Adatvédelmi rémálom lesz a kormányzati Facebook

További Tech cikkek

Nagy port kavart a Belügyminisztérium törvénytervezete, amely létrehozna egy olyan hivatalt, amelynek semmi más dolga nem lenne, mint a magyar állampolgárok arcképeinek őrzése. Bár a rendszer ötlete elsőre nem tűnik rossznak, azért bőven van kérdéses pont, és az adatvédelmi hivatal sem ugrál örömében.

Az „arckép profil nyilvántartásról és az arcképelemző rendszerről” szól az a törvénytervezet, amit a múlt héten tett nyilvánossá (zip fájl) a Belügyminisztérium. A tervezet célja, hogy hazánkban létrejöjjön egy hivatal, amelynek egyetlen dolga, hogy az állampolgárok fényképeit őrizze, és ha valamilyen hivatalos, főleg bűnüldöző szerv (vagyis a rendőrség vagy a titkosszolgálatok) kéri, segítsen azonosítani az ismeretleneket. A tervezet első hallásra elég ijesztő, hiszen arról van szó, hogy lesz egy állami adatbázis,

ahová az összes magyar állampolgár arcának adatai bekerülnek.

Arcunk adatai?

Elég hülyén hangzik az, hogy az arcunk adatai lesznek majd a rendszerben, de ez a valóság. Bár szinte minden újság, ami hírt adott a tervezetről, azt írta, hogy a kormány az arcképünket őrzi majd az új rendszerben, valójában ez nem igaz. A terv az, hogy a fényképről készített profil kerül a rendszerbe, a fényképet pedig megsemmisítik (ami persze csupán annyit jelent, hogy az új hivatal nem őrzi meg, ettől még a ma már létező nyilvántartásokban ott fog maradni a képünk).

A tervezet alapján nehéz megmondani, hogy pontosan hogy is működik majd a rendszer. Az biztosnak látszik, hogy akiről olyan hivatalos igazolvány készül, amelyhez fényképezni is kell (tehát személyi, jogosítvány vagy útlevél), az akkor készült képet továbbítják az új, egyelőre csak „központi szerv”-ként emlegetett hivatalnak. A hivatal a kép alapján készít egy profilfájlt, és ezt használják majd később, ha erre felkérést kapnak.

A profilfájl a tervek szerint egy betűkből és számokból álló halmaz lesz, vagyis nem egy kép, és nem is lehet majd képpé visszaalakítani. A technika lényege az, hogy az arcfelismerő szoftverek megfelelő adatokkal tudjanak dolgozni, és ehhez nem is annyira a kép kell, mint az az összegzés, amit a szoftver a kapott arc alapján létrehoz.

Önmagában azonban ez még kevés. Ezért lesz majd egy úgynevezett kapcsolati kód is. Ez az egyedi kód lesz az, ami összeköti az új rendszerben tárolt, anonim fájlt a központi nyilvántartásban rögzített adatainkkal. Kicsit bonyolult a dolog, szóval most egy egyszerű példán keresztül megpróbáljuk bemutatni, hogy is működik majd ez várhatóan.

Itt egy fénykép, ki van rajta?

Alapállás, hogy van egy hivatal, ahol mindenki arcáról őriznek egy fájlt, ami nem egy kép, hanem egy csak szoftveresen értelmezhető adat arról, hogy milyen tulajdonságai vannak az arcunknak. Szemek távolsága, az orr helyzete, az áll és az állkapocs formája, a homlok magassága, a haj színe, stb. Tegyük fel, hogy a rendőrség ismeretlen tettes után nyomoz, akiről készült egy kép, ahol látszik az arca. A törvénytervezet szerint a következő történik.

