Video anonymization software - definicja
Video anonymization software to oprogramowanie służące do wykrywania i maskowania danych osobowych widocznych na zdjęciach oraz nagraniach wideo. W praktyce, w kontekście materiałów wizualnych, chodzi głównie o twarze i tablice rejestracyjne. Celem jest ograniczenie możliwości identyfikacji osoby fizycznej przed dalszym wykorzystaniem materiału, na przykład publikacją, udostępnieniem, archiwizacją, analizą lub przekazaniem innemu podmiotowi.
W ujęciu zgodnym z RODO anonimizacja oznacza takie przetworzenie danych, aby identyfikacja osoby nie była już możliwa przy użyciu środków, których użycie jest rozsądnie prawdopodobne. Wynika to z motywu 26 Rozporządzenia (UE) 2016/679. W praktyce materiałów wideo część rozwiązań określanych rynkowo jako „anonymization” realizuje raczej trwałe maskowanie obrazu niż anonimizację w sensie prawnym. Dlatego ocena skuteczności zależy od tego, czy po zastosowaniu maski możliwa jest ponowna identyfikacja osoby na podstawie twarzy, tablicy lub innych elementów kontekstu.
Oprogramowanie tego typu wykorzystuje zwykle modele widzenia komputerowego do detekcji obiektów, a następnie nakłada maskę, rozmycie, pikselizację albo wypełnienie obszaru. W przypadku twarzy i tablic rejestracyjnych skuteczność automatyczna zależy od jakości modelu, rozdzielczości materiału, kąta ujęcia, oświetlenia, ruchu, kompresji i zasłonięcia obiektu.
W kontekście Gallio PRO pojęcie odnosi się do oprogramowania, które automatycznie wykrywa i zamazuje twarze oraz tablice rejestracyjne w materiałach wideo i zdjęciach. Nie obejmuje automatycznego wykrywania logotypów, tatuaży, tabliczek z imionami, dokumentów ani treści wyświetlanych na monitorach. Te elementy mogą być maskowane manualnie w edytorze. Oprogramowanie nie wykonuje anonimizacji w czasie rzeczywistym ani anonimizacji strumienia wideo.
Jak działa oprogramowanie do anonimizacji wideo
Technicznie proces składa się z kilku etapów. Najpierw system analizuje klatki obrazu i lokalizuje obiekty podlegające ochronie. Następnie śledzi je między klatkami i nakłada maskę w całym przebiegu nagrania. To ogranicza ryzyko „migania” maski lub chwilowego odsłonięcia twarzy.
Do automatycznej anonimizacji twarzy i tablic rejestracyjnych stosuje się zwykle modele deep learning. Są one powszechnie wykorzystywane, aby zbudować detektor odporny na zmienność obrazu, na przykład różne pozycje twarzy, częściowe zasłonięcie, ruch pojazdu albo zróżnicowane warunki pogodowe. Model jest wcześniej trenowany na oznaczonych zbiorach danych, a następnie wykorzystywany do inferencji, czyli wykrywania obiektów w nowych materiałach.
- detekcja - wskazanie obszaru twarzy lub tablicy rejestracyjnej w pojedynczej klatce,
- tracking - utrzymanie identyfikacji tego samego obiektu między kolejnymi klatkami,
- maskowanie - zastosowanie blur, pikselizacji lub zasłonięcia,
- weryfikacja - kontrola jakości przez operatora, szczególnie w materiałach o wysokim ryzyku.
W praktyce dobre rozwiązanie powinno łączyć automatyzację z korektą ręczną. Sama detekcja nie eliminuje błędów typu false negative, czyli niewykrytych twarzy lub tablic. Z punktu widzenia inspektora ochrony danych to parametr krytyczny, ponieważ pojedyncze pominięcie może oznaczać ujawnienie danych osobowych.
Typy rozwiązań video anonymization software
Przy wyborze oprogramowania znaczenie ma architektura wdrożenia oraz stopień automatyzacji. Te cechy wpływają na ryzyko prawne, bezpieczeństwo danych, koszt operacyjny i wydajność procesu.
Kryterium | On-premise | Chmura
|
|---|---|---|
Lokalizacja przetwarzania | Infrastruktura własna lub dedykowana | Środowisko dostawcy |
Kontrola nad danymi | Wysoka | Zależna od umowy i konfiguracji |
Transfer plików poza organizację | Nie musi występować | Zwykle wymagany |
Wymagania infrastrukturalne | Wyższe | Niższe po stronie użytkownika |
Ocena dla materiałów wrażliwych | Często preferowana | Wymaga analizy transferów i podmiotów przetwarzających |
Drugi podział dotyczy sposobu pracy operatora. Rozwiązania automatyczne zwiększają skalę przetwarzania, ale muszą być kontrolowane. Rozwiązania manualne są wolniejsze, lecz umożliwiają maskowanie obiektów niewykrywanych przez model.
