Znak człowieka i znak bestii
Alicem to aplikacja korzystająca z biometrii, by "w bezpieczny sposób udowadniać tożsamość w Internecie", głosi strona internetowa francuskiego ministerstwa spraw wewnętrznych. Po potwierdzeniu użytkownik zyskuje dostęp do wielu usług publicznych bez dalszych uwierzytelnień. Obrońcy prywatności oczywiście protestują, zaś przedstawiciele francuskiego odpowiednika GIODO ostrzegają, że program narusza europejskie reguły ochrony danych, ponieważ nie zapewnia alternatywy dla uwierzytelniania przez rozpoznawanie twarzy w dostępie do niektórych usług. Pojawiły się też obawy dotyczące bezpieczeństwa – na początku tego roku cyberprzestępcy potrzebowali niewiele ponad godzinę, by włamać się do "bezpiecznej" rządowej aplikacji wysyłającej powiadomienia.
Pomimo krytyki, wątpliwości i zastrzeżeń państwa świata prą do wprowadzania cyfrowej tożsamości uwierzytelnianej biometrycznie. We współpracy z Singapurem system rozpoznawania twarzy dla obywateli przygotowuje np. Wielka Brytania. Kraje zachodnie zapewniają, że w odróżnieniu od Chin nie tworzą scentralizowanych biometrycznych baz danych. Władzie francuskie twierdzą np., że pozyskane dane wizualne zostaną we wspomnianej aplikacji usunięte "w ciągu kilku sekund" od rejestracji. Można im wierzyć, albo nie.
Osobliwość, tylko że zła
W styczniu 2018 r. na Światowym Forum Ekonomicznym w Davos w Szwajcarii mroczną wizję przyszłości zaprezentował Yuval Noah Harari, izraelski historyk i pisarz, autor znanej u nas książki "Homo Deus: Krótka historia jutra". Jego zdaniem, jesteśmy obecnie na etapie trzeciej wielkiej rewolucji – kontroli danych; kolejnej po kontroli ziemi (rewolucja rolna) i kontroli maszyn (rewolucja przemysłowa). Punktem bez powrotu będzie sytuacja, gdy technologia skutecznie wydobędzie precyzyjne dane biometryczne ludzi, takie jak puls, ciśnienie, skład potu, rozszerzanie się źrenic, po czym zapisze je w scentralizowanych systemach kontroli i podejmowania decyzji, należących do rządów lub korporacji.
Harari podaje w swoich wywodach przykład Korei Północnej. Władze tego kraju zmuszają swoich obywateli do noszenia bransoletek, które przekazują dane biometryczne do rządowych centrów danych. Tamtejsi partyjni przywódcy mogą więc monitorować, co Koreańczycy robią i mówią, a nawet w jakim stanie są ich organizmy, dowiadując się w ten sposób o nich więcej, niż oni sami o sobie wiedzą. Wyobrażalny jest już kolejny krok – kontrola myśli.
Wizja Harariego to negatywna wersja "osobliwości" Raya Kurzweila, w której, zamiast romantycznego oczekiwania na uzyskanie dzięki technologicznemu postępowi nieśmiertelności, malowany jest świat przenikającej do trzewi wszechkontroli.
Mroczne wizje Izraelczyka idą dalej. Gdy myślimy o organizmach ludzkich jak o algorytmach, to wydaje się, że tylko kwestią mocy obliczeniowej i wystarczającej ilości danych biometrycznych będzie projektowanie lub przeprojektowywanie ludzi w pożądany dla zarządców systemu sposób. Przecież jeśli życie jest jak program komputerowy (oprogramowanie) działający zgodnie z zasadami biochemii (sprzęt), to wystarczy zebrać wszystkie informacje i napisać własne algorytmy życia. W połączeniu z rozwojem uczenia maszynowego i sztucznej inteligencji przypieczętuje to naszą zagładę jako gatunku, lub – w mniej mrocznym, ale również niezbyt przyjemnym wariancie – przekaże ewolucję homo sapiens ze sfery losowych procesów selekcji naturalnej pod kontrolę; niestety niekoniecznie naszą własną (3).
Docieramy do najważniejszego pytania, zadawanego nie tylko przez Harariego: kto będzie miał pieczę nad wszystkimi tymi danymi? Czy ludzie oddadzą swoją prywatność i własne dane biometryczne do centralnej jednostki przetwarzającej dane? Być może tak, np. wtedy, gdy – jak zauważa Harari – zależeć będą od tego ich życie i zdrowie. Jeśli żyją w dyktaturze, mogą nie mieć innego wyjścia. W demokracji i na wolnym rynku wymienią sobie jednak te dane z własnej woli, na "korzystne" usługi oferowane przez korporacje. Akurat to nie jest już żadną futurystyką. Kupowanie "darmowych" usług za prywatne dane stanowi dziś rzecz całkiem powszechną.
