Piotr Powązka
Wydaje się, że zwiększone wykorzystanie danych biometrycznych do użytku osobistego, np. w celu używania funkcji smartfonów, ewidencji czasu pracy czy dostępu do placówek użyteczności publicznej, zwiększyło postrzeganą akceptację stosowania danych biometrycznych.
Producenci nowoczesnych urządzeń czy smartfonów powszechnie korzystają z rozpoznawania odcisków palców w celu uzyskania dostępu do funkcji urządzenia – wystarczy nacisnąć czujnik, aby łatwiej odblokować telefon, zamiast wpisywać kod. Wydaje się jednak, że byli oni świadomi zagrożeń związanych z gromadzeniem danych biometrycznych, więc umieścili je na oddzielnym chipie, w urządzeniu. Jako przykład można wskazać telefony Apple’a: chip w urządzeniu zawiera zaawansowane zabezpieczenia architektury, zwane bezpieczną enklawą, którą opracowano w celu ochrony danych dotyczących kodu i odcisków palców. Touch ID nie przechowuje zdjęć odcisków palców, a opiera się tylko na ich matematycznej reprezentacji. Nie jest możliwe, aby przywrócić rzeczywisty obraz odcisków palców z tych zapisanych danych.
Dane o odciskach palców są zaszyfrowane, przechowywane w urządzeniu oraz zabezpieczone kluczem dostępnym jedynie dla bezpiecznej enklawy. Są używane tylko przez Secure Enclave w celu sprawdzenia, czy odciski palców są zgodne z zapisanymi. Nie ma do niej dostępu ani system operacyjny urządzenia, ani żadna z uruchomionych na nim aplikacji. Dane nie są przechowywane na serwerach Apple’a, nie jest tworzona kopia zapasowa w iCloud lub w innym miejscu i nie może być używana do porównywania z innymi bazami danych o odciskach palców. Tego rodzaju rozwiązanie technologiczne wprowadzono wiele lat przed wejściem w życie RODO i można je określić jako bardzo użyteczne.
Ale tutaj chodzi o znanego producenta smartfonów, który inwestuje ogromne środki w zabezpieczenie urządzeń. Mimo to urządzenia zarówno Apple’a, jak i drugiego giganta Samsunga dało się oszukać, tworząc fałszywe odciski palców. Ominięto również tzw. Face ID rozpoznający twarz. Oczywiście wymagało to wysiłku. A co z setkami różnych urządzeń i producentów rozwiązań z zakresu KD oraz ich nakładów na bezpieczeństwo?
W sierpniu 2019 r. Noam Rotem i Ran Locar, jak donosi vpnMentor1, odkryli, że są w stanie uzyskać dostęp do bazy danych zawierającej odciski palców ponad miliona osób i dane dotyczące rozpoznawania twarzy. Bazą tą zarządzała firma Suprema w imieniu swoich klientów na całym świecie (m.in. brytyjskiej policji, wykonawców robót obronnych i banków). Badacze ci wykazali również, że byli w stanie manipulować tymi danymi, dodając własne odciski palców do istniejących użytkowników lub dodając nowych użytkowników, chociaż nie jest pewne, czy niezabezpieczone dane biometryczne zostały faktycznie udostępnione i wykorzystane w złej wierze. Krytycznym problemem jest to, że w przeciwieństwie do haseł czy kodów PIN dane biometryczne nie mogą zostać zresetowane po wycieku, a zatem bardzo trudno ograniczyć to ryzyko. Nikt nie zmieni swojej twarzy, tęczówki oka czy odcisków palców. Utrata wizerunkowa firmy może zakończyć się dla niej fatalnie.
