Besighede wat gedwing word om te worstel met die nakoming van gesigsherkenning
INHOUDSOPGAWE:
My gesig of joune?
Die groeiende gebruik van gesigsherkenningstegnologieë laat besighede 'n ernstige raaisel oor privaatheid en regulatoriese nakoming in die gesig staar.
Gesigsherkenningstegnologie kan gebruik word om 'n persoon se identiteit met behulp van hul gesig te identifiseer of te bevestig. Die tegnologie identifiseer en meet gesigskenmerke in 'n prent of video voordat inligting met 'n databasis van bekende gesigte vergelyk word om 'n pasmaat te vind.
Openbare ruimtes
Gesigsherkenningstegnologie kan saam met CCTV gebruik word vir openbare veiligheid, veral rondom lughawens en treinstasies. Tog, ontplooiings in beide die US en Europa was soms omstrede.
Gesigsherkenning in onbeheerde omgewings is onbetroubaar, meen privaatheidsadvokate.
Afgesien van potensiële bedreigings vir individuele privaatheid van gesigsherkenning-geaktiveerde massa-toesig, is daar ook kommer dat die tegnologie in die konteks van openbare ruimtes kan lei tot geslagsvooroordeel en rassige profiele – nie die minste nie omdat sommige algoritmes meer vertoon vals positiewe teen mense van kleur.
Die Europese Unie het drie jaar tevore vinnig 'n moratorium op gesigsherkenning in openbare ruimtes voorgestel die idee te laat vaar.
Die gebruik van die tegnologie in grensbeheer soos lughawens of binne veilige fasiliteite om streng toegangsbeheer af te dwing, is daarenteen baie meer betroubaar. Goed gemanipuleerde gesigsherkenningsbiometrie kan ook as 'n verifikasiemeganisme vir logiese stelsels of toepassings gebruik word.
Die EU se Regulasie Algemene Data Protection (GDPR) stel streng vereistes op die verwerking van biometriese data, insluitend toestemming, deursigtigheid, doelbeperking en privaatheidsimpakbepaling (om te waak teen missie-kruipery) saam met databewaring en minimaliseringsreëls.
Veilige verifikasie
Hoofstroombesighede maak toenemend staat op gesigsherkenning om toegang tot fisiese ruimtes te beheer of gebruikers te staaf deur ID-verifikasiedienste. Dit kan ooreenstem met voldoening aan GDPR - maar slegs die verskaffing van noukeurige databeskerming impakbeoordelings wat privaatheid en voldoeningsvereistes in ag neem, word eers voltooi.
"In die lig van vinnige tegnologiese vooruitgang, moet besighede rats bly nie net in aanneming nie, maar ook om die gepaardgaande risiko's te verstaan." Dave Holloway, CMO by ISMS.online het kommentaar gelewer.
Acuity Law-vennoot Declan Goodwin het bygevoeg: “Ek het voorbeelde gesien waar gesigherkenningsagteware/-hardeware-verskaffers stelsels aan besighede verkoop het sonder dat die koper eers die voldoeningsvereistes ten volle oorweeg het.
"Sodra die voldoeningsvereistes deurgewerk is, het die koper besef dat hulle nie die stelsel wat hulle gekoop het op 'n voldoenende wyse kan implementeer nie of gebrekkig is."
Goodwin het verduidelik: “Byvoorbeeld, werknemertoestemming word vereis voordat die stelsel gebruik kan word om werknemers in en uit die werk te klok, en sodanige toestemming kan enige tyd teruggetrek word, wat die voordele van die nuwe tegnologie baie beperk maak. Die ICO probeer help databeheerders met sulke tegnologie via hul [onlangse] konsultasie oor konsep biometriese data leiding. "
Voldoeningsraamwerke bied 'n bloudruk
Alex Wilkins, direkteur en data-privaatheidskenner by ProCompliance, het aan ISMS.online gesê dat "raamwerke en standaarde, insluitend ISO 27001, ISO 27701 en NIST CSF, 'n deurslaggewende rol speel om besighede te help om hulself te posisioneer om nakoming te bereik" wanneer gesigsherkenning ingestel word tegnologieë.
Byvoorbeeld, die ISO 27001 standaard bied 'n sistematiese benadering tot die bestuur en beskerming van sensitiewe inligting, insluitend data wat deur gesigsherkenningstegnologie gebruik word. "Die implementering van ISO 27001 kan besighede help om risiko's te identifiseer, beheermaatreëls te vestig en 'n robuuste inligtingsekuriteitbestuurstelsel (ISMS) te skep," volgens Wilkins.
