Biometri - Personvernets hemmelige våpen eller Storebrors våte drøm?

Jeg heter som sagt Christine Hafskjold og arbeider som prosjektleder for IKT-prosjektene i Teknologirådet. Jeg skal si litt innledningsvis om hvem vi er, så dere har litt bakgrunn for å skjønne hvorfor vi driver med det vi gjør. Teknologirådet er et uavhengig offentlig organ som skal gi råd til Stortinget og øvrige myndigheter i spørsmål om angår ny teknologi. I tillegg skal vi stimulere til offentlig debatt.
Svaret på spørsmålet er litt uklart i Norge. Det er flere aktører i Norge som har ønsket å bruke biometri for adgangskontroll. Personvernnemnda har behandlet 5 saker, og har kommet med prinsipielt viktige avgjørelser i disse sakene: Rema 1000 får ikke bruke fingeravtykk til timeregistrering Esso Norge får bruke fingeravtykk til adgangkontroll Oslo trimsenter får ikke bruke fingeravtrykk som adgangskontroll fordi det ikke anses som nødvendig for å oppnå sikker identifikasjon Oxigeno Fitness får ikke bruke fingeravtykk som adgangskontroll av samme grunn Tysvær kommune får bruke fingeravtrykk til adgangskontroll på PC-ene sine Og da kan man spørre seg: Er det rettferdig, da? Nemnda har selvfølgelig god grunn for å komme med sin avgjørelse. I den siste saken sier Personvernnemnda blant annet: « Etter Personvernnemndas syn er kommunens bruk av fingeravtrykksløsning nødvendig. Smartkortet kan gjenglemmes eller fratas den autoriserte bruker eller på annen måte komme på avveie. Smartkortet kan selv etter omstendighetene være en kandidat for et entydig identifikasjonsmiddel, og det finnes risikomomenter ved en slik løsning som man ikke finner ved en løsning som bygger på bruk av fingeravtrykk.» Kortversjonen av personvernnemndas ulike vedtak kan vel sies å være: Dersom det ikke er skikkelig viktig, får du ikke bruke fingeravtrykk. Hvorfor er det slik?
Biometri er automatisk gjenkjenning av personer ved deres fysiologiske kjennetegn, f.eks. fingeravtrykk eller ansiktskjennetegn, eller adferdsmønstre. Det brukes gjerne til å kontrollere adgang til fysiske områder eller informasjon (datamaskiner, dokumenter osv.). I tillegg til fingeravtrykk som vi allerede har snakket om, så er iris en populær teknologi. I passene har den internasjonale sivile luftfartsorganisasjonen (ICAO) åpnet for at man kan bruke iris i tillegg til fingeravtrykk. Fordeler med biometri er bedre tilgangskontroll og økt sikkerhet mot identitetstyveri, fordi personopplysninger kobles utelukkende til rett person. Dersom noen som lurer på om en person er meg, ber om å få bekreftelse i form av et passord eller en PIN-kode, så kan det være at det er meg, men det kan også være at det er noen som har fått tak i passordet mitt, eller som har skjønt at jeg har vært dum nok til å bruke fødselsdatoen min som PIN kode. Dette er en av grunnene til at vi har hatt et biometrisk kjennetegn på viktige identitetsdokumenter i lange tider
– nemlig ansiktsbiometri – eller bilde. Vi har bilde i passet vårt, bilde på førerkortet vårt og en del steder har man også bilde på adgangskortet sitt. For noen år siden begynte man å snakke om at vi har fått «biometriske pass» i Norge. Sannheten er at vi «alltid» har hatt biometriske pass – det nye er at informasjonen i passet ble lagret i en liten databrikke. Siden har vi supplert ansiktsinformasjonen med fingeravtrykk. Dette er selvsagt for at det skal være enda vanskeligere å låne bort passet til noen som ligner på bildet vårt. Men bildet er fortsatt viktig. Dersom du står i passkontrollen på Gardermoen og datasystemet til passkontrollen går ned, så er det ikke lett for politimannen i luka å sjekke om fingeravtrykket ditt er riktig. Men bildet er det lett å sjekke manuelt. Paradoksalt nok er det slik at den største fordelen med biometri – nemlig at det er entydig – også er den største risikoen ved biometriske systemer: Dersom et sett med biometrisk data blir kompromittert (stjålet), så kan det skape store problemer: Heldigvis har de fleste av oss 10 fingre, men hva med øye? Ansikt?