Nie pytaj – co, zapytaj – skąd
Biometria opisuje, mierzy, modeluje i porównuje fizjologiczne oraz behawioralne cechy osobników. Mogą to być odciski palców, głos, rysy twarzy, wzory siatkówki i tęczówki, geometria dłoni, profil chodu lub DNA. Dane biometryczne uznaje się za szczególnie wrażliwe – zapewne dlatego, że są silnie związane z życiem, ciałem i ogólnie egzystencją jednostki ludzkiej.
Przetwarzanie danych biometrycznych – w tym ich gromadzenie, analiza, przechowywanie i udostępnianie – musi być przewidziane prawem i ograniczone do informacji ściśle i wyraźnie koniecznych dla osiągnięcia uzasadnionego celu. Najbardziej kompleksowe przepisy w sprawie ochrony danych na świecie, czyli ogólne rozporządzenie Unii Europejskiej w sprawie ochrony danych (RODO), traktuje informacje biometryczne wykorzystywane do celów identyfikacji jako "dane kategorii specjalnej", co oznacza, że są one uważane za bardziej wrażliwe i wymagające większej ochrony niż inne. Wiele z tych przepisów zawiera jednak wyjątki. Wiele z nich nie ma zastosowania do przetwarzania danych przez agencje wywiadowcze i organy ścigania, a nawet jeśli tak się dzieje, zawierają one daleko idące wyłączenia, do celów takich jak bezpieczeństwo narodowe oraz zapobieganie przestępczości lub prowadzenie dochodzeń w jej sprawie.
Organizacja o nazwie Privacy International uważa, że w większości krajów prawo krajowe nie reguluje odpowiednio wykorzystania i udostępniania danych biometrycznych. W efekcie nie jest ono w stanie skutecznie przeciwdziałać zagrożeniom dla bezpieczeństwa, wynikającym z niewłaściwego stosowania danych biometrycznych, zwłaszcza na dużą skalę.
Kontrowersje budzi nie tylko kwestia prywatności, ale również to, skąd pochodzą systemy identyfikacji biometrycznej. Przykładem – amerykański program Biometric Identification Transnational Migration Alert Program (BITMAP), który udostępnia rozwiązania tego typu wielu krajom. Zebrane w nim dane trafiają do amerykańskich baz danych biometrycznych, w tym do nowego systemu znanego jako HART, opracowanego przez… firmę zbrojeniową Northrop Grumman. Kraje europejskie również eksportują i finansują podobne systemy w różne części świata. Z funduszy Unii Europejskiej pochodziło np. 28 mln euro przeznaczone na opracowanie uniwersalnego ogólnokrajowego systemu identyfikacji biometrycznej w Senegalu, powstanie centralnej bazy danych biometrycznych i rejestrację w niej obywateli.
W wielu krajach widać narastający niepokój w stosunku do biometrycznych systemów identyfikacji. Najczęściej powtarzane obawy to m.in. lęk przed: odhumanizowaniem ludzi poprzez zredukowanie ich do kodów, wzmocnieniem władzy nad jednostkami przez system, państwo i korporacje (przy czym dla potężnych osób będą istniały wyjątki), a w ujęciu eschatologiczno-religijnym – nadaniem wszystkim "znaku bestii". Ponadto wielu sądzi, iż rozwiązania tego typu doprowadzą do wzrostu liczby oszustw i przestępczości.
Policja to lubi
Znaczenie danych biometrycznych w systemach identyfikacji na całym świecie rośnie. Wdraża się je obecnie jako stosunkowo wygodne i skuteczne rozwiązanie wielu problemów, począwszy od rozpoznawania uchodźców, przez rejestrację wyborców, a skończywszy na świadczeniu usług urzędowych lub finansowych miliardom ludzi.
Bazy milionów ludzkich twarzy to już nie jest science fiction. Oblicza połowy dorosłych obywateli USA znajdują się w zasobach, które da się przeszukiwać za pomocą technologii rozpoznawania twarzy. Służby planują to jeszcze usprawnić i przyspieszyć. Chcą identyfikacji twarzy w czasie rzeczywistym, za pomocą kamer monitoringu. Z drugiej strony – w ubiegłym roku koalicja pięćdziesięciu organizacji broniących swobód obywatelskich w USA zaapelowała do tamtejszego Departamentu Sprawiedliwości o zbadanie legalności praktyk wykorzystywania technik identyfikacji twarzy przez policję i FBI.
