Send en tanke til Zetlands medlemmer

De har betalt for, at vi kunne lave denne artikel. Uafhængig journalistik er ikke gratis.

Vi spurgte eksperter og politikere om reglerne for ansigtsgenkendelse. Og fandt ud af, at Danmark er det vilde vest

“Den er juridisk lidt svær.” Her er, hvad loven siger om at bedømme køn, alder, etnicitet og humør ud fra folks ansigter

Foto: Payton Tuttle // Redigering: Mikkel Bøgild Jacobsen, Zetland

Anders Linde Reislev er som advokat for en start-up, der sælger ansigtsgenkendelsesteknologi i Danmark, en lovens mand i, hvad der nok bedst kan beskrives som et teknologisk vildt Vesten. Den teknologiske udvikling går hurtigere end lovgivning,” som han siger, så det er ikke sådan, at den her nye og unikke teknologi passer ned i en bestemt boks.”

Tidligere på ugen udgav vi historien om, hvordan den danske start-up JustFace sælger ansigtsgenkendelse til butikker i Danmark. Teknologien gør, at butikkernes videokameraer kan registrere kundernes køn, alder, etnicitet og humør. Altså kan butikken vide, hvor mange kunder der er vrede voksne hvide mænd eller glade ældre asiatiske kvinder. I bidragssporet var Zetlands medlemmers reaktion på JustFaces teknologi over en bred kam kritisk. Jeg vil undgå alle butikker eller andet, som vil bruge de her redskaber,” som en skrev.

Flere virkede også chokerede over, at den form for ansigtsgenkendelse overhovedet er lovlig. Det er Anders Linde Reislev fra advokathuset Lund Elmer Sandager, der har givet JustFace juridisk rådgivning. Altså er det hans vurdering, der giver JustFace ro i maven, når de sælger teknologien til detailbranchen. Vi bad ham uddybe sin vurdering, ligesom vi bad en jurist i Datatilsynet og en juraekspert give deres umiddelbare besyv. Begge sætter spørgsmålstegn ved JustFace-advokatens vurdering, men gør det også klart, at juraen er … mudret. Som Hanne Marie Motzfeldt, lektor og ph.d. i databeskyttelsesret på Københavns Universitet, siger det: Den er juridisk lidt svær.”

Vi har også spurgt politikere, der ligeledes har svært ved at gennemskue, præcis hvor de store grænser skal trækkes for den unge og uafprøvede teknologi. Sværhedsgraden kræver, at man nørder juraens gråzoner – der hvor der må tolkes på formuleringer og foretages vurderinger. Det er her, i gråzonerne, at ansigtsscannernes fremtid i Danmark vil blive afgjort.

Det er også i gråzonerne, vi finder en konflikt mellem to interesser: kundernes interesse i at beskytte deres ansigt mod virksomhedernes interesse og virksomhedernes interesse i at blive intime med deres kunder, så de kan sælge dem flere varer. Og hvis interesse vægter så højest? Det ved ingen rigtigt, viser det sig, for der er ingen dom herhjemme at skæve til. Før der er en dom, er der ingen, der ved noget,” som en, der arbejder med teknologien, skrev til mig i en mail. Det gælder både for virksomheder, start-ups og selv Datatilsynet, som er noget generelle i deres svar.” Det er,” afsluttede personen, utroligt frustrerende.”

I virkeligheden handler det om, hvilke rettigheder vi har over vores ansigt. Ingen af verdens knap otte milliarder mennesker har det samme ansigt som dig. Dit ansigt er unikt, og medmindre du gennemgår en gedigen omgang plastikkirurgi, vil dit ansigt altid afsløre dig. Inden for GDPR, altså EUs databeskyttelsesregler, betyder det, at dit ansigt er persondata. Helligt med andre ord. Men hvordan kan JustFace så overhovedet sælge deres teknologi? Anders Linde Reislev forklarer: Det unikke ved JustFaces system er, at den algoritme, der ligger bag systemet, anonymiserer billederne.”

