«Må ansiktsgjenkjenning forbys eller har vi tilstrekkelig beskyttelse?»
Mange starter dagen med å åpne telefonen og PC-en ved bruk av ansiktet. Og det stopper ikke der. Våre ansikter er like unike som fingeravtrykk. I dag kan kunstig intelligens, som oss mennesker, gjenkjenne ansikter, skriver Kristine Beitland og Camilla Hagelien.
Av : Kristine Beitland, direktør myndighetskontakt i Microsoft Norge og medlem av Juristforbundets Tech Forum
Camilla Hagelien, jusstudent ved UiO med masteroppgave i «Ansiktsgjenkjenning i et personvernperspektiv»
Ansiktsgjenkjenning brukes aktivt i jakten på savnede barn, og i kampen mot alvorlige sykdommer. Samtidig gjør teknologien det mulig å drive masseovervåkning av folk uten at de vet om det. Hvordan sikrer vi at ansiktsgjenkjenning er til hjelp og ikke til skade for oss mennesker? Vi trenger et regelverk som setter mennesket i sentrum og beskytter vår rett til personvern. Har vi tilstrekkelig beskyttelse i dagens regelverk? Hvis ikke, bør ansiktsgjenkjenning forbys?
Hva gjør dette mulig?
Verden er i enorm endring. Aldri før har vi sett slik fart. Under pandemien, med stengte skoler og hjemmekontor, var vi i løpet av noen måneder vitne til en digital transformasjon som vanligvis tar år. For i dag er alle virksomheter i praksis «softwareselskaper», og i fremtiden vil de alle være kunstig intelligensselskaper.
Til tross for at ansiktsgjenkjenning har blitt en del av vår hverdag, tenker folk flest sjelden over hva som gjør dette mulig. Driverne av utviklingen er enorme mengder data, gjennom alle de smarte tingene vi omgir oss med, sammen med økt datakraft og datalagringskapasitet i skytjenester. Sammen gir dette oss store fremskritt når det gjelder kunstig intelligens – slik som evnen til å gjenkjenne ansikter.
Våre ansikter er like unike som fingeravtrykk (størrelsen på nesen, smilet, kjeven osv.). Når datamaskiner bruker bilder av ansikter for å kartlegge disse karakteristikkene og setter dem sammen, danner de grunnlaget for en matematisk ligning som gjøres tilgjengelig for algoritmer. Med nye metoder for dyplæring har vi sett store fremskritt. Til forskjell fra oss mennesker har ansiktsgjenkjenning den styrken at den i utgangspunktet ikke trenger å være beheftet med forutinntatte meninger og fordommer.
Hvilken effekt har det at maskiner kan gjenkjenne ansikter – noe bare mennesker kunne gjøre tidligere?
Det er lett å bli entusiastisk over ansiktsgjenkjenning til felleskapets beste. Teknologien er i bruk i politiets jakt for å finne ofre for seksuelle overgrep og savnede barn, og i legers kamp om tidlig å kunne avdekke og behandle arvelige sykdommer som for eksempel DiGeorge syndrom, der personer av afrikansk, asiatisk og latinamerikansk opprinnelse oftere rammes enn andre.
Datamaskiner i stand til å gjenkjenne ansikter kommer ikke uten risiko. Her finnes det ingen lette spørsmål eller enkle svar. Likevel må folk være klar over og forstå hva som skjer. Som utviklere av ansiktsgjenkjenning har teknologiaktørene et særlig ansvar for å fortelle hva som pågår.
Man trenger ikke veldig mye fantasi for å tenke ut hvor galt det kan gå når ansiktsgjenkjenning misbrukes, eller i verste fall brukes som et våpen. Det kan være myndigheter som bruker teknologien til å identifisere alle som deltar i fredelige demonstrasjoner for å hindre folks rett til ytringsfrihet, eller for masseovervåkning som en del av politisk forfølgelse.
