Az arcfelismerésre épülő technológia elterjedtebb, mint az elsőre gondolnánk. A Facebook alkalmazásának egyes verziói például képesek automatikusan megjelölni valakit egy fotón. Az arcfelismeréssel fel lehet oldani a telefont, de olyan online bankok is működnek, ahol a webkamerába nézve igazolhatjuk a személyazonosságunkat. Ezt a technikát sokan az olcsó, de nagyon biztonságos azonosítási lehetőségek közé sorolják. A szakemberek viszont sok helyen egyenesen a betiltását követelik. De vajon miért?
Miért jók a biológiai azonosítók?
A személyes adatok biztonsága, a számítógépes rendszerben tárolt információk védelme napjainkban kulcsfontosságúak. A cégek mindent megtesznek, hogy a legérzékenyebb adatokhoz csak azok férhessenek hozzá, akik arra valóban jogosultak. Ám a számítógépes jelszavakat, elektronikus azonosítókat viszonylag könnyű hamisítani. Míg a biológiai azonosítókkal kicsit más a helyzet (még).
A biológiai azonosítás nem hangzik túl bizalomgerjesztően, de szerencsére nem a genetikai kód alapján történő vizsgálatról van szó. A legtöbb esetben olyan “ártatlan” jellemzők tartoznak ide, mint az ujjlenyomat, a retina mintázata, vagy a hírhedt vénaszkennelés. Ezekre az azonosítókra a következők jellemzőek:
- Általában teljesen egyediek (még az egypetéjű ikrek ujjlenyomata is eltér)
- Nem lehet “elfelejteni” őket
- Nem átruházhatók és jelenleg nagyon nehezen hamisíthatók.
Egy aláírással szemben az ember szemének mintázatát nehéz lemásolni. Az ujjlenyomat viszonylag könnyen hamisítható, viszont ehhez először jó minőségben meg kell szerezni azt. Az ilyen apró, de praktikus eszközök tehát általában a magas fokú biztonság zálogai. Egy határig.
Kihívás: a big data
Ne legyenek illúzióink, a szem, ujjlenyomat és arcfelismerő szoftverek általában nagyon egyszerűen működnek. A legtöbb ilyen program valójában csak néhány azonosító jegyet vesz figyelembe és azokat is nagy vonalakban - persze ha csak 7-8 ilyen jegy van, már az is hatalmas számú kombinációt eredményez.
Ha egy véges adatbázisról, például egy cég dolgozóiról van szó, ennyi jegy alapján viszonylag hamar azonosítani lehet valakit. Ugyanígy, ha a 30-ból 25 jellemző stimmel, jó eséllyel tényleg a tulajdonos próbálja meg feloldani a telefont.
A rendszernek általában két buktatója van: az, hogy mennyire nagy az adatok toleranciája, illetve az, hogy mekkora adatbázisból kell kiválasztani valakit. Lássunk ezekre egy-egy példát:
Ha egy telefon azonosítani próbálja a tulajdonosát, de nagy az adatok toleranciája, elképzelhető, hogy minden szőke, kaukázusi típusú, kerek arcú személyt beenged a rendszerbe, hiszen a bőrszín, a szemek távolsága vagy az áll formája megközelítőleg stimmel. Ha viszont túl szigorú a rendszer, elképzelhető, hogy a tulajdonost sem ismeri fel, ha más fényviszonyok között néz a kamerába, mint a róla eltárolt, eredeti fotón.
Ha egy vállalatban csupán 10-en dolgoznak és az arcfelismerő rendszerben csak az ő adataik szerepelnek, a rendszer talán azonosítani tudja, hogy a vállalat melyik tagja lépett be az ajtón, viszont valószínűleg minden olyan embert beenged majd, aki valamennyire emlékeztet a vállalat bármelyik munkatársára. Minél nagyobb adatbázissal tud dolgozni egy rendszer, minél több ember képe elérhető a számára, egy tanuló algoritmus annál pontosabban tudja finomítani a vizsgálandó jellemzőket és annál precízebben tud azonosítani.
A veszély itt azonban abban rejlik, hogy ezek a jegyek egyúttal olyan érzékeny adatok is, amik ha rossz kezekbe kerülnek, komoly károkat tudnak okozni tulajdonosának.
A Clearview-sztori
A precíz azonosítás jól hangzik, egészen addig a pontig, amíg a rendszer el nem szabadul. A Clearview-sztori bizonyítja, hogy a komolyabb gondok már nem sokat váratnak magukra. Röviden összefoglaljuk a részleteket.
Az amerikai tech cég egy rendkívül pontos arcfelismerő technológiát fejlesztett ki. A Clearview mesterséges intelligenciája az elemzők szerint több mint 96%-os pontossággal képes volt azonosítani valakit. Csakhogy ehhez nem feltétlenül legális eszközöket használt. Elsőként a Twitter észlelte, hogy a rendszer szkenneli a felhasználók által a platformon megosztott képeket, majd a YouTube is hasonlóról számolt be, de a Facebook és a Venmo is vizsgálatot indítottak az ügyben.