Ansigtsscanningen tager 150 millisekunder, og så slettes billedet. Ingen mennesker ser ansigtet, det gør kun JustFaces kunstige intelligens. I analysen af køn, alder, etnicitet og humør er kundens ansigt splintret til, groft sagt, atomer. Som et uløst puslespil. Det gør, at der ikke findes ét samlet billede af kundens ansigt på én server, men at kundens højre øre findes på én server, venstre øje på en anden, munden på en tredje og så videre. Det går så hurtigt, at intet billede kan identificere en bestemt person, ikke engang JustFace eller butikken kan det, så de data, man får ud, er på et anonymiseret niveau,” siger Anders Linde Reislev. Og det er det springende punkt, mener han: For når billedbehandlingen er anonym, er der ikke tale om persondata, og så falder det ikke under GDPR. Derfor skal butikker med JustFaces system ikke have kundernes samtykke.

Men er ansigtsbehandlingen faktisk anonym, som advokaten mener? Det er her, vi træder ind i gråzonerne. For det er én advokats vurdering. Det kan man så være enig eller uenig i,” som han siger, og i sidste ende vil det være op til en dansk domstol at afgøre. Her vil diskussionen gå på, om det overhovedet er muligt for en ansigtsgenkendelse som JustFaces at scanne, analysere og registrere kunders ansigter på en anonym måde. Og det er jurist ved Datatilsynet Allan Frank og juralektor Hanne Marie Motzfeldt i tvivl om. Det er her, vi kommer til den sjove diskussion,” siger Allan Frank.

Diskussionen er vigtig, fordi ansigtsgenkendelse nu er en ting i Danmark, men også fordi vi tilsyneladende gerne ser teknologien rullet bredt ud. Sidste år spurgte it-virksomheden KMD danskerne til deres holdning til ansigtsgenkendelse. Flertallet var for, at det bruges til at overvåge offentlige steder, samfundskritiske steder, i private hjem og på private områder. Eksempelvis butikker. Opbakningen tippede først, da danskerne blev spurgt, hvis ens ansigt skulle give adgang til steder, hvor man plejer at komme” og særlige arrangementer”, mindske køer og ventetider, personlige fordele ved indkøb og målrettet reklame.

Men ét er, hvad ansigtsgenkendelse kan, noget andet er, hvad det må, siger Allan Frank, juristen i Datatilsynet. Han forklarer, at en butik godt må videooptage kunder, hvis formålet er at bekæmpe tyveri. Men, siger han, i det øjeblik en butik vil bruge optagelserne til et andet formål, eksempelvis at registrere kunders køn, alder, etnicitet og humør, bliver juraen straks mere langhåret.

Reelt anonyme oplysninger er ikke omfattet af GDPR, men hvis der behandles oplysninger, der identificerer en bestemt person, eksempelvis en kundes ansigt, træder GDPR i kraft, og det kræver en hjemmel såsom et samtykke. Så hvis jeg kom ind i en butik som Kop & Kande, og et ansigtsgenkendelsessystem registrerede, at der kom Frederik Kulager søreme ind, uden mit samtykke, ville det være i strid med GDPR. Medmindre … og nu træder vi ind i gråzonen, dét at identificere mig eksempelvis er nødvendigt af hensyn til væsentlige samfundsinteresser”, som der står i databeskyttelsesloven. Men hvilke væsentlige interesser’ kan samfundet’ have i ens ansigt? Et af de eneste steder, hvor vi har fået antydningen af et svar, er i en fodboldklub på Københavns Vestegn.

I 2019 bad Brøndby IF om Datatilsynets tilladelse til at bruge ansigtsgenkendelse til at alarmere, hvis en person med karantæne vil ind på stadion og se en kamp. Allan Franks kolleger i Datatilsynet tyggede lidt på den og besluttede, at samfundsinteressen i at forhindre vold og hærværk under fodboldbrag på Vestegnen vejer tungere end at beskytte personer, der aldrig har gjort noget forkert, fra at få ansigtet scannet. I praksis betyder det, at Brøndby IF scanner alle stadionets gæster, altså tusindvis af mennesker, for at forhindre klubbens karantæne-crowd i at komme på stadion. Med tilladelsen følger der dog en række krav: Der skal skiltes med, at der scannes ansigter, databehandlingen skal ske sikkert, og portrætbilleder af fans, der ikke matcher et ansigt på karantænelisten, må ikke lagres, og dem, hvis ansigter der er match på, skal slettes, når kampen er fløjtet af.

