som privatperson ikke har kontroll over hvilke personopplysninger som registreres, og ikke har noen mulighet for å skjerme sitt privatliv fra uønsket innsyn.

San Fransisco er en av flere byer som har valgt å forby bruk av ansiktsgjenkjenning for politi og andre etater. Bekymringen er at det digitaliserte samfunnet i for stor grad blir dyttet i retning av et undertrykkende overvåkningssamfunn. Skrekkeksempler på dette har vi blant annet sett i Kina, hvor ansiktsgjenkjenning blant annet blir brukt til å systematisk overvåke enkelte minoritetsgrupper.

Vi trenger ikke dra lenger enn til England for å finne omfattende bruk av ansiktsgjenkjenning av myndighetene. Fra januar 2020 har politiet i hovedstaden tatt i bruk kameraovervåkning med ansiktsgjenkjenning for å kunne identifisere tungt kriminelle og savnede personer i sanntid. Dette til stor protest fra det britiske datatilsynet og menneskerettighetsorganisasjoner.

Et midlertidig forbud mot ansiktsgjenkjenning på offentlig sted, er i skrivende stund oppe til vurdering i EU. Tanken er at man gjennom en periode på noen få år med forbud, skal få tid til å vurdere konsekvensene av teknologien og utarbeide en plan for risikostyring. Er det et behov for forbud også i Norge?

Les også: Sikkerhet og sårbarhet i en digital verden

Personvern på dagsorden i Norge

Personvernet i Norge står sterkt, og ble ytterligere styrket gjennom GDPR-lovgivningen fra 2018. For å behandle en personopplysning kreves det behandlingsgrunnlag. Individene som får sine personopplysninger behandlet, må informeres om dette. En kan heller ikke bruke personopplysninger til noe annet enn formålet. Videre er innebygd personvern et av de sentrale kravene i personvernforordningen. Det vil si at personvern skal hensyntas i alle utviklingsfaser av et system eller en løsning. Biometriske personopplysninger, som data fra ansiktsgjenkjenning, er karakterisert som sensitive personopplysninger. Slike personopplysninger har svært strenge behandlingsregler.

Personvern står også sterkt i regjeringens nasjonale strategi for kunstig intelligens. Syv etiske prinsipper er lagt til grunn for å verne om menneskerettigheter, demokrati og personvern. Det etableres også en «regulatorisk sandkasse» på personvernområdet for å gi virksomheter mulighet til å prøve ut ny teknologi innenfor gitte rammer. På denne måten kan næringslivet og det offentlige i samarbeid oppnå større, og raskere, forståelse for konsekvensene og mulighetene rundt kunstig intelligens.

Norges lovgivning og rammeverk styrker personvernet, og står til hinder for et digitalisert samfunn hvor enkeltindividet står uten kontroll over hvilken personinformasjon som hentes inn. I tiden fremover forventer vi at intelligent videoanalyse og kunstig intelligens vil bli mer utbredt. Samtidig som vi må fortsette å ta personvernet på alvor, må vi heller ikke bli så restriktive at vi gir avkall på de positive mulighetene teknologien kan gi dersom personopplysninger behandles på en forsvarlig måte. Derfor er oppmerksomhet, kunnskap og god kontroll essensielt for å kunne høste de potensielle gevinstene på en forsvarlig måte.

Les også: Hva skal en digital virksomhetsstrategi dekke?