Gezichtsherkenningstechnologie wordt steeds meer gebruikt, vooral in China en Singapore. In de Verenigde Staten daarentegen wordt het nogal controversieel geacht. Frankrijk is klaar om het eerste Europese land te worden dat gezichtsherkenningstechnologie gebruikt om burgers een “veilige digitale identiteit” te geven – of ze het willen of niet.
Gezichtsherkenningstechnologie wordt door de Europese Unie zo ongeveer als een instrument van de toekomst gezien (om de burgers goed in de gaten te houden), maar in de Verenigde Staten wordt het op zijn minst mild controversieel geacht. Bepaalde federale agentschappen (zoals de DHS) dringen aan op wijdverspreide inzet, zelfs terwijl congresleden vragen stellen over de nauwkeurigheid en betrouwbaarheid van de technologie. Ondertussen worden verboden op gezichtsherkenning ingevoerd, op stads- en staatsniveau, waaruit blijkt dat er in de VS geen landelijke consensus bestaat dat de technologie betrouwbaar, nuttig of niet-indringend is.
Burgers en privacygroepen hebben vergelijkbare zorgen in Frankrijk, maar de Franse overheid maakt dat blijkbaar geen ene shit uit. In naam van “veiligheid” voegt de Macron-regering gezichtsherkenningstechnologie toe aan haar nationale ID-programma
Dat meldt Helene Fouquet op Bloomberg.
Frankrijk lijkt dus het eerste Europese land te worden dat gezichtsherkenningstechnologie gebruikt om burgers een “veilige digitale identiteit” te geven – of de bevolking het wil of niet.
De regering van president Jupiter Emmanuel Macron zegt dat het de Staat efficiënter wil maken en voert plannen door om in november, dus volgende maand al, een ID-programma uit te rollen, genaamd Alicem, en dat is eerder dan het eerder gestelde doel van invoering met de Kerst.
Deze stap van het ministerie van Binnenlandse Zaken wordt al voor de rechtbank aangevochten door privacygroep La Quadrature du Net. Helaas belet deze rechtsgang niet de uitrol van de Android-app van de Franse overheid, wat de enige manier is voor inwoners om een digitale ID aan te maken die kan worden gebruikt voor toegang tot overheidsdiensten.
Een ID wordt gemaakt via een eenmalige registratie die werkt door de foto van een gebruiker in zijn biometrische paspoort te vergelijken met een selfie-opname die met de app is gemaakt, en die uitdrukkingen, bewegingen en invalshoeken vastlegt. De telefoon en het paspoort communiceren via hun ingebouwde chips.
Omdat deze digitale ID vooralsnog niet verplicht bezit is (staat te lezen op de site security.nl), hebben tegenstanders erop gewezen dat deze praktijk in strijd is met de volgens de GDPR geldende bepalingen voor het verzamelen van consensuele gegevens. Maar dat is verre van het enige probleem. Gezichtsherkenningstechnologie werkt nog steeds niet zo goed als de voorstanders beweren, wat ertoe zal leiden dat bewoners ofwel niet in staat zijn om een ID te maken die de overheid accepteert ofwel mogelijk beschuldigd worden van ID-fraude als de overheidskant van de technologie denkt dat het iemand anders is.
En dan is er de beveiliging van het programma zelf. Het wordt verondersteld om Franse burgers “veiliger” te maken, maar de regering heeft tot op heden bij niemand de indruk kunnen wekken dat haar bewering van “hoogste, staatsniveau” veiligheid juist is. Het eigen gecodeerde berichtenplatform werd in minder dan twee uur ontmanteld door een beveiligingsonderzoeker, waardoor de onderzoeker naar believen accounts kon aanmaken en gevoelige gegevens van bestaande accounts kon verzamelen. Kort daarna werd door de overheid een premieregeling voor het vinden van bugs in dat programma uitgerold, maar er is geen premie voor bugs uitgekeerd of een uitnodiging om de beveiliging op “staatsniveau” van de nieuwste app van de overheid te testen gedaan- een app die door ongeveer 100% van de inwoners van het land zal (moeten) worden gebruikt.