Brøndby IFs tilladelse er den eneste, Datatilsynet har givet en virksomhed. Hvilket vil sige, at hverken JustFace eller deres kunder, butikkerne, har fået tilladelse fra Datatilsynet, så æh, hvordan hænger det sammen? Allan Frank udlægger forskellen sådan her: Fordi JustFaces system ikke behandler oplysninger, der identificerer bestemte personer, men kun – hvis det var ham – registrerer hvid, mand, voksen, forvirret’, behøver Datatilsynet ikke at give deres godkendelse.

JUSTFACE Foto: Nicolai Oreskov Westh, Zetland

JustFace behøver altså ikke Datatilsynets godkendelse. Men Allan Frank kan ikke retfærdigt afgøre, om JustFaces teknologi så er lovlig eller ulovlig. Det ville kræve, at han dykkede ned i alle systemets kringlede teknikaliteter, så med dét forbehold kan vi nørde, hvad det ville kræve, hvis en butik vil tage ansigtsgenkendelse i brug. Allan Frank vurderer, at en butik med et system som JustFaces ville skulle have hjemmel til at behandle oplysningerne. Eksempelvis et samtykke fra kunden, fordi kundens persondata, altså kundens portrætbillede, behandles. Det strider mod advokatens vurdering, som er, at systemet ikke behandler persondata.

Uenigheden skyldes, at Allan Frank vurderer, at billedet af kundens ansigt i sig selv er persondata, fordi det identificerer en person. Og uanset hvor sikkert og hurtigt JustFace måtte registrere kundens køn, alder, etnicitet og humør, har billedet af kundens ansigt stadig været behandlet, og derfor vurderer Allan Frank, at systemet falder under GDPR, som butikken skal leve op til.

Hvis en butiks overvågningskamera lægger et grid ned over mit ansigt for at scanne mine biometriske data, så behandler de mit ansigt, altså om jeg smiler eller ser sur ud, og når man gør det, er man inde i selve GDPR, fordi det er mine data, de behandler.” Det betyder, siger han, at butikken skal have hjemmel såsom et samtykke. Det er praktisk talt umuligt, når kunder vader ind fra gaden. En hjemmel kunne også være, hvis det er i samfundets interesse at behandle kunders biometriske data som i tilfældet med Brøndby IF. Det er det næppe,” siger Allan Frank. Konklusionen? Så længe,” siger han, der eksisterer en digital repræsentation af mit ansigt, også selv om det kun er i millisekunder på en server, så er det en behandling – og ansigtet er identificerbart mit.” Hvilket betyder, at GDPRs regler skal overholdes, og så bliver det i hvert fald svært”.

Lektor Hanne Marie Motzfeldt cirkulerer længe om teknologiens krinkelkroge, inden hun forsigtigt konkluderer, at hun ikke helt deler Allan Franks vurdering. Hun mener ikke, at ansigtsscannet, som lige netop JustFace laver på kunderne, vil kræve samtykke efter GDPR. Hvis jeg forstår det rigtigt,” siger hun, har indsamlingen og videreanvendelsen mere et statistisk formål.” Nemlig at lave kundestatistik, og det ændrer lidt sagen,” siger juralektoren. Hvis – og her har jeg alle mulige jurist-forbehold – men hvis det kan regnes som behandling til et statistisk formål, så er der andre behandlingsgrundlag, der er mulige. Jeg vil så groft sagt vurdere,” siger hun, at butikkernes helt store praktiske udfordring er informationspligten.”

