W USA rośnie opór przeciw technologii rozpoznawania twarzy. Obrońcy prywatności zyskali wsparcie senatorów, którzy przygotowali już restrykcyjną ustawę. Wszystko przez burzę wokół aplikacji Clearview. A co z Unią?

W ostatnich latach utarło się przekonanie, że jeśli chodzi o naszą prywatność w internecie i w przestrzeni publicznej, w świecie zachodnim są z grubsza dwa podejścia. W USA panuje – nomen omen – wolnoamerykanka, której zasady ustalają giganty technologiczne zarabiające miliardy na obrocie naszymi danymi. Europa z kolei próbuje te dane chronić, szykując regulacje prawne, jak choćby słynne RODO.

Teraz ciekawym polem obserwacji tych różnic wydaje się wzbudzająca coraz więcej emocji sprawa stosowania technologii rozpoznawania twarzy. A jednym z jej emblematycznych przykładów stał się przypadek aplikacji Clearview.

Tuż przed publikacją 19 lutego unijnej „Białej księgi SI” pojawiły się przecieki, że Bruksela zaproponuje tymczasowy, kilkuletni zakaz stosowania rozpoznawania twarzy w miejscach publicznych. Impulsem do takich restrykcji miało być ujawnienie przez „New York Timesa” pod koniec stycznia mechanizmu działania oprogramowania wspomnianej aplikacji.

W ostatecznej wersji unijnego dokumentu propozycja zakazu jednak się nie znalazła.

Tymczasem za oceanem do wprowadzenia ograniczeń szykują się amerykańscy senatorowie zaalarmowani śledztwem dziennikarskim „NYT”.

Clearview – ki diabeł?

O aplikacji pisaliśmy szerzej w lutym.

W skrócie – to oprogramowanie w teorii przeznaczone dla organów ścigania i specjalistów do spraw bezpieczeństwa, które służy do tropienia przestępców. Wykorzystuje je dotąd ok. 600 podmiotów w Ameryce Północnej i w wybranych miejscach na świecie, a firma szykuje się do ekspansji.

Jak donoszą dziennikarze „NYT”, Clearview korzysta ze zdjęć między innymi w mediach społecznościowych (co właścicielom tych platform się nie podoba), których zgromadziło już trzy miliardy. Użytkownik aplikacji może zrobić komuś zdjęcie (albo np. skorzystać z nagrania z monitoringu) i dzięki sztucznej inteligencji otrzymać prawie natychmiast wszystkie dopasowane do sfotografowanej osoby dane dostępne w internecie.

Wystarczy RODO?

Wiadomo, że Clearview, jako że nie działa (oficjalnie) na rynku europejskim, nie podlega umowie o ochronie prywatności między UE a USA z 2016 roku, która zobowiązuje amerykańskie firmy do ochrony danych osobowych europejskich obywateli zgodnie ze standardami UE i tutejszymi prawami konsumenta. Dlatego zanim opublikowano „Białą księgę SI”, Komisja Europejska konsultowała się w sprawie firmy z organami ochrony danych w krajach członkowskich oraz Europejską Radą Ochrony Danych. Wynik? Debata o rozpoznawaniu twarzy ma trwać, a Europejczyków mają zabezpieczać przed utratą prywatności w obliczu podobnych aplikacji istniejące przepisy europejskie.

Użytkownik aplikacji może zrobić komuś zdjęcie (albo np. skorzystać z nagrania z monitoringu) i dzięki sztucznej inteligencji otrzymać prawie natychmiast wszystkie dopasowane do sfotografowanej osoby dane dostępne w internecie

„Te technologie nie działają w próżni prawnej. Wykorzystanie danych osobowych podlega surowym przepisom RODO, wymagającym ściśle określonej podstawy prawnej i uzasadnionych celów, aby osoba, której dane dotyczą, wiedziała o tym procesie oraz dysponowała środkami odwoławczymi i weryfikacją” – brzmiało stanowisko Komisji Europejskiej przekazane mediom.

Aplikacja mrożąca krew w żyłach

Tymczasem w USA po publikacji „NYT” się zagotowało. Kilkadziesiąt różnych organizacji wystosowało do państwowych służb list otwarty nawołujący do zmiany prawa.

„Szybko postępujące i nieuregulowane rozmieszczanie systemów rozpoznawania twarzy stanowi bezpośrednie zagrożenie dla cennych wolności, które są istotne dla naszego sposobu życia” – podkreślili autorzy wystąpienia.

