Алгоритмическая прозрачность: видеоидентификация для получения Mobile idCat

Обзор

Услуга удаленной идентификации с использованием процедуры видеоидентификации, далее видео идентификация, — это услуга, позволяющая удаленно аутентифицировать человека с гарантиями безопасности и конфиденциальности.

В сервисе видеоидентификации применяются алгоритмы распознавания лиц и изображений которые предоставляют доказательства процесса аутентификации и придают ему большую устойчивость и надежность, эквивалентную физическому присутствию.

вариант использования

• Получение мобильного idCAT (система электронной подписи)

Служба видеоидентификации используется для облегчения и повышения эффективности онлайн-регистрации idCAT Mobile, что делает ее более простым, безопасным и доверительным процессом.

Система гарантирует сопоставление официального документа с фотографией (документом, удостоверяющим личность страны происхождения человека или его паспортом) с видео «селфи», которое человек делает в том же процессе.

После завершения процесса видеоидентификации оператор контролирует его и по результатам проверок, проводимых системой, и после проверки подлинности и действительности документа, удостоверяющего личность, если применимо, утверждает и выдает на регистрацию лицо. в реестре системы электронной подписи и идентификации IDCAT Mobil.

Благодаря этой системе любой человек в мире (старше 16 лет) может получить цифровое удостоверение личности (eID) для взаимодействия с любой каталонской администрацией, используя только мобильный телефон, паспорт или национальный документ, удостоверяющий личность, и не выходя из дома.

Уровень риска системы ИИ (согласно критериям Европейского регламента по искусственному интеллекту (RIA))

Ограниченный риск. Эта система ИИ исключена из сферы действия Приложения III RIA, раздел 1.a), касающегося систем удаленной биометрической идентификации, и не считается высокорисковой. Это связано с тем, что она ограничивается использованием методов биометрической верификации для подтверждения того, что человек является тем, за кого себя выдает, в рамках определенной цифровой услуги и не включает в себя функции удаленной биометрической идентификации, ни в режиме реального времени, ни позже, а также не имеет никакого полицейского или массового использования.

Положение дел

реализован Сервис видеоидентификации для получения мобильного idCat был запущен в мае 2020 года, в начале пандемии. В то время наличие eID было важным вопросом цифровых прав, и это остается актуальным и сегодня. За последние 3 года было выдано 110.000 XNUMX цифровых удостоверений личности, что решило многие проблемы, с которыми сталкиваются граждане, которые не смогли получить цифровое удостоверение личности обычными способами.

Соглашение об уровне обслуживания 

• Услуга видеоидентификации для получения мобильного idCat доступна круглосуточно и без выходных с уровнем доступности 24%.
• Действительная регистрация в реестре dCat Mòbil осуществляется в течение максимум 48 часов, без учета праздничных дней.
  На практике регистрация осуществляется в течение 2 часов в рабочее время.

Основные преимущества услуги

• Удобство: пользователи могут завершить весь процесс видеоидентификации из дома за несколько минут, экономя время и силы.
• Включение: много было вложено в улучшение пользовательского опыта, чтобы сделать этот процесс удивительно простым для любого, независимо от его цифровых навыков.
• Повышенная безопасность: Алгоритм распознавания лиц и изображений, предоставленный VERIDAS, доказал свою высокую точность. Процент отказов очень низкий (5%). Однако все процессы видеоидентификации контролируются общественными работниками, чтобы исключить такие риски, как, например, например, выявлять случаи принуждения или избегать недопонимания со стороны людей, которые не знают об автоматизированном процессе.
• Экономия: повышает эффективность за счет автоматизации административных задач и уменьшения количества ошибок, что приводит к значительной экономии средств: до 80 % на транзакцию по сравнению с личными методами.

Контактная информация

Более подробная информация об услуге

Ознакомьтесь с информацией, используемой системой, логикой работы алгоритмов и ее управлением.

Наборы данных

Используются два основных источника данных:

1) Идентификационные данные пользователей.

Обрабатываемые персональные данные всегда получают от заинтересованного лица.

