Chiny i Malezja zbierają dane biometryczne na potęgę. Jak sytuacja wygląda w Europie?

Comparitech przeanalizował 50 różnych krajów, aby dowiedzieć się, gdzie pobierane są dane biometryczne, za co są pobierane i w jaki sposób się je przechowuje.

Badanie objęło 5 kluczowych obszarów, które mają zastosowanie w większości krajów.

Każdy kraj miał możliwość zdobyć maksymalnie 25 punktów. Wysokie wyniki wskazują na szerokie i inwazyjne wykorzystanie danych biometrycznych. Natomiast niski wynik wskazuje na pewne ograniczenia i przepisy dotyczące wykorzystania tego typu danych.

Nie zaskakuje fakt, że Chiny stoją na czele listy. Jednak pojawienie się w zestawieniu wielu nieoczekiwanych krajów może wzbudzać zaniepokojenie podróżujących z uwagi na  zakres informacji biometrycznych, które są w nich gromadzone i tym, co dzieje się z nimi później.

Jakie są główne wnioski z badania?

Wiele krajów gromadzi dane biometryczne podróżnych, często poprzez wizy lub kontrole biometryczne na lotniskach. Każdy kraj, który zbadał Comparitech, wykorzystuje dane biometryczne przy rachunkach bankowych, np. odciski palców w celu uzyskania dostępu do danych aplikacji lub potwierdzenia tożsamości w samych bankach.

Pomimo że wiele państw uznaje dane biometryczne za wrażliwe, zwiększone wykorzystanie danych biometrycznych jest powszechnie akceptowane.

Celem CCTV (telewizja przemysłowa) jest podniesienie bezpieczeństwa. Systemy wizyjne montowane w bankach, sklepach, urzędach pocztowych, czy innych miejscach dostępnych publicznie mogą pomóc w rozpoznaniu twarzy, a tym samym tożsamości osób próbujących okraść te budynki. System jest wdrażany w wielu krajach lub przynajmniej jest testowany.

Kraje Unii Europejskiej uzyskały lepsze wyniki niż inne kraje, głównie ze względu na częściowe regulacje PKBR chroniące wykorzystanie danych biometrycznych w miejscu pracy.

Chiny na prowadzeniu. Kto jeszcze w niechlubnej 5?

Kraje, które uzyskały najwyższe noty, a tym samym wykazują brak poszanowania prywatności danych biometrycznych osób, to:

1. Chiny 24/25

Jedyne czego Chiny nie wykorzystują do zbierania danych biometrycznych to system głosowania w wyborach. Jednakże samo oddawania głosów jest bardzo silnie kontrolowane przez władze. Być może to eliminuje potrzebę głosowania biometrycznego. Ale za to Chiny uzyskały maksymalną liczbę punktów we wszystkich innych kategoriach:

• Wykorzystanie danych biometrycznych w paszportach, dowodach osobistych i rachunkach bankowych.
• Brak szczegółowych przepisów prawnych chroniących biometrię obywateli.
• Chińska ogólnokrajowa baza danych biometrycznych jest obecnie rozbudowywana o DNA.
• Powszechne i inwazyjne wykorzystanie technologii rozpoznawania twarzy w kamerach CCTV. Kamery do rozpoznawania twarzy są obecnie wykorzystywane między innymi do śledzenia i monitorowania mniejszości muzułmańskiej w tym kraju (Ujgurów). Pekin testuje również technologię rozpoznawania twarzy w punktach kontroli bezpieczeństwa w metrze. Dzięki temu można podzielić podróżnych na grupy. Władze mają nadzieję rozszerzyć tę praktykę o autobusy, taksówki i inne usługi turystyczne. Ostatnio Chiny wprowadziły również kontrolę rozpoznawania twarzy dla każdego, kto otrzymuje nowy numer telefonu komórkowego.
• Brak zabezpieczeń dla pracowników w miejscu pracy. Firmom pozwolono nawet monitorować fale mózgowe pracowników pod kątem produktywności podczas pracy.
• Większość krajów wymaga wizy wjazdowej do Chin, a wszystkie wydawane wizy zawierają dane biometryczne. Pobrano również odciski palców wszystkich osób wjeżdżających do Chin.

2. Malezja 21/25

Malezja także słabo wypada w całej klasyfikacji:

• Posiadanie danych biometrycznych w paszportach, dowodach osobistych i rachunkach bankowych.
• Brak konkretnych przepisów prawnych chroniących biometrię obywateli.
• Posiadanie wielu baz danych biometrycznych, do których dostęp ma policja.
• Nie ma wielu zabezpieczeń dotyczących danych biometrycznych w miejscu pracy, a niektóre z nich są również szeroko wykorzystywane. Obejmuje to zbieranie danych biometrycznych w celu weryfikacji tożsamości pracowników zagranicznych.
• Aby wjechać do Malezji wizy zawierają dane biometryczne. Dane biometryczne              cudzoziemców są również zbierane przy wjeździe do Malezji.