Adresatem apelu jest Rada ds. Prywatności i Wolności Obywatelskich (PCLOB) niezależna agencja w ramach administracji Stanów Zjednoczonych, powołana przez Kongres w 2004 roku i doradzająca m.in. prezydentowi USA. Rada analizuje działania podejmowane w celu zwalczania terroryzmu pod kątem ochrony prywatności i swobód obywatelskich.

List otrzymała także grupa polityków Kongresu zajmujących się m.in. sprawiedliwością i bezpieczeństwem.

Jeden z amerykańskich demokratycznych senatorów Jeff Merkley na początku lutego nazwał technologię stosowaną przez Clearview „mrożącą krew w żyłach”.

„W przeciwieństwie do odcisków palców, które są trudne do zebrania, możesz uchwycić obraz twarzy ludzi za pomocą kamer ustawionych wszędzie, na ulicach, w drzwiach, w miejscach publicznych i tak dalej. Bazy danych można łączyć, i właśnie tak robi to już Clearview, łącząc ogromne ilości informacji” – przyznał w wywiadzie dla Vox.com.

Senator wysłał monit do firmy z żądaniem ujawnienia listy podmiotów korzystających z jej rozwiązań.

Ruch w Kongresie

Ale na tym nie poprzestał. Razem z partyjnym kolegą Corym Bookerem zaproponowali nowe, śmiałe regulacje, które nałożyłyby moratorium na stosowanie rozpoznawania twarzy przez agencje federalne, pracowników rządowych i organy ścigania, jeśli nie posiadają nakazu.

Politycy chcą ustanowić 13-osobową komisję złożoną z osób mianowanych przez prezydenta, członków Kongresu, urzędników ds. imigracji i organów ścigania oraz ekspertów ds. prywatności i technologii. Sześciu członków miałoby pochodzić ze społeczności najbardziej inwigilowanych. Zadaniem komisji byłoby pilnowanie, aby działania systemów nie były wypaczane przez tzw. stronniczość algorytmów (bias), a wyniki niedokładne. Z drugiej strony musiałaby zapewniać, że ograniczenia tej technologii nie będą przeszkadzać w działaniach organów ścigania w celu identyfikacji zaginionych i wykorzystywanych dzieci.

Systemów rozpoznawania twarzy organy państwowe nie mogłyby używać, dopóki kongresowa komisja nie zaleci wytycznych i nie wprowadzi ograniczeń dotyczących korzystania z rozpoznawania twarzy. Co więcej, ustawa zabraniałaby również rządom stanowym lub lokalnym wykorzystywania funduszy państwowych do zakupu technologii, póki jest ona niedoskonała.

Marne widoki Clearview

Nad Clearview najwyraźniej zbierają się czarne chmury.

Niedawno w sądzie w Nowym Jorku (tu Clearview ma siedzibę) dwóch obywateli Illinois złożyło pozwy przeciw firmie. Jeden z nich zmierza do uzyskania statusu pozwu zbiorowego dla wszystkich obywateli stanu. Autor domaga się odszkodowania w wysokości 5 milionów dolarów za to, co nazywa umyślnym, lekkomyślnym lub niedbałym naruszeniem praw biometrycznych. Prawo chroni mieszkańców Illinois przed wykorzystywaniem ich danych biometrycznych bez zgody, a pozew stwierdza, że wykorzystanie przez aplikację algorytmów sztucznej inteligencji do skanowania geometrii twarzy każdej osoby przedstawionej na zdjęciach narusza wiele przepisów dotyczących prywatności.

Firma uważa inaczej, powołując się na „prawo do informacji publicznej zawarte w pierwszej poprawce do konstytucji Stanów Zjednoczonych”. Porównała swoje praktyki z wyszukiwarką Google.com. W wywiadzie dla CBS dyrektor generalny Clearview AI Hoan Ton-That tłumaczył: „Sposób, w jaki zbudowaliśmy nasz system, polega na pobieraniu tylko publicznie dostępnych informacji i indeksowaniu ich w ten sposób, jak robi to Google”. Skoro Google może pobierać informacje ze wszystkich różnych witryn, takich jak Facebook czy Instagram, to czemu Clearview nie? – argumentował Ton-That.

