Systemy biometryczne w EU AI Act - definicja
W kontekście Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r., czyli EU AI Act, systemy biometryczne to systemy AI przetwarzające dane biometryczne w celu identyfikacji, weryfikacji, kategoryzacji osób fizycznych albo wnioskowania o ich emocjach. Akt odwołuje się przy tym do pojęcia danych biometrycznych znanego z RODO, czyli z rozporządzenia (UE) 2016/679, art. 4 pkt 14. W praktyce dla zdjęć i nagrań wideo chodzi przede wszystkim o analizę twarzy, obrazu sylwetki, chodu, tęczówki, odcisku palca lub innych wzorców pozwalających odróżnić jedną osobę od drugiej.
Dla obszaru anonimizacji zdjęć i wideo kluczowe jest rozróżnienie między systemem służącym do rozpoznawania biometrycznego a systemem służącym do ochrony prywatności. Narzędzie wykrywające twarz po to, aby ją zamazać, nie musi wykonywać identyfikacji osoby. Może działać wyłącznie na etapie detekcji obiektu typu „twarz” lub „tablica rejestracyjna”. To istotna granica techniczna i prawna. Samo wykrycie twarzy w kadrze nie jest równoznaczne z ustaleniem tożsamości osoby.
EU AI Act wprowadza dla systemów biometrycznych trzy główne reżimy: zakazy dla określonych zastosowań, kategorię wysokiego ryzyka dla wybranych wdrożeń oraz zestaw obowiązków dla dostawców i podmiotów stosujących system. W praktyce największe znaczenie mają systemy zdalnej identyfikacji biometrycznej, systemy kategoryzacji biometrycznej oraz systemy rozpoznawania emocji. Dla inspektora ochrony danych oznacza to konieczność odróżnienia narzędzi do anonimizacji materiałów wizualnych od narzędzi, które profilują, klasyfikują lub identyfikują osoby na podstawie obrazu.
Jak EU AI Act klasyfikuje systemy biometryczne
AI Act nie traktuje wszystkich zastosowań biometrii jednakowo. Znaczenie ma cel przetwarzania, środowisko użycia oraz to, czy system działa ex post, czy na żywym obrazie. Ma to bezpośrednie znaczenie dla procesów przetwarzania nagrań i zdjęć przed publikacją, archiwizacją lub przekazaniem osobom trzecim.
Najważniejsze grupy systemów biometrycznych można uporządkować następująco:
Typ systemu | Opis funkcji | Status w EU AI Act | Znaczenie dla anonimizacji zdjęć i wideo
|
|---|---|---|---|
Zdalna identyfikacja biometryczna | Porównanie wzorca biometrycznego z bazą tożsamości w celu ustalenia, kim jest osoba | Co do zasady system wysokiego ryzyka, a użycie w czasie rzeczywistym w publicznie dostępnej przestrzeni na potrzeby egzekwowania prawa jest co do zasady zakazane, z wyjątkami ustawowymi | Nie jest potrzebna do zamazywania twarzy |
Weryfikacja biometryczna | Potwierdzenie deklarowanej tożsamości 1:1 | Może być systemem wysokiego ryzyka zależnie od zastosowania | Nie jest potrzebna do anonimizacji materiału wizualnego |
Kategoryzacja biometryczna | Przypisanie osoby do kategorii na podstawie cech biometrycznych | Część zastosowań zakazana, część może podlegać wymogom AI Act i innym ograniczeniom prawnym | Nie powinna być elementem systemu do ochrony prywatności |
Rozpoznawanie emocji | Wnioskowanie o stanie emocjonalnym z danych biometrycznych | Zakazane w miejscu pracy i w instytucjach edukacyjnych, z ograniczonymi wyjątkami | Nie jest konieczne do zamazywania twarzy |
Detekcja twarzy | Wykrycie obecności twarzy bez ustalania tożsamości | Co do zasady poza zakresem rozpoznawania biometrycznego jako identyfikacji, ale nadal wymaga oceny zgodności z RODO | To typowa funkcja używana do anonimizacji zdjęć i nagrań |
Z punktu widzenia technicznego jest to różnica między zadaniem typu detection a zadaniem typu identification lub verification. W pierwszym przypadku model lokalizuje obiekt w obrazie. W drugim buduje lub porównuje reprezentację cech osoby, zwykle jako wektor cech zwany embeddingiem.