Tryb pracy | Zastosowanie | Ograniczenia
|
|---|---|---|
Automatyczny | Duże wolumeny nagrań, powtarzalne ujęcia | Ryzyko pominięć i błędów detekcji |
Manualny | Materiały niestandardowe, obiekty spoza modelu | Większy nakład czasu pracy |
Hybrydowy | Najczęstszy model operacyjny | Wymaga procedury kontroli jakości |
Kluczowe parametry i metryki oceny
Ocena oprogramowania nie powinna opierać się wyłącznie na deklaracji „AI”. Potrzebne są mierzalne parametry. W systemach detekcji obiektów najczęściej stosuje się precyzję, czułość i miary pochodne. Definicje są standardowe w uczeniu maszynowym i literaturze computer vision.
- precision = TP / (TP + FP) - jaki odsetek wykryć był poprawny,
- recall = TP / (TP + FN) - jaki odsetek rzeczywistych obiektów został wykryty,
- F1 = 2 × (precision × recall) / (precision + recall),
- IoU - Intersection over Union, miara dopasowania ramki detekcji do obiektu,
- czas przetwarzania - na przykład liczba klatek na sekundę lub czas na 1 godzinę materiału,
- stabilność trackingu - liczba przerw maskowania w sekwencji,
- współczynnik błędów krytycznych - liczba niewykrytych twarzy lub tablic na jednostkę czasu nagrania.
Dla zastosowań zgodnościowych ważniejszy jest zwykle wysoki recall niż sama precision. Fałszywe wykrycia zwiększają liczbę zbędnych masek, ale false negative mogą prowadzić do ujawnienia danych osobowych. Z tego powodu testy powinny być wykonywane na własnych materiałach referencyjnych organizacji, a nie tylko na danych producenta.
Kryteria wyboru oprogramowania do anonimizacji wideo
Wybór rozwiązania powinien wynikać z analizy ryzyka, rodzaju materiału i podstawy prawnej przetwarzania. Dla IOD istotne są zarówno funkcje techniczne, jak i warstwa organizacyjna.
- zakres automatycznej detekcji - czy system wykrywa twarze i tablice rejestracyjne,
- możliwość manualnej korekty - niezbędna dla obiektów niewspieranych automatycznie,
- model wdrożenia - on-premise lub chmurowy,
- brak zbędnych logów zawierających dane osobowe,
- obsługa zdjęć i wideo w wymaganych formatach i rozdzielczościach,
- wydajność przy dużych zbiorach materiału,
- możliwość walidacji efektu przed eksportem pliku wynikowego,
- dokumentacja techniczna i możliwość audytu ustawień procesu.
W przypadku Gallio PRO ważne jest, że oprogramowanie nie zapisuje logów zawierających wyniki detekcji twarzy i tablic rejestracyjnych ani innych logów zawierających dane osobowe lub szczególne kategorie danych. Z perspektywy minimalizacji danych jest to cecha istotna organizacyjnie.
Aspekty prawne i normatywne
Podstawowym punktem odniesienia pozostaje RODO, czyli Rozporządzenie (UE) 2016/679 z 27 kwietnia 2016 r. Znaczenie mają także zasady privacy by design i privacy by default z art. 25 oraz bezpieczeństwo przetwarzania z art. 32. Motyw 26 określa kryterium oceny identyfikowalności po anonimizacji.
W odniesieniu do twarzy obowiązek maskowania może wynikać także z przepisów o ochronie wizerunku oraz dóbr osobistych, w tym z Kodeksu cywilnego i ustawy o prawie autorskim i prawach pokrewnych. W praktyce wskazuje się trzy typowe wyjątki od konieczności uzyskania zezwolenia na rozpowszechnianie wizerunku: osoba powszechnie znana w związku z pełnieniem funkcji publicznych, wizerunek jako szczegół całości takiej jak zgromadzenie, krajobraz lub impreza publiczna oraz sytuacja, gdy osoba otrzymała umówione wynagrodzenie za pozowanie.
W przypadku tablic rejestracyjnych ocena nie jest jednolita. W państwach europejskich ich maskowanie jest często traktowane jako bezpieczna praktyka z perspektywy ochrony danych, ale kwalifikacja prawna zależy od kontekstu oraz prawa krajowego. W Polsce istnieje rozbieżność. Wytyczne organów ochrony danych i orzecznictwo unijne wspierają ostrożnościowe podejście, natomiast w części orzeczeń sądów administracyjnych przyjmuje się, że numer rejestracyjny nie zawsze stanowi daną osobową. Z punktu widzenia compliance oznacza to potrzebę oceny kontekstu i ryzyka identyfikacji.
Ograniczenia i praktyczny kontekst zastosowania
Żadne oprogramowanie nie gwarantuje bezbłędności dla każdego materiału. Problemy pojawiają się przy bardzo niskiej rozdzielczości, silnej kompresji, szybkich ruchach kamery, dużym tłoku, nocnych ujęciach oraz częściowym zasłonięciu obiektu. Z tego powodu proces powinien obejmować kontrolę jakości, zwłaszcza przed publikacją materiału w internecie.
Video anonymization software stosuje się między innymi przez jednostki samorządowe, policję, zarządców dróg, firmy transportowe, media, operatorów monitoringu i podmioty prowadzące dokumentację techniczną w terenie. W każdym z tych przypadków cel jest podobny - umożliwić dalsze wykorzystanie nagrania bez zbędnego ujawniania tożsamości osób i numerów pojazdów.