Czym jest street view privacy?

Street view privacy - definicja

Street view privacy to zestaw wymagań organizacyjnych, prawnych i technicznych dotyczących publikacji zdjęć oraz nagrań wykorzystywanych do tworzenia map ulic i panoram 360 stopni. W praktyce oznacza to takie przygotowanie materiału wizualnego, aby przed jego udostępnieniem ograniczyć ryzyko identyfikacji osób, pojazdów i innych elementów pozwalających na powiązanie obrazu z konkretną osobą fizyczną lub prywatną przestrzenią.

W kontekście anonimizacji obrazów street view chodzi głównie o automatyczne wykrywanie i zamazywanie twarzy oraz tablic rejestracyjnych, a w niektórych wdrożeniach także o ocenę, czy widoczne fragmenty prywatnych posesji, okien budynków lub wnętrz nie naruszają prawa do prywatności. Nie jest to anonimizacja dokumentów ani danych tekstowych. To proces przetwarzania zdjęć i wideo, w którym materiał źródłowy jest analizowany algorytmicznie, a następnie modyfikowany przed publikacją.

Z perspektywy RODO punktem wyjścia jest to, że wizerunek osoby może stanowić daną osobową, jeżeli umożliwia identyfikację bezpośrednią lub pośrednią. Tak samo tablica rejestracyjna może być traktowana jako identyfikator, choć w Polsce istnieje rozbieżność interpretacyjna. Europejska Rada Ochrony Danych i praktyka wielu organów nadzorczych przyjmują podejście ostrożnościowe. Z kolei część polskiego orzecznictwa administracyjnego uznaje, że sama tablica nie zawsze jest daną osobową. W zastosowaniach street view standardem zgodności jest więc zamazywanie obu kategorii obiektów przed publikacją.

Jak działa anonimizacja street view w praktyce

Przy tworzeniu map ulic materiał jest zwykle zbierany z kamer wieloobiektywowych montowanych na pojeździe. Powstają panoramy lub sekwencje obrazów o wysokiej rozdzielczości. Na takim materiale stosuje się detekcję obiektów, a następnie maskowanie wybranych klas obiektów. W systemach nowoczesnych detekcja opiera się na modelach deep learning.

Deep learning jest tu potrzebny, ponieważ klasyczne metody oparte wyłącznie na cechach obrazu mają zbyt niską skuteczność przy zmiennym oświetleniu, kątach widzenia, częściowym zasłonięciu twarzy czy ruchu pojazdów. Najpierw trenuje się model AI na oznaczonych danych, a potem wykorzystuje go do wykrywania twarzy i tablic rejestracyjnych w nowych zdjęciach. Po detekcji stosuje się rozmycie, pikselizację lub inną formę nieodwracalnego maskowania.

Typowy pipeline obejmuje następujące etapy:

  • pozyskanie materiału źródłowego i metadanych,
  • wstępne czyszczenie obrazu i korekcję geometrii,
  • detekcję twarzy i tablic rejestracyjnych modelem AI,
  • weryfikację wyników według progów pewności,
  • manualną korektę obiektów pominiętych lub błędnie oznaczonych,
  • publikację tylko wersji zanonimizowanej.

W praktyce istotne jest, aby anonimizacja była wykonana przed udostępnieniem obrazu użytkownikom końcowym. Dotyczy to zarówno zdjęć panoramicznych, jak i klatek źródłowych używanych do ich budowy.

Wymogi prawne dla street view privacy

Ocena zgodności wymaga połączenia prawa ochrony danych, prawa do wizerunku oraz zasad prywatności w przestrzeni publicznej i półprywatnej. Nie ma jednego aktu prawnego poświęconego wyłącznie mapom ulic, dlatego stosuje się zestaw norm ogólnych i wytycznych organów nadzorczych.

Najważniejsze punkty odniesienia to:

  • RODO - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r., stosowane od 25 maja 2018 r.,
  • Karta praw podstawowych UE - art. 7 i art. 8,
  • Europejska Konwencja Praw Człowieka - art. 8,
  • ustawa o prawie autorskim i prawach pokrewnych z 4 lutego 1994 r. - zasady rozpowszechniania wizerunku,
  • Kodeks cywilny - ochrona dóbr osobistych, w tym wizerunku i prywatności,
  • wytyczne EROD i stanowiska krajowych organów nadzorczych, w tym UODO.

W przypadku twarzy obowiązek anonimizacji nie wynika wprost z jednego przepisu, lecz najczęściej z konieczności ograniczenia identyfikacji osób i ryzyka naruszenia ich praw. W obszarze prawa do wizerunku wskazuje się trzy często przywoływane wyjątki od obowiązku uzyskania zezwolenia na rozpowszechnianie wizerunku: gdy chodzi o osobę powszechnie znaną utrwaloną w związku z pełnieniem funkcji publicznych, gdy wizerunek stanowi jedynie szczegół większej całości, takiej jak zgromadzenie, krajobraz lub publiczna impreza, oraz gdy osoba otrzymała umówioną zapłatę za pozowanie. Wyjątki te nie znoszą jednak automatycznie wymogów wynikających z RODO przy masowej publikacji materiału geoprzestrzennego.