Znaczenie dla anonimizacji zdjęć i nagrań wideo
W systemach do ochrony prywatności celem powinno być wykrycie elementu podlegającego zamazaniu, a nie rozpoznanie konkretnej osoby. W praktyce oznacza to wykorzystanie modeli widzenia komputerowego do lokalizacji twarzy oraz tablic rejestracyjnych, a następnie trwałe przekształcenie obrazu przez rozmycie, pikselizację albo maskowanie.
Do budowy takiego systemu zwykle stosuje się deep learning. Model jest trenowany na oznaczonych zbiorach danych, aby nauczyć się znajdować twarze lub tablice rejestracyjne w różnych warunkach:
- przy zmiennym oświetleniu,
- przy częściowych przesłonięciach,
- dla różnych kątów ustawienia kamery,
- dla obrazu statycznego i sekwencji wideo.
Po etapie treningu model inferencyjny może być używany do automatycznego wykrywania obiektów wymagających anonimizacji. Dla zgodności regulacyjnej istotne jest, aby taki pipeline nie tworzył funkcji identyfikacji osób, o ile nie jest to ściśle uzasadnione i legalne. W praktyce system do zamazywania twarzy nie potrzebuje porównywania twarzy z bazą referencyjną ani nadawania osobie unikalnego identyfikatora tożsamości.
W środowisku takim jak Gallio PRO oznacza to użycie AI do automatycznego wykrywania twarzy i tablic rejestracyjnych w materiałach foto i wideo oraz do ich zamazywania. Nie obejmuje to automatycznego wykrywania logotypów, tatuaży, tabliczek z imionami, dokumentów ani treści na monitorach. Te elementy mogą wymagać ręcznej redakcji w edytorze. Taki podział zmniejsza zakres przetwarzania danych i ogranicza ryzyko wdrożenia funkcji biometrycznych wykraczających poza cel anonimizacji.
Zakazy i systemy wysokiego ryzyka w EU AI Act
Najdalej idące ograniczenia dotyczą zastosowań, które ustawodawca unijny uznał za niedopuszczalne lub szczególnie inwazyjne. Dla praktyki compliance ważne jest, że nie każde użycie twarzy w systemie AI jest zakazane, ale określone cele i konteksty użycia już tak.
Do obszarów szczególnie wrażliwych należą:
- zdalna identyfikacja biometryczna w czasie rzeczywistym w publicznie dostępnej przestrzeni na potrzeby egzekwowania prawa - co do zasady zakazana, z wyjątkami ustawowymi,
- niektóre formy kategoryzacji biometrycznej wykorzystujące dane wrażliwe,
- rozpoznawanie emocji w pracy i edukacji - co do zasady zakazane, z ograniczonymi wyjątkami,
- systemy wysokiego ryzyka używane w obszarach takich jak zatrudnienie, dostęp do usług, migracja czy wymiar sprawiedliwości.
Dla podmiotów zajmujących się anonimizacją materiałów wizualnych praktyczny wniosek jest prosty: funkcja rozmywania twarzy powinna być oddzielona od funkcji identyfikacyjnych. Im mniejszy zakres danych i im mniej operacji na cechach biometrycznych, tym łatwiej wykazać zgodność celu, minimalizację danych i proporcjonalność.
Obowiązki dostawców i użytkowników systemów biometrycznych
Jeżeli dany system AI kwalifikuje się jako system wysokiego ryzyka, AI Act nakłada zestaw obowiązków na dostawcę oraz na podmiot stosujący system. Obowiązki te uzupełniają, a nie zastępują, wymogi RODO. W obszarze obrazu i wideo oznacza to równoległą ocenę techniczną i ocenę ochrony danych.
