Zamki rozpoznające twarz weszły do sprzedaży masowej i, jak zauważa w swoim przeglądzie The Verge, po latach rozczarowań zaczęły wreszcie działać wystarczająco szybko i niezawodnie, żeby przestać irytować użytkownika. To dobra wiadomość. Gorsza jest taka, że wygoda ma tu cenę płaconą w danych, których charakter różni się od wszystkiego, co znamy z haseł i kluczy.
Jak to właściwie działa
Kamera przy drzwiach nie przechowuje zdjęcia w potocznym sensie. Algorytm zamienia obraz twarzy na zestaw liczb opisujących wzajemne proporcje punktów charakterystycznych: rozstaw oczu, kształt kości policzkowych, geometrię nosa i żuchwy. Ten zestaw, nazywany szablonem lub wektorem cech, jest potem porównywany z tym, co widzi kamera przy każdym podejściu do drzwi.
Kluczowa różnica między urządzeniami dotyczy tego, czy szablon zostaje w zamku, czy wędruje na serwery producenta. Rozwiązanie lokalne jest z punktu widzenia prywatności wyraźnie lepsze: nie ma centralnej bazy twarzy, którą można wykraść.
Czy da się to oszukać
Najprostszym atakiem jest pokazanie zdjęcia lub nagrania. Dlatego lepsze konstrukcje stosują detekcję żywotności i czujniki głębi, które odróżniają trójwymiarową twarz od płaskiego wydruku. Zamki opierające się wyłącznie na zwykłej kamerze 2D są pod tym względem najsłabsze.
Warto też pamiętać o warunkach codziennych: mocne słońce, ciemność na klatce schodowej, czapka zimowa czy okulary przeciwsłoneczne wciąż potrafią zwiększyć liczbę nieudanych prób. Dobry zamek zawsze ma drugą drogę wejścia, kod lub tradycyjny klucz, i sygnalizuje rozładowanie baterii z odpowiednim wyprzedzeniem.
Prawo: twarz to dane szczególnej kategorii
W Unii Europejskiej dane biometryczne służące do jednoznacznej identyfikacji osoby są objęte art. 9 RODO, czyli zaliczają się do szczególnych kategorii danych. Ich przetwarzanie jest co do zasady zakazane, poza wyliczonymi wyjątkami, wśród których podstawowy stanowi wyraźna zgoda osoby, której dane dotyczą.
Dla osoby montującej zamek we własnym mieszkaniu na własny użytek zastosowanie ma tak zwany wyjątek domowy, który wyłącza czysto prywatną aktywność spod obowiązków administratora danych. Sytuacja zmienia się jednak, gdy urządzenie zapisuje twarze sąsiadów, kurierów czy najemców albo gdy zamek montuje wspólnota mieszkaniowa lub pracodawca. Wtedy pojawia się administrator z pełnym zestawem obowiązków, a materiały wyjaśniające publikuje Urząd Ochrony Danych Osobowych.
Czego nie da się cofnąć
To najważniejszy punkt tej całej opowieści. Wyciek hasła kończy się jego zmianą. Wyciek szablonu biometrycznego jest trwały, bo twarzy się nie wymienia. Nawet jeśli dane wyciekną w postaci wektora, a nie fotografii, badania nad odtwarzaniem obrazu z szablonu pokazują, że taki zapis nie jest anonimowy.
Stąd praktyczna lista pytań przed zakupem: czy szablon zostaje w urządzeniu, czy producent deklaruje szyfrowanie i jak długo obiecuje wydawać aktualizacje oprogramowania, czy jest zapasowa metoda otwarcia drzwi i co się stanie z danymi, gdy firma zniknie z rynku. Jeśli odpowiedzi nie da się znaleźć w dokumentacji, sam zamek może być świetny, a i tak nie warto go kupować.



