Mi a baj az arcfelismerő szoftverekkel?
https://blog.crosssec.com/mi-a-baj-az-arcfelismero-szoftverekkel/
június 15, 2016 | blog.crosssec.com

Arcfelismerő algoritmusok már nem csak a sci-fikben elérhetők

Ha az adatvédelemmel kapcsolatos aggályokról van szó, a Facebook vagy a Google az első két vállalat akire gondolunk. Elég, ha csak a Facebook automatikus arcfelismerő funkciójának európai betiltására
http://www.engadget.com/2013/02/07/facebook-european-facial-recognition-data-removal/
gondolnunk 2013-ból.

Facebook és Google

A Facebook Moments nevű alkalmazása 2015 júniusában jelent meg először. Az alap ötlet meglehetősen egyszerű volt; Rengeteg fotót készítünk, de sokszor nem minden barátunkhoz jutnak el a közös fényképek. A Moments app ezt a problémát szeretné orvosolni. Méghozzá úgy, hogy automatikusan felismeri a képen szereplő embereket, így könnyebben megoszthatjuk velük a fényképeket.

Bár az ötletet sokan találják hasznosnak, a törvényhozás számára komoly adatvédelmi aggályokat vet fel. Éppen ezért nem is elérhető az automatikus arcfelismerő funkció Európában,
http://www.theregister.co.uk/2015/06/17/facebook_moments_not_coming_to_eu_anytime_soon/
hiszen az EU adatvédelmi szabályozása sokkal szigorúbb
https://blog.crosssec.com/az-uj-eu-s-adatvedelmi-rendelet/
az Egyesült Államok törvényeihez képest.

A technológiát rengeteg jóra is lehetne használni, azonban ha egy cég azért készít adatbázist az emberek arca alapján, hogy utána minden lépésüket nyomon tudja követni, már egészen másról beszélünk.

Oroszországban más a helyzet

Hacsak nem Oroszországban élsz, a VKontakte valószínűleg nem tartozik a leggyakrabban látogatott weblapjaid közé. A VKontakte gyakorlatilag a Facebook orosz megfelelője; Egy, a volt Szovjetunió országaiban népszerű közösségi hálózat, több mint 350 millió
https://vk.com/catalog.php
felhasználóval.

Márciusban egy Maxim Perlin nevű orosz szoftverfejlesztő létrehozta a FindFace nevű mobilalkalmazást. Az arcfelismerési algoritmus segítségével már egy fotó alapján is kereshetünk a teljes VKontakte minden felhasználója között.

A FindFace aggasztóan jól működik. Gondolj bele, egy egyszerű, metrón készített kép alapján gond nélkül megtalálhatod azokat az embereket, akikkel együtt utaztál. Az app több mint 70%-os pontossággal megadja, ki szerepel a képen, ráadásul listát is készít a lehetséges találatokról.

Komoly aggályok a profilozás terén

Ahogy a The Guardian cikkében
http://www.theguardian.com/world/2015/sep/01/russia-internet-privacy-laws-control-web
is olvashatjuk, az adatvédelem és az állami megfigyelés egyébként is egy érzékeny terület Oroszországban. Mi történne, ha a FindFace által alkalmazott technológiát beépítenék a térfigyelőkamerák rendszerébe?

Az emberek profilozása azonban nem csak az állami megfigyelések esetén okozhat problémát. Ha egy cég pontosan tudja hol laksz, mit szeretsz, merre szoktál utazni, az felvet bizonyos kérdéseket a magánszférád védelmével kapcsolatban.

Történhet-e hasonló a Facebookon?

Valószínűleg nem. Ahhoz hogy a FindFace működni tudjon, valamilyen kapcsolatban kell állnia a VKontakte adatbázisával. Erre két lehetőség van. Vagy kapcsolatban vannak a közösségi hálózat API (alkalmazásprogramozási) felületével, vagy robotok segítségével lementették a teljes adatbázist.

Mindkét megoldás szigorúan tiltott a Facebook és a Google hálózatában is. Ezek alapján tehát nem valószínű, hogy bárki is készíthetne egy olyan appot, ami fénykép alapján kiadná a képen szereplők Facebook adatlapjait.

Kivéve a Facebookot.

Ha az EU-n kívül élsz, az automata arcfelismerő funkció egy már bevezetett és jelenleg is működő szolgáltatás. Ez pedig ugyanazt az elvet követi, mint a FindFace, azzal a különbséggel, hogy ebben az esetben a Facebook tud mindent, nem a felhasználók.

Szerencsére az európai adatvédelmi törvények gondoskodnak róla, hogy az EU-s állampolgárok esetén ne legyen lehetőség ilyen technológiák alkalmazására.