Dette reiser etiske og mer fundamentale menneskerettighetsspørsmål knyttet til blant annet personvern og ytringsfrihet vi må ha med oss i vurderingen av et regelverk på området. Ikke minst er det viktig å ta i betraktning politiets ønske om å bruke denne teknologien i kampen mot terror og alvorlig kriminalitet. Hensynene til den enkeltes personvern og den nasjonale interessen er ofte vanskelig å balansere.
Ett eksempel på dette er da Microsoft i 2018 sa nei til å utstyre politiet i California med ansiktsgjenkjenningsteknologi i kroppskamera og i politibilene for rutinemessig bruk, av hensyn til personvern.
Hva er en ønsket utvikling?
Det er bred enighet om at regelverket må følge utviklingen. Og det er gode nyheter. Vi trenger et regelverk bygd på demokratiske verdier med mennesket i sentrum. Teknologibransjen har vært pådrivere for å få på plass lover og regler for ansvarlig og etisk bruk av ansiktsgjenkjenning. Flere teknologigiganter har sagt noe de sjelden gjør; «Kom og reguler oss!». Men, det vanskelige spørsmålet er hvordan.
Microsoft har ønsket å bidra inn i diskusjonen, og anbefalt et rammeverk som beskytter mot diskriminering, og ivaretar personvernet og andre grunnleggende demokratiske verdier. Helt konkret er det foreslått fire etiske prinsipper: nøyaktighet, åpenhet, tredjeparts testing og personvern. Det er for å hindre diskriminering, skape pålitelighet på en måte som folk forstår med krav om tredjeparts testing og beskyttelse av personvernet i tråd med EUs personvernforordning (GDPR).
En konsekvens av disse etiske prinsippene er at Microsoft, sammen med IBM og Amazon, siden i sommer ikke lenger har ønsket å selge ansiktsgjenkjenningsteknologi til amerikansk politi før et nasjonalt regelverk er på plass, som ivaretar grunnleggende menneskerettigheter.
Trenger vi et forbud, eller har vi tilstrekkelig beskyttelse i dagens regelverk?
I høringen til EU-kommisjonens «White Paper on Artificial Intelligence» har teknologiaktører som Microsoft nettopp pekt på viktigheten av et solid regelverk for å redusere mulige skadevirkninger. Aktørene støtter EUs forslag om at ulike typer risiko, slik som høyrisiko ved bruk av ansiktsgjenkjenning, krever forskjellige regler, og anbefaler å bygge på gjeldende lover og regler så langt det er mulig.
Ansiktsgjenkjenningsteknologiens presisjon og økte utbredelse skaper nye personvernrettslige utfordringer. Flere har tatt til orde for at teknologien fort kan misbrukes, og behovet for klarere retningslinjer for når teknologien kan brukes og ikke. Det er imidlertid få aktører som har vurdert hvilke rammer dagens regelverk setter for bruk av ansiktsgjenkjenning.
For at ansiktsgjenkjenning skal tas i bruk, må den behandlingsansvarlige oppfylle mange krav i både personvernforordningen og personopplysningsloven. Den behandlingsansvarlige må blant annet ha lovlig behandlingsgrunnlag etter personvernforordningens artikkel 6. Personvernforordningen artikkel 9 stiller ytterligere skranker der ansiktsgjenkjenning brukes for å identifisere fysiske personer, eller innebærer en behandling av andre særlige kategorier av personopplysninger. Dette vil for eksempel være tilfelle dersom teknologien henter ut helsedata fra ansiktsbildet. Utgangspunktet er her at behandlingen er forbudt, med mindre en av unntaksreglene i artikkel 9 nr. 2 kommer til anvendelse.
Flere av unntakene i artikkel 9 nr. 2 stiller krav til at behandlingen har et rettslig grunnlag, er nødvendig og oppfyller kravene til proporsjonalitet. Mange av vilkårene er skjønnsmessige, men underlagt strenge retningslinjer i EU-domstolens praksis, og uttalelser fra Personvernrådet og i fortalepunktene til personvernforordningen.
