Integritetskampanjgruppen Big Brother Watch har lämnat in ett juridiskt klagomål mot stormarknadskedjan Southern Co-op för dess användning av levande ansiktsigenkänning (LFR) i butiker, vilket markerar den första rättsliga utmaningen mot en återförsäljare för att ha använt tekniken i Storbritannien.
Southern Co-op, som för närvarande driver LFR i 35 av sina 200 butiker i södra England, meddelade först att de använde tekniken i butiker i oktober 2020, med förlustförebyggande officer Gareth Lewis som hävdade i ett blogginlägg att det “har hjälpt till att minska stölder i butikerna där den är utplacerad”.
Lewis tillade att LFR-mjukvaran, som tillhandahålls av Londons biometriföretag Facewatch, först testades “i ett utvalt antal butiker där det finns en högre nivå av brottslighet” innan den rullades ut mer allmänt.
Efter att ha skannat människors ansikten med en enda kamera när de går in i butiken omvandlar systemet de tagna bilderna till numeriska data – eller hash – så att det kan jämföra ansiktena mot en fördefinierad “bevakningslista” av personer som kooperativet tror har stulit från dess butiker eller varit våldsamma.
Enligt en talesperson för Southern Co-op är den största anstiftaren till våld mot dess anställda när de ingriper efter att en stöld redan har skett. För att hantera detta får en butiksanställd ett meddelande när LFR-systemet genererar en varning, så att de har tid att bestämma vilka förebyggande åtgärder de ska vidta, sa talespersonen.
Detta kan inkludera att få personal att närma sig den identifierade personen med ett erbjudande om hjälp, så att de vet att de har upptäckts, eller be dem att lämna lokalen.
“Säkerheten för våra kollegor och kunder är av största vikt och den här tekniken har gjort en betydande skillnad för detta på det begränsade antalet högriskplatser där den används”, sade talespersonen. ”Skylt visas i de aktuella butikerna. Så länge som det fortsätter att förhindra våldsamma attacker, anser vi att det är motiverat att använda det.
“Systemet lagrar inte bilder på en individ såvida de inte har identifierats och bevisats som en förövare, inklusive de som har blivit förbjudna/uteslutna.”
Men Big Brother Watch-regissören Silkie Carlo hävdade att Southern Co-ops ansiktsigenkänningsövervakning är “orwellsk i det extrema, högst sannolikt olaglig och måste omedelbart stoppas av informationskommissionären”, och tillägger: “Detta är ett djupt oetiskt och ärligt talat , ett kyligt sätt för alla företag att bete sig och jag rekommenderar starkt att folk inte handlar på Southern Co-op medan de fortsätter att spionera på sina kunder.”
I sitt rättsliga klagomål till Information Commissioner’s Office (ICO) sa Big Brother Watch att Facewatchs system är “mycket invasivt” i sin behandling av personuppgifter och att det gör det möjligt för butiker som Southern Co-op “att skapa och genomdriva reklam- hoc och dynamiska svarta listor över individer som de vill utesluta från sina butiker eller på annat sätt “ingripa” med”.
Den tillade: “I praktiken kan en individ gå in i en Southern Co-op-butik och, okänd för dem efter sitt besök, läggas till av en anställd på en bevakningslista som innehåller anklagelser om “brott eller oordning”, om den medlemmen av personalen “skäligen misstänker” dem.”
Big Brother Watch sa att, efter att ha blivit ett “intresseobjekt”, kan individens biometriska profil sedan delas med Southern Co-op-personal i andra butiker, såväl som med personal hos alla andra Facewatch-klienter inom en viss radie av första platsen.
“Ämnet av intresse” kanske aldrig vet varför det här händer eller vad de kan göra åt det”, stod det. “De kommer att finnas kvar på bevakningslistan i två år, utan några proaktiva åtgärder från Facewatch för att bekräfta huruvida Southern Co-ops anklagelser har bekräftats eller motbevisats av polisåtgärder.
”Riskerna för registrerades rättigheter och friheter från denna typ av behandling är betydande. Som kommissionärens egen vägledning klargör är ribban för att sådan behandling ska vara laglig hög, och Facewatch och Southern Co-op klarar inte detta krav.”
Enligt datarättsbyrån AWO, som företräder Big Brother Watch i sitt juridiska klagomål, tyder dess analys av systemet på att Facewatch och Southern Co-op använder LFR olagligt.
Till exempel hävdade den att även om organisationerna förlitar sig på att det finns ett “väsentligt allmänt intresse” av deras biometriska databehandling, så finns det få bevis som stöder detta, och informationen som ges till kunder och de som står på bevakningslistor inte uppfyller det allmänna dataskyddet Förordningens (GDPR) transparensstandarder.
