Eczane zinciri Rite Aid’in, Federal Ticaret Komisyonu’nun (FTC) kararıyla beş yıl boyunca mağazalarında yüz tanıma sistemlerini çalıştırma hakkı reddedildi. Düzenleyici, perakendecinin gözetim programında o kadar çok kusur buldu ki, Rite Aid’in yüzlerce mağazada yüz tanıma teknolojisinin kullanımında makul prosedürleri uygulamadığı ve tüketicilerin zarar görmesini önleyemediği sonucuna vardı.
Mayıs 2023’te FTC, makine öğrenimi tarafından desteklenenler de dahil olmak üzere tüketicilerin biyometrik bilgilerinin ve ilgili teknolojilerin artan kullanımının, tüketici gizliliği ve veri güvenliği endişelerini ve önyargı ve ayrımcılık potansiyelini artırdığına dair bir uyarı yayınladı.
Komisyon, politika açıklamasında şunları söyledi:
“Ajans, tüketicilerin biyometrik bilgilerinin toplanması ve kullanılması ile biyometrik bilgi teknolojilerinin pazarlanması ve kullanılmasıyla ilgili haksız veya aldatıcı eylem ve uygulamalarla mücadele etmeye kararlıdır.”
FTC’ye göre Rite Aid, hırsızlık veya diğer sorunlu davranışlarda bulunmuş olabilecek müşterileri tespit etmek için 2012’den 2020’ye kadar yapay zeka tabanlı yüz tanıma teknolojisini kullandı.
FTC, Rite Aid’in, zincirin biriktirdiği kişisel verileri gerektiği gibi koruyamayan satıcılar tarafından sağlanan devasa, hatalarla dolu bir gözetim programı uyguladığını tespit etti. Şirket ayrıca tüketicilere teknolojiyi mağazalarında kullandığı konusunda bilgi vermedi.
Şikayete göre, Rite Aid, perakende satış noktalarından birinde suç faaliyetine karışan veya bu faaliyette bulunmaya teşebbüs eden şüpheli kişiler olarak değerlendirilen kişilerin resimlerinden oluşan bir veri tabanı oluşturmaya yardımcı olmak için iki şirketle sözleşme imzaladı. Görüntüler mağazalardaki güvenlik kameralarından ve çalışanların akıllı telefon fotoğraflarından elde edildi. Bunlar, adları ve suç geçmişi verileri gibi diğer bilgilerle birlikte bir veritabanında saklandı.
Sistemin bu sözde ilgili kişileri belirlemek için düşük kaliteli görüntülere dayanmasına rağmen zincir, personele bu müşterilerden mağazalarını terk etmelerini isteme talimatı verdi. Kusurlu sistemin neden olduğu yanlış pozitif uyarılara göre hareket eden çalışanlar, mağazalardaki tüketicileri takip etti, onları aradı, ayrılmalarını emretti, tüketicilerle yüzleşmesi veya onları uzaklaştırması için polisi aradı ve onları kamuoyu önünde hırsızlık veya başka bir suçla suçladı.
Şikayete göre, Rite Aid’in sistemi, aralarında çalışanların yanlış pozitif sonuca dayanarak aradığı 11 yaşındaki bir kız çocuğunun da bulunduğu çok sayıda müşteriyi hatalı bir şekilde işaretledi. FTC, Rite Aid’in müşterilerinin haksız yere suçlanmasını önlemek için hiçbir şey yapmadığını söylüyor. Ayrıca FTC, Rite Aid’in eylemlerinin beyaz olmayan insanları orantısız bir şekilde etkilediğini söylüyor.
Ancak sistem tamamen doğru olsa bile sistemin konuşlandırılma biçiminde yeterince sorun vardı:
- Sistem, izin veya uyarı olmaksızın belirli mağazalara gelen herkesi taradı ve onları dahili bir listeyle eşleştirdi. Siyahların çoğunlukta olduğu, Asyalıların çoğunlukta olduğu ve Latinlerin çoğunlukta olduğu bölgelerde bulunan mağaza müşterilerinin Rite Aid’in yüz tanıma teknolojisine maruz kalma ve bu teknoloji tarafından gözetlenme olasılıkları daha yüksekti.
- Rite Aid, yüz tanıma teknolojisini uygulamaya koymadan önce doğruluğunu test etme, değerlendirme, ölçme, belgeleme veya sorgulama konusunda başarısız oldu.
- Yüz tanıma teknolojisiyle bağlantılı olarak düşük kaliteli görüntülerin kullanılması, yanlış pozitif eşleşme uyarılarının olasılığını artırdı.
- Dağıtımdan sonra teknolojinin doğruluğunu izlemek veya test etmek başarısız oldu.
- Çalışanlar, hatalı pozitif sonuçların olasılığını anlayacak şekilde eğitilmedi ve çalışanların hatalı pozitif sonuçları bildirmesi için harekete geçmedi.
Bu, Rite Aid ile FTC’nin ilk çatışması değil. 2010 yılında Rite Aid, federal yasayı ihlal ederek müşterilerinin ve çalışanlarının hassas mali ve tıbbi bilgilerini koruyamadığı yönündeki FTC suçlamalarını kabul etti.
Rite Aid, 2010 veri güvenliği kararını ihlal etti ve otomatik biyometrik güvenlik veya gözetim sistemlerine yönelik yasak ve gerekli korumalara ek olarak FTC, şirketin şunları yapmasını talep ediyor:
- Topladıkları görsel veya fotoğrafları silin ve üçüncü tarafları silmeye yönlendirin.
- Biyometrik bilgileri kullanıldığında tüketicileri bilgilendirin.
- Otomatik biyometrik güvenlik veya gözetim sistemiyle ilgili olarak tüketicilere karşı yapılan işlemlerle ilgili tüketici şikayetlerini araştırın ve yazılı olarak yanıtlayın.
- Mağazalarında yüz tanıma veya diğer biyometrik gözetim teknolojilerinin kullanımına ilişkin tüketicilere açık ve dikkat çekici bildirimler sağlayın.
- Beş yıl içinde topladığı biyometrik bilgileri silin.
- Kişisel bilgileri korumak ve güvence altına almak için bir veri güvenliği programı uygulayın.
- Bilgi güvenliği programına ilişkin bağımsız üçüncü taraf değerlendirmelerini edinin.
- Komisyona, Rite Aid’in emir hükümlerine bağlılığını belgeleyen, CEO’su tarafından verilen yıllık bir sertifika sağlayın.
FTC kararı, Rite Aid’in yanlışlarını vurgularken aynı zamanda yüz tanıma konusunda birçok sorun olduğu gerçeğini de kabul ediyor. Gizlilik etkileri nedeniyle bazı teknoloji devleri teknolojiden geri adım attı veya geliştirmeyi durdurdu.
İnsanlar en azından yüz tanıma teknolojisinin ne zaman ve neden kullanıldığı konusunda bilgilendirilmeli, böylece katılmak isteyip istemediklerine kendileri karar verebilmelidir.
Yalnızca tehditleri rapor etmiyoruz; onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.