Un grupo de legisladores de la Cámara encargados de investigar las implicaciones de la vigilancia biométrica reunió a tres expertos el miércoles para testificar sobre el futuro del reconocimiento facial y otras herramientas ampliamente empleadas por el gobierno de EE. UU. con poca consideración por la privacidad de los ciudadanos.
Los expertos describieron un país, y un mundo, que se está saturando de sensores biométricos. Obstaculizados por unos pocos límites legales reales, si es que los hay, las empresas y los gobiernos están recopilando cantidades masivas de datos personales con el fin de identificar a extraños. Las razones de esta colección son tan innumerables y, a menudo, inexplicables. Como casi siempre es el caso, el desarrollo de tecnologías que facilitan la vigilancia de las personas está superando ampliamente tanto las leyes como la tecnología que podría garantizar que se respete la privacidad personal. Según la Oficina de Responsabilidad Gubernamental (GAO), hasta 18 agencias federales en la actualidad dependen de alguna forma de reconocimiento facial, incluidas seis para las cuales la aplicación de la ley nacional es un uso explícito.
El representante Jay Obernolte, el republicano de mayor rango en el subcomité de Investigaciones y Supervisión, reconoció que inicialmente estaba “alarmado” al saber que, en una encuesta, 13 de las 14 agencias no pudieron proporcionar información sobre la frecuencia con la que sus empleados usaban el reconocimiento facial. Obernolte dijo que luego se dio cuenta de que “la mayoría de ellos eran personas que usaban tecnología de reconocimiento facial para desbloquear sus propios teléfonos inteligentes, cosas así”.
Candice Wright, directora de ciencia, evaluación de tecnología y análisis de la Oficina de Responsabilidad Gubernamental, se vio obligada a emitir la primera de muchas correcciones durante la audiencia. “El caso de que encontramos agencias que no sabían qué estaban usando sus propios empleados. en realidad fue el uso de sistemas no federales para realizar búsquedas de imágenes faciales, como para propósitos de aplicación de la ley
En esos casos, dijo, “lo que estaba sucediendo es que quizás la gente de la sede no tenía una buena idea de lo que estaba sucediendo en las oficinas regionales y locales”.
En sus comentarios de apertura, el representante Bill Foster, presidente del subcomité de Investigaciones y Supervisión, dijo que anular Hueva había “debilitado sustancialmente el derecho constitucional a la privacidad”, y agregó que los datos biométricos demostrarían ser una fuente probable de evidencia en los casos contra las mujeres que son objeto de las leyes contra el aborto.
“Las tecnologías de mejora de la privacidad biométrica pueden y deben implementarse junto con las tecnologías biométricas”, Foster, señalando una serie de herramientas diseñadas para ayudar a ofuscar los datos personales.
El Dr. Arun Ross, profesor de Michigan State y destacado experto en aprendizaje automático, testificó que los grandes avances en la última década en las redes neuronales artificiales habían dado paso a una nueva era de dominio biométrico. Hay una conciencia cada vez mayor entre los investigadores académicos, dijo, de que ninguna herramienta biométrica debe considerarse viable hoy en día a menos que se pueda cuantificar su efecto negativo sobre la privacidad.
En particular, advirtió Ross, ha habido rápidos avances en inteligencia artificial que han llevado a la creación de herramientas capaces de clasificar a los humanos basándose únicamente en sus características físicas: edad, raza, sexo e incluso señales relacionadas con la salud. Al igual que los teléfonos celulares antes que ellos, casi todos los cuales están equipados con algún tipo de biometría en la actualidad, la vigilancia biométrica se ha vuelto prácticamente omnipresente de la noche a la mañana, y se aplica a todo, desde el servicio al cliente y las transacciones bancarias hasta los puntos de seguridad fronterizos y las investigaciones de la escena del crimen.
