Fem butikskedjor i Stockholm ska testa en ny teknik för så kallad anonym ansiktsigenkänning, som ska klara GDPR.
– Man nagelfar oss just nu, säger Fredrik Hammargården, medgrundare Indivd.
Syre tar reda på hur företagets teknik kan användas.
Ansiktsigenkänning är högaktuellt. Parallellt med att Kinas medborgare fortsätter få samhälleliga rättigheter kringskurna när de misslyckas med att agera mönstermedborgare har tekniken förbjudits i amerikanska städer som San Fransisco.
Nationellt forensiskt centrum i Sverige har under året pilottestat tekniken och väntar nu på tillstånd från Datainspektionen (DI) för att använda ansiktsigenkänning för brottsbekämpning.
I augusti i år bötfällde myndigheten en gymnasieskola i Skellefteå med 200 000 kronor för att ha använt ansiktsigenkänning för att registrera elevers närvaro på lektionerna. DI beskrev metoden som integritetskränkande.
Men nu uppger Sundsvallsbaserade AI-startupen Indivd att det går att använda ansiktsigenkänningens förtjänster på ett sätt som upprätthåller integritet och klarar dataskyddsförordningen GDPR:s skärpta krav. Inom några månader ska metoden testas i fem stora butikskedjor i Stockholm.
– Lösningen skiljer sig extremt mycket från traditionell ansiktsigenkänning, säger medgrundare Fredrik Hammargården.
Den ansiktsigenkänning som idag används scannar av biometrisk data ur ansiktet, något som kan jämföras med ett fingeravtryck. Det sparas i en databas som ett unikt id, som kan matchas med personens ansikte vid senare tillfällen.
Anonymiserar och förstör bilder
Behandling av biometisk data, som är en form av extra skyddsvärda personuppgifter, är som regel förbjudet, med en rad undantag, till exempel personligt samtycke. Men tekniken som Sundsvallsföretaget använder fungerar annorlunda, säger Fredrik Hammargården:
– Vi får en bild från en övervakningskamera. Metoden vi patenterar är att vi inom ett par millisekunder anonymiserar personuppgifterna och förstör bilden. Den data vi sparar kan varken direkt eller indirekt kopplas till en levande fysisk person.
Att som till exempel Facebook använda personuppgifter i andra syften än vad som för användarna varit känt är ett problem han är väl medveten om.
– Men den risken finns inte för oss, för det finns inga personuppgifter. Allt är förstört.
Företaget samlar i stället in data som de kallar ”ej personanknuten”, och använder den för att beräkna statistik.
– Aggregerad data över tid är beteenden. Det vi kan få ut är insikter om återbesöksfrekvens för en population, för en dag i en viss butik. Inte en persons återbesöksfrekvens. Vi kan få fram besöksbeteenden, köpbeteenden, populariteten i en viss hylla, eller intresset för ett köptorg.
Redan nu har it-jätten IBM valt att stödja utvecklingen av företagets AI-lösning. Sveriges innovationsmyndighet Vinnova har också bidragit med miljonbelopp, och uppger på sin hemsida att företaget är ”först i världen att kunna identifiera och återidentifiera alla besökare med existerande kameror i fysisk handel strikt anonymiserat. En anonymisering där besökarens integritet är helt säkrad och i linje med de nya lagar och regler som gäller tex GDPR.”
Förstå konsumenter
Syftet är alltså att handeln ska förstå konsumenterna, och använda strategier som fungerar.
– Handeln har väldigt lite kunskap om och förståelse för sina besökare. Man vet att folk gillar traditionell handel, men i dagsläget har man bara 16 procent av den kunskap som man behöver för att kunna skapa en träffsäker besöksupplevelse. Det leder till att många chansar och tar stora risker, säger Fredrik Hammargården.
Vad företagen sedan laborerar med kan vara utbildning av personalen, bygga om det fysiska rummet och kommunicera på andra sätt.
