Tehnologija je po eni strani olajšala umik v zasebni prostor, hkrati pa je tudi omogočila nadzor spoštovanja novih pravil vedenja v javnem prostoru. Številne države so za to uporabile tehnologije prepoznavanja biometričnih osebnih podatkov, tudi Slovenija. Tehnologije so bile v uporabi že pred epidemijo, ta pa je njihovo rabo samo pospešila. Po mnenju strokovnjaka za zasebnost in urednika pri comparitech.com Paula Bischoffa ima biometrija lahko velik vpliv na svobodo gibanja in svobodo združevanja, saj lahko odvrne protestnike od tega, da bi se na protestih sploh prikazali, zato je to resen razlog za zaskrbljenost. Ob tem je izrazil upanje, da se bo večina teh praks prenehala, ko bo pandemije konec, skrbi pa ga, da bo veliko teh praks obstalo, veliko podatkov, ki so se zbrali v tem času, pa bo uporabljenih za druge namene.

Paul Bischoff, nazadnje sva se pogovarjala ob koncu leta 2019, ko so na Kitajskem že odkrili prve primere nove, nenavadne pljučnice. Prav danes mineva leto dni, odkar v Sloveniji vsak dan štejemo primere nove koronavirusne bolezni, kmalu bo minilo leto dni od prvega zaprtja javnega življenja. Zdi se, da cepljenje vzbuja upanje skorajšnjega konca pandemične "nove resničnost", skrbi pa, da utegnejo omejitve posameznih pravic in svoboščin ostati. Kako bi kot strokovnjak za zasebnost na spletu ocenili spremembe, ki jih je prinesla pandemija covida 19? Ste pričakovali, da se bo ves svet, da bi omejil širjenje virusa SARS-CoV-2, preselil na splet, in kako vi doživljate vse spremembe, ki so se zgodile?
Ker delam na daljavo, imam veliko srečo, da se zame osebno v resnici ni veliko spremenilo. Če pa gledam s svojega strokovnega zornega kota, torej analize zbiranja, obdelave in uporabe biometričnih osebnih podatkov, se je res veliko spremenilo. Že pred pandemijo covida-19 smo imeli podatke o tem, kaj države počnejo z biometričnimi podatki. Med pandemijo pa so številne države okrepile zbiranje le-teh, bodisi za nadzor in uveljavljanje karantene bodisi za sledenje stikov. Zato jim biometrični podatki pomagajo slediti, kje se ljudje premikajo in kako se širi virus. Tako da ja, večina držav je zaradi covida-19 okrepila biometrijo do neke mere.

V svoji raziskavi ste države razvrstili glede na to, kako se lotevajo zbiranja biometričnih podatkov. Pred letom dni ste v analizo vključili 50, letos pa kar 96 držav. Dodali ste tudi nove parametre in spremenili točkovanje. Skupno število točk je s 25 poskočilo na 31, več točk pa pomeni manj biometrije, ravno obratno kot pred letom dni. Posebej ste merili tudi rabo biometrije zaradi covida-19. Na vrhu letošnje lestvice držav, ki zbirajo, hranijo in uporabljajo največ biometričnih podatkov, je nekaj sprememb. Pred letom dni so bile na prvih treh mestih Kitajska, Malezija in Pakistan, zdaj so na prvih treh mestih Kitajska, Kostarika in Iran. Kitajska je torej še vedno prva, med vsemi državami zbira in uporablja največ biometričnih podatkov.
To drži ja.

Lahko, prosim, razložite, kaj se dogaja na Kitajskem?
Kitajska ni ravno privrženka svobode gibanja in združevanja, zato jim je precej vseeno, kako uporabljajo te tehnologije na svojih ljudeh. Na Kitajskem imajo torej nacionalno biometrično bazo podatkov, ki vključuje stvari, kot so vzorci DNK, imajo veliko CCTV-nadzornih kamer, ki jih uporabljajo za prepoznavanje obrazov, za nadzor ljudi, za sledenje določenih posameznikov in za sledenje vseh, ki uporabljajo javni promet, vlake, podzemno železnico, letala in podobno. Nihče ne varuje zaposlenih, ko gre za zaščito zasebnosti na delovnem mestu. Vsakemu, ki vstopi na Kitajsko, vzamejo prstne odtise, kar pa je sicer precej pogosta praksa, vendar vseeno pripomore h končni uvrstitvi.