Także Interpol ma już gigantyczną bazę fotografii twarzy przestępców. Agencja korzysta z usług firmy Safran Morpho. Do bazy fotografii i obsługującego ją oprogramowania będą mieć dostęp policje 190 krajów członkowskich, a więc także funkcjonariusze polscy. Niemal równolegle rusza chiński program pilotażowy Facing the Future. Kamery, błyskawicznie porównujące zdjęcia z bazą przestępców, pojawiły się od czerwca na wielkiej stacji kolejowej w Guangzhou. Jeśli oprogramowanie uzna, że jesteśmy podobni do terrorysty lub przemytnika, czeka nas przesłuchanie.
Biometria oparta na twarzy rozwija się nie tylko w działaniach instytucji rządowych. Facebook jeszcze w 2014 r. przyznał, że pracuje nad aplikacją o nazwie DeepFace (4). Służyć ma do określania, czy na wybranych dwóch zdjęciach znajduje się ta sama osoba. Dokładność procesu jest imponująca, wynosi ok. 99%. Facebookowi przyświecają cele komercyjne. Lepsza baza "otagowanych" zdjęć przełoży się na lepszą personalizację reklam. Inne zastosowania nietrudno sobie jednak wyobrazić. Kamera uliczna będzie mogła wychwycić z tłumu osobę nawet na podstawie pojedynczego zdjęcia znajdującego się w bazie danych z Facebooka.
Cyberprzestępcy zainteresowani
Widząc dynamiczny rozwój biometrii, badacze z Kaspersky Lab postanowili przyjrzeć się, w jaki sposób cyberprzestępcy są w stanie wykorzystywać nowe technologie uwierzytelnienia przeznaczone dla bankomatów. Z poczynionych obserwacji wynika, że już teraz istnieje co najmniej dwunastu sprzedawców oferujących skimmery (urządzenia skanujące), potrafiące kraść odciski palców. Co więcej, co najmniej trzech sprzedawców z podziemia cyberprzestępczego prowadzi badania nad urządzeniami, które mogą w sposób nielegalny uzyskiwać dane z systemów rozpoznawania żył dłoni i tęczówki oka.
Pierwsza fala skimmerów biometrycznych została zaobserwowana w fazie "testów przedsprzedażowych" we wrześniu 2015 r. Z dowodów zgromadzonych przez badaczy z Kaspersky Lab wynika, że wykryto wówczas kilka błędów. Jednak głównym problemem okazało się wykorzystywanie modułów GSM do transferu danych biometrycznych – były one zbyt wolne do przesyłania ogromnej ilości uzyskanych informacji. Dlatego też nowe wersje skimmerów będą wykorzystywały inne, szybsze technologie transferu.
W społecznościach cyberprzestępczych trwają również dyskusje dotyczące rozwoju aplikacji mobilnych opartych o nakładanie masek na twarz ludzką. W przypadku uruchomienia takiej aplikacji, atakujący mogą pobrać zdjęcie osoby zamieszczone na portalu społecznościowym i wykorzystać je do zmylenia systemu rozpoznawania twarzy.
Indie: dane za pomoc społeczną
Rządy i korporacje chętnie popierają tworzenie dużych scentralizowanych baz danych zawierających informacje biometryczne. Indyjski system identyfikacji biometrycznej – Unique Identity Scheme (UID), znany jako Aadhaar (5) – zapisuje odciski palców, skanowane tęczówki i fotografie ponad 1,3 mld osób. Rozwój tego projektu ilustruje niepokojący trend idealizowania technologii biometrycznej i jej (oczekiwanej, ale nie udowodnionej) wydajności jako narzędzia postępu. Oficjalnym celem wdrożenia krajowego systemu ID w Indiach jest bowiem usprawnienie świadczenia usług publicznych i włączenie doń marginalizowanych członków społeczeństwa indyjskiego, którzy wypadli z systemu opieki społecznej, lub nigdy nie zostali w nim uwzględnieni (z powodu niewydolności biurokracji, braku rejestracji urodzeń, czynników społeczno-ekonomicznych czy dziedzictwa systemu kastowego). Jak zauważają eksperci, okazuje się, że większość osób jest skłonna wymieniać dane osobowe dla usług i udogodnień, które im przysługują. Niewiele uwagi poświęca się jednak wyjaśnianiu skutków przekazania danych i przyznania rządowi nieograniczonego do nich dostępu.