– Vi kan inte ägna oss åt direktreklam, inte heller stoppa snattare. Det är vanliga missuppfattningar.
Hur vet ni att kunder är återkommande besökare utan att lagra data kopplad till den specifika personen?
– Exakt hur vi gör det får jag inte förklara. Tekniken är inspirerad av ansiktsigenkänning, men ansiktet i sig är bara en del av metoden för att kunna förstå nånting som har med återbesök att göra. För en stor butikskedja är det inte den enskilda individen som är det intressanta, utan de övergripande trenderna i olika segment.
Med segment menar Hammargården till exempel personer som handlar vid en viss tid på dagen, en viss dag i veckan. Vilka Stockholmsbutiker tekniken ska testas i vill Fredrik Hammargården inte säga.
– Det vi kollar på i piloterna är fem stycken inom en bred skara retail, segmenterat i olika typer av handel. Det är de största bolagen.
Kommer kunder informeras?
– Butikerna har informationsplikt, både de och vi kommer att informera.
Om till exempel polisen har ett foto på en brottsmisstänkt person, är det möjligt att med er teknik ta reda på ifall hen har varit i butiken?
– Nej, det är helt omöjligt med vår lösning. Vår patentsökta metod förhindrar all sån användning delvis på grund av att allt bildmaterial och alla personuppgifter förstörs inom en till två millisekunder. Det går det inte att använda vårt system på det sättet.
Vill granskas av Datainspektionen
Traditionell ansiktsigenkänning beskriver Hammargården däremot som ”ett stort hot”.
– Många ser vad som nu händer i Kina och Serbien. Varken vi eller nån annan gillar den utvecklingen och vi tar frågan mycket seriöst. Väldigt få datadrivna bolag jobbar med privacy design, och det finns inte så mycket förtroende för den typen av lösningar. Därför nagelfar man oss just nu.
I september rapporterades om att Belgrad tillsammans med kinesiska Huawei installerar tusen övervakningskameror där ansiktsigenkänningsteknik ska användas, vilket oroat demokratiaktivister.
Indivds önskemål är att Datainspektionen ska granska deras teknik, säger Hammargården.
Enligt praxis ska nya tekniker med hög risk för att inte säkerställa skydd av personuppgifter granskas i förväg, av Datainspektionen, i ett så kallat samråd.
Men sådan risk föreligger inte enligt Indivds jurister.
– Flera jurister och experter inom dataskydd bedömer att vår metod är laglig, den följer GDPR. Så vi befinner oss lite i limbo just ju, säger Hammargården.
Varför vill ni ha tekniken granskad ifall ni vet att ni följer lagen?
– Även om advokater har tittat på det under advokated är en myndighet bättre, den är oberoende och man litar på den.
Om någon granskning kommer att ske vill eller kan DI:s jurist Nils Henckel inte svara på. Han skriver i ett mail till Syre: ”Jag kan inte uttala mig om deras teknik eftersom vi aldrig haft möjlighet att granska den”.
Men på Forum för dataskydds arrangemang Nordic privacy arena på Münchenbryggeriet i september i år uttryckte sig DI:s juridiska rådgivare Frida Orring viss tveksamhet kring att den nya sortens ansiktsigenkänning skulle rymmas inom GDPR:
– Jag kan inte idag innan vi sett Indivds produkt närmare analysera tekniken, men kan konstatera att det är osannolikt att den skulle kunna kallas anonymiserad i GDPR:s mening. I nuläget förstår jag helt enkelt inte hur det skulle kunna vara möjligt att använda ansiktsigenkänningsteknik som inte identifierar en person i något skede, särskilt eftersom lagen gäller för alla former av behandlingar – inte bara lagring – av biometriska data.
Läs även Ansiktsigenkänning – därför ska du bry dig (artikel i dagens nummer).
Läs även Hur mycket ska Storebror veta om oss? (artikel från augusti 2019).