Četrta država na seznamu pa so, tako kot pred pandemijo, Združene države Amerike. Kaj se torej dogaja v ZDA?
V Združenih državah Amerike nimamo specifičnih zakonov, ki bi varovali biometrične podatke. Imamo nekaj zakonov v posameznih državah, Maine in Illinois sta dve taki državi, ki imata nekaj zakonov, ki ščitijo biometrične podatke, na federalni ravni pa takšnih zakonov ni. To pomeni, da imamo težave z uporabo biometrije na delovnem mestu in tehnologijami prepoznavanja obrazov, ki jih policija uporablja na javnih krajih. Seveda imamo, podobno kot druge države, posebno zaščitene meje in z biometrijo nadzorujemo, kdo jih prestopa. Imamo velike policijske biometrične baze podatkov, s prstnimi odtisi, DNK in podobnimi rečmi. Še enkrat, ni zakonov, ki bi varovali večino teh informacij.

V letu pandemije so bili povsod po svetu številni protesti, tudi v Združenih državah Amerike. Ali ameriška policija in varnostne sile torej uporabljajo biometrične podatke v realnem času, v živo pri nadzoru protestnikov?
Odvisno od posamezne policijske enote. Kratek odgovor je ja, to lahko počnejo, daljši odgovor pa je, da je kakovost podob pri videonadzoru v živo slabša kot pri, denimo, navadni fotografiji. Težko je torej uporabljati prepoznavanje obrazov na videu, še posebej, če gre za video v živo, saj algoritmi ne delujejo tako hitro. Lahko pa si predstavljate situacijo, v kateri policija napravi nekaj fotografij množice, in to pozneje primerja z nacionalno bazo biometričnih podatkov ter s pomočjo prepoznave obrazov išče zadetke. Če se zdaj osredotočiva na video, policija lahko uporablja več stvari. CCTV-nadzorne kamere so ena stvar, ko pa to oženimo s prepoznavanjem obrazov- se lahko res uporablja za identifikacijo protestnikov po dogodkih brez večjih težav. Mirujočo podobo samo spustite skozi algoritem, in ta bo na videu prepoznal ljudi. Te stvari imajo lahko velik vpliv na svobodo gibanja in svobodo združevanja, zato lahko to odvrne protestnike od tega, da bi se na protestih sploh prikazali, na tak način lahko protestnike aretirajo, zagotovo si lahko predstavljate, kako to uporabljajo v državah z oblastjo, ki zlorablja svojo moč. To je resen razlog za zaskrbljenost.

V Evropski uniji imamo zakone, ki ščitijo biometrične podatke, tudi v Sloveniji. Slovenija je v primerjavi z merjenjem pred letom dni zbrala točko več, 14 točk torej, in se tako uvrstila na deveto mesto. Mi lahko, prosim, razložite, kaj ste ugotovili za Slovenijo?
Slovenija je po številu točk ravno na sredini. V vaši državi imate biometrijske podatke v potnih listih in na osebnih dokumentih, banke lahko uporabljajo vaše prstne odtise kot gesla za vstop v spletne banke. Imate manjšo bazo biometričnih podatkov, ki se uporablja v primeru kriminalistike, vendar ne gre za javno bazo podatkov, ki bi jo uporabljali vsi, tako da to ni tako hudo. Policija ima omejen dostop do baze podatkov. Ker ste del Evropske unije, imate zaščite za zaposlene na delovnem mestu. Delodajalec od zaposlenega ne sme zahtevati izročitve biometričnih podatkov, ne sme na primer uporabljati skeniranja prstnih odtisov ali šarenice za vstopanje v zgradbo ali kaj podobnega. V Evropski uniji so zelo strogi pogoji za vstop v območje schengena. Slovenija je del schengena, zato je dobila nekaj točk, saj morate za vstop v državo predati biometrične podatke. Slovenska policija uporablja prepoznavanje obrazov, nimam pa podatka o tem, kako to počne.