Kiderült, hogy a Clearview valószínűleg rengeteg olyan képet és adatot használ, amelynek a kezelésére nincsen jogosultsága. A legrosszabb, hogy ezek sokszor nyilvánosan elérhető adatok, viszont azokat nem azok tulajdonosa tette közzé. A mesterséges intelligencia olyan képeket is használhatott, amelyeket egy harmadik fél töltött fel valahová, a tulajdonos megkérdezése nélkül.
Nem csak ez jelentett súlyos problémát. A Clearview nyilatkozata szerint a szolgáltatásait csak kormányzati és bűnüldözési szerveknek adta ki. Hamar kiderült azonban, hogy számos magáncég is kaphatott a kétes értékű adatokból. Rengetegen vannak tehát, akik tudtukon kívül gyakorlatilag tökéletesen azonosíthatóak olyan cégek számára, akiknek erre senki nem adott engedélyt.
De miért kell(ene) betiltani az arcfelismerést?
Számos városban, így például San Franciscóban, Cambridge-ben és Massachusetts-ben is betiltották a valós időben történő arcfelismerés használatát. Az érintett települések vezetése több érvet is hozott a döntés mellett. A legfontosabbak:
- Sokan akaratuk ellenére, tudtuk nélkül szerepelnek bizonyos adatbázisokban.
- A rendszerek még mindig nem tökéletes pontosságúak, könnyű alaptalanul meghurcolni valakit, pusztán azért, mert hasonlít a keresett személyre.
- Az arcot nem lehet lecserélni - az arcfelismerés alapján olyan adatok is megtudhatók valakiről, amelyek egy adott szituációban nem szükségesek.
Az arcfelismerés alkalmazása sok kellemetlenséget is szülhet. Ha egy állásinterjú előtt a cég rá tud keresni a jelentkezőre arc alapján, könnyen kompromittáló információk birtokába juthat. Kiderülhet, hogy az illetőnek anyagi gondjai vannak és valószínűleg alacsonyabb fizetésért is vállalja a munkát, esetleg sok, a konkurenciánál dolgozó ismerőse van, így esetleg szivárogtathat a cégről, vagy éppen egészségügyi gondjai vannak.
Kínában már működik egy társadalmi kreditrendszer, amely alapján mindenkit osztályokba sorolnak. Aki a kormány által elvárt módon viselkedik, az különböző előnyökhöz jut. Azok viszont, akik nem tanúsítanak megfelelő magatartást, vagy csak túl sok “megbízhatatlan” emberrel tartják a kapcsolatot, még vonatjegyet sem válthatnak.
A nagy tömegű, pontos megfigyelés tehát lehetséges. Csakhogy, amíg Kína viszonylag nyíltan kommunikálja, mi történik náluk (vagy legalábbis nem tudja kellően titkolni), számos más, demokratikusabb területen “árnyék” rendszerek jöhetnek létre a szivárgó adatokból. Ha nincs megfelelő szabályozás, könnyen lehet, hogy az ember egyszer csak azt tapasztalja, a bankok sorra elutasítják a hitelkérelmét, például mert túl sokat látni drága éttermekben és luxus cikkeket árusító boltok körül. Az is megtörténhet, hogy valakinek nem fizet a biztosító egészségügyi problémára, mert rajtakapják, hogy dohányzik, extrém sportol vagy gyorséttermeket látogat.
Van jó megoldás?
Az arcfelismeréses azonosítással az elsődleges probléma, hogy az arc nem letagadható. Míg az ujjlenyomat levételéhez külön eszközök kellenek, az arcfelismeréshez elég egy jobb felbontású kamera. Ez egyfelől megkönnyíti a bűnüldözők dolgát, másfelől viszont megnehezíti a rosszindulatú megfigyelés szűrését.
Az arcfelismerés alkalmazásának tiltása illetve az illegális adatbázisok és alkalmazásaik felderítése tehát ésszerű lépések a védekezésben. Bár így jóval nehezebb azonnal azonosítani egy körözött személyt, például abban a pillanatban, hogy elhalad egy pláza biztonsági kamerája előtt, könnyebb elkerülni azt is, hogy valaki a kapcsolatrendszere, az egészségügyi állapota vagy más, érzékeny adat miatt hátrányos helyzetbe kerüljön.
Az illegális vagy szürkezónás adatbankok és rendszerek létrejöttét természetesen nem lehet 100%-ig elkerülni. Ha viszont az arcfelismerés használatát sikerül erőteljesen szigorítani, könnyebb elejét venni a visszaélések, például egy láthatatlan kasztrendszer kialakulásának. Természetesen ehhez elengedhetetlen a felhasználók fegyelme és tudatossága. A saját adataink védelme tehát nem csak a cégek, hanem a mi feladatunk is.