On-premise deployments - definicja
On-premise deployments to sposób wdrożenia oprogramowania polegający na instalacji i eksploatacji całego rozwiązania w infrastrukturze kontrolowanej przez administratora danych. W kontekście anonimizacji zdjęć i nagrań wideo oznacza to, że import, przetwarzanie, generowanie wyników oraz logowanie zdarzeń odbywa się wewnątrz sieci organizacji, bez transferu materiałów do chmury dostawcy. Model ten wspiera realizację zasady integralności i poufności oraz rozliczalności z art. 5 RODO oraz środków bezpieczeństwa z art. 32 RODO, a także privacy by design z art. 25 RODO (źródło: Rozporządzenie 2016/679).
W praktyce wdrożenia on-premise dla narzędzi Gallio PRO dotyczą przetwarzania wsadowego materiałów z kamer i aparatów, z automatycznym zamazywaniem wyłącznie twarzy i tablic rejestracyjnych oraz ręcznym redagowaniem innych obiektów w wbudowanym edytorze. Oprogramowanie nie wykonuje anonimizacji w czasie rzeczywistym ani anonimizacji strumienia wideo, nie wykrywa automatycznie logotypów, tatuaży i tabliczek z imionami, a logi nie zawierają informacji o detekcjach twarzy i tablic ani innych danych osobowych.
Rola on-premise w anonimizacji zdjęć i wideo
Wdrożenia lokalne zmniejszają ryzyko nieuprawnionego ujawnienia materiałów i ułatwiają spełnienie wymogów dotyczących transferów danych osobowych do państw trzecich lub organizacji międzynarodowych, o których mowa w art. 44-49 RODO. Umożliwiają też dopasowanie polityk retencji, kontroli dostępu i audytu do wewnętrznych procedur oraz minimalizują ekspozycję danych źródłowych podczas uczenia i inferencji modeli detekcji.
Deep learning jest kluczowy, ponieważ precyzyjne zamazywanie wymaga modelu AI zdolnego do wykrywania twarzy i tablic rejestracyjnych na klatkach wideo i zdjęciach. Taki model jest trenowany na oznaczonych zbiorach, a następnie wykorzystywany w procesie inferencji w środowisku on-premise do automatycznej redakcji. W Gallio PRO automatyzacja dotyczy wyłącznie tych dwóch kategorii, natomiast inne elementy obrazu mogą być redagowane ręcznie.
Technologie on-premise dla anonimizacji
Warstwa uczenia i inferencji wykorzystuje sieci neuronowe do detekcji obiektów. Aby zachować bezpieczeństwo i zgodność, środowisko on-premise powinno zapewnić izolację obliczeń, szyfrowanie danych oraz kontrolę dostępu. Poniżej podsumowano typowe komponenty i uzasadniające je standardy.
Warstwy wdrożenia on-premise i powiązane standardy
Warstwa | Mechanizmy | Standardy i źródła
|
|---|---|---|
Sieć | Segmentacja VLAN, brak dostępu do Internetu dla węzłów przetwarzania, TLS dla panelu | RFC 5246 TLS 1.2, RFC 8446 TLS 1.3 |
Obliczenia | Konteneryzacja, izolacja przestrzeni nazw, akceleratory GPU do inferencji | CIS Controls v8, NIST SP 800-53 Rev. 5 |
Przechowywanie | Szyfrowanie w spoczynku, kontrola retencji, niszczenie plików tymczasowych | NIST FIPS 197 AES, NIST SP 800-38E XTS-AES |
Dostęp | RBAC, MFA, rejestrowanie dostępu administracyjnego | ISO/IEC 27001:2022, NIST SP 800-53 Rev. 5 |
Zgodność | Polityki retencji, DPIA, rejestr czynności | RODO 2016/679, EROD Wytyczne 3/2019 |
Kluczowe parametry i metryki wdrożeń on-premise
Wskaźniki należy zdefiniować tak, aby oceniał zarówno jakość anonimizacji, jak i bezpieczeństwo operacji. Poniżej przedstawiono przykładowe metryki i sposób pomiaru. Definicje miar dla detekcji obiektów w praktyce branżowej opierają się na COCO/PASCAL i miarach IoU oraz mAP (źródło: Lin et al., ECCV 2014).
