Zadaj pytanie

Czym jest chain of custody nagrań wideo?

Spis treści

Chain of custody nagrań wideo - definicja

Chain of custody, po polsku łańcuch dowodowy, to udokumentowany i możliwy do zweryfikowania zapis tego, kto, kiedy, w jakim celu i w jakim zakresie miał dostęp do materiału wideo lub zdjęć oraz jakie operacje wykonał na pliku, nośniku lub jego kopii. W praktyce compliance oznacza to zachowanie ciągłości identyfikowalności materiału od momentu pozyskania, przez eksport, transfer, przechowywanie, analizę, anonimizację twarzy i tablic rejestracyjnych, aż po udostępnienie lub archiwizację.

W kontekście nagrań wideo łańcuch dowodowy służy dwóm celom. Po pierwsze, ma potwierdzić integralność materiału, czyli brak nieudokumentowanych zmian. Po drugie, ma wykazać legalność i proporcjonalność przetwarzania danych osobowych widocznych na obrazie. Dotyczy to szczególnie materiałów zawierających wizerunek osób, tablice rejestracyjne oraz inne informacje, które mogą pozwolić na identyfikację. W ujęciu dowodowym i regulacyjnym liczy się nie tylko sam plik, ale też metadane, suma kontrolna, środowisko przetwarzania, uprawnienia operatorów i historia wersji.

Znaczenie łańcucha dowodowego wynika z ogólnych zasad bezpieczeństwa informacji i rozliczalności. W ochronie danych osobowych podstawą jest art. 5 ust. 1 lit. f oraz art. 5 ust. 2 RODO, czyli integralność, poufność i rozliczalność, a także art. 32 RODO dotyczący bezpieczeństwa przetwarzania. W praktyce pomocne są też normy ISO/IEC 27001:2022, ISO/IEC 27002:2022, ISO/IEC 27037:2012 oraz ISO/IEC 27042:2015, które opisują identyfikację, pozyskanie, zabezpieczanie i ocenę cyfrowego materiału dowodowego.

Jak rozumieć łańcuch dowodowy przy anonimizacji nagrań wideo?

Anonimizacja materiału wideo nie usuwa potrzeby zachowania wartości dowodowej. Przeciwnie, wymaga precyzyjnego rozdzielenia materiału źródłowego od materiału przetworzonego. Jeżeli w organizacji zamazuje się twarze lub tablice rejestracyjne przed udostępnieniem nagrania, trzeba wykazać, że wersja upubliczniona jest pochodną konkretnego pliku źródłowego, a sama operacja została wykonana w kontrolowany sposób.

W tym modelu zwykle funkcjonują co najmniej dwie wersje materiału:

  • wersja źródłowa - niezmieniona, z zachowaną sumą kontrolną i ograniczonym dostępem,
  • wersja robocza lub kopia przeznaczona do udostępnienia po przetwarzaniu - z udokumentowaną anonimizacją, eksportem i zakresem redakcji obrazu.

Jeżeli do wykrywania twarzy lub tablic rejestracyjnych używany jest model AI, to dla potrzeb audytu należy dokumentować nie tylko fakt zamazania, ale także parametry procesu. Deep learning jest jedną z technik wykorzystywanych do budowy modeli detekcji obiektów, które później automatyzują wskazywanie obszarów do zamazania. Z punktu widzenia chain of custody istotne jest jednak nie trenowanie modelu, lecz to, jakiej wersji modelu użyto, kiedy wykonano detekcję, kto zatwierdził wynik i czy ingerencje manualne zostały zapisane w historii operacji.

W środowisku Gallio PRO trzeba przy tym wyraźnie odróżnić zakres automatyzacji od działań ręcznych. Oprogramowanie automatycznie zamazuje wyłącznie twarze i tablice rejestracyjne. Nie wykrywa automatycznie logotypów, tatuaży, tabliczek z imionami, dokumentów ani obrazu na ekranach. Takie elementy mogą być zamazywane manualnie w edytorze. Każda ręczna ingerencja powinna być uwzględniona w dokumentacji łańcucha dowodowego.

Jak dokumentować każdy etap przetwarzania materiału wideo?

Skuteczny łańcuch dowodowy opiera się na powtarzalnym rejestrze zdarzeń. Samo przechowywanie pliku nie wystarcza. Należy móc wykazać historię życia materiału, od pozyskania po usunięcie lub przekazanie. W praktyce najlepiej sprawdza się podejście oparte na zdarzeniach, identyfikatorach i sumach kontrolnych.

Minimalny zakres dokumentacji obejmuje zwykle:

  • unikalny identyfikator sprawy, nośnika i pliku,
  • datę i czas pozyskania materiału wraz ze strefą czasową,
  • źródło nagrania, na przykład kamera CCTV, body camera, telefon, rejestrator samochodowy,
  • osobę lub system, który dokonał importu, kopiowania lub eksportu,
  • sumę kontrolną pliku, najczęściej SHA-256,
  • lokalizację logiczną i fizyczną nośnika lub repozytorium,
  • historię dostępu i zmian uprawnień,
  • zakres anonimizacji - twarze, tablice rejestracyjne, obszary ręcznie zamazane,
  • wersję narzędzia i konfiguracji użytej do przetwarzania,
  • informację o eksporcie, przekazaniu, retencji lub usunięciu.

Warto stosować prostą zasadę: każda operacja na materiale powinna pozostawić ślad dowodowy, ale sam ślad nie powinien zawierać danych osobowych wykraczających poza minimum potrzebne do rozliczalności. To istotne także dlatego, że systemy do anonimizacji nie powinny tworzyć logów zawierających zbędne dane osobowe. W środowisku Gallio PRO założenie jest zgodne z tym podejściem - oprogramowanie nie zbiera logów zawierających dane osobowe ani szczególne kategorie danych osobowych.

