טכנולוגיית זיהוי פנים המופעלת על ידי AI היא כלי פופולרי יותר ויותר עבור ארגונים המעוניינים לייעל את בקרות הגישה ולשפר את האבטחה. אבל כפי ש- Serco Leisure גילתה לאחרונה, הרגולטורים להגנת מידע מייחדים השקות כאלה לצורך בדיקה מוגברת. הערכות סיכוני פרטיות ושיטות עבודה מומלצות אחרות הופכות במהירות הכרחיות כדי להבטיח שהפריסה תישאר בצד הנכון של החוק.
פנים / כיבוי
הרגולטורים במשרד נציב המידע (ICO) הענישו את Serco Leisure על כך שלא הציע חלופה לסריקת פרצופים וטביעות אצבע של עובדים כדי להיכנס ולצאת מהעבודה. אפשר היה להשתמש בקלות באמצעים פחות פולשניים כמו תעודות זהות או פובים, קבע ה-ICO.
יותר מ-2,000 עובדים ב-38 מתקני פנאי חויבו להגיש נתונים ביומטריים לבדיקת נוכחות. Serco Leisure לא הצליחה להוכיח שהשימוש שלה בטכנולוגיות ביומטריות היה "הכרחי ומידתי" ברישום נוכחות העובדים.
"נתונים ביומטריים הם ייחודיים לחלוטין לאדם ולכן הסיכונים לנזק במקרה של אי דיוקים או פרצת אבטחה הם הרבה יותר גדולים - אתה לא יכול לאפס את הפנים או טביעת האצבע של מישהו כמו שאתה יכול לאפס סיסמה", ג'ון אדוארדס, נציב המידע בבריטניה , נאמר ב א הצהרה. "Serco Leisure לא שקלה במלואה את הסיכונים לפני שהציגה טכנולוגיה ביומטרית לניטור נוכחות הצוות, תוך מתן עדיפות לאינטרסים עסקיים על פני פרטיות העובדים שלה".
עוד הטילה ה-ICO את Serco על כך שלא סיפקה לעובדים שאינם בנוח עם בדיקות ביומטריות עם כל מנגנון לביטול ההצטרפות למערכת. Serco Leisure, Serco Jersey ושבעה נאמנויות קהילתיות קשורות נצטוו להפסיק את עיבוד הנתונים הביומטריים לצורך ניטור נוכחות העובדים בעבודה. עוד נצטוו בתי העסק להשמיד את כל הנתונים הביומטריים שאינם מחויבים לשמור על פי חוק.
הסנקציות עלו בקנה אחד עם פרסום ה-ICO של הדרכה חדשה כיצד ארגונים יכולים לעבד נתונים ביומטריים כדין.
בקרת גישה
טכנולוגיית זיהוי הפנים תופסת אחיזה בארגון כדי לשלוט בגישה למיקומים מאובטחים ולאמת משתמשים באמצעות שירותי אימות זיהוי, בין השאר. אבל נתונים ביומטריים, בניגוד לסיסמאות, קשורים באופן מהותי לאדם, כך שההשפעה של חשיפתם במקרה של פרצת נתונים יכולה להיות חמורה יותר ולאורך זמן.
הכרה בהגנת הפרטיות המוגברת לה היא ראויה, של האיחוד האירופי ומרגולצית הנתונים הכללית (GDPR) קובע כללים מחמירים יותר המסדירים את העיבוד של נתונים ביומטריים, כולל הגבלת מטרה כהגנה מפני דרישות זריקת משימה, שקיפות והסכמה.
חסמי פריסה
הפעלת טכנולוגיות ביומטריות במקום העבודה יכולה להיות תואמת לדרישות הרגולטוריות, אך רק בתנאי שהן יוכנסו לאחר הערכת השפעה מקיפה להגנה על נתונים (DPIA), על פי מומחים.
ג'ון ברטלי, שותף וראש קבוצת הייעוץ לנתונים בחברת עורכי הדין הבינלאומית, RPC, אומר ל-ISMS.online ש"קריטי לקיים תהליך ברור לטכנולוגיות הצטרפות" הכוללות שימוש בנתונים ביומטריים, כגון סריקת טביעת אצבע או קשתית.
"מנקודת המבט של חוק הגנת המידע, חברות צריכות להיות מודעות למכשולים לקראת פריסה", הוא מסביר. "לדוגמה, בהתאם למקרה השימוש של הטכנולוגיה, ייתכן שיהיה קשה לבסס בסיס חוקי לעיבוד הנתונים הביומטריים, אלא אם ניתנת לאנשים המושפעים בחירה אמיתית לגבי קבלת הטכנולוגיה או בחירת חלופה".