3. Pakistan 21/25

W Pakistanie nie wszystkie wizy zawierają dane biometryczne. Pakistańczycy nie pobierają odcisków palców, gdy ktoś wjeżdża do kraju. Jednakże punktacja jest także bardzo wysoka:

• Posiadanie danych biometrycznych w paszportach, dowodach osobistych i na rachunkach bankowych.
• Obecny system głosowania biometrycznego.
• Brak szczegółowych przepisów prawnych chroniących dane biometryczne obywateli.
• Powszechne rozpoznawania twarzy w ramach projektu „Bezpieczne miasta”.
• Brak ustawy o ochronie danych osobowych w celu ochrony danych biometrycznych pracowników.

4. Stany Zjednoczone 20/25

Stany Zjednoczone także plasują się wysoko w rankingu:

• Dane biometryczne w paszportach, dowodach osobistych i rachunkach bankowych.
• System głosowania biometrycznego (optyczny sprzęt skanujący stosowany w wielu stanach).
• Brak szczególnych przepisów prawnych chroniących biometrię obywateli. Chociaż istnieje kilka przepisów stanowych, które chronią dane biometryczne mieszkańców stanu, to jednak wiele danych biometrycznych obywateli USA jest narażonych, ponieważ nie istnieje żadne prawo federalne.
• Powszechne stosowanie kamer rozpoznających twarz. Na przykład, FBI i ICE zostały ostatnio skrytykowane z powodu wykorzystania technologii rozpoznawania twarzy do skanowania zdjęć z prawa jazdy bez uprzedniego uzyskania zgody obywateli. Wprowadzono także pewne zakazy na szczeblu miejskim w San Francisco (CA), Oakland (CA), Berkeley (CA) i Somerville (MA) zakazujące rządowego stosowania technologii rozpoznawania twarzy.
• Rośnie wykorzystanie technologii biometrycznych w miejscu pracy. Wiele firm wykorzystuje biometrię pracowników np. przy użyciu odcisków palców w celu uzyskania dostępu do komputera roboczego.
• Odciski palców są wymagane w przypadku większości wiz amerykańskich. Odciski palców są pobierane od wszystkich osób, które wjeżdżają do kraju.

5. Tajwan, Filipiny, Indie i Indonezja 19

Wszystkie cztery kraje, które zajmują 5 miejsce zebrały 19 punktów. Każdy z nich znajduje się w Azji.

Filipiny przyznają się do wykorzystywania CCTV, ale we wszystkich innych dziedzinach osiągają także wysokie wyniki.

Indonezja pozwala obywatelom z wielu krajów na wjazd do kraju bez wizy. Nawet gdy  wymagana jest wiza, wielu z nich nie potrzebuje danych biometrycznych. Niemniej wynik Indonezji jest podnoszony przez krajową bazę danych biometrycznych, w której informacje pobierane są z dowodów tożsamości i zawierają odciski palców.

5 krajów, w których dane biometryczne chronione są najlepiej

1. Irlandia 11

We współpracy z Portugalią, Irlandii udaje się chronić dane biometryczne. Irlandia dysponuje jedynie niewielką bazę danych zawierającą profile przestępcze czy dodatkowe zabezpieczenia danych biometrycznych pracowników (np. zgoda nie zawsze jest wystarczająca, co wykracza poza wymogi PKBR). Kraj nie należy do strefy Schengen, więc nie przyjmuje danych biometrycznych przy wjeździe. Jednak istnieją podejrzenia, że Irlandia używa kamer CCTV rozpoznających twarz.

2. Portugalia 11

Portugalia, podobnie jak Irlandia, ma najniższe notowania.

W Portugalii bazy danych biometrycznych są zabronione. Jest to jedyny kraj, w którym nie ma żadnej bazy danych biometrycznych. Portugalia dobrze wypada również z powodu braku zwyczaju rozpoznawania twarzy w telewizji przemysłowej oraz ochrony danych biometrycznych w miejscu pracy.

3. Cypr 12

Cypr także nie jest jednym z krajów strefy Schengen, więc nie zbiera danych biometrycznych ani przy wjeździe, ani wyjeździe z kraju. Nie bierze też udziału w dużej, scentralizowanej bazie danych. Rozpoznawanie twarzy nie jest wdrażane w miejscach publicznych. Natomiast państwo chroni biometrię pracowników w miejscu pracy.