Med andre ord: Du skal som kunde vide, at når du går ind i denne butik, så bliver du scannet. Det skal være et informeret valg for dig at gå ind i butikken. Dén pligt er ikke fikset med et klistermærke på døren, hvor der står, at der bruges ansigtsgenkendelse i butikken, siger hun. Butikken skal på et sprog, alle forstår, informere kunderne om, at deres ansigter scannes til brug i kundestatistik. I praksis skal hver enkelt forbipasserende informeres om … ret mange ting. Kontaktoplysninger på den dataansvarlige, formålet med databehandlingen, det retlige grundlag, butikkens legitime interesser i at scanne, hvem der modtager personoplysningerne, om man deler dataene med andre, og oplysninger om ens ret og mulighed for at klage til Datatilsynet. Ja, det er besværligt,” siger Hanne Marie Motzfeldt. Men på den anden side: Skal jeg som kunde ikke have lov til at vælge den butik fra, hvis jeg ikke gider blive segmenteret? Hvis jeg ikke vil bidrage til deres kundeanalyse, fordi jeg slet ikke går ind for kundeanalyser? Butikker må gerne ansigtsscanne – de må bare ikke luske med det, når de gør det.”

I vurderingen af JustFaces system har advokaten Anders Linde Reislev lænet sig op ad en sag fra Sverige, hvor en lignende ansigtsgenkendelsesteknologi har fået det svenske datatilsyns godkendelse, fordi man mener, at de data, der behandles, er anonyme og derfor ikke strider mod GDPR. Reislev siger: Vi har også forelagt vores argumenter for Datatilsynet for lang tid siden og spurgt ind til det, så det er ikke sådan, at vi er ligeglade med, hvad de mener, vi ønsker kun at være på linje med dem. Om de er enige i vores fortolkning, afventer vi fortsat Datatilsynets holdning til, og det er klart, at hvis de har en anden opfattelse, vil vi rejse det for JustFace,” siger han.

Som sagt: Juraen i de her spørgsmål er mudret. Vi har her tre jura-nørder, alle flydende i GDPR, med tre opfattelser af, hvad butikkerne har af spillerum, når det kommer til ansigtsgenkendelse – opfattelser, som i sidste ende afgør, hvad kunderne har af rettigheder over deres ansigt. Politikere, både i Folketinget og EU, vi har talt med, afspejler den her forvirring.

Da Radikale Venstres retsordfører Kristian Hegaard fik den iPhone, han bruger som arbejdstelefon, fik han at vide, at han var det eneste medlem af Folketinget, der ikke ville bruge hverken sit ansigt eller sit fingeraftryk til at låse telefonen op. I stedet taster han sin kode ind hver gang. De har rigeligt oplysninger om mig i forvejen,” siger han. De skal sateme ikke have mit ansigt eller fingeraftryk.”

Han er med andre ord bekymret for brugen af ansigtsgenkendelse, uanset om det sidder i telefonen eller ved indgangen til en butik. Og det største problem, mener han, er, at der slet ikke er nogen lovgivning på området. Så er det jungleloven, der hersker. Så kan den her teknologi snige sig lidt frem i Lyngby Storcenter og på Brøndby Stadion. Når der ikke bliver taget klar politisk stilling, ser vi de her knopskud.” Han mener derfor, at der bør indføres et midlertidigt stop for brug af ansigtsgenkendelsesteknologi, så politikerne får tid til at undersøge teknologiens fordele og ulemper til bunds. Og så den ikke sniger sig ind ad bagdøren, mens politikerne tænker sig om.

Peter Skaarup, retsordfører for Dansk Folkeparti, har i flere år talt for, at vi i Danmark bør være mindre berøringsangste over for ansigtsgenkendelse. Men når det kommer til JustFace, bliver han bekymret. Det minder lidt for meget om Kina, hvis du spørger mig,” siger han. Ikke fordi han under ingen omstændigheder synes, teknologien må bruges af private virksomheder og butikker. Men fordi grænserne lige nu er uklare, og der bør for al ny teknologi være nogle grænser for, hvordan man tager det i anvendelse, så det ikke krænker almindelige frihedsrettigheder”.

Peter Skaarup fortæller, at der for ham at se er situationer, hvor ansigtsgenkendelse bør bruges mere. Butikker er bare ikke en af dem. Han nævner den dna-teknologi, der bliver brugt af politiet, og som kan gøre forbrydelser nemmere at opklare. Der er nemlig klare rammer for politiets brug af dna-teknologi. Forudsætningen for sådan et system er, at det ikke kan misbruges,” siger han. Hvis vi accepterer en ny teknologi, skal vi sætte grænser for, på hvilke måder den bliver anvendt.”