Metryki jakości i bezpieczeństwa
Metryka | Definicja | Sposób pomiaru | Źródło/odniesienie
|
|---|---|---|---|
Recall detekcji twarzy/tablic | TP / (TP + FN) dla określonego progu IoU | Adnotacje wzorcowe vs. detekcje modelu | COCO evaluation, Lin et al. 2014 |
Precision detekcji | TP / (TP + FP) | Jak wyżej | COCO evaluation, Lin et al. 2014 |
mAP | Średnia precyzja (AP) uśredniona po progach IoU | Agregacja AP dla klas: twarz, tablica | COCO evaluation, Lin et al. 2014 |
Skuteczność anonimizacji | 1 - odsetek niezanonimizowanych instancji | Przegląd próbek przez QA lub aktywne uczenie | EROD 3/2019 - ryzyka z monitoringu |
Latencja przetwarzania | Czas przeliczenia klatki lub pliku | Pomiar end-to-end dla wsadu | Dobry zwyczaj inżynierski |
Bezpieczeństwo w spoczynku | Algorytm i tryb szyfrowania danych | Weryfikacja konfiguracji XTS-AES-256 | NIST FIPS 197, SP 800-38E |
Bezpieczeństwo w tranzycie | Poziom TLS i zestawy szyfrów | Skany konfiguracji TLS | RFC 8446, RFC 5246 |
Retencja i usuwanie | Zgodność z polityką retencji | Testy usuwania plików tymczasowych | ISO/IEC 27001:2022 |
W przypadku Gallio PRO należy dodatkowo uwzględnić, że system nie maskuje całych sylwetek, nie działa w trybie real-time i nie prowadzi logów z wykryciami zawierających dane osobowe. Metryki audytu dotyczą więc wyłącznie zdarzeń administracyjnych i operacyjnych.
Wyzwania i ograniczenia on-premise
Wdrożenia lokalne wymagają zarządzania cyklem życia oprogramowania, sterowników GPU i poprawek bezpieczeństwa. Wysokowydajne przetwarzanie może wymagać dedykowanych akceleratorów. Należy zapewnić właściwe zarządzanie kluczami, kontrolę dostępu i izolację danych testowych od produkcyjnych. Ograniczeniem jest brak anonimizacji strumienia wideo oraz brak automatycznej detekcji innych obiektów niż twarze i tablice, co wymaga ręcznej redakcji.
Przykłady zastosowań
On-premise sprawdza się przy anonimizacji materiałów dla publikacji BIP, odpowiedzi na wnioski o dostęp do informacji publicznej, udostępniania dowodów procesowych, szkolenia personelu oraz badania i rozwoju, gdzie materiały źródłowe nie mogą opuścić sieci jednostki. W sektorach publicznym i regulowanym ułatwia to DPIA oraz ogranicza ryzyka transferowe i kontraktowe.
Odniesienia normatywne
Poniżej zebrano źródła definiujące wymagania prawne i techniczne przy wdrożeniach on-premise dla anonimizacji materiałów wizualnych.
- RODO 2016/679 - art. 5, 25, 32, 44-49. Tekst aktu: https://eur-lex.europa.eu/eli/reg/2016/679/oj
- EROD, Wytyczne 3/2019 dotyczące przetwarzania danych osobowych poprzez urządzenia wideo, wersja finalna 29.01.2020: https://edpb.europa.eu
- ISO/IEC 27001:2022 - Systemy zarządzania bezpieczeństwem informacji: https://www.iso.org/standard/82875.html
- NIST SP 800-53 Rev. 5, 2020 - Security and Privacy Controls: https://csrc.nist.gov/publications
- CIS Controls v8, 2021 - Center for Internet Security: https://www.cisecurity.org/controls/v8
- NIST FIPS 197, 2001 - Advanced Encryption Standard (AES): https://csrc.nist.gov/publications/detail/fips/197/final
- NIST SP 800-38E, 2010 - Recommendation for XTS-AES: https://csrc.nist.gov/publications/detail/sp/800-38e/final
- RFC 8446, 2018 - The Transport Layer Security (TLS) Protocol Version 1.3: https://www.rfc-editor.org/rfc/rfc8446
- RFC 5246, 2008 - The TLS Protocol Version 1.2: https://www.rfc-editor.org/rfc/rfc5246
- Lin et al., 2014 - Microsoft COCO: Common Objects in Context (definicje mAP/IoU): https://arxiv.org/abs/1405.0312
W praktyce krajowej organy ochrony danych oraz EROD wskazują, że tablice rejestracyjne mogą stanowić dane osobowe, gdy umożliwiają identyfikację osoby fizycznej, natomiast w orzecznictwie NSA występują odmienne poglądy co do kwalifikacji tablic w określonych stanach faktycznych. Przy braku jednoznaczności bezpiecznym podejściem operacyjnym jest ich anonimizacja.