Ha érdekel, milyen módszerekkel védik az európai törvények a Te adataidat, olvasd el az előző cikkünket, amiben az Európában érvényes új adatvédelmi törvényekről, és a hetekben bevezetett egységes adatvédelmi irányelvről írtunk;

Az új EU-s adatvédelmi rendelet
https://blog.crosssec.com/az-uj-eu-s-adatvedelmi-rendelet/
április 26, 2016 | blog.crosssec.com

Az Európai Parlament 4 év tanácskozás és finomítás után április 15-én elfogadta
http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_hu.pdf
az Európai Unió új, általános adatvédelmi rendeletét.

Az EU-s direktívák és szabályozások szerint eddig is csak és kizárólag szigorú követelmények és garanciák biztosításával lehetett személyes adatokat gyűjteni. Az új rendelet célja, hogy a digitális kor kihívásaira jogi választ és biztonságot adjon.

Egy kontinens, egy rendelet

Az előző adatvédelmi szabályozás 1995-ben született, így érthető, hogy sokan égető szükségét érezték egy „frissítésnek”, hiszen 1995-ben az internetpenetráció jelentősen alacsonyabb volt, másképp működött az adatvédelem is. Az új törvénycsomag célja, hogy a jelenlegi nem egységes, tagállamonként váltakozó jogi környezetet kiválthassuk egy egyszerű, egyértelmű és egységes szabályozással.

Valószínűleg sokat hallottál már arról, hogy az EU-ban mennyivel jobb a helyzet, mint Amerikában, ha adatvédelemről vagy a magánélet biztonságáról beszélünk. Igazság szerint rengeteg apró különbség van a két kontinens törvényhozóinak felfogásában, de a főbb irányokat élesen el tudjuk határolni.

Európában a személyes adat a Tiéd, az engedélyed nélkül nem kezelheti, főleg nem kereskedhet vele senki.

Ez az új adatvédelmi rendelet megerősíti az európai polgárok alapvető jogát, hogy rendelkezhessenek a saját adataik felett. A törvény segít a vállalatoknak és a digitális gazdaságnak is, hogy egy globálisan érvényes, egyértelmű és jól szabályozott környezetbe helyezi a kérdéskört.


Az új Általános Adatvédelmi Rendelet főbb pillérei

7. Cikk – A hozzájárulás feltételei

Az általános adatvédelmi rendelet alapján minden vállalkozásnak engedélyt kell kérnie a vevőitől, partnereitől még mielőtt akármilyen velük kapcsolatos adatot kezelne. Az érintett személyeknek világos és egyértelmű hozzájárulást kell adniuk az adataik feldolgozására. Ez például történhet egy „Egyetértek” rubrika bepipálásával, feltéve ha a rubrika nem volt előre kipipálva. Ebből a szempontból a magyar szabályozás már most is jobb, mint az EU-s átlag, mivel nálunk már most sem lehet például előre bepipálni a hozzájárulást biztosító kis négyzetet. Vannak azonban olyan más EU-s tagországok, ahol ez nincsen törvényileg szabályozva, számukra ez új kötelezettség lesz. Mostantól pontosan ugyanolyan egyszerű módot kell biztosítani a hozzájárulás visszavonására is, mint annak megszerzése során.

Ezzel együtt a cégeknek visszamenőleg is rendelkezniük kell ilyen hozzájárulásokkal. Ez azt jelenti, hogy a már – jelenleg nem ilyen jól szabályozott környezet miatt – meglévő ügyfelektől egy megújító hozzájárulást kell kérni.

8. Cikk – Gyermekek személyes adatainak feldolgozása

Az új törvénycsomag különleges védelmet biztosít a gyermekek számára. Életkorukból adódóan lehetséges, hogy kevésbé vannak tisztában azzal, hogy milyen veszélyekkel és következményekkel jár a személyes adataik megosztása. Egy bizonyos kor alatt a gyermekek csak szülői engedéllyel (szülői hozzájárulás) regisztrálhatnak például közösségi média oldalakra, vagy vehetnek igénybe online szolgáltatásokat. Jelenleg tagországonként változó, 13-16 év közötti korhatárokat határoztak meg a különböző országok törvényeiben. Ezzel a szabályozással azonban EU szinten is 13 évre módosítják ezt a korhatárt.

Természetesen a gyermekeknek esetén egyértelműbb és erősebb a „felejtés joga” is.

11-12-13-14. Cikk – Átlátható tájékoztatás és kommunikáció

Az Európai Parlament a törvény megalkotása során ragaszkodott ahhoz, hogy az adatvédelemmel kapcsolatos tájékoztatás és kommunikáció közérthető, egyszerű és világos nyelvezettel legyen hozzáférhető mindenki számára. Nincs több bonyolult, kacifántos jogi megfogalmazás, ha adatvédelmi irányelvekről van szó.