• Персональные данные, собранные через первоначальную форму:
  • Фaмилия
  • Электронная почта
  • Мобильный телефон

• Данные из документа, удостоверяющего личность, который человек показывает камере (извлеченные с помощью механизмов распознавания символов (OCR)).
  • Нет. документа, удостоверяющего личность
  • Имя и фамилия
  • Секс
  • Дата рождения
  • почтовый адрес
  • Страна выдачи документа в случае иностранцев
  • Срок действия документа, удостоверяющего личность
  • Фотография документа, удостоверяющего личность
• Фотография человека в формате «селфи» (пиксельная для сравнения с фотографией на удостоверение личности)
• Видео процесса видеоидентификации, где делается еще одно фото человека при жесте (доказательство жизни)

2) Цифровые доказательства генерируется доверенным поставщиком (Doyfe)

Доказательства подписываются и имеют отметку времени для обеспечения целостности и подлинности.

❗Соображения по поводу обработка данных:

• В обработке информации участвуют:
  • Женералитат Каталонии в качестве контролера данных и AOC в качестве контролера данных.
  • Deloitte по причинам технического обслуживания.
  • Amazon Web Services (AWS Europe) в качестве поставщика инфраструктуры.
• Собранные данные хранятся во время сбора и хранения в зашифрованных системах, чтобы гарантировать их конфиденциальность и иметь возможность просмотреть их в случае проверки.
• Получение мобильного idCAT предполагает регистрацию контактных данных в BDSEU (Generalitat de Catalunya) и разрешение Консорциуму AOC обрабатывать их в целях проверки личности и выдачи подписи. Данные БДСЭУ и остальные данные, используемые в процессе регистрации, НЕ передаются третьим лицам. Это то же самое заинтересованное лицо, которое разрешает передачу своих данных государственным администрациям Каталонии при использовании idCat Mòbil.

❗Соображения по поводу сохранение данных:

• В соответствии с правилом, доказательства каждого процесса видеоидентификации хранятся в течение 5 лет в случае, если процесс не завершится успешно, и 15 лет в случае создания Mobile idCat (включая документ в форме квитанция).

Обработка данных

Операционная логика автоматической обработки данных и рассуждения, проводимые системой, основаны на следующей модели и методологии:

1) Получение официального документа, удостоверяющего личность

Используется система ввода документов, которая автоматически распознает и выравнивает тип документа (без необходимости выбора пользователем типа или версии).

В ходе управляемого процесса человек показывает камере лицевую и обратную сторону своего документа, удостоверяющего личность. Система позволяет сканировать официальные документы испанского государства (DNI, TIE и паспорт) с механизмами контроля достоверности документа и минимизации рисков выдачи себя за другое лицо или манипуляций, включая извлечение фотографии человека.

Если человек проживает в Испании, подтверждается, что данные в документе соответствуют официальному реестру Главного управления полиции.

2) Сделать селфи-фотографию человека, активированного жизненным тестом (улыбка) и детектором качества сделанной фотографии.

(Живое селфи: система, которая после обнаружения улыбки запускает автоматический снимок).

3) Соотношение фотографии, сделанной из официального документа, удостоверяющего личность, и «селфи».

Чтобы сопоставить фотографии, проводится биометрический тест лица, в котором используются алгоритм распознавания лиц VERIDAS.

Распознавание лиц — это автоматическая обработка цифровых изображений, содержащих лица людей, с целью идентификации, аутентификации и проверки или категоризации (по возрасту, полу и т. д.) этих людей. В случае видеоидентификации для получения мобильного idCat это процедура аутентификации, а не идентификация. поскольку он используется для проверки личности человека и определения того, что этот человек действительно тот, кем он себя называет, а не для распознавания его личности.

4) Параллельно, вся операция записать на видео в качестве доказательства для облегчения задач надзора, проверки и контроля. Из видео извлечена еще одна фотография, которая также соответствует фотографии официального документа, которую показывает человек.

5) Наконец, один человек-оператор контролирует весь процесс видеоидентификации и в соответствии с результатами проверок и подтверждений, проведенных системой, и после проверки подлинности и действительности документа, удостоверяющего личность, если применимо, утверждает и регистрирует лицо в реестре idCat Mobile.

Сервисная архитектура

Сервис в виде программного обеспечения, предлагаемого как SaaS, размещенного на Amazon Web Services (AWS) в Европейском сообществе и интегрированного через API.

