Poliisille huomautus – tällainen on sen kokeilema hämärä tunnistus­ohjelma

Apulaistietosuojavaltuutettu on antanut Poliisihallitukselle huomautuksen henkilötietojen lainvastaisesta käsittelystä kasvojentunnistusohjelmalla.

Kasvontunnistusohjelmat toimivat tarkastelemalla kasvonpiirteiden mittasuhteita ja etäisyyksiä. Näitä on vaikea muuttaa.

29.9.2021 8:40

Keskusrikospoliisin lasten seksuaalisen hyväksikäytön torjuntaan keskittyvä yksikkö oli kokeillut kasvojentunnistusteknologiaa mahdollisten uhrien tunnistamiseksi vuosien 2019–2020 taitteessa. Poliisihallitus kertoo, että palvelun tietoturvallisuutta tai tietosuojalainsäädännön mukaisuutta ei ollut etukäteen varmistettu riittävällä tavalla.

Päätös koekäytöstä oli tehty KRP:ssä, eikä poliisin henkilötietojen käsittelystä vastaava rekisterinpitäjä Poliisihallitus ollut tietoinen kokeilusta. Apulaistietosuojavaltuutetun mukaan Poliisihallitus oli saanut tiedon Clearview AI -palvelun käytöstä yhdysvaltalaiselta Buzzfeed News -verkkojulkaisulta.

Rikosasioiden tietosuojalain mukaan rekisterinpitäjä vastaa siitä, että henkilötietoja käsitellään lainmukaisesti. Apulaistietosuojavaltuutettu kertoo, ettei rekisterinpitäjän vastuu henkilötietojen käsittelystä toteutunut.

Apulaistietosuojavaltuutettu määräsi Poliisihallituksen ilmoittamaan henkilötietojen tietoturvaloukkauksesta niille rekisteröidyille, joiden henkilöllisyys on tiedossa. Lisäksi Poliisihallituksen on pyydettävä yhdysvaltalaispalvelua poistamaan poliisin välittämät tiedot tallennusalustoiltaan.

Poliisihallitus teki ilmoituksen tietoturvaloukkauksesta tietosuojavaltuutetun toimistolle huhtikuussa. Poliisi kertoo, että viime vuoden aikana poliisin henkilöstölle on järjestetty pakolliset tietoturvallisuuden ja henkilötietojen käsittelyä koskevat koulutukset.

Kokeilussa tehtiin 120 hakua mahdollisten uhrien kasvokuvilla

KRP oli kokeillut yhdysvaltalaisen Clearview AI -palvelua mahdollisten uhrien tunnistamiseksi kasvokuvien avulla. Poliisi käytti palvelua kokeilujakson verran.

Kokeilun aikana ohjelmassa tehtiin noin 120 hakua sosiaalisen median palveluista löytyneiden mahdollisten uhrien kasvokuvilla, Poliisihallitus kertoo. Ohjelmaa käytti neljä ihmistä kuukauden pituisen kokeilujakson ajan, minkä jälkeen palvelun käyttö lopetettiin KRP:ssä oma-aloitteisesti tietosuojasyistä.

Poliisihallituksen mukaan koekäytön aikana hakuja tehtiin pääasiassa testidatalla, ja saadun selvityksen mukaan vain kahdessa tapauksessa oikeilla kuvilla. Kuvissa ei ole ollut mitään sukupuolisiveellisyyttä loukkaavaa tietoa.

Apulaistietosuojavaltuutetun mukaan henkilötietojen käsittely oli aloitettu hankkimatta tietoja siitä, miten palvelu käsittelee henkilötietoja. Ennen palvelun käyttöönottoa poliisi ei ollut esimerkiksi selvittänyt, kuinka kauan tietoja säilytetään tai luovutetaanko niitä mahdollisesti kolmannelle osapuolelle.

Poliisissa ei ollut huomioitu myöskään erityisten henkilötietoryhmien käsittelyä. Kasvokuvat ovat rikosasioiden tietosuojalain mukaisia biometrisiä henkilötietoja, ja ne kuuluvat erityisiin henkilötietoryhmiin, apulaistietosuojavaltuutettu kertoo. Tällaisia tietoja on käsiteltävä erityisen huolellisesti.

Poliisin sisäisessä selvityksessä kävi ilmi, että KRP oli kokeillut samaan tarkoitukseen myös Arachnid-nimistä palvelua. Poliisihallituksen mukaan palvelua kokeiltiin vain muutamia kertoja, eikä tässäkään palvelussa ei käsitelty mitään sukupuolisiveellisyyttä loukkaavaa tietoa.

Epämääräinen ohjelmisto

Clearview AI -ohjelmisto mahdollistaa haun tekemisen ihmisen valokuvan perusteella, ja haku tuottaa tulokseksi lisää kuvia henkilöstä, tämän oikean nimen sekä linkkejä lisätietoihin.

Ohjelmiston tausta on erittäin epämääräinen. Vuonna 2000 kävi ilmi, että yhtiö on kasannut kasvontunnistustietokantansa yli 3 miljardista kuvasta, jotka on kerätty ilman lupaa.

Lue lisää: Sinäkin saatoit joutua mukaan – amerikkalaisfirmalla omin luvin kasattu 3 miljardin kuvan tietokanta kasvontunnistukseen

Tietokanta kasattiin epämääräisin keinoin, kopioimalla niitä esimerkiksi Facebookista ja Twitteristä vastoin palveluiden käyttöehtoja. Tällaista tietokoneistetusti toteutettua tiedonkeruuta kutsuttaan kaapimiseksi. Ihmisillä ei ole mahdollisuutta tietää, että heidän sosiaalisessa mediassa julkaisemansa valokuvat päätyvät muihin tarkoituksiin.

Lisäksi ainakin viime vuonna yhtiö sai tietoonsa kaikki viranomaisten tekemät kasvohaut, joten se tietää, miten sen tietokantaa käytetään ja sillä saattaa olla oma tietokantansa viranomaisten kiinnostusten kohteista.

Lue lisää: Kommentti: Kasvoistasi tuli kauppatavaraa – eikä kukaan kysynyt sinulta

Eräs amerikkalaismies pyysi palvelulta omat tietonsa viime vuonna tietoturvalaeistaan tiukaksi tunnetussa Kalifornian osavaltiossa. Hän sai odottelun jälkeen hänestä tehdyn profiilin, jossa oli hänestä useita valokuvia, kahdeksan vuoden takainen yliopistoartikkeli, merkintöjä hänen ja vaimonsa blogista, hänen Facebook-sivunsa osoite sekä useiden häneen yhteydessä olevien henkilöiden nimet.

Lue lisää: Mies pyysi nettikuvia urkkivalta firmalta tietonsa – tulos oli järkytys

Seuraa ja lue artikkeliin liittyviä aiheita

Osion tuoreimmat

Luitko jo nämä?