Los legisladores de la Cámara, a veces, parecían no estar familiarizados no solo con las leyes y los procedimientos relevantes para el uso de datos biométricos por parte del gobierno, sino también con el uso generalizado del reconocimiento facial por parte de los empleados federales de manera ad hoc, sin ningún indicio de supervisión federal.
Obernolte siguió preguntando si las agencias federales que acceden a las bases de datos de reconocimiento facial de propiedad privada tenían que pasar por el proceso de adquisición típico, un cuello de botella potencial que los reguladores podrían aprovechar para implementar salvaguardas. Reiterando los hallazgos de su agencia, que ya se habían presentado al panel, Wright explicó que los empleados federales recurrían regularmente a las bases de datos estatales y locales de las fuerzas del orden público. Estas bases de datos son propiedad de empresas privadas con las que sus respectivas agencias no tienen vínculos.
En algunos casos, agregó, el acceso se obtiene a través de cuentas de “prueba” o “prueba” que son se desmayó libremente por firmas de vigilancia privada deseosas de atrapar a un nuevo cliente.
El mal uso por parte de las fuerzas del orden de las bases de datos confidenciales es un problema notorio, y el reconocimiento facial es solo la última tecnología de vigilancia que se pone en manos de policías y agentes federales sin que nadie mire por encima del hombro. La policía ha abusado de las bases de datos para acosar a vecinos, periodistas y parejas románticas, al igual que espías del gobierno. y preocupaciones solo han escalado con el retroceso de Roe contra Wade debido al temor de que las mujeres que buscan atención médica sean las próximas ser objetivo. El Senador Ron Wyden ha expresó preocupaciones similares.
Obernolte, mientras tanto, siguió adelante con la idea de adoptar diferentes mentalidades cuando se trata de datos biométricos utilizados para verificar la propia identidad frente a las tecnologías de vigilancia utilizadas para identificar a otros. El Dr. Charles Romine, director de tecnología de la información del Instituto Nacional de Estándares y Tecnología, o NIST, dijo que Obernolte había dado en el clavo con el problema, “en el sentido de que el contexto de uso es fundamental para comprender el nivel de riesgo. ”
NIST, una agencia compuesta por científicos e ingenieros encargados de estandarizando Los parámetros para “todo, desde el ADN hasta el análisis de huellas dactilares, la eficiencia energética, el contenido de grasa y las calorías en un frasco de mantequilla de maní”, están funcionando a través de la introducción de pautas para influir en un nuevo pensamiento sobre la gestión de riesgos, dijo Romine. “El riesgo de privacidad no se ha incluido normalmente en eso, por lo que estamos brindando a las organizaciones las herramientas para comprender que los datos recopilados para un propósito, cuando se traducen a un propósito diferente, en el caso de la biometría, pueden tener un riesgo completamente diferente. perfil asociado a él.”
La representante Stephanie Bice, miembro republicana, cuestionó a la GAO sobre si existen leyes actuales que requieran que las agencias federales rastreen su propio uso de software biométrico. Wright dijo que ya existía un “marco amplio de privacidad”, incluida la Ley de privacidad, que aplica límites al uso de información personal por parte del gobierno, y la Ley de gobierno electrónico, que requiere que las agencias federales realicen evaluaciones de impacto de privacidad en los sistemas que utilizan. estás usando.
“¿Cree que sería útil que el Congreso considere exigir que estas evaluaciones se realicen tal vez periódicamente para las agencias que utilizan este tipo de datos biométricos?” preguntó Bice.
“De nuevo, la Ley de Gobierno Electrónico requiere que las agencias hagan eso, pero la medida en que lo hacen realmente varía”, respondió Wright.
En el transcurso de un año, la GAO publicó tres informes relacionado con el uso por parte del gobierno de, específicamente, el reconocimiento facial. El último se publicó en septiembre de 2021. Sus auditores descubrieron que la adopción de la tecnología de reconocimiento facial estaba generalizada, incluso por parte de seis agencias cuyo enfoque es la aplicación de la ley nacional. Diecisiete agencias informaron que poseían o habían accedido colectivamente a hasta 27 sistemas federales de reconocimiento facial separados.