Biometryczna kontrola dostępu staje się coraz bardziej popularna nie tylko w telefonach. Rośnie np. zainteresowanie tym rozwiązaniem wśród klubów fitness. Ale i w tych zastosowaniach budzi jednak skrajny odbiór wśród korzystających. Wiele osób nie rozumie tej technologii lub nie ma do niej zaufania. Skoro gigantom zdarzają się wpadki, przez co narażają osoby na wysokie ryzyko związane z wyciekiem danych, sugerowałbym swobodny dostęp do rozwiązania alternatywnego, jakim jest karta członkowska i ewentualne zdjęcie w systemie, szczególnie że nie wszyscy chcą przebywać w siłowni o 2.00 w nocy. Są niestety kluby w Polsce, które teoretycznie utrzymują alternatywę, ale poprzez projekt strony www utrudniają klasyczny zakup karnetu online, o ile nie wyrazi się zgody na biometrię. Czy w pogoni za rentownością trzeba sięgać do takich metod? Może być to wątpliwe z punktu widzenia decyzji w sprawie szkoły (dyskryminacja), o której była mowa w cz. 1. artykułu (nr 3/2020 a&s Polska), oraz wytycznych EROD prezentowanych poniżej.
Na co zwracać uwagę, aby zminimalizować ryzyko podczas przetwarzania danych biometrycznych
Z punktu widzenia przepisów RODO i wytycznych EROD posiadanie alternatywnych (klasycznych lub biometrycznych) metod autoryzacji to jeden z elementów systemu. Innym jest np. wspomniana już wyraźna zgoda osoby na wykorzystanie jej cech biometrycznych (art. 9 ust. 2 lit. a RODO). To alternatywne rozwiązanie nie wiąże się z przetwarzaniem biometrycznym – musi być bez ograniczeń i dodatkowych kosztów dla osoby, której dane dotyczą. Potrzebne jest osobom, które nie spełniają warunków do posługiwania się urządzeniem biometrycznym (niemożność wprowadzenia lub odczytania danych biometrycznych, niepełnosprawność), a także w przypadku czasowej niedostępności urządzenia biometrycznego (np. wadliwe działanie), należy wdrożyć to „rozwiązanie rezerwowe” w celu zapewnienia ciągłości dla proponowanej usługi.
Oto przykład: hotel korzysta z monitoringu wizyjnego, aby automatycznie powiadomić kierownika o przybyciu VIP-a, gdy jego twarz zostanie rozpoznana. Goście ci wyrazili zgodę na korzystanie z funkcji rozpoznawania twarzy przed zarejestrowaniem ich w utworzonej w tym celu bazie danych. Mimo to takie systemy przetwarzania danych biometrycznych są niezgodne z prawem, chyba że inni monitorowani goście (w celu identyfikacji VIP-ów) wyraziliby zgodę na przetwarzanie danych zgodnie z art. 9 ust. 2 lit. a RODO.
Jednak niektóre przypadki, jak stadion FI Brøndby2, pokazują, że można znaleźć podstawy do zastosowania biometrii (rozpoznawanie twarzy), by zapewnić bezpieczeństwo strefy publicznej. W tym przypadku zwrócono się do duńskiego regulatora o zezwolenie i zatwierdzenie swojego podejścia do zgodności, jednak zawsze trzeba zweryfikować podstawę prawną. Niestety nie udało mi się znaleźć szczegółów dotyczących legitymizacji tego wdrożenia.
Zgodnie z zasadą minimalizacji danych ich administratorzy muszą zapewnić, że dane pobrane z obrazu cyfrowego w celu zbudowania wzorca nie będą nadmierne i będą zawierać jedynie informacje wymagane do określonego celu, co pozwoli uniknąć ewentualnego dalszego przetwarzania. Należy wprowadzić środki gwarantujące, że wzorce nie będą mogły być przenoszone pomiędzy systemami biometrycznymi.
Identyfikacja i uwierzytelnianie/weryfikacja będą prawdopodobnie wymagały przechowywania wzorca w celu wykorzystania go w późniejszym porównaniu.