Derfor mener han ligesom Kristian Hegaard, at lovgivningen skal gøres tydeligere. Men han mener også, at der er situationer, hvor vi skal være mere lempelige med brugen. For eksempel synes han, at både politi og efterretningstjenester skal have lov at bruge ansigtsgenkendelse, hvis det kan hjælpe med at opklare terrorsager. Og Peter Skaarup håber, at justitsminister Nick Hækkerup vil undersøge, om brugen af teknologien overhovedet er lovlig. Jeg mener, vi er nødt til at have justitsministeren og Justitsministeriet ind over og lige få fast grund under fødderne i forhold til, om det, man gør i dag, er lovligt, og om ministeren vil give lov til, at efterretningstjenester og politiet kan bruge det,” siger Peter Skaarup. Vi ville gerne have interviewet Nick Hækkerup om brugen af ansigtsgenkendelse i Danmark, men Justitsministeriet afviste vores forespørgsel.

Et af dilemmaerne, når/hvis ansigtsgenkendelse skal reguleres ved lov, er, at hvis man forbyder virksomheder at bruge ansigtsgenkendelse (eller andre teknologier) i Danmark, så står de dårligere i konkurrencen med udenlandske virksomheder. Danske butikker er for eksempel interesseret i at bruge JustFaces teknologi, fordi det giver dem data om deres fysiske kunder, som de kan bruge i konkurrencen med en stigende nethandel. Men der findes også en anden mulighed. Nemlig at reguleringen kommer fra EU og på den måde rammer alle virksomheder i unionen lige hårdt.

Europa-Kommissionen har længe arbejdet på en strategi for, hvordan man skal regulere brugen af kunstig intelligens og ansigtsgenkendelse. I april i år kom så udkastet til strategien, og her foreslår kommissionen, at brug af ansigtsgenkendelse til at registrere følelser eller kategorisere folk (som JustFace gør) altid bør følges af krav om gennemsigtighed, så kunderne er klar over, at det foregår, og har muligheden for at undgå for eksempel de butikker, der bruger det.

Strategien skal nu behandles af Europa-Parlamentet, der kan komme med ændringsforslag. Christel Schaldemose, der sidder i parlamentet for Socialdemokratiet, siger, at hun håber, en lov kan være på plads om et års tid. Vi har brug for at skynde os, for det bliver brugt derude allerede,” siger hun.

Lige nu, fortæller hun, er udfordringen at finde den rette balance mellem to ting: på den ene side borgernes ret til privatliv og på den anden side virksomhedernes frihed til at bruge den nye teknologi til at opfinde nye produkter og tjenester og på den måde øge chancerne for, at den næste store techgigant for en gangs skyld bliver født i EU – med alt, hvad det medfører af nye jobs og skattekroner i kassen. Den her balance mellem innovation og borgernes sikkerhed, rettigheder og tryghed er svær at finde. Jeg er ikke sikker på, vi kommer til at ramme 100 procent rent.”

Da EU indførte GDPR i 2017, fulgte flere år med forvirring om, hvordan lovgivningen egentlig skulle fortolkes i praksis, og Christel Schaldemose forudser, at noget lignende kan ske med ansigtsgenkendelse. Men hun mener også, at det er bedre at have en uperfekt lovgivning, der så kan justeres hen ad vejen, end slet ingen. Da vi taler med hende, nævner hun risikoen for, at brugen af ansigtsgenkendelse vil eskalere uden regulering. Hvad hvis virksomhederne også begynder at registrere folks hudfarve, siger hun. Her må vi afbryde hende og fortælle, at det faktisk allerede sker. I Danmark. Jeg troede ikke, man måtte registrere folk på den måde,” siger parlamentarikeren overrasket.

Det lyder, som om det chokerer dig lidt?

Jeg har det mere bare sådan: Hvad skal de bruge det til? Selvfølgelig skal man bruge teknologi. Men man skal da lige tænke sig lidt om i forhold til, om man ikke skyder klart over målet.”