Volgens de Franse overheid zal de potentiële schade wordt beperkt door de aard van de vangst en de vrijgave van de gegevensverzameling. Zodra een ID is aangemaakt, zal de overheid (blijkbaar) de verzamelde gegevens verwijderen en zal alles wat lokaal door de app op het apparaat van de gebruiker is opgeslagen verdwijnen nadat de registratie is voltooid en de app is verwijderd.
Maar sommige gegevens worden nog steeds ergens opgeslagen, zodat burgers hun nieuwe digitale ID’s kunnen gebruiken om toegang te krijgen tot overheidsdiensten, hoewel de overheid blijft volhouden dat biometrische informatie van Alicem niet naar andere overheidsdatabases zal worden gelinkt.
Zelfs als alles wat de Franse regering beweert waar is, zal deze uitrol – een gebeurtenis die plaatsvond zonder dit in het openbaar kenbaar te maken en bewoners geen enkele mogelijkheid biedt om zich af te melden – het voor de overheid gemakkelijker worden om meer indringende gezichtsherkenningsprogramma’s te introduceren. Als dit digitale ID-programma soepel werkt en doet wat wordt beweerd, zal het in de toekomst de weerstand tegen gebruik door de overheid van biometrisch scannen en volgen verminderen. Immers, als iets eenmaal goed werkte tijdens een minimale, gecontroleerde uitrol, kan het weer werken als er meer op het spel staat en er minder controles plaatsvinden op het verzamelen en bewaren van biometrische informatie.
Surveillance door de overheid is (nog steeds) een groot punt van zorg, maar helaas zorgt gemakzucht en ongeïnteresseerdheid ervoor dat weinig mensen het verwerpelijk vinden.
Tot slot nog een aantal kritische kanttekeningen:
Ten eerste vereist het dat iedereen een eigen smartphone heeft. De Franse overheid sleept haar burgers aan de haren mee naar de eeuw van de informatievoorziening en -beheersing. Wee de burger die zo arm is dat die geen smartphone heeft – of wil. En dan moet het ook nog een Android-smartphone zijn. Sorry, iPhone- en Huaweigebruikers!
Ten tweede gaat het systeem ervan uit dat het gezicht van personen nooit zal veranderen. De leeftijd, het oplopen van letsel, het veranderen van het uiterlijk – kapsel, snor baard -, gemakeshalve wordt verondersteld dat er voldoende nuttige datapunten zijn om echt uniek te zijn onder de wereldbevolking. Wat ons inziens een illusie lijkt. En wat te denken van identieke tweelingen?
Komt nog wat anders bij: als iemand een app uit de Google Play Store wilt installeren, die ook akkoord moet gaan met de servicevoorwaarden van Google Play (https://play.google.com/about/play-terms/index.html) alsmede de servicevoorwaarden van Google (https : //policies.google.com/terms).
Dat betekent ook dat het overtreden van de gebruiksvoorwaarden van derden (in dit geval die van Google) ervoor kan zorgen dat Franse burgers permanent worden verbannen uit de Play Store en dus geen toestemming krijgen om een federaal verplicht ID te krijgen – vanwege een contractuele schending van een privéovereenkomst tussen de burger en een commerciële entiteit.
Dus de Franse overheid stelt dus de servicevoorwaarden van Google verplicht voor al haar burgers.
Het verleden leert dat het niet lang duurt vooraleer er een lange lijst met beveiligingslekken op het darkweb te vinden is waarop de accountnamen + wachtwoorden (of hash-bestanden) van gestolen ID’s staan. Wat eerder bij andere systemen is gebeurd zal uiteindelijk ook gebeuren met dit biometrische systeem. Hoe lang duurt het voordat iemand erachter komt hoe een gestolen biometrisch bestand moet worden ingevoerd in een app die een gezicht moet scannen en in plaats daarvan het gestolen bestand in het vergelijkingsgedeelte van het beveiligingssysteem invoert? Op dat moment is de echte accounthouder genaaid omdat die niet zomaar van gezicht kan veranderen alsof er een gestolen wachtwoord kunnen aangepast.