Administrator danych musi rozważyć najbardziej odpowiednie miejsce do przechowywania danych. W kontrolowanym otoczeniu (wydzielone korytarze lub punkty kontrolne) wzorce należy przechowywać na indywidualnym urządzeniu użytkownika i znajdującym się pod jego wyłączną kontrolą (w smartfonie lub na karcie identyfikacyjnej, opasce) lub w razie potrzeby w konkretnych celach i w obecności obiektywnych potrzeb – przechowywać w scentralizowanej bazie danych w zaszyfrowanej formie z kluczem znajdującym się wyłącznie u danej osoby w celu uniemożliwienia nieupoważnionego dostępu do wzorca lub miejsca przechowywania. Jeżeli administrator danych nie może uniknąć dostępu do wzorców (ich matematycznej reprezentacji również), musi podjąć odpowiednie kroki w celu zapewnienia bezpieczeństwa przechowywanych danych, np. szyfrowanie wzorca przy użyciu algorytmu kryptograficznego. W każdym przypadku administrator podejmuje wszelkie niezbędne środki ostrożności w celu zachowania dostępności, integralności i trwałości wzorca oraz poufności przetwarzanych danych, m.in. następujące działania:
- podział danych na przedziały podczas przesyłania i przechowywania,
- przechowywanie wzorców biometrycznych i danych surowych lub danych dotyczących tożsamości w odrębnych bazach danych,
- szyfrowanie danych biometrycznych, zwłaszcza wzorców biometrycznych,
- określenie polityki szyfrowania i zarządzania kluczami,
- zintegrowanie środków organizacyjnych i technicznych w celu wykrycia oszustwa,
- powiązanie kodu integralności z danymi (np. podpis lub hash),
- zakazanie jakiegokolwiek zewnętrznego dostępu do danych biometrycznych.
Ponadto muszą usuwać surowe dane (obrazy twarzy, sygnały mowy, chód itp.) i zapewnić skuteczność tego usunięcia. Jeżeli wzorce biometryczne są tworzone na podstawie takich danych, można uznać, że zbudowanie baz danych może stanowić równorzędne, jeśli nie jeszcze większe zagrożenie (ponieważ nie zawsze łatwo jest odczytać wzorzec biometryczny bez wiedzy dotyczącej tego, jak został zaprogramowany, podczas gdy surowe dane będą składnikiem każdego wzorca).
Gdyby administrator danych musiał przechowywać takie dane, należy zastosować metodę, która sprawiłaby, że utworzenie wzorca stałoby się nieskuteczne. Administrator musi również usunąć dane biometryczne i wzorce w przypadku nieautoryzowanego dostępu do terminala odczytu lub serwera przechowującego dane oraz usunąć wszelkie dane nieprzydatne do dalszego przetwarzania po zakończeniu eksploatacji urządzenia biometrycznego.
Zatem o ile administrator może chcieć zainstalować konkretne rozwiązanie i na nim spoczywa odpowiedzialność, o której mowa w artykule, o tyle podmioty profesjonalnie wdrażające systemy również powinny móc wykazać, że są w stanie administratorowi pomóc, a ich rozwiązania spełniają wymagania stawiane przed administratorami.
Przetwarzanie danych biometrycznych nie powinno być traktowane pobłażliwie, zwłaszcza w kontekście zatrudnienia czy szkolnictwa, gdzie ważna zgoda nie jest zazwyczaj dobrym rozwiązaniem. Wraz z rozwojem technologii i np. umieszczaniem odcisków palców podczas identyfikacji elektronicznej jest to prawdopodobnie jedynie wierzchołek problemów. Zapewne będziemy świadkami wielu innych przypadków wykorzystywania lub utraty danych biometrycznych oraz wytycznych w tym zakresie.
1) https://www.vpnmentor.com/blog/report–biostar2–leak/ 2) https://aspolska.pl/facepro-od-panasonica-na-stadionie-w-brondby/
 |
|
| ERATRUST ul. Postępu 10/34, 02-676 Warszawa biuro@eratrust.pl |
