Disneyland: Ομαδική αγωγή κατά της Disney για μαζική χρήση τεχνολογίας αναγνώρισης προσώπου

Σύνοψη

• Η Disney βρίσκεται αντιμέτωπη με ομαδική αγωγή (class-action lawsuit) σχετικά με την εφαρμογή τεχνολογίας αναγνώρισης προσώπου στα θεματικά της πάρκα.
• Οι ενάγοντες ισχυρίζονται ότι η εταιρεία προχώρησε σε σάρωση και αποθήκευση βιομετρικών χαρακτηριστικών χωρίς την απαραίτητη ρητή συγκατάθεση (opt-in) των επισκεπτών.
• Η νομική διαμάχη επικεντρώνεται στον τρόπο μετατροπής των φυσικών χαρακτηριστικών σε ψηφιακά ίχνη (hashes) και τον κίνδυνο διαρροής αμετάβλητων προσωπικών δεδομένων.
• Η υπόθεση αναδεικνύει το χάσμα μεταξύ της αμερικανικής νομοθεσίας και του αυστηρού ευρωπαϊκού κανονισμού GDPR, επηρεάζοντας άμεσα και τους Ευρωπαίους τουρίστες.

Η ενσωμάτωση τεχνολογιών αιχμής στους φυσικούς χώρους ψυχαγωγίας συχνά δοκιμάζει τα όρια της προστασίας των προσωπικών δεδομένων. Η Walt Disney Company βρίσκεται στο επίκεντρο μιας σοβαρής νομικής αντιπαράθεσης, καθώς κατατέθηκε ομαδική αγωγή εις βάρος της, με αφορμή τη χρήση συστημάτων αναγνώρισης προσώπου στις εγκαταστάσεις της Disneyland. Η υπόθεση εγείρει κρίσιμα ερωτήματα για τη διαχείριση των βιομετρικών δεδομένων από μεγάλους οργανισμούς και τον τρόπο με τον οποίο η ψηφιακή ευκολία αντιπαρατίθεται στην ιδιωτικότητα του ατόμου.

Η Disney αντιμετωπίζει ομαδική αγωγή επειδή κατηγορείται ότι συνέλεξε, επεξεργάστηκε και αποθήκευσε βιομετρικά δεδομένα επισκεπτών της Disneyland μέσω προηγμένων συστημάτων αναγνώρισης προσώπου, χωρίς να εξασφαλίσει τη ρητή και έγγραφη συγκατάθεση τους. Οι ενάγοντες υποστηρίζουν ότι η πρακτική αυτή παραβιάζει τη νομοθεσία περί ιδιωτικότητας, συγκεντρώνοντας ευαίσθητα προσωπικά δεδομένα τα οποία, σε αντίθεση με έναν κωδικό πρόσβασης, δεν μπορούν ποτέ να αντικατασταθούν σε περίπτωση κυβερνοεπίθεσης.

Κύρια σημεία της αγωγής:

• Αυθαίρετη Σάρωση: Λήψη βιομετρικών μετρήσεων κατά την είσοδο ή την παραμονή στους χώρους του πάρκου χωρίς διαφανή ενημέρωση.
• Απουσία Μηχανισμού Opt-In: Έλλειψη σαφούς διαδικασίας αποδοχής ή απόρριψης της σάρωσης από τον τελικό χρήστη.
• Διαχείριση Ψηφιακών Ιχνών: Ανησυχίες σχετικά με την κρυπτογράφηση, τον χρόνο διατήρησης των δεδομένων στους κεντρικούς διακομιστές και την πιθανή κοινοποίησή τους σε τρίτους.

Η αρχιτεκτονική της αναγνώρισης προσώπου στους χώρους ψυχαγωγίας

Από καθαρά τεχνική σκοπιά, η υλοποίηση της αναγνώρισης προσώπου σε περιβάλλοντα υψηλής κινητικότητας, όπως ένα θεματικό πάρκο, απαιτεί υποδομές εξαιρετικά χαμηλής καθυστέρησης. Οι κάμερες που τοποθετούνται στα σημεία ελέγχου δεν καταγράφουν απλώς ένα βίντεο. Χρησιμοποιούν αλγορίθμους μηχανικής όρασης για να χαρτογραφήσουν τη γεωμετρία του προσώπου του ατόμου, υπολογίζοντας τις αποστάσεις μεταξύ συγκεκριμένων σημείων, όπως τα μάτια, η μύτη και το πηγούνι.