Приложение фронт-офиса является адаптивным веб-приложением и доступно в основных операционных системах.

Производительность алгоритма

Алгоритм распознавания лиц и изображений разработан VERIDAS и предоставлен поставщиком DELOITTE.

Этот алгоритм дает «оценку» степени сходства между двумя сравниваемыми фотографиями и доказал свою высокую точность:

• La процент отказов (процент не зачисления) очень низкая, 5%, в основном из-за технических проблем записи и освещения камер.
• La ложноотрицательный показатель (Ложный коэффициент несоответствия) составляет 2,91% для стоимости ложные срабатывания (коэффициент ложного совпадения) 0,01%. Благодаря этим результатам решение соответствует требованиям FIDO по биометрической проверке лица. В частности, FIDO заявляет, что уровень ложноотрицательных результатов должен составлять менее 3% при уровне ложноположительных результатов 0,01%.

 [Данные взяты из отчета Национального института стандартов и технологий (NIST) «Тестирование поставщиков систем распознавания лиц (FRTE)». Последний отчет FRTE (PDF)]

Дополнительную информацию об используемом биометрическом алгоритме см. Веб-сайт ВЕРИДАС.

Человеческий надзор

Каждый процесс проверки личности, выполняемый с помощью службы видеоидентификации, контролируется агентом-человеком.

Валидация процесса осуществляется государственными служащими, имеющими соответствующую подготовку в области цифровой сертификации.

Решение включает в себя приложение управления для операторов (бэк-офис), которое облегчает контроль или проверку регистраций idCAT Mobile, выполненных с помощью службы видеоидентификации.

Действия, выполняемые операторами:

• Просмотрите видео и убедитесь, что заинтересованное лицо проделало весь процесс без принуждения, что он выполнил процесс в соответствии с установленными требованиями (он не носит покрытую голову, не носит солнцезащитные очки, видно его лицо, . ..), а также проверьте, видны ли водяные знаки и голограммы подлинности отображаемого документа.
• Просмотрите результат параметров оценки документации, которые система автоматически оценила: процент совпадений между фотографией документа, удостоверяющего личность, и селфи-фото, срок действия документа, удостоверяющего личность, дату рождения, номер документа, которые были разборчивыми и содержали водяные знаки. .

Соответствие системы нормативам

Услуга видеоидентификации для получения idCATMòbil соответствует требованиям испанского законодательства по выдаче квалифицированных сертификатов и имеет необходимые сертификаты для его соответствия. Однако стоит отметить, что не существует каких-либо конкретных правил, применимых к Mobile idCat, и что вышеупомянутые правила применяются AOC на добровольной основе.

Информационные системы, связанные с этой услугой, и расположение данных соответствуют действующим нормам, особенно в отношении защиты персональных данных в соответствии с европейской и национальной правовой базой. Конкретно:

• Система соответствует действующим правилам в отношении доверенных электронных услуг (Закон 6/2020от 11 ноября) и дистанционные методы видеоидентификации для выдачи квалифицированных электронных сертификатов (Приказ ETD/465/2021, от 6 мая) и сертифицирован на соответствие сепблак.
• Принципы Общего регламента защиты данных (RGPD) применяются:
• Принцип минимизации данных: собираются только необходимые данные для выполнения целей системы (зарегистрируйтесь в мобильном реестре idCat)
• Принцип ограничения целей RGPD: собранные данные используются только для целей, сообщенных заинтересованному лицу.
• С технической точки зрения решение соответствует требованиям, установленным схемой национальной безопасности для систем безопасности. средний уровень.

Это Автоматизированные административные действия (ААА)? Нет. В этом случае на него не распространяется юридическое обязательство публиковать AAA, связанный с услугой, в штаб-квартире AOC вместе с техническим файлом (см. статью 11, буква i, Королевский указ 203/2021, который утверждает Регламент функционирования и функционирования государственного сектора с помощью электронных средств; который применяет Закон 40/2015 о правовом режиме государственного сектора). В качестве передовой практики AOC добровольно публикует технические данные услуги на Портале прозрачности.