Do podstawowych obowiązków należą:
- wdrożenie systemu zarządzania ryzykiem,
- zapewnienie odpowiedniej jakości danych treningowych, walidacyjnych i testowych,
- prowadzenie dokumentacji technicznej,
- rejestrowanie zdarzeń w zakresie wymaganym przez AI Act, przy zachowaniu zasad minimalizacji danych,
- zapewnienie nadzoru człowieka,
- spełnienie wymogów dokładności, cyberbezpieczeństwa i odporności,
- przeprowadzenie procedury oceny zgodności przed wprowadzeniem systemu do obrotu lub oddaniem do użytku.
Dla użytkownika systemu do anonimizacji materiału wizualnego kluczowe jest udokumentowanie, że narzędzie działa wyłącznie w celu redakcji prywatności i nie rozszerza zakresu przetwarzania o identyfikację biometryczną. W praktyce pomocne są polityki techniczne, opisy architektury, testy jakości detekcji oraz zasady retencji plików źródłowych i wynikowych.
Kluczowe parametry i metryki systemów biometrycznych i systemów do anonimizacji
W ocenie systemu AI do pracy na zdjęciach i wideo nie wystarczy sam opis funkcji. Potrzebne są mierzalne parametry. Ich dobór zależy od tego, czy system ma identyfikować osoby, czy tylko wykrywać obiekty do zamazania.
Dla systemów detekcyjnych stosuje się najczęściej:
- precision - odsetek poprawnych wykryć wśród wszystkich wykryć,
- recall - odsetek wykrytych obiektów wśród wszystkich obiektów obecnych w materiale,
- mAP - średnia precyzja dla progów IoU, typowa metryka dla detekcji obiektów,
- IoU - miara nakładania się predykowanego i referencyjnego obszaru,
- latency per frame - czas przetwarzania klatki lub obrazu.
Dla systemów identyfikacji biometrycznej częściej analizuje się:
- FAR - False Accept Rate,
- FRR - False Reject Rate,
- EER - Equal Error Rate,
- ROC i AUC,
- rank-1 accuracy lub recall@k dla wyszukiwania w galerii.
W systemie do anonimizacji zdjęć i nagrań ważniejszy od rankingu tożsamości jest wysoki recall detekcji. Powód jest praktyczny. Niewykryta twarz lub niewykryta tablica rejestracyjna oznacza ryzyko ujawnienia danych osobowych. Dlatego w procesach compliance często przyjmuje się konserwatywne ustawienia progu detekcji, a następnie stosuje kontrolę operatora dla przypadków granicznych.
Odniesienia normatywne i praktyka zgodności
Ocena systemów biometrycznych w pracy z obrazem i wideo powinna opierać się na źródłach pierwotnych. Najważniejsze akty i dokumenty to:
- Rozporządzenie (UE) 2024/1689 - AI Act, opublikowane 12 lipca 2024 r.,
- Rozporządzenie (UE) 2016/679 - RODO, w szczególności art. 4, art. 9, art. 25 i art. 35,
- Wytyczne Europejskiej Rady Ochrony Danych 3/2019 dotyczące przetwarzania danych osobowych przez urządzenia wideo, przyjęte 29 stycznia 2020 r.,
- norma ISO/IEC 23894:2023 - wytyczne dotyczące zarządzania ryzykiem w AI,
- norma ISO/IEC 22989:2022 - pojęcia i terminologia AI.
W praktyce zgodności dla narzędzia do zamazywania twarzy i tablic rejestracyjnych oznacza to kilka zasad. Po pierwsze, należy ograniczyć cel przetwarzania do anonimizacji lub pseudonimizacji materiału wizualnego. Po drugie, trzeba wykazać, że funkcja AI nie służy do identyfikacji biometrycznej. Po trzecie, należy utrzymać kontrolę operatora nad materiałami trudnymi, np. kadrami z małą twarzą, ruchem, odbiciami lub częściowym zasłonięciem obiektu.
W tym modelu AI pełni funkcję pomocniczą dla ochrony danych, a nie narzędzie identyfikacji osób. To rozróżnienie ma zasadnicze znaczenie zarówno dla klasyfikacji ryzyka w AI Act, jak i dla oceny legalności przetwarzania na gruncie RODO.