Praksis fra EU-domstolen og EMD viser at nødvendighetsvurderingen er streng. Det er ikke nok at ansiktsgjenkjenning er nødvendig. Det må være «strictly necessary» å ta teknologien i bruk. I tillegg må det ikke være mindre inngripende identifikasjonsmidler tilgjengelig, og ansiktsgjenkjenning må være et egnet virkemiddel for å oppnå formålet bak behandlingen. En gjennomgang av regelverket viser at terskelen for å ta i bruk ansiktsgjenkjenning i enkelte tilfeller er så høy at det kan være vanskelig å fastslå når det faktisk vil være lovlig.
Den behandlingsansvarlige må også oppfylle vilkårene i personopplysningsloven § 12 om entydige identifikasjonsmidler. Bestemmelsen får særlig betydning der ansiktsgjenkjenning er hjemlet i samtykkereglene, men gjelder også der behandlingen er begrunnet i en av de andre unntaksreglene i artikkel 9 nr. 2. En gjennomgang av de aktuelle rettskildene tyder på at § 12 gir et strengere vern enn forordningen der ansiktsgjenkjenning brukes til å autentisere fysiske personer.
Alt i alt er bruk av ansiktsgjenkjenning underlagt mange regler, og gjennomgang av reglene viser at terskelen for å ta teknologien i bruk er svært høy. Dette tyder på at dagens regelverk gir tilstrekkelig beskyttelse.
Samtidig er regelverket komplisert og fragmentert. Regelverkets kompleksitet medfører en risiko for urettmessig bruk av teknologien, og skaper lite forutberegnelighet.
Siden 2019 er antall bøteleggelser i Europa fordoblet. I 2019 ble en svensk kommune ilagt en bot på 200.000 kroner for urettmessig bruk av ansiktsgjenkjenning. Risikoen for bøteleggelser er derfor en svært aktuell problemstilling for virksomheter som ønsker å ta i bruk ansiktsgjenkjenning. Det etterlyses derfor ytterligere nasjonale retningslinjer for bruken av ansiktsgjenkjenning. Regelverket kan avklares på ulike måter, som for eksempel gjennom lovgivning eller retningslinjer fra Datatilsynet.
Enkelte har tatt til orde for et forbud mot ansiktsgjenkjenningsteknologi. Skulle Norge forby denne teknologien, innebærer ikke det at andre land vil følge etter. Et forbud i Norge vil ikke bare hindre oss i en ansvarlig utvikling av ansiktsgjenkjenningsteknologi i tråd med grunnleggende demokratiske verdier, men hemme vår innovasjons- og konkurransekraft i et globalt marked.
Viktigheten av styrket samarbeid og gjennomgang av regelverket
Ingen sitter på alle svarene, og åpenhet for innspill og bidrag fra ulike aktører er viktigere enn noensinne.
Vi anbefaler at det på tvers av disipliner, og både i privat og offentlig sektor stimuleres til offentlig debatt om bruk av ansiktsgjenkjenning, med myndighetene i spissen. Denne teknologiintense tiden krever også at regjeringen øker sin aktivitet i europeiske og internasjonale fora for å sikre et internasjonalt rammeverk for ansvarlig og pålitelig bruk av kunstig intelligens slik som ansiktsgjenkjenning.
Mye tyder på at dagens norske regelverk gir nødvendig beskyttelse av personvernet, og et totalt forbud synes derfor å ha lite for seg.
Likefult er det, for å sikre en ansvarlig og rettmessig bruk av ansiktsgjenkjenning, behov for at regelverket gjennomgås og tydeliggjøres. I tiden fremover vil dette kunne styrke vernet til både den registrerte og den behandlingsansvarlige i møtet med den nye teknologien.