Facebooks ansigtsgenkendelse er muligvis ulovlig

Facebook er begyndt at analysere ansigter på europæiske brugere. Men teknologien kan være på kant med den kommende persondataforordning, GDPR.

Der er stor usikkerhed om, hvorvidt Facebook kan få lov at bruge ansigtsgenkendelse i Europa, da teknologien kan være i strid med den kommende persondatafordning, der introduceres i EU i 25. maj 2018. (Foto: Quinten de Graaf - Unsplash)

Inden længe vil Facebook spørge dig, om de må bruge teknologi, der kan genkende dit ansigt i billeder og videoer.

Men det sociale medies tilbud kan vise sig snart at være ulovligt i EU, fordi det strider mod den kommende persondataforordning, GDPR, som træder i kraft d. 25 maj i år. Det oplyser det irske datatilsyn, der fører tilsyn med Facebook, fordi det sociale medie har sit europæiske hovedkvarter i Irland.

Nærmere bestemt er problemet, at Facebook for at kunne genkende ansigterne på brugere, der siger ‘ja tak’ til, at firmaet må foretage genkendelse og tagge deres ansigter, samtidig vil blive nødt til at scanne ansigter på personer, der har sagt ‘nej tak’ - og på folk som ikke har taget stilling, fordi de ikke har en Facebook-konto.

Tilsynsmyndigheden er ved at udfritte Facebook

Det irske datatilsyn (DPC) oplyser til mediet CNBC, at de i fællesskab med andre EU-databeskyttelsesmyndigheder er i gang med at udfritte Facebook om ansigtsgenkendelses-teknologien.

- Der er en række udestående spørgsmål, som vi afventer yderligere svar på fra Facebook. I særdeleshed stiller DPC spørgsmålstegn ved ansigtsgenkendelses-teknologien og om Facebook har behov for at scanne alle ansigter (fx også dem der ikke har givet samtykke) for at bruge ansigtsgenkendelses-teknologien.

- Problemstillingen om hvorvidt denne funktion er inden for rammerne af GDPR, er derfor ikke afgjort på dette tidspunkt, siger en talsmand fra det irske datatilsyn til CNBC.

GDPR, som også er kendt som persondataforordningen eller databeskyttelsesforordningen, har netop til hensigt at styrke beskyttelsen af EU-borgernes personlige data.

Interesseorganisation: Sagen er klar - det er ulovligt

Herhjemme mener formanden for interesseorganisationen IT-politisk Forening, Jesper Lund, at sagen er fuldstændig klar.

- Som jeg læser GDPR, så har Facebook ikke noget grundlag for at lave ansigtsgenkendelse, før de kan garantere, at alle personer på billedet har samtykket, at Facebook må analysere deres ansigt, siger Jesper Lund.

Jesper Lund henviser til følgende formulering i GDPR under overskriften "Behandling af særlige kategorier af personoplysninger", som blandt andet omhandler biometriske data, hvilket ansigtsgenkendelse falder ind under. Her står der:

- Behandling af (…) biometriske data med det formål entydigt at identificere en fysisk person (…) er forbudt.

Dog er der undtagelser. Fx hvis “den registrerede har givet udtrykkeligt samtykke til behandling af sådanne personoplysninger til et eller flere specifikke formål…”.

Og det er netop Jesper Lunds argument, at folk der ikke har givet samtykke, også vil få deres ansigt scannet.

Sådan en dialogboks er mange danske brugere allerede blevet mødt af. En af de ting, du skal tage stilling til er, om Facebook må bruge dine ansigtsdata. (Foto: Esben Hardenberg © dr)

Facebook: Vi holder os inden for reglerne

Facebook mener dog, at de holder sig inden for reglerne. I en udtalelse til DR skriver Facebook:

- Ansigtsgenkendelse betyder, at vores software ser et ansigt i billedet, men den identificerer ikke ansigtet som en bestemt person.

I stedet forklarer Facebook, at deres software analyserer alle ansigter, men kun hvis der er et ansigt, der matcher en person, som har givet samtykke, vil det blive registreret.

- Vi kigger ikke på, hvem der ikke er kvalificeret og vælger dem fra (…). Vi kigger på, hvem der er kvalificeret og vælger dem til, skriver Facebook.

Sådan fungerer Facebooks ansigtsgenkendelse

Facebook forklarer lidt mere i dybden, hvordan teknologien fungerer.

- Når en bruger har givet samtykke til ansigtsgenkendelse på Facebook, analyserer vores teknologi pixlerne på billeder, som brugeren allerede er tagget i, og genererer en talstreng til den specifikke bruger, som vi kalder en ansigtsskabelon.

- Når vi (efterfølgende, red) modtager foto og videoer i vores system, sammenligner vi disse billeder med ansigtsskabelonen. Facebook kan ikke identificere en bruger på et billede, medmindre vi har en ansigtsskabelon for personen, og vi laver kun ansigtsskabeloner for EU-brugere, som har givet samtykke til ansigtsgenkendelse, forklarer Facebook.

Intet entydigt svar på om det er ulovligt eller ej

Som det fremgår, er der altså indtil videre ikke noget entydigt svar på, om hvorvidt Facebook kan blive nødt til at droppe ansigtsgenkendelses-teknologien i EU.

DR har bedt flere jurister om deres vurdering af, om databehandlingen der følger med ansigtsgenkendelsen er inde for GDPR-skiven eller ej. Der er dog ingen, der uden at kende Facebooks præcise brug af teknologien vil lægge hovedet på blokken om, hvordan en eventuel sag vil falde ud.

Vurderet på det nuværende grundlag mener flere af de adspurgte advokater dog, at Jesper Lund kan have en pointe i, at Facebooks ansigtsgenkendelse er i strid med GDPR.

Facebook
Twitter