Poleg držav biometrične podatke zbirajo tudi številna podjetja, ki delujejo na področju informacijsko-komunikacijske tehnologije. Telefoni skenirajo naše prstne odtise, zabavne aplikacije s prepoznavo obrazov spreminjajo naš videz, družbeni mediji prepoznavajo gibe in geste teles. Kako torej podjetja prispevajo k problematiki zbiranja, hranjenja in obdelave biometričnih osebnih podatkov? Kje so največje težave?
Ko govorimo o biometričnih podatkih, je prepoznavanje obrazov najočitnejša težava. Veliko podjetij, kot so IBM, Amazon in seveda kitajska podjetja, ustvarja veliko teh tehnologij za prepoznavanje obrazov. Podjetja pogosto pobirajo slike s spleta, z družbenih medijev in različnih spletnih strani, in te osebne podatke ljudi najverjetneje brez soglasij uporabljajo za treniranje algoritmov. Potem pa te algoritme prodajajo policiji. Od protestov črna življenja štejejo, ki so bili posledica nasilnega uboja Georgea Floyda, je veliko velikih podjetij, med njimi IBM in Amazon, policiji nehalo prodajati orodja za prepoznavanje obrazov zaradi spornosti, ki je to početje spremljalo. Še vedno pa so tu podjetja, kot denimo Clearview AI, ki so manj etično zavezana, da bi storila pravo stvar. Nimajo nobenih delničarjev, zato jih ne skrbi njihova slaba podoba. Tehnologijo, ki jo izdelujejo, bodo prodali komur koli. Iskreno povedano, tehnologije prepoznavanja obrazov ni tako težko narediti. Zasebna podjetja to ustvarjajo in potem so tu vlade, ki to kupujejo in uporabljajo pri svojih ljudeh.

V preteklosti smo slišali skrbi, da so algoritmi, ki prepoznavajo obraze, pristranski. Odvisno od tega, kdo jih izdeluje in na katerih podatkih se učijo. Manjšine so tako pogosto žrtve teh pristranskosti, saj so pogosteje napačno identificirane. Je to še vedno težava algoritmov, ali pa so se že tako izboljšali, da nimajo več takšnih pomanjkljivosti?
Kar naprej se izboljšujejo, ampak to zelo drži. Razlog, zakaj je algoritem pristranski, so podatki, na katerih se algoritem uči. Če je v podatkovni bazi podob, ki so temelj za treniranje algoritmov, 80 odstotkov ljudi na slikah belih, potem se bo algoritem naučil dobro prepoznavati belce, ne pa črncev. To ustvari številne težave, kadar te algoritme uporabljajo v resničnem svetu, saj slabo prepoznavajo temnopolte, ženske ali druge manjšine.

Zdaj pa še nekaj besed o otrocih, še eni demografski skupini, ki jih je pandemija močno prizadela. Tudi najmlajši med njimi so morali, če še niso, začeti uporabljati digitalne tehnologije vsak dan, predvsem zaradi šole na daljavo, pa tudi zaradi druženja s sovrstniki. Ali so otroci, ko gre za rabo osebnih podatkov, bolje zaščiteni kot druge demografske skupine?
Rekel bi, da na področju biometrije niti ne. Imamo zakone, ki varujejo zasebnost otrok, in potem imamo biometrične zakone, nimamo pa specifičnih biometričnih zakonov, ki bi veljali za otroke. Tudi če bi tak zakon obstajal, recimo, ne uporabljajte otroških fotografij v svojem algoritmu prepoznavanja obrazov, bi v resnici težko ugotovili, ali podjetje to počne, težko bi to ustavili. Zakoni, ki na spletu ščitijo otroke, so bili v preteklosti na spošno neučinkoviti, saj je na spletu zelo težko potrditi starost. Nisem prepričan, ali bi tak zakon sploh deloval. Kar pa se tiče biometrije, ne, nimamo posebnih zakonov, ki bi ščitili otroke.