W odniesieniu do tablic rejestracyjnych sytuacja jest bardziej złożona. W wielu państwach europejskich ich zamazywanie jest praktyką standardową i oczekiwaną regulacyjnie. W Polsce istnieje rozbieżność: wytyczne ochrony danych i część praktyki unijnej przemawiają za anonimizacją, natomiast orzecznictwo sądów administracyjnych bywa bardziej restrykcyjne wobec uznawania tablic za dane osobowe same w sobie. Dla publikacji street view bezpieczniejsze jest podejście ostrożnościowe.

Kluczowe parametry i metryki anonimizacji street view

Skuteczność systemu nie powinna być oceniana wyłącznie przez liczbę wykrytych obiektów. Istotna jest równowaga między wykryciem, jakością maskowania i kosztem ręcznej korekty. Dlatego w projektach street view stosuje się metryki znane z computer vision.

Parametr

Znaczenie

Zastosowanie praktyczne

 

Precision

Odsetek poprawnych detekcji wśród wszystkich detekcji

Ogranicza nadmiarowe zamazywanie

Recall

Odsetek wykrytych obiektów wśród wszystkich rzeczywistych obiektów

Kluczowy dla ryzyka prywatności

F1-score

Średnia harmoniczna precision i recall

Ocena równowagi modelu

mAP

Mean Average Precision dla detekcji obiektów

Porównanie modeli detekcyjnych

False Negative Rate

Udział niewykrytych obiektów

Bezpośrednio wpływa na ryzyko naruszenia prywatności

Czas przetwarzania na obraz

Latency offline, np. sekundy na klatkę lub panoramę

Planowanie mocy obliczeniowej

W zastosowaniach privacy zwykle ważniejszy jest wysoki recall niż maksymalna precyzja, ponieważ pominięta twarz lub tablica generuje większe ryzyko niż nadmiarowe rozmycie fragmentu tła. Tę zależność można opisać prostym wzorem:

Recall = TP / (TP + FN)

gdzie TP oznacza poprawnie wykryte obiekty, a FN obiekty pominięte.

Wyzwania techniczne w ochronie prywatności street view

Nawet dobrze wytrenowany model nie daje pełnej skuteczności w każdych warunkach. Problemem są małe obiekty dalekiego planu, silne odbicia, nocne ujęcia, deszcz, częściowe zasłonięcie twarzy oraz niestandardowe tablice. Dodatkowym wyzwaniem są okna budynków, przez które może być widoczne wnętrze prywatne, choć sam system nie klasyfikuje automatycznie wszystkich takich przypadków.

Dlatego proces zgodny z zasadą privacy by design powinien obejmować:

  • dobór progu detekcji zależnie od typu materiału,
  • kontrolę jakości na próbie statystycznej partii danych,
  • ścieżkę manualnej korekty dla przypadków granicznych,
  • ograniczenie dostępu do materiału niezanonimizowanego,
  • retencję danych źródłowych zgodną z celem przetwarzania.

W tym kontekście oprogramowanie on-premise ma znaczenie, ponieważ pozwala przetwarzać zdjęcia i nagrania w infrastrukturze kontrolowanej przez administratora. To ogranicza transfer materiału źródłowego do podmiotów trzecich i upraszcza analizę ryzyka. Gallio PRO działa właśnie jako oprogramowanie on-premise do przetwarzania zdjęć i wideo. Automatycznie wykrywa i zamazuje twarze oraz tablice rejestracyjne. Nie wykonuje anonimizacji strumienia wideo ani anonimizacji w czasie rzeczywistym. Nie wykrywa automatycznie logotypów, tatuaży, tabliczek z imionami, dokumentów ani treści na ekranach. Takie elementy mogą być korygowane manualnie w edytorze. System nie powinien przechowywać logów zawierających dane osobowe bez wyraźnej podstawy i celu przetwarzania.

Przykłady zastosowań street view privacy

Use case dla tego pojęcia dotyczy przede wszystkim projektów, w których obrazy z przestrzeni publicznej są publikowane na dużą skalę. Celem nie jest sama analiza wizualna, ale bezpieczne udostępnienie obrazu użytkownikom końcowym.

  • tworzenie miejskich map ulic i panoram dla portali mapowych,
  • dokumentacja infrastruktury drogowej przed publikacją materiału online,
  • prezentacja tras turystycznych i komercyjnych przestrzeni zewnętrznych,
  • archiwizacja zdjęć ulic do celów planistycznych z oddzieleniem wersji źródłowej od publikowanej.

Odniesienia normatywne i źródła

Poniższe źródła stanowią podstawę do interpretacji pojęcia i praktyki anonimizacji street view. Warto je zestawiać z lokalnymi wytycznymi i oceną skutków dla ochrony danych, jeżeli skala projektu jest znaczna.

  • Rozporządzenie (UE) 2016/679 - RODO, Dz.U. UE L 119 z 4.05.2016.
  • Wytyczne Grupy Roboczej Art. 29 oraz materiały EROD dotyczące pojęcia danych osobowych i privacy by design.
  • Ustawa z 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych.
  • Ustawa z 23 kwietnia 1964 r. - Kodeks cywilny.
  • ISO/IEC 23894:2023 - Information technology - Artificial intelligence - Guidance on risk management.
  • ISO/IEC 27001:2022 - Information security management systems - Requirements.