Gymnasienämnden i Skellefteå ska betala en administrativ sanktionsavgift på 200 000 kronor enligt ett beslut från Datainspektionen för att ha använt ansiktsigenkänningsteknik för att kontrollera närvaron på lektioner under ett försöksprojekt på en gymnasieskola. Inspektionen menar att kamerabevakningen som man använt har inneburit ett intrång i elevernas integritet och att närvarokontroll kan genomföras utan att lagra och behandla känsliga personuppgifter.
– Teknik för ansiktsigenkänning är i sin linda men utvecklingen går snabbt. Vi ser därför ett stort behov av att skapa tydlighet kring vad som gäller för alla aktörer, säger Lena Lindgren Schelin, generaldirektör för Datainspektionen.
Det är första gången som myndigheten utfärdar en sanktionsavgift för brott mot dataskyddsförordningen GDPR. Sannolikt kommer fler inom en snar framtid. Tekniken befinner sig ännu i sin linda, men försök pågår överallt, kanske mer än vi anar. Nära nog alla datorer och mobiler är utrustade med kameror som i värsta fall kan tas över av andra, mindre välvilliga personer.
Biometriska identifieringsmetoder bygger på att man jämför lagrade bilder från en kamera med lagrade uppgifter om olika individer. Hittills har fingeravtryck och ögats iris varit vanligast förekommande i olika säkerhetssystem, men sedan länge utrustas många datorer med fingeravtrycksläsare och program för datorer och mobiltelefoner används sedan länge för att låsa upp dem genom att användaren visar sitt ansikte för en kamera.
Gammal teknik
Tekniken är inte ny. Redan på 1960-talet började försöken med att överföra uppgifter om människors ansikten till en dator för att sedan jämföra med uppgifter i en databas. Men eftersom det är mycket resurskrävande processer, först mot slutet av förra seklet började tekniken få praktisk användning. I grunden är det samma teknik som man använder i butiker för att läsa streckkoder. Istället för koderna mäter man sådant som avståndet mellan ögonen, längden på näsan eller hakans form. Andra tekniker bygger på att änniskors hud har unika mönster också på andra ställen än fingertopparna eller på tredimensionella avbildningar med hjälp av 3D-kameror.
Att få datorer, och en modern mobiltelefon är i praktiken en liten bärbar dator, att förstå vad de ser intresserar både forskare och näringslivet. Utan sådana tekniker skulle självkörande bilar och många robotiserade processer inte vara möjliga. Biltullarna i svenska städer bygger på en sådan teknik. En kamera tar bilder av bilarnas registreringsskyltar som sedan behandlas av en dator med hjälp av OCR-teknik för att hitta ägaren till bilen.
Internationell utveckling
Olika biometriska system används redan av många branscher också i andra länder, av näringsliv, organisationer och stater. Danska fotbollsklubben Brøndby IF fick i början av sommaren tillstånd att identifiera avstängda anhängare med hjälp av kameror som jämför runt 150 olika punkter i ansiktet med uppgifter i klubbens register. Som EU-medlem lyder Danmark under samma EU-förordningar som Sverige och enligt organisationen European Digital Rights (EDRi) uppfyller inte klubben kraven på att övervakningen och registreringen är frivillig, men danska staten har gjort bedömningen att systemet är nödvändigt utifrån allmänhetens säkerhet.
EDRi ifrågasätter den juridiska grunden för att ge tillståndet och menar att tekniken är ”en av de mest integritetskränkande övervakningsteknikerna” som finns tillgängliga i dag. Den gör det möjligt att övervaka stora folkmängder och snabbt urskilja individer, vilket redan sker på många håll i världen.
Kinesiska staten har redan 170 miljoner övervakningskameror utplacerade och ska enligt BBC placera ut ytterligare 400 miljoner kameror under de kommande tre åren. Dessutom har kinesisk polis börjat använda speciella glasögon utrustade med ansiktsigenkänningsteknik kopplade till en central databas för att identifiera misstänkta brottslingar.
Förra året meddelade kinesiska myndigheter stolt att man kunnat gripa en 31-årig man som misstänktes för ekonomisk brottslighet under en rockkonsert.
– Den misstänkte anade inte att polisen skulle kunna identifiera honom så snabbt bland 60 000 människor, säger en representant för polisen i staden Nanching där konserten hölls.
