Już kilkukrotnie na łamach naszego Portalu podawaliśmy przykłady nietypowych pomysłów na weryfikację użytkowników. Autoryzacją biometryczną są zainteresowane m.in. Google i instytucje państwowe. Ale nie tylko one.
Skaner dłoni w bankomacie i uśmiech dla potwierdzenia zakupów.
Już kilka lat temu w Polsce pojawiły się bankomaty, w których weryfikacja wypłacającego odbywa się poprzez skan dłoni. Nie jest to jednak typowe odbicie linii papilarnych, jakie pobiera np. policja, lecz naświetlenie naczyń krwionośnych znajdujących się wewnątrz palca. Co istotne, w przypadku bankomatów dostępnych w Polsce użytkownik wypłacając gotówkę ma możliwość wyboru sposobu weryfikacji – czy woli uwiarygodnić swoją tożsamość skanem palca, czy kartą i PINem. Takie rozwiązania oparte na biometrii naczyniowej, choć w Europie wciąż traktuje się je jako nowinkę, są już standardem w Japonii.
Specjaliści od zabezpieczeń wskazują, że technika rozpoznawania układu naczyń krwionośnych ma wiele zalet. Przede wszystkim układ naczyń krwionośnych jest tzw. cechą nieprzechwytywalną, co oznacza, że praktycznie niemożliwe jest jego podrobienie. Współczynnik EER, określający wiarygodność różnych metod weryfikacji (im niższy, tym metoda bardziej wiarygodna), dla układu naczyń krwionośnych wynosi 0,17%. Dla porównania, EER analizy głosu wynosi od 3 do 19,6% (na wiarygodność tej metody bardzo silny wpływ ma rodzaj zastosowanego sprzętu), a EER analizy linii papilarnych – 5%.
Równie bezpieczną metodą weryfikacji, budzącą jednak dużo większy opór użytkowników , jest analiza siatkówki oka (EER < 0,5%). Ta metoda nie jest powszechnie używana także dlatego, że jest dość wrażliwa na zakłócenia, takie jak niewłaściwe pozycjonowanie lub złe oświetlenie.
Jeden z największych wydawców kart płatniczych przeprowadza testy kolejnej technologii: „płatności selfie". Aby uwiarygodnić swoją tożsamość przy płaceniu rachunku on-line, klient, zamiast przypominać sobie hasło, powinien zrobić sobie zdjęcie. Pomysłodawcy tej metody twierdzą, że zastosowanie technologii rozpoznawania twarzy pozwoli zmniejszyć liczbę przypadków oszustw przy zakupach na odległość. Jest też wygodne dla użytkowników, ponieważ nie będą oni musieli zapamiętywać haseł lub kodów PIN.
Wielbiciele nowinek oczekują z kolei na specjalną bransoletkę, która ma w sposób ciągły monitorować bicie serca danej osoby, a zebrane informacje wysyłać do pobliskich urządzeń (np. smartfonów, laptopów czy zamków w drzwiach) w celu uwierzytelnienia. Ta technologia wykorzystuje fakt, że serce każdego człowieka bije w unikalny dla niego sposób i tworzy „podpis" w postaci sygnały elektrycznego.
Dane biometryczne w świetle prawa.
W obecnym stanie prawnym obowiązującym w Polsce kwestia danych biometrycznych nie jest bezpośrednio uregulowana. Zasadniczo tego typu dane są traktowane jak inne dane osobowe. Wskazuje się jednak, że nie można przyjąć, że wszystkie dane biometryczne są danymi osobowymi. Może okazać się bowiem, że ustalenie tożsamości osoby w oparciu o posiadaną daną biometryczną nie jest możliwe bez użycia nadmiernych nakładów (kosztów, czasu lub działań) .
Nowe rozporządzenie unijne dotyczące danych osobowych definiuje dane biometryczne jako „dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne".
Co istotne, takie dane należą do „danych specjalnej kategorii". Będą zatem chronione tak samo, jak dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne lub światopoglądowe, przynależność do związków zawodowych i dane genetyczne. Co do zasady, przetwarzanie takich danych będzie zakazane. Wyjątek będą stanowić następujące sytuacje:
- osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach;
- przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej;
- przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
- przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.
Więcej na temat przetwarzania danych biometrycznych według nowego rozporządzenia można przeczytać w artykule mec. Witolda Chomiczewskiego w Podręczniku E-Commerce Polska: Rewolucja w ochronie danych osobowych? Istotne zmiany dla przedsiębiorcy.