4. Wielka Brytania 12

Wielka Brytania posiada jedynie małe bazy danych biometrycznych, np. jedną dla przestępców i jedną dla obywateli spoza Wielkiej Brytanii, którzy wjeżdżają do kraju. Baza podlega przepisom PKBR. CCTV do rozpoznawania twarzy jest również czymś, co wydaje się dobrze zarządzane. Technologia rozpoznawania twarzy była wykorzystywana w King’s Cross Station, ale bez uprzedniego powiadomienia. Została ona teraz wyłączona i plany jej dalszego rozwoju zostały wstrzymane. CCTV jest również testowane w innych obszarach, ale nadal spotyka się z protestami.

5. Rumunia 12

Rumunia nie posiada systemu CCTV do rozpoznawania twarzy. Nie jest też jeszcze częścią układu z Schengen. Rumunia jest w trakcie rozmów w sprawie przystąpienia do strefy, co zwiększyłoby jej wynik o co najmniej 2 punkty, ponieważ dane biometryczne byłyby następnie zbierane przy wjeździe do kraju.

Z takim samym wynikiem 12 punktów Szwajcaria powinna również zostać uwzględniona w sekcji „najlepsze kraje”.

Szwajcaria 12

Szwajcaria jest krajem o najniższym wyniku spośród wszystkich krajów spoza UE, ponieważ nie posiada biometrycznych kart identyfikacyjnych, systemu głosowego oraz kamer rozpoznających twarz w miejscach publicznych. W Szwajcarii istnieje baza danych biometrycznych tylko w sprawach karnych oraz dodatkowe zabezpieczenia dotyczące danych biometrycznych pracowników. Szwajcaria jest jednak częścią układu z Schengen, co oznacza, że stanie się częścią systemu wjazdu/wyjazdu w 2020 roku.

Skąd wzięły się niższe wyniki?

Niższe wyniki wiążą się z ogólnym rozporządzeniem o ochronie danych (PKBR) i jego regulacji w zakresie danych biometrycznych, zwłaszcza w miejscu pracy. Żaden kraj nie uzyskał więcej niż 3 punkty za tę sekcję. Ustawa PKBR stanowi: „przetwarzanie danych biometrycznych w celu jednoznacznej identyfikacji osoby fizycznej [….] jest zabronione”. Nie ma to jednak zastosowania, jeżeli „osoba, której dane dotyczą, udzieliła wyraźnej zgody” lub jeżeli jest to „konieczne do celów wypełnienia obowiązków i korzystania ze szczególnych praw administratora danych lub osoby, której dane dotyczą w dziedzinie zatrudnienia”.

Punktację może zmienić układ z Schengen

W 2020 r. zostanie wdrożony w UE system wjazdu/wyjazdu w ramach układu z Schengen. System oprze się na rozległej bazie danych biometrycznych obejmującą 28 krajów, do której dostęp będą miały organy ścigania każdego z państw członkowskich. Poza tym w strefie Schengen udostępniane są inne bazy, w tym wizowy systemu informacyjny (VIS), który zawiera już ponad 60 mln wniosków wizowych i 40 mln zestawów odcisków palców.

Bułgaria, Cypr, Zjednoczone Królestwo, Rumunia i Irlandia nie są członkami układu z Schengen, ale prowadzone są rozmowy w sprawie przystąpienia Cypru i Rumunii. Ponadto stanowisko Wielkiej Brytanii może ulec zmianie po brexicie.

We Francji kontrowersyjna baza danych Alicem

W 2016 roku Francja ogłosiła, że planuje stworzyć scentralizowaną bazę danych Alicem, która będzie zawierać dane biometryczne ze wszystkich paszportów i dokumentów tożsamości. Baza ta jest obecnie w trakcie wdrażania. Dokonano w niej pewnych zmian w celu wykorzystania technologii rozpoznawania twarzy.

Narzędzie zapewni obywatelom dostęp do szerokiego wachlarza usług internetowych, np. ubezpieczenia zdrowotnego, rejestracji pojazdów i kart identyfikacyjnych. Do korzystania z tych usług  wymagana jest identyfikacja twarzy.

Francuska agencja ochrony danych, CNIL, skrytykowała Alicem, sugerując, że należy zaproponować alternatywę dla rejestracji rozpoznawania twarzy (np. rejestrację osobistą).

CNIL wyraził również zaniepokojenie faktem, że dane dotyczące historii połączeń są przechowywane na serwerze przez siedem lat.

Całość badania znajduje się na stronie Comparitech.