Den brittiska medborgarrättsorganisationen Big Brother Watch beskriver i en rapport läget i Storbritannien som närmast laglöst på området. Brittisk polis använder enligt organisationen ansiktsigenkänningsteknik utan lagstöd. I sin kartläggning visar de att tekniken innebär ett hot mot människors integritet på många plan. I genomsnitt 95% av matchningarna man gjorde var felaktiga. För London-polisen var siffran ännu högre. Bara 2% av identifikationerna var riktiga.
På en misstänkt person gick det med andra ord 49 oskyldiga. Under hela tiden som tekniken har använts har bara två personer identifierats korrekt. Ingen av dem var efteryst för något brott, en av dem hade hamnat på listan av misstag och den andra fanns på en lista över eftersökta personer med psykisk ohälsa. I Wales användes tekniken bland annat vid en laglig och fredlig demonstration utanför en vapenfabrik.
I USA höjs kritiska röster mot tekniken. Flera av de demokratiska presidentkanditaterna, däribland Bernie Sanders kräver förbud mot den.
– Polisens användande av ansiktsigenkänningsteknik är det senaste exemplet på Orwellsk teknologi som kränker våra privatliv och våra medborgerliga rättigheter med hänvisning till allmänhetens säkerhet. Tekniken måste stoppas, säger Sarah Ford, talesperson för Sanders presidentkampanj till tevekanalen CNN.
I San Fransisco har man redan förbjudit tekniken och andra områden i USA väntas följa efter.
– Med detta beslut har San Fransisco deklarerat att ansiktsigenkänningsteknik inte är möjlig att förena med en hälsosam demokrati och att dess medborgare har rätt att få sin röst hörd i beslut rörande högteknologisk övervakning, säger Matt Cagle, jurist på den amerikanska medborgarrättsorganisationen ACLU.
Integritetskränkande?
Trots den massiva internationella kritiken är det relativt tyst här i Sverige, men Datainspektionens utslag kanske kan få fart på diskussionen. Gymnasienämndens argumentation att det tar för lång tid att genomföra närvarokontroll avvisas som skäl för tillstånd dels på grund av att man anser att det är ett för genomgripande ingrepp i studenternas integritet, men också för att frivilligheten inte kan garanteras. En student kan inte, som en kund i en butik välja bort kontrollen utan att byta skola. Och det är en viktig princip i EU-bestämmelserna. Oavsett om det handlar om en livsmedelsbutik, en sportarena eller en skola måste individen själv helt fritt kunna få avstå från registrering.
Frågan är bara hur stor respekt företag och myndigheter har för sådana principer. Försök pågår inte varstans och uppgifterna om oss behöver inte nödvändigtvis finnas i Sverige i en digitaliserad värld. Precis som pengar göms undan i skatteparadis finns redan olika former av informationsparadis, platser dit demokratiskt stryda nationella och internationella myndigheter och lagstiftning inte når.
Indikationerna på en sådan utveckling är tydliga och många. Också i Sverige.
I början av sommaren meddelade Datainspektionen att man skulle inleda en granskning av Isabella Löwengrips företag Nordic Tech House efter att företaget meddelat att de planerade att börja scanna kunders ansikten i en butik. Eftersom det rör sig om känsliga personuppgifter ville myndigheten se om tekniken strider mot lagstiftningen.
Företagsvärlden sitter redan på mängder av uppgifter om oss individer, våra förehavanden på nätet registreras noga och kartläggningen av våra liv är hårdvaluta. Genom att jämföra uppgifter från olika företag och hemsidor tror man sig kunna skapa en bild av vilka vi är som kan öka träffsäkerheten i reklamerbjudanden, för att skapa personliga erbjudanden utifrån din personliga smak, baserat på din inkomst, ditt kön och till och med ditt humör för dagen. Datorer är redan duktiga på att också bedöma sinnesstämningar genom att lyssna på en människas röst eller bedöma ansiktsintryck. Även om det behövs en människa för att tolka resultatet gör modern datateknik det möjligt att mycket snabbt samla in mängder av uppgifter om oss utan att vi märker det.
Svensk polis testade under våren ett system för ansiktsigenkänning och vill få tillstånd att använda det permanent. Vilket oroar Anne Ramberg, generalsekretare för Advokatsamfundet.
– Jag tycker att gemene man bör känna oro. Resonemang om ”vitt mjöl i påsen”, att den som inte har nåt att dölja inte behöver oroa sig, är inte relevant här. Det handlar om den personliga friheten och om rätten att utöva sina demokratiska rättigheter, säger hon till TV4.