Demokratyczni senatorzy w USA chcą moratorium na stosowanie rozpoznawania twarzy przez agencje federalne, pracowników rządowych i organy ścigania, jeśli nie posiadają nakazu

Prawnicy zajmujący się prywatnością i technologią znajdują luki w argumentach firmy. Mówią, że ochrona w ramach pierwszej poprawki ma zastosowanie tylko w przypadkach, w których rząd ingeruje w czyjąś wolność słowa, oraz że działalność chroniona przez pierwszą poprawkę może być niezgodna z określonym prawem, np. tak jak we wspomnianym Illinois.

Argument pierwszej poprawki nie działał w poprzednich sprawach dotyczących gromadzenia danych.

Clearview zatrudniło też m.in. prawnika Paula Clementa, byłego prokuratora generalnego USA, by pomógł jej w rozwiązywaniu problemów związanych z prywatnością.

Dodajmy, że od czasu ujawnienia zasady działania Clearview przez „NYT” Google, YouTube i Twitter, a ostatnio również LinkedIn, bezskutecznie wysyłają do Clearview listy o zaprzestanie praktyki korzystania z ich zasobów danych.

Jakby mało było obaw o sposób działania oprogramowania, pod koniec lutego Clearview oświadczyło, że ktoś uzyskał „nieautoryzowany dostęp” do listy wszystkich klientów firmy i liczby założonych przez nich kont. Nie wiadomo, kto wszedł w posiadanie listy, ale incydent wzbudził komentarze co do bezpieczeństwa gromadzonych wrażliwych danych.

Co z tą Unią

Kilkanaście dni temu Reuters poinformował, że władze kanadyjskie zajmujące się ochroną prywatności prowadzą dochodzenie w sprawie Clearview. Chcą ustalić, czy korzystanie przez firmę z technologii rozpoznawania twarzy jest zgodne z przepisami dotyczącymi prywatności w tym kraju. Kilka z regionalnych komend policji w Kanadzie zawiesiło już korzystanie z aplikacji.

Tymczasem, jak donosił pod koniec lutego portal EURACTIV.com, wycofanie się z zakazu używania rozpoznawania twarzy przez UE mogło mieć drugie dno. Powołuje się przy tym na ustalenia serwisu The Intercept, który opisał wyciek wewnętrznych dokumentów Unii. Część z nich miało dotyczyć przygotowań do rozszerzenia prawodawstwa UE, by umożliwić stworzenie na potrzeby policji ogólnoeuropejskiej sieci łączącej bazy oparte na danych z rozpoznawania twarzy z poszczególnych państw członkowskich (na razie Europol dysponuje dostępami do baz danych odcisków palców i DNA).

Czy to jest właśnie powód miękkiego podejścia do tematu technologii rozpoznawania twarzy w „Białej księdze SI” Starego Kontynentu?

Pretty Woman w Kongresie

Jeszcze w listopadzie ubiegłego roku, kiedy o Clearview wiedzieli tylko jego użytkownicy, kilkudziesięcioosobowa grupa aktywistów z organizacji Fight for the Future, która chce całkowitego zakazu stosowania rozpoznawania twarzy na ulicach, odwiedziła amerykański Kongres.

Ubrani w białe uniformy z przypiętymi do głów smartfonami aktywiści pojawili się tam, aby zeskanować twarze członków Kongresu i wszystkich, których spotkają na swojej drodze. Udali się też na K Street, ulicę znaną jako zagłębie lobbystów, w nadziei na sfotografowanie twarzy speców pracujących na rzecz Amazona.

Za pomocą Rekognition, dostępnego na rynku oprogramowania do rozpoznawania twarzy Amazona, zeskanowali prawie 14 tysięcy twarzy, które sprawdzili w bazie danych umożliwiającej identyfikację ludzi. System Rekognition poprawnie zidentyfikował zaledwie jednego kongresmena. Nieprawidłowo zidentyfikował w bazie kilku znanych dziennikarzy, lobbystów, w jednym z gości Kongresu rozpoznał nawet nieżyjącego piosenkarza Roya Orbisona (twórcę m.in. hitu „Pretty Woman”).

Celem akcji było pokazanie prawodawcom, że oprogramowanie do rozpoznawania twarzy – które może zidentyfikować osobę poprzez analizę jej rysów na zdjęciach, filmach lub w czasie rzeczywistym – jest technologią z jednej strony inwazyjną, z drugiej – bardzo niedokładną.

Efekt? Policja z Orlando, która korzystała z systemu Rekognition, nie przedłużyła umowy z Amazonem.

Fight for the Future jest też głównym krytykiem Clearview wśród organizacji pozarządowych.