A rendőrség (vagy bárki más, a törvényben lehetőséget kapó szerv) elküldi a képet a kormányzati Facebooknak, akik képeznek egy profilfájlt.
Ezt a profilfájlt hajtják végig az adatbázison, összehasonlítva minden ott őrzött profilfájllal.
Ha a keresés kidob valamilyen eredményt, akkor egy élő ember veszi át a munkát.
Kielemzi, hogy mekkora valószínűségű egyezéssel találták meg azt, akik a rendőrök keresnek. Egy átlagos keresés akár ötven valószínű találatot is hozhat.
Itt kap fontos szerepet a kapcsolati kód: a keresés során kiszűrt, potenciális találatok kapcsolati kódja segítségével az elemző kikérheti a központi adatnyilvántartásból az eredeti igazolványképet, a személy születési évét és nemét, plusz még azt is, hogy mikor készült a náluk őrzött kép. Ez azért kell, hogy egy 60-70 százalékos egyezést, ahol az arc bizonyos tulajdonságai megegyeznek, tovább lehessen szűrni azzal, hogy tudjuk, hány éves az illető, milyen régi kép alapján találta hasonlónak a rendszer, vagy hogy egyáltalán férfi vagy nő az, aki a gép szerint hasonlít a keresett személyhez.
Ha az azonosítás sikeres, az elemző visszaküldi a rendőröknek azt a kapcsolati kódot, ami alapján ők már láthatják, hogy a gépi és az emberi elemzés mit mond, ki a gyanúsított.

Mi ezzel a baj?

Ezt így elolvasva ez a rendszer elég jónak tűnhet, hatékonyan lehet majd bűnözőket elkapni vele, hasznos lehet ismeretlen halottak azonosításakor, eltűntek keresésénél, vagy hogy kiszűrje a hamis személyazonossággal visszaélőket.

Valamiért azonban az emberek nem repesnek az örömtől, amikor a kormány bejelenti, hogy mostantól lesz egy rendszer, ahol mindenki arcképét tárolják majd azért, hogy ha úgy alakul, meg tudják nézni, nem bűnöző-e (vagy ismeretlen holttest) véletlenül az illető. Sokan 1984-et, Nagy Testvért kiáltottak, és nem is teljesen indok nélkül.

A tervezetről megkérdeztük a Nemzeti Adatvédelmi és Információ-biztonsági Hivatalt is. Ők egy nagyon hosszú levélben tulajdonképpen azt válaszolták, hogy bár tökéletesen érthető, hogy az állam egyre nagyobb szerepet szán a biometrikus alapú azonosításnak a bűnüldözésben, azért az elég komoly túlzás, hogy egy ilyen, meglehetősen szellős törvényben teremtik meg ennek az alapjait.

A NAIH már tavaly novemberben (pdf) közzétette az aggályait az arcképadatbázissal kapcsolatban. A legfőbb ellenérveik pontosan azok, amelyeket egy átlag polgár is megfogalmaz.

Nagyon nehezen kivitelezhető az, hogy az arcképeket leíró profilokat tényleg ne lehessen visszaalakítani. De még ha ez sikerül is, számos ponton bukhat az adatvédelem.
Mi van, ha mégsem törlik ki a képeket?
Miért kéne megbíznunk abban, hogy nem adják majd ki szíre-szóra a rendőrségnek, pláne a Országgyűlési Őrségnek?

Az ilyen szervek teljesen természetes módon a lehető legkomolyabb mértékig élnek (egy nehezen kimutatható ponttól pedig visszaélnek) az olyan lehetőségekkel, amelyek könnyítik a munkájukat. Persze, a törvény tiltja, hogy hosszabb időn át, pontosan meghatározott cél nélkül üzemeltessék az arcképelemző rendszert, csakhogy az állam az elmúlt száz évben nemigen adott alapot az embereknek a bizalomra.