La GAO también descubrió que hasta 13 agencias no habían podido rastrear el uso del reconocimiento facial cuando el software era propiedad de una entidad no federal. “La falta de conciencia sobre el uso de los empleados de los medios no federales [face recognition technology] puede tener implicaciones de privacidad”, afirma un informe, “incluido el riesgo de no adherirse a las leyes de privacidad o que los propietarios del sistema puedan compartir información confidencial utilizada para las búsquedas”.
La GAO informó además en 2020 que la Oficina de Aduanas y Protección Fronteriza de EE. UU. no había implementado algunas de sus protecciones de privacidad obligatorias, incluidas las auditorías que solo se realizaron con moderación. “CBP había auditado solo a uno de sus más de 20 socios de aerolíneas comerciales y no tenía un plan para auditar a todos sus socios para verificar el cumplimiento de los requisitos de privacidad del programa”, dijo.
La agencia también produjo el primer mapa que destaca los estados y ciudades conocidos en los que los agentes federales han adquirido acceso a los sistemas de reconocimiento facial que operan fuera de la jurisdicción del gobierno federal.
El Dr. Ross, el académico, describió una serie de prácticas y tecnologías que, en su opinión, eran necesarias antes de que la privacidad biométrica pudiera garantizarse de manera realista. Los esquemas de cifrado, como el cifrado homomórfico, por ejemplo, serán necesarios para garantizar que los datos biométricos subyacentes “nunca se revelen”. El experto del NIST, Romaine, señaló que, si bien la criptografía tiene un gran potencial como medio para salvaguardar los datos biométricos, queda mucho trabajo por hacer antes de que pueda considerarse “significativamente práctica”.
“Hay situaciones en las que incluso con una base de datos oculta, a través del cifrado que es cuestionable, si proporciona suficientes consultas y tiene un backend de aprendizaje automático para observar las respuestas, puede comenzar a inferir alguna información”, dijo Romine. “Entonces, todavía estamos en el proceso de comprender las capacidades específicas que puede proporcionar la tecnología de encriptación, como la encriptación homomórfica”.
Ross también pidió el avance de la “biometría cancelable”, un método de uso de funciones matemáticas para crear una versión distorsionada de, por ejemplo, la huella dactilar de una persona. Si la imagen distorsionada es robada, puede ser inmediatamente “cancelada” y reemplazada por otra imagen distorsionada de otra manera única. Un sistema en el que los datos biométricos originales no necesitan ser fácilmente accesibles a través de múltiples aplicaciones es, teóricamente, mucho más seguro en términos de riesgo de intercepción y fraude.
Una de las mayores amenazas, sostuvo Ross, es permitir que los datos biométricos se reutilicen en múltiples sistemas. “Se han expresado preocupaciones legítimas”, señaló, sobre el uso de conjuntos de datos faciales eliminados de la web abierta. Cuestiones éticas en torno al uso de imágenes de redes sociales sin consentimiento por parte de empresas como Clearview AI, que ahora se utiliza para ayudar identificar combatientes enemigos en una zona de guerra— se ven agravados por los riesgos asociados con permitir que los mismos datos personales sean aspirados una y otra vez por un flujo interminable de productos biométricos.
Garantizar que sea más difícil extraer imágenes de rostros de sitios web públicos será clave, dijo Ross, para crear un entorno en el que existan sistemas biométricos y la privacidad sea razonablemente segura. respetado.
Por último, nuevo las tecnologías de la cámara tendrían que ventaja y se ampliamente adoptado con el objetivo de hacer que las imágenes grabadas no sean interpretables para el ojo humano—una especie de encriptación visual—y aplicable exclusivamente a los programas para los que se capturan. Tales cámaras pueden ser, particularmente en espacios públicos, dijo Ross, “Las imágenes adquiridas no son viables para ningún propósito no especificado previamente”.