AWO:s analys fann också “verkliga orsaker till oro för noggrannhet och skyddsåtgärder när det gäller att skapa bevakningslistor och göra ingripanden”, vilket kan leda till partiska och orättvisa resultat.
“Facewatch och Southern Co-op tänjer på, och kan överskrida, gränserna för vad lagen tillåter för denna nya och kraftfulla teknik”, sa AWO. ”Utan åtgärder finns det risk för en smygande ombalansering av makten bort från individer och mot företag i våra offentliga rum. Det är vad våra datarättigheter är till för – de kan ge oss inflytande över om och hur företag kan använda teknik för att utöva makt över oss. Men det fungerar bara om dessa rättigheter upprätthålls.”
AWO-advokaten Alex Lawrence-Archer tillade: “Den här typen av högriskbiometrisk bearbetning behöver en stark motivering, och det är inte alls klart att Facewatch och Southern Co-op klarar det testet.”
Andra specifika brott mot brittisk dataskyddslagstiftning som påstås ha ägt rum inkluderar: att Southern Co-ops dåliga skyltning, bristande personalutbildning och ofullständig information online inte uppfyller GDPR-transparenskraven; att den behandlar mer data än nödvändigt, i strid med dataminimeringsprincipen; att betydande risker för orättvis partiskhet vid skapande av bevakningslistor bryter mot rättviseprincipen; och att det inte uppfyller villkoren i artikel 9 att behandla uppgifter av särskild kategori, eftersom behandlingen inte är nödvändig för att förebygga brott och inte ligger i ett väsentligt allmänintresse.
Det hävdas vidare att Southern Co-ops ”berättigade intresse” av behandlingen åsidosätts av de registrerades intressen.
Som svar på olika anklagelser mot organisationens användning av LFR sa Southern Co-op att bilder på bevakningslistor av personer som identifierats och bevisats som brottslingar hålls i ett år, snarare än två, och att alla skannade bilder av shoppare, oavsett om de finns på en bevakningslistan, bevaras i tre dagar i händelse av att ett brott senare upptäcks.
Som svar på påståendet om att det lägger till kunder på bevakningslistor utan vederbörlig process, kontrade Southern Co-op att de har “omfattande rutiner på plats för att mildra eventuella risker och arbeta med vår leverantör av ansiktsigenkänningsteknik för att säkerställa att ansiktsigenkänningssystemet är säker och är GDPR-kompatibel”.
En talesperson tillade: “Vi skulle välkomna all konstruktiv feedback från ICO eftersom vi tar vårt ansvar kring användningen av ansiktsigenkänning på största allvar och arbetar hårt för att balansera våra kunders rättigheter med behovet av att skydda våra kollegor och kunder från oacceptabelt våld och övergrepp. .”
Computer Weekly kontaktade Facewatch om den juridiska utmaningen. Det sa att ansiktsigenkänning är lagligt i syfte att förebygga brott om strikta kriterier följs, och att företaget fungerar i “full överensstämmelse” med lagen.
En talesperson sa: “Detaljhandelskunder kommer till Facewatch för att de upplever betydande nivåer av brott och stöld, förutom en dramatisk ökning av övergrepp och övergrepp mot deras personal.
“Alla integritetsintrång är minimala och proportionerliga. Facewatch har visat sig vara effektivt för att förebygga brott och våra kunder upplever en betydande minskning av brottsligheten genom att använda Facewatch. Det finns inga bevis för att Facewatch hindrar vanliga kunder från att handla – det finns tydliga bevis för att det avskräcker brott.”
Talesmannen tillade att Facewatch har varit öppen och samarbetat med ICO, och att företaget välkomnar all ytterligare konstruktiv feedback: “Vi arbetar hårt för att balansera våra många återförsäljarkunders kunders rättigheter med behovet av att skydda deras personal och kunder från oacceptabelt våld och övergrepp över hela Storbritannien.”
I maj 2020 meddelade Facewatch att de hade utvecklat en “periokulär” algoritm som gör det möjligt för sina kameror att göra identifieringar genom att skanna området mellan en persons kindben och ögonbryn, och att algoritmen kommer att vara tillgänglig för alla befintliga licensinnehavare under aktivt underhåll, kl. ingen extra kostnad.
Facewatch är dock inte det enda företaget som har utvecklat sådana algoritmer. Debuten av Covid-19 fick en rad biometriska företag att uppdatera sin teknik för ansiktsigenkänning för att identifiera personer som bär ansiktsmasker.
Håll kontakten med oss på sociala medieplattformar för omedelbar uppdatering klicka här för att gå med i vår Twitter och Facebook