Elég arra gondolni, hogy törvény írja elő, hogy a szolgáltatók kötelesek a lehallgatást lehetővé tevő eszközöket építeni az internet- és telefonhálózatba. Nincs bizonyítékunk arra, hogy a titkosszolgálatok, a rendőrség vagy bárki ezeket rutinszerűen használja is, de már a gyanú is elég ahhoz, hogy ne bízzunk egy újabb hivatalban, amely újabb egyedi tulajdonságunkból csinál az azonosításunkra alkalmas adatot. Újabból, hiszen az útlevelünkben már van biometrikus adat, az ujjlenyomatunk egy csipben.

A biometria idejét éljük

Még akkor is érthető az ellenállás, ha közben tudjuk, hogy az emberek túlnyomó többsége mindenféle ellenállás nélkül adja oda az arcát akár napi rendszerességgel is a Facebooknak, a Google-nek, vagy épp a Microsoftnak. A Facebook saját arcfelismerő rendszere például csak tizedszázalékokkal gyengébb, mint az emberek, sőt van, hogy a tesztek során jobban teljesít a program az élő vetélytársnál. A Facebookhoz hasonló rendszerek már csak azért is hatékonyabbak, mert jóval több képet töltünk fel magunkról, így néha egészen megdöbbentően kevés részlet az arcon is elég nekik a pontos találathoz.

Próbáltuk megtudni, hogy a Belügyminisztérium pontosan milyen rendszerben gondolkozik, milyen technológiát, algoritmust használna, és arra is kértük őket, hogy a kedélyek csillapítása miatt küldjenek már egy példaprofilt, hogy megmutathassuk, hogy is néz ki majd az az adat, amit rólunk őriznek.

Nem meglepő, de kitérő választ adtak. Kicsit úgy tűnt, mintha azt akarták volna elhitetni, hogy elméleti szinten tart ez az egész. Ha ez igaz, akkor a tervezet hatásvizsgálatakor megadott összeg, mely szerint 4 005 391 230 forintba kerül majd a rendszer kiépítése,

a leginkább hasraütésszerűen megadott adat a kormányzati IT-projektek történetében, mióta világ a világ.

Valószínű, hogy a kormány egy külső cég már kész megoldását vásárolja majd meg. Ebből elég sok fajta van, tippelni is nehéz lenne, vajon ki az, akinek a megoldását kinézték. Az biztos, hogy már jó tíz évvel ezelőtt is elképesztő eredményekre képes megoldások voltak a piacon, az azóta eltelt időben pedig minden szempontból óriásit lépett előre a technika. Aránylag olcsón elérhetőek a nagy felbontású, sötétben is jó képeket rögzítő kamerák, és a gyors adatfeldolgozáshoz kellő processzorok. Négymilliárd forintból az olyan járulékos problémákra is lehet nyers erőből megoldást találni, mint a profilok összehasonlításának időigényessége.

Ez pedig megint abba az irányba mutat, hogy elég naivnak kell lenni ahhoz, hogy azt gondoljuk, senki nem él majd vissza azzal, ha lesz egy kormányzati szerv, amelynek egyetlen célja az emberek azonosítása. Az adatvédelmi biztos véleménye szerint ez az egész minimum alkotmányos aggályokat vet fel. Ha ön szerint nem olyan nagy probléma, hogy egy közepesen jól megindokolt kérelem kell csak ahhoz, hogy mindenféle állami fegyveres szervek végignyálazzák a teljes lakosság arcképét pár lazán meghatározott körülményre hivatkozva, akkor zárásként címszavakban felsoroljuk az adatvédelmi biztos problémáit az ötlettel kapcsolatban.

Tiltani kell, hogy arcképprofilt bármelyik másik állami szerv készítsen, gyűjtsön, pláne tároljon
A kapcsolati kódokat úgy kell létrehozni, hogy azzal ne lehessen visszaélni
Az arcképnyilvántartás csak államérdekből használható, sportrendezvények szűrésére már nem
Pontosan, esetszerűen meg kell határozni, hogy mire lehet használni a profiladatbázist, nem elég, hogy „bűnüldözés”, „terrorelhárítás”
Garantálni kell, hogy nem lesz tömeges megfigyelés.