Kako torej zrete v prihodnost? Ali bomo znali zavarovati svoje osebne biometrične podatke ali pa se bodo njihovo zbiranje, hranjenje in obdelava še okrepili, še posebej, če nam s cepivi ne bo uspelo ustaviti pandemije? Ste optimist ali pesimist?
Po mojem mnenju se bosta uporaba biometričnih podatkov in zbiranje biometričnih podatkov v prihodnosti samo še povečala. O tem ne dvomim. Zakoni bodo počasi, ampak zagotovo sledili, ampak zakoni bodo kot vedno kar nekaj časa zaostajali za tehnologijo. Želim si, da bi se zgodilo več na področju regulacije, da bi se več zakonov nanašalo na ljudi, ki zbirajo in hranijo biometrične podatke. Da bi tako preprečili zlorabo in nedovoljeno deljenje teh podatkov s preveč deležniki. Mislim, da bomo dobili takšne zakone, v nekaterih zveznih državah v ZDA že obstajajo, morda bomo videli celo zakonodajo na ravni celotnih Združenih držav, druge države bodo morda sledile. Pogosto se namreč zgodi, da ZDA postavijo zgled, druge države pa potem sledijo temu zgledu. Torej, če povzamem, videli bomo obširnejše zbiranje biometričnih podatkov, ampak zakonodaja bo časoma sledila.

Kaj pa se bo po vašem zgodilo v Evropski uniji. Ko govorimo o zasebnosti, imamo na tej strani Atlantika strožje zakone, splošna uredba o varstvu osebnih podatkov je nekoliko omejila zbiranje in deljenje informacij o uporabnikih spleta.
GDPR na biometrijo nima veliko vpliva, razen na področju dela – delodajalci ne smejo prisiliti svojih zaposlenih, da predajo svoje biometrične podatke. Kaj drugega pa splošna uredba o varstvu osebnih podatkov ne vsebuje. Seveda se ne smejo deliti podatki z nekom, ki je v drugi državi ali zunaj Evropske unije, ampak tega nismo preučevali v naši raziskavi. EU ima močnejšo zaščito zasebnosti v splošne, tako da bo morda bo Evropa prva, ki bo sprejela zakone in regulativo, sledile pa ji bodo ZDA. Mislim, da potrebujemo veliko zahodno vladno telo, da se odloči o tem, potem pa bodo vsi drugi videli, da je to dobra ideja.

Ampak, če vas prav razumem, podjetja z zbiranjem podatkov služijo denar, države izvajajo nadzor. Je torej komur koli v interesu, da takšno početje omeji? Moram reči, da sem kar črnogleda glede prihodnosti ...
Ja, res je. (smeh) Gre za to, da je Evropa boljša, ko gre za zaščito zasebnosti, ampak hkrati pa je tudi strožja, ko gre za nacionalno varnost. Lahko se torej zgodi, da bo veliko te tehnologije uporabila za nadzor na mejah, omogočila bo policiji rabo CCTV-nadzornih kamer, prstnih odtisov in več moči za zbiranje podatkov, ki ji bo lahko hranila dalj časa. Gre za večji občutek varnosti. Raba biometrije gre torej lahko v obe smeri.

Že na začetku pogovora ste omenili, da ste posebej analizirali rabo biometrije za preprečevanje širjenja novega koronavirusa. Kako je torej pandemija spremenila zbiranje biometričnih osebnih podatkov? Kaj ste ugotovili?
Naj kar povem, kaj se je dogajalo v Sloveniji. Policija je v omejenem obsegu začela uporabljati biometrično prepoznavanje obrazov za nadzor karanten. To je primer, kako je pandemija povečala zbiranje in rabo biometričnih podatkov v preteklih mesecih. Veliko držav je storilo kaj podobnega. Ljudje so na primer morali skenirati svoj obraz s telefonom in poslati svojo trenutno lokacijo, da je vlada preverila spoštovanje karantenske odločbe. Takšne stvari so države uvedle. To je kar malo strašljivo. Upamo, da se bo večina teh praks prenehala, ko bo pandemije konec, ampak skrbi nas, da bo veliko teh praks obstalo, veliko podatkov, ki so se zbrali v tem času, pa bo uporabljenih za druge namene.