Brak wystarczającej ochrony prawnej w Aadhaar, a przynajmniej uznania potrzeby ujęcia wszystkiego w solidne ramy prawne, budzi poważne obawy dotyczące ochrony prywatności. Najwyższy trybunał Indii orzekł ostatnio, że nie można wymagać od ludzi, aby musieli korzystać z identyfikacji Aadhaar, by uzyskać fundusze od państwa. Nie powstrzymało to jednak rozwoju projektu.
Jak stwierdzono w raporcie London School of Economics na temat brytyjskiego biometrycznego dowodu tożsamości: "z punktu widzenia prawa człowieka do prywatności istnieje ogromna różnica pomiędzy tego typu systemem, a takim, w którym dane biometryczne są przechowywane tylko lokalnie na karcie elektronicznej". Gromadzenie danych lokalnie pozwala na wykorzystanie ich jedynie do uwierzytelnienia określonej czynności czy transakcji (aby mieć pewność, że osoba okazująca dokument jest tym, za kogo się podaje), ale uniemożliwia zastosowanie ich w znacznie bardziej inwazyjnym procesie identyfikacji (ustalenia tożsamości osoby, gdy nie jest ona znana). Dlatego np. komisarz ds. ochrony prywatności w Kanadzie zachęca właśnie do tej metody. Argumentuje, że lokalne przechowywanie zapewnia osobie fizycznej większą kontrolę nad danymi i dostęp do nich niż scentralizowana baza.
Zgodnie z prawem międzynarodowym masowe gromadzenie danych osobowych, w tym biometrycznych, nigdy nie jest proporcjonalne i konieczne, nawet jeśli rządy starają się je uzasadnić względami ochrony bezpieczeństwa narodowego, w tym zagrożeniem terrorystycznym. Były już przypadki, w których obawy o prywatność, związane z dostępem policji lub służb bezpieczeństwa do scentralizowanych baz danych, doprowadziły do wydania wyroków ograniczających taki dostęp. Przykładowo, w Indiach ustawa o Aadhaar zezwala na dostęp do bazy danych Aadhaar (w tym biometrycznych) tylko wówczas, jeżeli zezwolił na to odpowiedni rangą przedstawiciel służb wywiadowczych lub inny wysoki funkcjonariusz. Wyrok trybunału w sprawie Aadhaar zagwarantował dodatkowo, że każdy, kto miał tego rodzaju dostęp do informacji, zostanie przesłuchany.
Kolejne obawy dotyczą skłonności władz do "wzajemnego łączenia" różnych biometrycznych baz danych, czyli interoperacyjności. A jeszcze większe – zdolności władz do zapewnienia bezpieczeństwa biometrycznym bazom.
Niektóre wydarzenia wskazują, że te ostatnie lęki mogą być uzasadnione. W styczniu 2018 r. pojawiła się w Indiach informacja, że dostęp do bazy danych Aadhaar – w tym nazwisk, adresów, numerów telefonów i zdjęć, choć bez informacji dotyczących odcisków palców i skanowania tęczówki – sprzedawany jest za 500 rupii w jednej z grup na WhatsAppie. Z kolei w 2015 r. ogłoszono naruszenie przepisów Biura Zarządzania Personelem rządu USA – agencji zajmującej się kontrolą bezpieczeństwa pracowników cywilnych. Ukradziono stamtąd dane 21,5 mln osób, w tym odciski palców 5,6 mln pracowników federalnych. Naruszenie jednej z najbardziej wrażliwych biometrycznych baz danych, prowadzonych przez jeden z najlepiej wyposażonych i zorientowanych na bezpieczeństwo danych rządów na świecie, rodzi pilne pytania o zdolność do odpowiedniej obrony przed kradzieżą danych wszystkich rządów wyposażonych nieco gorzej.
Afryka, Azja i Ameryka Łacińska spieszą do biometrii
W ostatnich latach rozprzestrzeniło się w Afryce wykorzystanie technologii biometrycznych w wyborach – aż trzy czwarte krajów afrykańskich sięga do cech fizycznych i behawioralnych, by potwierdzać tożsamość osób biorących udział w tego typu demokratycznych procedurach. Przyjęcie technologii biometrycznych nie przywróciło jednak wcale zaufania opinii publicznej do procesu wyborczego – co ilustruje fala przemocy po "biometrycznych" wyborach w Kenii w 2017 r. (6).
