SALT (Mobai m.fl.): Sikring av digitale identiteter

Bakgrunn

Digitale tjenester er en integrert del av våre liv. For at vi skal bruke og ha tillit til disse tjenestene, er det avgjørende at de er sikre og effektive. 

Digitale tjenester tilbyr vanligvis flere måter for en person å verifisere sin identitet på, som regel med krav om flere faktorer. Dette kan inkludere informasjon om noe du vet (passord eller PIN-koder), noe du har (en spesifikk enhet eller en fysisk nøkkel) eller noe du er (biometri).

Vi ser en dreining hos virksomheter mot mer bruk av biometri for å øke sikkerheten ved identitetsverifisering. Biometriske opplysninger omfatter unik informasjon om våre fysiske, fysiologiske eller atferdsmessige egenskaper – oftest med henvisning til våre fingeravtrykk eller ansiktsbilder.

Biometriske opplysninger er unike for hver enkeltperson, og det kan ha store negative konsekvenser hvis de blir stjålet. Samtidig må risikoen ved å bruke biometriske opplysninger sees i lys av at sosial manipulering har blitt mer vanlig, hvor ondsinnede aktører lurer brukere til å gi fra seg informasjonen som trengs for å få tilgang til nettbaserte tjenester. Derfor er slike opplysninger underlagt strenge personvernregler, som skal begrense innsamling, lagring og bruk av slike opplysninger.

Mobai ønsker med SALT-løsningen sin å redusere risikoen forbundet med behandling av biometriske opplysninger. De tar sikte på å gjøre dette ved å utnytte kunstig intelligens og innovative maskinlæringsmetoder. Slik ønsker de å redusere personvernrisikoen for brukeren samtidig som de utvider hvordan biometrisk informasjon kan bli brukt til digital verifisering.

Om prosjektet

I denne rapporten tar Datatilsynet for seg sentrale juridiske utfordringer knyttet til "SALT" – inkludert om løsningen kan utvide hvordan biometrisk informasjon kan brukes for verifiseringsformål.

Vårt mål med denne sluttrapporten er å gi verdifulle og generaliserbare juridiske innsikter som kan være til nytte for Mobai og deres samarbeidspartnere, samt andre aktører som jobber med lignende problemstillinger.

Hovedfunn 

I dette sandkasseprosjektet tok vi tak i noen sentrale juridiske utfordringer knyttet til hvordan SALT-løsningen fungerer. De er også er relevante for andre selskaper på lignende felt og med lignende juridiske problemstillinger.

Våre vurderinger av disse utfordringene:

• Er ansiktsbilder biometriske opplysninger?

  Et ansiktsbilde kvalifiserer seg ikke alltid som en biometrisk opplysning slik det er definert i personvernregelverket. Datatilsynet vurderer imidlertid at biometriske maler er biometriske opplysninger. Vi anser også operasjonene som utføres på ansiktsbildet for å generere den biometriske malen (dvs. uttrekkingen av biometriske egenskaper fra bildet) som behandling av biometriske opplysninger.
  
  Selv om ansiktsbilder i seg selv ikke er ansett som biometriske opplysninger etter forordningen, kan altså behandling av ansiktsbilder være underlagt samme nivå av sikkerhetskrav som behandling av biometriske opplysninger.

• Er beskyttede maler (Protected Templates) basert på biometriske opplysninger personopplysninger etter personvernforordningen?

  Datatilsynet har diskutert med Mobai om biometriske beskyttede maler – laget ved homomorfisk kryptering – kan anses som anonyme, eller om de fortsatt er ansett som personopplysninger.

  Selv om homomorfisk kryptering og beskyttede maler gjør informasjonen uforståelig for parter som ikke har krypteringsnøkkelen, garanterer dette ikke nødvendigvis anonymitet. Så lenge krypteringsnøkkelen kan brukes til å koble malen til en fysisk person, omfattes den etter vår vurdering av personvernforordningens definisjon av personopplysninger.

• Anses biometriske opplysninger som brukes til verifisering som en særlig kategori av personopplysninger?

  Det er knyttet juridisk usikkerhet til om biometrisk verifisering innebærer en behandling av særlige kategorier av personopplysninger etter artikkel 9 nr. 1. Spørsmålet kan ikke løses i dette sandkasseprosjektet. Men basert på diskusjonene vi har hatt, anser Datatilsynet det som sannsynlig at biometrisk verifisering er omfattet av artikkel 9 nr. 1. Vi anbefaler derfor de involverte i SALT-prosjektet å behandle de biometriske opplysningene som brukes til verifiseringsformål som en særlig kategori av personopplysninger.

• Hva er forskjellen mellom den primære behandlingen av personopplysninger i SALT-løsningen og behandlingen for sekundære formål?

  Det primære formålet med SALT-løsningen er å verifisere identitet. Datatilsynet anser at visse operasjoner som skjer i forkant av verifiseringen er omfattet av dette formålet, men bare når de er strengt nødvendige for å oppnå formålet. I Mobais tilfelle knytter dette seg til genereringen og sammenligningen av beskyttede maler.
  
  Vi anser behandling av personopplysninger til forbedringer av algoritmene og systemet som sådan, som behandling for sekundære formål. Denne behandlingen krever et selvstendig rettslig grunnlag.

• Er det lov å lagre biometrisk informasjon på en sentral server?

  Mobais tilnærming til lagring og behandling av biometriske opplysninger krever sentralisert lagring. Dette er fordi de anser det som nødvendig for å forbedre sikkerheten.

  Sentralisert lagring muliggjør avansert kryptering, tilgangskontroll og robuste sikkerhetstiltak, men reiser også bekymringer rundt storskala innsamling av biometriske opplysninger – og andre type opplysninger – som kan brukes til verifisering av digitale identiteter.

  Mobai hevder at de kan balansere sikkerhet og personvern ved å bruke innovativ teknologi for å generere biometriske, beskyttede maler som gjør det mulig å kombinere egenskapene til desentraliserte enheter med sentral lagring og behandling.

  I tillegg lagrer Mobai krypterte bilder sentralt for trening av KI-modellene, mens de har på plass strenge dataminimeringspraksiser. Formålet med dette er å balansere sikkerhet og regelverksetterlevelse ved håndteringen av sensitive opplysninger.
  
  I dette prosjektet har Datatilsynet vurdert at Mobais løsning kan gjøre det mulig med sentral lagring og behandling av biometriske opplysninger i tilfeller hvor det tidligere ikke ble ansett som sikkert nok til å adressere de betydelige bekymringene forbundet knyttet til sentral lagring.

Last ned

SALT (Mobai m.fl.), sluttrapport - Securing Digital Identities (engelsk, pdf)