Miljarder i skadestånd i USA och övervakningsoro i Ryssland. Men i Sverige krävs inget tillstånd för ansiktsigenkänning. ”Tekniken har snabbare utveckling än rättsväsendet och lagstiftningsprocessen”, säger Frida Orring, jurist på Integritetsskyddsmyndigheten.
För en vecka sedan spikades ett skadestånd mot Facebook på motsvarande 5,5 miljarder kronor med företrädare för 1,6 miljoner användare i Illinois. Anledningen? Företaget hade samlat in biometrisk data för ansiktsigenkänning, något som strider mot delstatens lagar.
Ett par dagar senare meddelade ryska myndigheter att resenärer i Moskvas tunnelbana ska kunna betala med hjälp av sina ansikten i slutet av året, via ett system kallat Face Pay – något som fick människorättsorganisationer att varna för potentiell övervakning av politiskt oliktänkande.
Tekniken att låsa upp mobilen eller datorn med ansiktet har funnits i ett par år, och i svenska pass har digitala fingeravtryck lagrats i ett decennium.
I Sverige hamnar hantering av ansikten, så kallad biometrisk data, antingen under GDPR om det gäller privata intressen, eller brottsdatalagen om det är polisen som står för användandet.
– Det finns inget krav på tillstånd från Integritetsskyddsmyndigheten (IMY) på förhand. Däremot är det ett krav att göra en konsekvensbedömning innan särskilt riskfylld användning av personuppgifter som det här gäller utförs. Då ska man söka förhandssamråd hos IMY om inte riskerna kan begränsas, säger Frida Orring, jurist på IMY.
Svåra avvägningar
Orring påpekar att området med ansiktsigenkänning är reglerat, eftersom det faller under personuppgiftsbehandling, men att det alltså är upp till företag eller myndigheter att själva vända sig till IMY för vägledning.
– Däremot är det väldigt svåra avvägningar att göra. Lagstiftningen är kanske inte så lätt att tolka för varje enskild aktör, säger Orring och tillägger att det på internationellt plan finns olika lagmässiga initiativ för att tackla frågan om ansiktsigenkänning.
– I till exempel Kalifornien har man sagt att brottsbekämpande myndigheter får inte använda sig av den här typen av teknik.
Så sent som i mitten av februari bötfällde IMY svensk polis för att på ett otillåtet sätt ha använt ansiktsigenkänning, då via mjukvara från företaget Clearview.
Niclas Appleby, forensiker inom bildanalys på Nationellt forensiskt centrum, säger att Clearview inte är något som polisen använder längre, däremot tekniken i sig.
– Polisen har samrått med IMY kring tre användningsområden.
Inget register
Enligt Appleby rör det sig om att kunna göra sökningar på okända gärningsmän mot polisens signalementsregister, att hjälpa till vid gränspassering samt att gå igenom stora mängder övervakningsfilm vid förundersökningar.
Vilken teknisk plattform som polisen använder vill Appleby inte säga, eller om den är externt eller internt utvecklad. Han poängterar dock att det inte finns en övergripande plattform för myndigheten:
– Det går förtvivlat snabbt, och de blir ju bättre och bättre de här algoritmerna och klarar fler förhållanden. Ibland kan det vara en fördel att kombinera flera algoritmer. Det är någonting som vi hela tiden tittar på att uppdatera.
Något register över vilka företag, myndigheter eller privatpersoner som använder ansiktsigenkänning i Sverige finns inte.
– Framför allt när det kommer till privata aktörer så har vi ingen exakt kunskap om hur många eller hur utbrett det är, säger Frida Orring.
Fakta: Biometrisk data
Biometrisk data är något förenklat allt som kan härledas unikt till en persons särdrag, som ansikte, gångstil, fingeravtryck och liknande saker. Till skillnad från exempelvis lösenord till bank eller din mobil anses det svårare att hacka biometrisk data. Hur olika företag och myndigheter lagrar datan och vilka som har tillgång till den och på vilka sätt är dock omdebatterat.