Afryka, Azja i Ameryka Łacińska spieszyły się z przyjęciem technologii biometrycznej z wielu powodów. Przede wszystkim chodziło o zainicjowanie stosowania ewidencji ludności tam, gdzie rejestracja urodzeń nie była wcześniej systematyczna, a także o rejestrację osób uprawnionych do głosowania lub ułatwienie dostępu do świadczeń oraz ich dystrybucji, np. żywności czy opieki zdrowotnej.
Podczas gdy na Zachodzie zwiększone gromadzenie danych osobowych i rozwój kart identyfikacyjnych postrzegane są jako atak na prywatność, w krajach rozwijających się traktuje się je jako narzędzie upodmiotowienia i poprawy dostępu do usług publicznych. Technologia ta daje państwu możliwość ustanowienia precyzyjnego systemu śledzenia, zapewniającego sposobność do monitorowania i analizowania każdego elementu składającego się na życie człowieka (czasami nawet bez jego zgody lub wiedzy). Mówiąc prościej, takie technologie mają moc pozbawiania osoby fizycznej jej tożsamości, a może nawet człowieczeństwa, poprzez sprowadzenie jej do profili danych, które mają być monitorowane i obserwowane.
Krajowe systemy identyfikacji, mające na celu zapobieganie oszustwom i kradzieżom tożsamości, wprowadziły m.in. rządy w Meksyku i Indiach. Argentyna rozwija własny system identyfikacji biometrycznej. Tajlandia uruchomiła inteligentną kartę identyfikacyjną, opartą na biometrycznym ID. Inne przykłady to TeleDoctor w Pakistanie lub E Health Point w Indiach, które umożliwiają dostęp do opieki zdrowotnej, system Nacer w Peru lub programy m-Health, takie jak VidaNet, system przypominania i informacji o pacjentach zakażonych wirusem HIV w Meksyku. Z biometrycznych technik rejestracji wyborców oprócz Kenii korzystały ostatnio Filipiny i Ghana. Mauretania wdraża biometryczny system kontroli granicznej przy wjeździe i wyjeździe, w ramach strategii bezpieczeństwa i zwalczania terroryzmu, a Senegal niedawno wdrożył system kontroli biometrycznej procedury wizowej przy wjeździe dla obywateli niektórych państw.
Rozwiązania tego typu stosuje się też na międzynarodową skalę. UNHCR korzysta z niej do przetwarzania danych potrzebnych przy zarządzaniu obozami dla uchodźców. Z kolei Bank Światowy używa jej w projektach pomocowych, do rejestracji ubogich mieszkańców w miastach Beninu i Kenii.
System nigdy nie jest syty danych
Główne ryzyka związane z biometrią to przede wszystkim możliwość oszustw i nadużyć, błędna identyfikacja i niedokładności systemu oraz wykluczenie z niego całych jednostek i grup. Niezawodność technologii wciąż nie jest ostatecznie udowodniona, nawet w przypadku stosunkowo starych metod.
Techniki przetwarzania odcisków palców wykazały, że liczba błędów pozostaje znacząca – nie działają dobrze, gdy odciski pracowników fizycznych zostały uszkodzone ze względu na charakter ich pracy, albo w przypadku osób z bardzo drobnymi odciskami. Systemy rozpoznawania twarzy napotykają trudności podczas skanowania osób o ciemniejszej skórze. Przy skanowaniu tęczówki – które do tej pory pozostaje najbardziej wydajne i dokładne, choć jest to technologia najdroższa– pojawiły się wady związane z nieodpowiednim przetwarzaniem danych u osób z niepełnosprawnością fizyczną (mogą nie sięgać do skanerów) lub u ludzi z kataraktą. Tego rodzaju przypadki budzą poza tym obawy, że opisywane technologie mają charakter wykluczający.
Historia systemów identyfikacyjnych na całym świecie dostarcza tez przykładów na to, że często zdarza się tzw. function creep – zastosowanie do celów innych niż te zapowiadane w momencie rozpoczęcia programu. Zauważmy choćby wykorzystanie w kolejnych systemach numeru ubezpieczenia społecznego w USA czy Kanadzie, numeru ewidencji podatkowej w Australii, identyfikatora austriackiego systemu zabezpieczenia społecznego, a także np. naszego PESEL-u – czy to do rejestracji bezrobotnych, czy do uzyskiwania świadczeń emerytalnych, dostępu do służby zdrowia i edukacji wyższej lub innych. Znając tę praktykę, nie jest przesadą obawa, że gdy raz udostępnimy dane biometryczne, możemy z czasem być o nie proszeni w kolejnych, coraz bardziej błahych sytuacjach.
Mirosław Usidus