Prípad zo Španielska ukazuje, ako veľmi sa diskusia o overovaní veku na sociálnych sieťach a iných online platformách vzdialila od reality. Španielska agentúra na ochranu údajov (AEPD) nedávno udelila pokutu 950-tisíc eur spoločnosti Yoti za vytvorenie systému biometrickej identity, ktorý podľa AEPD porušil nariadenie GDPR tromi spôsobmi.
Len samotná funkcia selfie spoločnosti Yoti predstavovala 500-tisíc eur z celkovej pokuty, keďže umožňuje jedinečnú identifikáciu jednotlivca, a preto spadá pod ochranu osobitnej kategórie podľa nariadenia. Ďalšiu pokutu vo výške 250-tisíc eur uložila AEPD za uchovávanie geolokačných údajov počas piatich rokov. Nasledovala tretia pokuta vo výške 200-tisíc eur za porušenie pravidiel uchovávania údajov.
Spoločnosť Yoti uchovávala sfalšované údaje o totožnosti predložené počas neúspešných pokusov o overenie nad rámec ich pôvodného účelu a používala ich na trénovanie svojich algoritmov. Pokusy o overenie totožnosti, ktoré sa rovnali podvodu, boli v skutočnosti použité ako tréningový materiál bez súhlasu dotknutých osôb.
Povrchná bezpečnosť
Yoti je aplikácia navrhnutá tak, aby umožnila používateľom overiť svoj vek bez zadávania osobných údajov. Spoločnosť, ktorú v roku 2014 v Londýne založil Robin Tombs, sa špecializuje na overovanie veku pomocou umelej inteligencie. Charakteristickou črtou Yoti je, že používatelia nemusia uvádzať svoj dátum narodenia ani nahrávať oficiálne doklady totožnosti.
Namiesto toho sa systém spolieha na neurónové siete vycvičené na miliónoch dátových bodov, aby odhadol vek z jediného obrázka. Teoreticky teda stačí fotografia na určenie toho, koľko má kto rokov.
V praxi sa táto technológia, ktorá bola kedysi prezentovaná ako vysoko bezpečná, ukazuje ako nedostatočná, pokiaľ ide o spoľahlivú ochranu údajov. Prípad Yoti tiež odhaľuje, ako zle sú koncipované mnohé navrhované nariadenia o overovaní veku. Zdá sa, že vlády sa snažia legislatívne vyriešiť problém, ktorý možno nemá funkčné riešenie. K tomu prispieva aj zložitosť zákonov o ochrane údajov v celej Európskej únii, z ktorých niektoré zaviedli tí istí tvorcovia politík, ktorí teraz obhajujú prísnejšie kontroly.
Žiadny dobrý nápad nezostane nepotrestaný
V dôsledku toho sa inovatívna spoločnosť dostala do pozornosti regulačných orgánov. Spoločnosť Yoti ostro kritizovala rozhodnutie AEPD a podala odvolanie na španielsky najvyšší súd. Na svojej webovej stránke spoločnosť uvádza: „Dôležité je, že môžeme ubezpečiť používateľov a klientov našej aplikácie Digital ID, že žiadne osobné údaje žiadneho používateľa aplikácie neboli nijakým spôsobom porušené ani ohrozené.“
Zaujímavé je, že spoločnosť Yoti vo svojej tlačovej správe o vyšetrovaní uviedla: „Plne sme spolupracovali so žiadosťami o informácie od AEPD, ale nikdy sme neboli informovaní o tom, že sme predmetom vyšetrovania.“
Zo širšieho hľadiska z toho vyplýva, že krajiny, ktoré zavádzajú overovanie veku, budú musieť vytvoriť systém dôveryhodných poskytovateľov – tretích strán – a spoliehať sa naň. Vlády ani technologické spoločnosti by nemali mať prístup k osobným alebo biometrickým údajom. Možný model by zahŕňal platformy vydávajúce tokeny, ktoré potvrdzujú vek používateľa bez toho, aby odhalili jeho totožnosť.
Aj takýto systém, ktorý by bol akceptovaný na celom svete, by však predstavoval zjavný cieľ a bolo by len otázkou času, kedy by sa k nemu pokúsila získať prístup spravodajská služba. Veď kto by sa nechcel dostať k databáze obsahujúcej osobné údaje miliónov, ak nie miliárd ľudí, vrátane veku, adries a biometrických údajov?
Bezbranný občan
Riziká nie sú hypotetické. Minulý rok spoločnosť Discord zverejnila, že podobný poskytovateľ overovania veku bol napadnutý hackermi. Pri jedinom narušení boli ohrozené osobné údaje približne 70-tisíc používateľov vrátane oficiálnych identifikačných dokumentov. Tieto informácie sú teraz pravdepodobne v rukách kyberzločincov. Ide len o jeden incident týkajúci sa jediného poskytovateľa, a takíto poskytovatelia sú jasným cieľom hackerských operácií podporovaných štátom.
Ak by sa databáza spájajúca skutočnú identitu ľudí s ich online stopami dostala do rúk spravodajských agentúr alebo zločincov, malo by to vážne následky. Práve takýto súbor údajov sa zúfalo snažia získať zahraničné spravodajské služby.
Okrem perspektívy domáceho štátneho dohľadu by povinné overovanie veku mohlo vystaviť občanov riziku zo strany nepriateľských spravodajských agentúr, ktoré by ich mohli vydierať alebo nútiť k špionáži a iným trestným činnostiam. Okrem technických problémov predstavujú takéto systémy nevyčísliteľné bezpečnostné riziko.
Pôvodný text bol publikovaný na webe sesterského denníka Statement.com.