Redaction audit trail - definicja
Redaction audit trail to ślad audytowy procesu redakcji, czyli uporządkowany i możliwy do zweryfikowania zapis czynności wykonanych podczas anonimizacji lub pseudonimizacji materiału wizualnego - zdjęć i nagrań wideo - w szczególności przy zamazywaniu twarzy i tablic rejestracyjnych. W praktyce chodzi o zestaw metadanych i logów technicznych, które pozwalają odpowiedzieć na pytania: kto wykonał operację, kiedy ją wykonał, na jakim pliku, jaką metodą, z jakim wynikiem i czy materiał po redakcji był dalej modyfikowany.
W kontekście zgodności z RODO ślad audytowy nie jest celem samym w sobie. Jest narzędziem rozliczalności, o której mowa w art. 5 ust. 2 RODO. Administrator powinien być w stanie wykazać, że przetwarzanie odbywało się zgodnie z zasadami ochrony danych, w tym z zasadą integralności, poufności i minimalizacji danych. W środowisku anonimizacji zdjęć i wideo oznacza to potrzebę udokumentowania procesu zamazywania bez tworzenia nadmiarowych zbiorów danych osobowych w logach.
Dobrze zaprojektowany redaction audit trail nie powinien powielać obrazu twarzy, numeru tablicy ani innych danych identyfikujących. Powinien natomiast dokumentować przebieg procesu w sposób przydatny dowodowo i operacyjnie. Taki zapis ma znaczenie przy audycie wewnętrznym, kontroli organu nadzorczego, obsłudze incydentu, sporze sądowym lub weryfikacji jakości działania narzędzia.
Jak rozumieć ślad audytowy w anonimizacji zdjęć i wideo?
W przypadku materiałów wizualnych ślad audytowy obejmuje zarówno etap automatycznej detekcji, jak i etap redakcji właściwej oraz ewentualnej korekty manualnej. Jest to istotne, ponieważ skuteczność anonimizacji zależy od całego łańcucha przetwarzania, a nie wyłącznie od samego filtra rozmycia.
Jeżeli system wykorzystuje model AI do wykrywania twarzy lub tablic rejestracyjnych, to ślad audytowy powinien wskazywać, który model został użyty, w jakiej wersji, z jakimi ustawieniami progów detekcji i czy operator zatwierdzał wynik ręcznie. W przypadku twarzy zwykle stosuje się modele detekcji oparte na deep learning, ponieważ klasyczne metody wykazują niższą odporność na zmiany kąta, oświetlenia, częściowe zasłonięcie i niską jakość obrazu. Sam model AI nie jest jeszcze anonimizacją. Jest komponentem, który lokalizuje obszary wymagające redakcji, a dopiero kolejny etap nakłada maskę, rozmycie lub pikselizację.
Ślad audytowy powinien więc opisywać proces, a nie jedynie wynik końcowy.
Co powinien zawierać log zamazywania?
Aby log był użyteczny z perspektywy RODO i prawa dowodowego, musi być kompletny, spójny i odporny na nieuprawnione modyfikacje. Jednocześnie nie powinien zawierać nadmiarowych danych osobowych. W praktyce warto oddzielić log techniczny od danych źródłowych i przechowywać wyłącznie identyfikatory, skróty kryptograficzne oraz parametry procesu.
Minimalny zestaw informacji można przedstawić następująco:
Element logu | Cel | Uwagi compliance
|
|---|---|---|
Identyfikator sprawy / zadania | Powiązanie operacji z procesem biznesowym | Bez ujawniania danych osoby na materiale |
Identyfikator pliku źródłowego | Jednoznaczna identyfikacja materiału | Preferowany hash, np. SHA-256 pliku |
Data i czas operacji | Odtworzenie sekwencji działań | Najlepiej w UTC i z synchronizacją czasu |
Identyfikator operatora lub procesu | Rozliczalność działań | Nie pełne dane osobowe, lecz identyfikator konta |
Rodzaj wykrytego obiektu | Rozróżnienie twarzy i tablic | Bez zapisu samego obrazu obiektu |
Metoda redakcji | Informacja, czy użyto blur, pixelation lub maski | Istotne przy ocenie skuteczności |
Wersja modelu / silnika | Powtarzalność i audyt techniczny | Kluczowe po aktualizacji systemu |
Parametry procesu | Ocena jakości i odtwarzalność | Próg detekcji, siła rozmycia, zakres klatek |
Informacja o korekcie manualnej | Wskazanie ingerencji operatora | Istotne przy materiałach trudnych |
Hash pliku wynikowego | Weryfikacja integralności rezultatu | Pomaga wykazać brak późniejszych zmian |
Wymogi RODO i wartość dowodowa
Z perspektywy RODO najważniejsze są zasady z art. 5 ust. 1 i 2 oraz bezpieczeństwo przetwarzania z art. 32. Samo prowadzenie logów nie zwalnia z obowiązku ich minimalizacji. Jeżeli log zawierałby miniatury twarzy, pełne numery tablic albo zrzuty klatek, mógłby stać się nowym zbiorem danych osobowych, który wymaga odpowiedniej podstawy przetwarzania i zabezpieczeń.