מכיוון שניתן להשתמש בו לזיהוי ייחודי של אנשים, נתונים ביומטריים נכנסים לקטגוריה מיוחדת, ולכן כפופים לכללי עיבוד נתונים מחמירים יותר.
"נתונים אלה הם בסיכון גבוה יותר ויש להתקיים תנאי נוסף כדי לתת לגיטימציה לעיבוד, דבר שעלול להיות קשה בגלל המספר וההיקף המצומצם של תנאים כאלה", אומר ברטלי.
AI מגדיל את הסיכון
שרה פירס, שותפה בעורכי הדין Hunton Andrews Kurth ומומחית לפרטיות נתונים, טוענת שפסיקת Serco Leisure של ה-ICO מראה מדוע עסקים צריכים להתייעץ עם אנשי מקצוע משפטיים בנוגע לציות לרגולציה. מלבד חוק הגנת המידע, זיהוי פנים שמבוסס על טכנולוגיית בינה מלאכותית מעורר דרישות לציית לגוף הולך וגדל של חקיקה המסדיר את התחום הטכנולוגי המתפתח הזה, היא אומרת ל-ISMS.online.
האושרר לאחרונה חוק AI של האיחוד האירופי קובעת מסגרת משפטית מבוססת סיכונים לממשל בינה מלאכותית המאפיינת את השימוש בבינה מלאכותית בשילוב עם טכנולוגיות זיהוי פנים כ"סיכון גבוה".
משמעות הדבר היא שכדי לעמוד במלואו בחוק זה, עסקים יצטרכו "להקצות פיקוח אנושי על מערכת הבינה המלאכותית, לערוך הערכת השפעה על זכויות יסוד (לא דומה ל-DPIA תחת ה-GDPR), וליידע את העובדים ו ועד עובדים במידת הצורך", היא מסבירה.
הייעוד בסיכון גבוה חל הן על פריסות מול לקוחות והן על פריסה ממוקדת עובדים של טכנולוגיות ביומטריות בשילוב עם AI.
ברטלי מ-RPC מוסיף: "שימוש בטכנולוגיית זיהוי פנים כדי לעקוב אחר עובדים עשוי להיות מסווג כשימוש בסיכון גבוה בבינה מלאכותית על פי חוק הבינה המלאכותית, שמפעיל חובות שונות כמו פיקוח אנושי, ניטור, שמירה על תיעוד וייעוץ עם עובדים."
יתרונות תפעוליים
אשלי אייברי, שותפה במשרד עורכי הדין הבריטי Foot Anstey, מספרת ל-ISMS.online שהיא רשמה "עלייה משמעותית" בהיקף השאילתות מלקוחות המעוניינים לפרוס טכנולוגיה ביומטרית. ארגונים אלה רואים את היתרונות העסקיים של זה למטרות אבטחה, או כחלק מהצעת לקוחות, אבל "זהירים" מסיכוני פרטיות הנתונים, מסביר אייברי.
"ההנחיות שהונפקו על ידי ה-ICO שימושיות מכיוון שהיא מפרטת את הנקודות שיש לקחת בחשבון לפני אימוץ טכנולוגיה כזו וכיצד עסקים יכולים להוכיח עמידה בחקיקה לפרטיות נתונים", היא מוסיפה.
מסגרות ותקנים - כגון ISO 27001 - יכול לעזור לעסקים למקם את עצמם כדי להשיג תאימות בעת השקת טכנולוגיות זיהוי פנים. ISO 27001 מציע גישה שיטתית לניהול והגנה על מידע רגיש, כולל נתונים המטופלים על ידי טכנולוגיות זיהוי פנים.
ההנחיה של ה-ICO שמה דגש חזק על הדרישה לביצוע DPIAs.
"מניסיוננו, DPIAs הם כלי רב ערך לזיהוי סיכונים הקשורים לפרטיות, כלומר עסקים יכולים לנקוט באמצעים כדי למזער סיכונים כאלה מלכתחילה - זה חיוני בעת עיבוד נתונים רגישים כאלה", מסכם אייברי.
עסקים המעוניינים לפרוס טכנולוגיות ביומטריות צריכים לשקול את הדברים הבאים:
⦁ שקול אפשרויות אימות או בקרת גישה פחות פולשניות
⦁ עקוב אחר ההנחיות הביומטריות החדשות של ה-ICO
⦁ בצע DPIA קפדני
⦁ להתייעץ עם בעלי עניין (לקוחות, שותפים ועובדים) לפני הפריסה
⦁ לספק מידע ברור ושקוף על אופן השימוש בנתונים ביומטריים
⦁ ליישם אמצעים טכניים וארגוניים מתאימים כדי להבטיח את האבטחה והשלמות של הנתונים הביומטריים - תוך שימוש בתקנים כמו ISO 27001 היכן שניתן