Man kan tenkte seg to måter «skurkene» vil bruke stjålet biometri: Enten for å utgi seg for å være deg, slik at de kan få tilgang til noe du har som de ønsker, eller for å få andre til å tro at du har gjort noe du ikke har gjort – for eksempel kjørt for fort. I forhold til det første, så er det foreløpig ikke et stort problem – det finnes fortsatt så mange andre identifikasjonsmetoder som det er mye enklere å lure folk med – for eksempel å få tak i kredittkortnumre eller brukernavn og passord til tjenester hvor man kan gjøre innkjøp eller bruke penger. Men enkle og billige biometriske lesere kan la seg lure av «gummifingre» eller til aktivering av latente avtrykk. Men som på alle andre områder skjer det stadig utvikling i teknologien som gjør den sikrer og sikrere. Og for ordens skyld – fotoboksene bruker ikke ansiktsbiometri- her er politiet avhengig av manuelle sjekker. Men eksempelet var for bra til å ikke ta med. En siste viktig måte å «lure» biometriske systemer på er ved å prøve å framstå som en annen enn seg selv (men ikke nødvendigvis en bestemt person). Dette kjenner vi spesielt fra immigrasjonsfeltet hvor folk f.eks filer vekk fingeravtrykkene sine. I forhold til personvern, så sier vi ofte at det ikke er de biometriske kjennemerkene i seg selv om utgjør risikoen, men hvilken teknologi de brukes sammen med: Hvordan leses kjennemerkene av? Hvordan lagres informasjonen?
For å lese av et biometrisk kjennetegn bruker vi gjerne en form for sensor. Da er det sikkert nærliggende for mange å tenke i form av en fingeravtrykksleser. Men et kamera er også en form for sensor (nærmere bestemt en elektrooptisk sensor). En av de viktigste personvernutfordringene med sensorer er at man ofte ikke vet når man blir «avlest»: Dersom du må sette fingeren på en fingeravtrykksleser, så skjønner du sannsynligvis at nå er det noen som registrerer eller sjekker fingeravtrykket mitt. Men er du alltid klar over når ansiktet ditt blir fanget opp av et kamera? Og hvis du ikke vet at du er registrert – hvordan kan du vite hvem som lagrer data om deg, og hva dataene skal brukes til?
Automatisk ansiktsgjenkjenning: Et system for automatisk ansiktsgjenkjenning tar bilde av en person og sammenligner det med en database for identifisering eller autentisering. Vanligvis brukt til å bekrefte/avkrefte om en person er på en liste over f.eks. kjente forbrytere eller terrorister. Det skjer stadig utvikling når det gjelder denne teknologien, men foreløpig er det vanskelig å identifisere folk i sanntid og under «naturlige» forhold med lys og skygge, i bevegelse etc. Dersom teknologien utvikler seg ytterligere, kan man tenke seg at dette kan bli brukt til overvåkning: Med høy kameratetthet, og kanskje større mulighet til å koble kameraene sammen i nettverk, kan man få et stekt sporingsverktøy. Amerikanske sikkerhetsmyndigheter har tidligere vist stor interesse for å stimulere utviklingen innen ansiktsgjenkjenning.
En pekepinn inn i framtiden kan vi kanskje få dersom vi sammenligner det med automatisk gjenkjenning av kjennemerke på biler. Det te er naturlig nok mye enklere å få til, og brukes i dag blant annet i flere byer Storbritannia – verdens mest kameratette land – til å kunne følge et kjøretøy fra kamera til kamera gjennom byen.
I tillegg til hvordan kjennemerkene leses av, er det selvsagt interessant hvordan de lagres. Fra et personvernperspektiv er det viktig både at man ikke kan stjele biometriske data, men også at man ikke kan kompromittere dem med å gjøre endringer. For selv om mine fingeravtrykk er unike, og du ikke har greid å «stjele» dem, så hjelper ikke det dersom du enkelt kan få tilgang til adgangskortdatabasen på jobben og registrert dine egne fingeravtrykk på mitt navn. Store sentrale databaser har et par ulemper i personvernsammenheng: Når man samler veldig mye interessant informasjon på ett sted, blir det mer attraktivt å bryte seg inn. Dessuten blir det mer fristende med det vi kaller «formålsutglidning» – som er det at vi samler data inn med ett formål, og så bestemmer oss for å også bruke det til noe annet.