Z perspektywy dowodowej znaczenie mają integralność, autentyczność i możliwość wykazania ciągłości operacji. W praktyce przydatne są:
Po pierwsze, skróty kryptograficzne pliku wejściowego i wyjściowego. Po drugie, niezmienialny zapis zdarzeń lub mechanizmy wykrywania modyfikacji. Po trzecie, kontrola dostępu i rejestrowanie uprawnień. Po czwarte, spójny znacznik czasu. Taki model wspiera wykazanie, że określona wersja materiału została poddana redakcji w konkretnym momencie i przez konkretny proces.
Kluczowe parametry i metryki redaction audit trail
Sam log nie ocenia jakości anonimizacji, ale powinien zapisywać metryki, które taką ocenę umożliwią. W systemach przetwarzania obrazu i wideo szczególne znaczenie mają parametry detekcji i kompletności redakcji.
W praktyce warto rejestrować:
- precision i recall modelu detekcji - o ile są mierzone na zbiorach walidacyjnych producenta lub organizacji wdrażającej,
- liczbę wykrytych obiektów na plik lub na klatkę,
- odsetek obiektów poprawionych manualnie,
- czas przetwarzania pliku, na przykład w sekundach na minutę wideo,
- liczbę klatek bez nałożonej maski w sekwencjach, gdzie obiekt był obecny.
W materiałach dowodowych lub urzędowych szczególnie istotny jest wskaźnik pominięć, czyli false negatives. Jeżeli twarz lub tablica nie zostały wykryte i zamazane, redakcja może być nieskuteczna mimo poprawnego działania na większości klatek.
Ograniczenia i praktyka wdrożeniowa
Nie każdy element procesu powinien trafiać do logu. W środowisku zgodnym z zasadą privacy by design lepiej zapisywać mniej danych, ale o wyższej wartości dowodowej. Dotyczy to zwłaszcza systemów on-premise, gdzie administrator ma pełną kontrolę nad retencją, uprawnieniami i miejscem przechowywania logów.
W praktyce Gallio PRO automatycznie zamazuje twarze i tablice rejestracyjne, ale nie wykrywa automatycznie logotypów, tatuaży, tabliczek z imionami, dokumentów ani obrazu na monitorach. Takie elementy mogą być redagowane manualnie w edytorze. Ślad audytowy powinien więc rozróżniać operacje automatyczne od manualnych. Jednocześnie log nie powinien zawierać danych osobowych pochodzących z detekcji twarzy i tablic rejestracyjnych.
Odniesienia normatywne i źródła
Definicję i zakres rozliczalności należy wiązać przede wszystkim z Rozporządzeniem (UE) 2016/679, czyli RODO, przyjętym 27 kwietnia 2016 r. i stosowanym od 25 maja 2018 r., zwłaszcza z art. 5 ust. 2, art. 24, art. 25 i art. 32. W obszarze bezpieczeństwa informacji użyteczne są także normy ISO/IEC 27001:2022 oraz ISO/IEC 27002:2022, które opisują kontrolę dostępu, logowanie zdarzeń i integralność informacji. Dla wartości dowodowej znaczenie mają krajowe przepisy proceduralne i zasady zabezpieczania materiału cyfrowego, ale ich konkretne zastosowanie zależy od rodzaju postępowania.
W sprawie tablic rejestracyjnych występują rozbieżności interpretacyjne w Polsce. Stanowiska organów ochrony danych i praktyka compliance często skłaniają się ku ostrożności i zamazywaniu tablic, natomiast w orzecznictwie sądów administracyjnych pojawiało się stanowisko, że sama tablica nie zawsze stanowi daną osobową. W zastosowaniach compliance bezpieczniejsze jest więc dokumentowanie faktu redakcji tablic bez utrwalania ich treści w logu.