Kluczowe atrybuty i metryki chain of custody nagrań wideo

Wartość dowodowa zależy od tego, czy można wykazać integralność, autentyczność i kontrolę dostępu. Dla zespołów compliance przydatne są mierzalne wskaźniki. Nie wszystkie mają charakter normatywny, ale ułatwiają audyt i ocenę ryzyka.

Atrybut

Opis praktyczny

Przykładowa metryka

 

Integralność pliku

Możliwość potwierdzenia, że plik źródłowy nie został zmieniony

Zgodność sumy SHA-256 przed i po transferze

Kompletność rejestru

Odsetek operacji udokumentowanych w historii sprawy

100% zdarzeń krytycznych z identyfikatorem operatora i czasem

Śledzalność

Możliwość powiązania wersji z materiałem źródłowym

Liczba wersji z pełnym odniesieniem do pliku źródłowego

Czas reakcji

Czas od pozyskania do zabezpieczenia materiału

T1 - T0 w minutach lub godzinach

Kontrola dostępu

Liczba i zakres kont z dostępem do materiału

RBAC, zasada least privilege

Jakość anonimizacji

Skuteczność wykrywania obiektów do zamazania

Precision, recall, liczba korekt manualnych

W obszarze integralności najczęściej stosuje się funkcje skrótu z rodziny SHA-2, opisane przez NIST w FIPS 180-4. Dla pliku wejściowego i wersji wynikowej można obliczyć niezależne skróty. Jeżeli materiał źródłowy ma skrót H1, a kopia robocza H2, dokumentacja powinna wyjaśniać, dlaczego H1 i H2 są różne, na przykład z powodu wykonanej anonimizacji lub zmiany kontenera pliku.

Prosty zapis może mieć postać:

hash_integrity = SHA-256(plik)

Znaczenie łańcucha dowodowego dla zgodności z RODO i ochrony prywatności

W praktyce ochrony danych łańcuch dowodowy nie jest wyłącznie zagadnieniem kryminalistycznym. To także narzędzie rozliczalności administratora. Jeżeli organizacja publikuje lub przekazuje nagranie po anonimizacji, musi wykazać podstawę prawną przetwarzania, adekwatność zakresu ujawnienia oraz zabezpieczenia techniczne i organizacyjne.

Przy materiałach wideo szczególnie ważne są:

  • udokumentowanie celu przetwarzania i podstawy prawnej,
  • oddzielenie materiału źródłowego od kopii przeznaczonej do udostępnienia,
  • ograniczenie dostępu do wersji niezanonimizowanej,
  • retencja zgodna z polityką i przepisami sektorowymi,
  • możliwość wykazania, że zamazano twarze i tablice tam, gdzie było to konieczne.

W przypadku twarzy potrzeba anonimizacji może wynikać z zasad RODO, ochrony dóbr osobistych oraz przepisów o rozpowszechnianiu wizerunku, z uwzględnieniem wyjątków dotyczących osób publicznych i szerszej sceny publicznej. W przypadku tablic rejestracyjnych sytuacja prawna nie jest całkowicie jednolita. W Polsce ocena, czy numer rejestracyjny stanowi dane osobowe, zależy od kontekstu i możliwości identyfikacji osoby przy użyciu rozsądnie prawdopodobnych środków. Z perspektywy compliance bezpieczniejsze jest udokumentowanie decyzji i przyjętego standardu anonimizacji.

Wyzwania i ograniczenia chain of custody przy przetwarzaniu wideo

Nawet dobrze zaprojektowany proces ma ograniczenia. Materiał wideo jest podatny na zmianę formatu, utratę metadanych, błędy synchronizacji czasu i niejednoznaczność co do źródła. Dodatkowo automatyczna detekcja twarzy i tablic nie daje gwarancji 100% skuteczności, dlatego konieczna bywa weryfikacja manualna.

Najczęstsze problemy to:

  • brak spójnego czasu systemowego między urządzeniami i serwerami,
  • eksport nagrań do formatów, które usuwają część metadanych,
  • niepełne rejestrowanie operacji ręcznych,
  • zbyt szerokie uprawnienia operatorów,
  • mieszanie kopii roboczych z materiałem źródłowym,
  • brak odrębnej procedury dla anonimizacji i dla zabezpieczania dowodu.

Dlatego organizacja powinna opisać w procedurze, kiedy pracuje się na kopii bitowej lub logicznej, kto zatwierdza anonimizację oraz jak oznaczane są wersje materiału. To zmniejsza ryzyko podważenia wartości dowodowej i ryzyko naruszenia prywatności.

Odniesienia normatywne i źródłowe

Poniższe dokumenty są najczęściej wykorzystywane jako punkt odniesienia przy projektowaniu procedur dla cyfrowego materiału dowodowego i bezpieczeństwa przetwarzania:

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. - RODO, w szczególności art. 5 i art. 32
  • ISO/IEC 27001:2022 - Information security, cybersecurity and privacy protection - Information security management systems - Requirements
  • ISO/IEC 27002:2022 - Information security controls
  • ISO/IEC 27037:2012 - Guidelines for identification, collection, acquisition and preservation of digital evidence
  • ISO/IEC 27042:2015 - Guidelines for the analysis and interpretation of digital evidence
  • NIST FIPS PUB 180-4, Secure Hash Standard, August 2015
  • NIST SP 800-86, Guide to Integrating Forensic Techniques into Incident Response, 2006

Zobacz także

Powrót do słownika