Vi ser en tendens, både i Norge og internasjonalt til å slå sammen databaser, og til å gi nye brukergrupper tilgang til eksisterende databaser. Eksempler: Amerikanske myndigheter vil ha tilgang til data fra norske flypassasjerer, Politiet vil ha full tilgang til valutaregisteret,
Og Økokrim vil ha tilgang til VPS.
Det beste norske eksempelet på formålsutglidning i forhold til biometri er utlendingsregistret – som også inneholder biometrisk informasjon som fingeravtrykk . Dette er blitt åpnet for politiet til etterforskning av straffesaker. Det opprinnelige formålet med databasen var å bidra til å fastslå identiteten til asylsøkere, og da registeret ble opprettet var det faktisk spesifikt nevnt at det IKKE skulle kunne brukes i etterforskning.
Heldigvis er det ikke slik at man alltid er avhengig av sentrale databaser. Dette kan være nødvendig dersom man skal identifisere folk – dvs finne ut hvem de er (en til mange søk). Dersom man bare skal bekrefte at noen er den de utgir seg for, kaller vi det autentisering. I forhold til adgangskontroll – enten det er til en bygning eller et land – er det dette vi gjør. Derfor er de norske passene laget slik at fingeravtrykket ditt er lagret i en brikke i passet, men ikke i en sentral database. Det eneste man trenger å sjekke da, er at avtrykket på fingeren stemmer med avtrykket i passet. Deretter kan man slette informasjonen fra systemet knyttet til leseren. Da har man fjernet den fristelsen det kan være med en stor sentral database med fingeravtrykk. I dag er man ikke kommet skikkelig i gang med bruk av fingeravtrykk fra passene. Det kan faktisk se ut som om ansiktsgjenkjenning er tilbake igjen som der viktigste biometriske kjennetegnet. For dersom man kun skal autentisere, begynner denne teknologien å bli veldig bra. Og i forbindelse med grensepassering kan man kontrollere hvor folk står i forhold til kameraet og hvordan lyset faller. Og da fungerer det faktisk ganske bra.
Dette er fra den finske grensekontrollen. Her har de basert seg på ansiktsgjenkjenning.
Legg passet i leseren
Se inn i kamera
Jeg har brukt mye tid i dag på ansiktsgjenkjenning, og det er ikke tilfeldig. Selv om det foreløpig er vanskelig å identifisere oss når vi går rundt på gata, så er det ikke vanskelig å finne situasjoner hvor vi ser rett inn i kamera og smiler. Og det finnes selskaper der ute i verden som er fryktelig gode til å søke fort i store mengder data. Er det mange her som har forsøkt Google-tjenesten Goggles? Med Goggles kan man ta bilde av noe, og så vil Google finne ut hva som finnes av det på nettet. Her er et eksempel med kjente bygninger, man kan også ta bilder av kunstverk el.l. Men hva med personer? Kan jeg ta bilde av noen jeg ser på gata og søke etter dem for å finne ut hvem de er, hva det gjøre og hvor mye skatt de betalte i fjor? Da Google lanserte denne tanken, ble det ganske mye bråk, og de trakk det tilbake igjen. Men de har altså ikke lukket dørene helt.
Og når man snakker om ansiktsgjenkjenning, så kommer man vel ikke utenom Fjesboka. Facebook er faktisk nettets største samling av bilder, og som navnet antyder er det først og fremst bilder av fjes - ansikter. Men er det bilder av meg som ikke er tagget? Eller av vennene mine? Det er det mange som vil hjelpe deg å finne ut av. Jeg har ikke noe spesiell kjennskap til noen av disse produktene, det var de som dukket opp først da jeg søkte på nett.
Dersom jeg skulle velge bare en ting å følge med på framover, tror jeg nok jeg ville velge ansiktsgjenkjenning. Vi har allerede kameraer over alt, og det å bli tatt bilde av til adgangskort, på jobb-intervjuer etc. er svært akseptert. Jeg vil også anta at det ville være vanskelig for Personvernnemnda å dømme på samme måte i en sak der et treningsstudio ville bruke ansiktsgjenkjenning enn i en sak med fingeravtrykk og iris – rett og slett fordi bruk av ansikt til manuell gjenkjenning er så akseptert. Men her er det altså ingen presedens ennå i Norge. Det kunne vært spennende om vi fikk det. Potensialet for misbruk når teknologien blir bedre er i hvert fall stor.
Alle Teknologirådets rapporter ligger på våre nettsider. De kan lastes ned, eller dere kan sende en e-post til oss ( [email_address] ) og få tilsendt en trykt versjon. Alt vi gjør er gratis og fritt tilgjengelig.