17. Cikk – „A felejtéshez” és törléshez való jog

Mindenkinek joga van ahhoz, hogy elfelejtsék – azaz kérheti a szolgáltatóktól minden vele kapcsolatos személyes adat törlését. Természetesen ez csak akkor megalapozott, ha a kérdéses adat nem okozna történelmi, statisztikai, tudományos vagy egyéb szempontból veszteséget, illetve ha annak megtartása törvényileg kötelező.

Adott esetben, akárki kérheti például a Google-től hogy a vele kapcsolatos keresési találatokat törölje. A jelenlegi szabályozás már közelít az új rendelethez, azonban a helyzet – még – bonyolultabb.

Amennyiben ilyen kérés érkezik egy internetes vállalat felé, a cégnek továbbítania kell azt azon partnerei felé, akik átvették az adatokat.

18. Cikk – Adathordozhatósághoz való jog

Az új törvény segít, és jogokat garantál mindenki számára ahhoz, hogy az adatait szolgáltatók között könnyen és egyszerűen hordozni tudja. Ezt leginkább a mobiltelefonos számhordozáshoz tudnám hasonlítani;

Például ha valaki szeretne e-mail szolgáltató váltani, joga van hozzá hogy ezt megtehesse anélkül, hogy elveszítené a már meglévő címjegyzékét, email-jeit vagy naptárját. Az ehhez hasonló, szolgáltatóváltások sokkal egyszerűbbek lesznek a jövőben.

20-21. Cikk – Profilalkotáson alapuló intézkedések és korlátozások

Az általános adatvédelmi rendelet ezentúl sokkal szigorúbban szabályozza a felhasználók profilozását. Csak és kizárólag akkor készíthetnek ilyen profilokat a cégek, ha ahhoz az érintett kifejezetten hozzájárult. A személyre szabott reklámok piacán ez hatalmas kihívást fog jelenteni. Az EU ezen kívül kifejezetten leszögezi, hogy az ilyen – tehát még az engedélyezett – profilkészítés semmilyen módon nem vezethet diszkriminációhoz (származás, politikai meggyőződés, szexuális beállítottság, vallási nézetek, stb. alapján).

33-34. Cikk – Adatvédelmi incidensről való értesülés joga

A felhasználóknak joga van ahhoz, hogy tudjanak róla, ha az adataik veszélybe kerültek. Az adatszivárgások és adatlopások okozta kár minimalizálása során kulcsfontosságú, hogy minél előbb értesüljünk a problémáról, hogy megtehessük a szükséges lépéseket a további károk megelőzésére. Ha egy szolgáltatótól megszerzik a jelszavainkat, jobb minél előbb értesülni róla, hogy a máshol tárolt adataink biztonsága ne kerüljön veszélybe.

Ebben a kérdésben például az USA eddig az EU előtt járt, ott már eddig is maximum 72 órán belül értesíteni kellett mindenkit, akinek az adatai veszélybe kerültek.

Európában az európai szabályok érvényesek

A nem európai, de Európában is működő cégekre ugyanezek a szabályok érvényesek. Nincs semmilyen kiskapu, ha valaki európai polgároknak akar szolgáltatni, be kell tartania az európai törvényeket. A Facebook és a Google is ezek szerint kell, hogy működjön. Ezzel eljutunk arra a pontra, hogy a technológiai cégeknek már a termékük tervezése során is figyelniük kell az adatvédelemre.

Az EU egységes adatvédelmi irányelve előírja, hogy a személyes adatok Európán kívüli feldolgozása és tárolása során is érvényben legyenek ezek az elvek, és törvényi garanciát biztosít arra, hogy a külföldön tárolt adatok is az előírt módon legyenek kezelve.

Erősebb kényszerítő eszközök

Azok a cégek, akik nem teljesítik, vagy figyelmen kívül hagyják az egységes európai szabályozást, hatalmas büntetésekre számíthatnak. Természetesen a bírság mértéke erősen függ az elkövetett szabálysértés nagyságától, de a maximum bírság elérheti a cég teljes éves világpiaci forgalmának 4 százalékát. Az olyan óriási cégek esetén, mint a Facebook, Google, Apple vagy Microsoft, ez hatalmas összeg. Több tíz millió eurós bírságokról van szó.

A rendelet 20 nappal az után lép érvénybe, ha az megjelent az EU hivatalos lapjában.

A tagállamoknak 2 évük van felkészülni, és beépíteni a saját törvénykezésükbe az új, összeurópai rendelkezéseket, tehát 2018-ra az EU minden országában ezek szerint kell eljárni.

Konklúzió

Ahogy Jan Philipp Albrecht (Zöldek, Németország), az adatvédelmi rendelet felelőse mondta:

> „Innentől a polgárokon múlik,
> hogy milyen személyes adatokat
> akarnak magukkal kapcsolatban megosztani”
[...]

Válasz