Αυτό το μοναδικό τοπογραφικό δίκτυο μετατρέπεται στιγμιαία σε έναν μαθηματικό τύπο ή «hash» (βιομετρικό πρότυπο). Θεωρητικά, η αρχική φωτογραφία διαγράφεται και το σύστημα διατηρεί μόνο την αλφαριθμητική συμβολοσειρά για την ταυτοποίηση του ατόμου σε μελλοντικές επισκέψεις ή για την αντιστοίχιση με το εισιτήριό του. Το πρόβλημα, το οποίο αναδεικνύεται και από την τρέχουσα νομική δράση, είναι ότι αυτό το hash παραμένει ένα προσωπικό αναγνωριστικό. Η διαρροή του μπορεί να επιτρέψει σε κακόβουλους παράγοντες να πραγματοποιήσουν επιθέσεις πλαστοπροσωπίας (spoofing) σε άλλα συστήματα που βασίζονται στα ίδια βιομετρικά πρότυπα.

Επιπλέον, η τεχνολογία που αναλύεται στη δικογραφία αφορά κυρίως την ταυτοποίηση τύπου 1:N (One-to-Many), όπου το σύστημα σαρώνει το πλήθος και προσπαθεί να ταιριάξει ένα πρόσωπο με μια τεράστια βάση δεδομένων. Αυτή η διαδικασία είναι εγγενώς πιο επιρρεπής σε ψευδώς θετικά αποτελέσματα και απαιτεί πολύ υψηλότερη επεξεργαστική ισχύ σε σύγκριση με την πιστοποίηση 1:1 (όπου ο χρήστης απλώς επιβεβαιώνει την ταυτότητά του μέσω μιας συσκευής, όπως το Face ID της Apple).

Η νομική διάσταση: Βιομετρικά δεδομένα και καταναλωτικά δικαιώματα

Η μήνυση αναδεικνύει τις αυστηρές προδιαγραφές που θέτουν νόμοι όπως ο νόμος περί ιδιωτικότητας των καταναλωτών της Καλιφόρνια (CCPA) και, σε ορισμένες δικαιοδοσίες, ο νόμος περί απορρήτου των βιομετρικών πληροφοριών (BIPA) του Ιλινόις. Το νομοθετικό πλαίσιο στις ΗΠΑ αρχίζει να αντιμετωπίζει τη βιομετρία με μεγαλύτερη αυστηρότητα, απαιτώντας από τις εταιρείες να δημοσιεύουν σαφείς πολιτικές διατήρησης δεδομένων και να καταστρέφουν μόνιμα τα βιομετρικά στοιχεία μετά την εκπλήρωση του αρχικού σκοπού συλλογής τους.

Οι δικηγόροι των εναγόντων υποστηρίζουν ότι η ενημέρωση των καταναλωτών μέσω εγγράφων «Όρων Χρήσης» κρυμμένων σε ψηφιακά μενού δεν συνιστά έγκυρη συγκατάθεση. Ζητούν αποζημιώσεις που θα μπορούσαν να ανέλθουν σε εκατομμύρια δολάρια, αλλά και την επιβολή δικαστικών ασφαλιστικών μέτρων που θα αναγκάσουν τη Disney να σταματήσει αμέσως τη χρήση της συγκεκριμένης τεχνολογίας μέχρι να εφαρμοστούν νέα, διαφανή πρωτόκολλα.

Τι ισχύει για την Ευρώπη

Η συγκεκριμένη είδηση έχει άμεσες προεκτάσεις για τους χιλιάδες Ευρωπαίους τουρίστες που ταξιδεύουν ετησίως στα αμερικανικά θεματικά πάρκα. Η ευρωπαϊκή νομοθεσία (GDPR) απαγορεύει ρητά την επεξεργασία βιομετρικών δεδομένων με σκοπό τη μοναδική ταυτοποίηση ενός φυσικού προσώπου (Άρθρο 9), εκτός εάν υπάρχει ρητή, απολύτως ξεκάθαρη και ανακλητή συγκατάθεση.

Όταν ένας Ευρωπαίος πολίτης επισκέπτεται τις ΗΠΑ, η προστασία του εξαρτάται σε μεγάλο βαθμό από τους τοπικούς νόμους της εκάστοτε πολιτείας, γεγονός που τον καθιστά ευάλωτο σε συστήματα παθητικής καταγραφής. Στον αντίποδα, η λειτουργία του Disneyland Paris διέπεται αποκλειστικά από τους κανόνες της Ε.Ε. και της γαλλικής αρχής προστασίας δεδομένων (CNIL). Αυτός είναι ο κύριος λόγος που η εγκατάσταση αντίστοιχων συστημάτων μαζικής βιομετρικής αναγνώρισης στην Ευρώπη συναντά ανυπέρβλητα νομικά εμπόδια, δημιουργώντας ένα ψηφιακό νομικό παράδοξο: η ίδια εταιρεία προσφέρει ριζικά διαφορετικά επίπεδα προστασίας ιδιωτικότητας ανάλογα με τη γεωγραφική τοποθεσία των διακομιστών της.

*Μπορείτε πλέον να προσθέσετε το Techgear.gr ως Προτιμώμενη Πηγή ενημέρωσης για τις αναζητήσεις σας στο Google Search!