ISO 27701 bied 'n privaatheidsuitbreiding na ISO 27001 wat uitdruklik privaatheidbestuur aanspreek.
Besighede wat gesigsherkenningstegnologie gebruik om te verseker dat hulle persoonlike data hanteer in ooreenstemming met privaatheidsregulasies, soos GDPR.
"Alhoewel dit nie spesifiek vir gesigsherkenning is nie, is NIST CSF 'n omvattende raamwerk vir die bestuur van kuberveiligheidsrisiko's," het Wilkins afgesluit.
Matt Lewis, tegniese navorsingsdirekteur by NCC Group, het die impak van gesigsherkenningstegnologie en die implikasies daarvan op privaatheid vir besighede nagevors.
Gesigsherkenningsrisiko's en kontroversies
Daar was verskeie kontroversies wat verband hou met gesigsherkenningstegnologie.
In Februarie 2023 het Madison Square Garden aangekondig dat hy die gebruik van gesigsherkenningstegnologie by sy lokale sal verbied ná 'n terugslag van aktiviste en kliënte wat beswaar gemaak het teen massa-toesig by die lokaal.
In 2022 is dit aan die lig gebring dat Clearview AI 'n databasis van meer as drie miljard gesigsbeelde bymekaargemaak het sonder die toestemming van die individue wat uitgebeeld is. Die Britse inligtingskommissaris se kantoor het die gesigsherkenningsmaatskappy met meer as £7.5 miljoen beboet vir die oortreding van privaatheidswette.
Nakoming en Gesigsherkenning
Alhoewel kommer oor misbruik van gesigsherkenning ernstig opgeneem moet word, kan die tegnologie voordelige toepassings hê.
Helderheid, 'n finansiële nakomingspesialis, verwerk jaarliks ongeveer $6 miljard aan oorgrensbetalings en gebruik gesigsherkenningstegnologie vir versekering en nakoming.
Die tegnologie bied finansiële insluiting aan uitgeslote streke en lede van die samelewing wat histories van finansiële dienste uitgesluit is, volgens Clarency.
"Baie van ons transaksies behels streke wat banke grootliks uitsluit," het Jem Shaw, hoof van kommunikasie by Clarency aan ISMS.online gesê. “Die gesigsherkenning is deel van 'n verbeterde omsigtigheidsprogram wat ons in staat stel om transaksies in sulke streke te doen.
Clarency neem gereeld foto-ID vas en, in sommige gevalle, 'n regstreekse video van betrokke teenpartye vir identiteitsverifikasie.
"Die proefpersone aanvaar die vereiste geredelik aangesien dit hulle toelaat om wettige, veilige en voldoenende sake te doen wat andersins onmoontlik sou wees," het Shaw bygevoeg.
Clarency gebruik ook gesigsherkenningstegnologie vir huisoorbetalings en kontantbetalings.
"Ons bied 'n metode om kontant op te spoor vanaf inbetaling tot en met die digitalisering daarvan vir voortgesette oordrag na die ontvanger," het Shaw verduidelik. "Dit word aangedryf deur gesigsherkenning by die punt van betaling."
Bankvoldoeningsregulasies, wat tipies vereis dat data vir 'n minimum van ses jaar gestoor moet word, bevat 'n botsing met die eise van GDPR. Clarency gebruik datakluistegnologie om hierdie oënskynlik botsende vereistes te versoen.
"Ons kan inligting in die kluis verval, uitvee of wysig volgens GDPR-vereistes," het Shaw verduidelik. “Sou 'n individu die uitvee van persoonlike data versoek, kan ons dit onmiddellik doen. Toegang kan met onbeperkte korreligheid beheer word, tot by individue, organisasies, vervaldatums, aantal kyke, ensovoorts ad infinitum.”
Gesigsherkenningstegnologie "werp allerhande vrae op oor of hierdie tegnologie fundamentele privaatheidsregte kan ondermyn en hoe dit in toom gehou kan word," volgens Natalie Cramp, uitvoerende hoof van die datawetenskapkonsultasiemaatskappy Profusion.
Cramp het voortgegaan: "Gesigsherkenningstegnologie bied egter baie voordele - van die verbetering van sekuriteitsmaatreëls, die verbetering van digitale ervarings en die beveiliging van besighede teen diefstal tot selfs om vermiste mense te help vind."
Rebecca Harper, hoof van kuberveiligheidsanalise by ISMS.online, het tot die gevolgtrekking gekom: “Gesigsherkenning het sy meriete, maar soos enige instrument gaan dit oor hoe jy dit gebruik. Nakoming kan nie ’n nagedagte wees nie.”