Управление рисками

А. Равенство и недискриминация

Выявленные риски: Исключение, предвзятость, дискриминация, стигматизация

Примененные меры 

Чтобы обеспечить цифровое внедрение услуги, много было вложено в улучшение пользовательского опыта, чтобы сделать процесс видеоидентификации удивительно простым для всех, независимо от их цифровых навыков.

• Услуга видеоидентификации — это управляемый процесс
• Он отличается высоким удобством использования на протяжении всего процесса и может быть выполнен с любого смартфона через адаптивный веб-сайт.
• Адаптивный веб-сайт доступен из основных браузеров (Chrome, Safari, IExplorer, Firefox).

Чтобы гарантировать право на недискриминацию:

• Данные, на которых был обучен алгоритм VERIDAS, являются инклюзивными и представляют различные группы населения.
• Чтобы гарантировать беспристрастность применяемых алгоритмов, периодически проводятся тесты качества, позволяющие выявить неточности, избежать предвзятости и дискриминации по признаку пола и этнической принадлежности.
  • Тест поставщика распознавания лиц Национального института стандартов и технологий (NIST) (PDF последний отчет)

Чтобы гарантировать равенство при использовании услуги, она доступна на каталонском, испанском и английском языках. Человек может выбрать язык, щелкнув параметры CAT – ES – EN в меню в правом верхнем углу окна.

Б. Защита данных, конфиденциальность и свобода выбора

Выявленные риски: Неправомерное использование персональных данных третьими лицами*, угроза конфиденциальности и потеря свободы выбора.

*В этом случае высок риск иметь дело с биометрические данные (фото человека, голос и видео процесса), которые по терминологии РГПД относятся к особой категории.

Примененные меры 

Для выявления и определения необходимых мер по контролю рисков, связанных с операцией обработки видеоидентификации, связанной с регистрацией мобильного idCAT, Женералитат Каталонии (Ответственный за лечение) 17 провел оценка воздействия на защиту данных (АИПД) системы.

Для проведения AIPD была применена методология Агентства кибербезопасности Каталонии и дополнительно использован инструмент PILAR, применяющий методологию Magerit (Системный анализ рисков и методология управления информацией).

Основные выводы AIPD:

• Результирующий риск = ВЫСОКИЙ
• Считается, что лечебную деятельность можно осуществлять, проанализировав критерии пригодности лечения и пройдя анализ необходимости и соразмерности. В частности: обработка данных необходима для выполнения миссии, выполняемой в общественных интересах или заинтересованного лица, например, для получения выгоды от других услуг, предоставляемых контролером данных, предоставления грантов и т. д.
• Нужен явное согласие заинтересованного лица для обработки данных.
• Согласие получается свободно, и видеоидентификация ни в коем случае не предполагает дисбаланса власти между заинтересованным лицом и государственными администрациями, поскольку посещение офиса обращения с гражданами для регистрации в реестре не является исключительной, а факультативной процедурой.

Затем, чтобы гарантировать право на защиту данных и конфиденциальность:

• Поставщик подписал Приказ об обработке.
• Местоположение данных находится в Европейском Союзе.
• Контроллер данных (Generalitat de Catalunya) гарантирует права ARCO (доступ, исправление, аннулирование и возражение) обрабатываемых данных.
• Согласие и файлы cookie управляются в соответствии с AIPD.

Чтобы гарантировать право на свободу выбора:

• Заинтересованное лицо имеет альтернативные способы получения цифровой идентификации (eID) без необходимости разглашать свои биометрические данные. Вы всегда можете пойти в офис социальной помощи, чтобы зарегистрироваться лично. Поэтому процесс видеоидентификации является дополнительной возможностью регистрации, но не обязанностью.

C. Безопасность и надежность

Выявленные риски: недоступность сервиса, несанкционированный доступ, утечка данных, ошибки и несоответствия при регистрации idCat Mobile, выдача себя за другое лицо.

Примененные меры

Чтобы выявить риски, связанные с доступностью и безопасностью системы, а также классифицировать услугу в соответствии с критичностью данных, которые мы в нее поместим, AOC провел 7 июля 7 г. анализ безопасности службы видеоидентификации в соответствии с рекомендациями Каталонского агентства кибербезопасности и Схемы национальной безопасности (ENS).

Классификация системы по методологии ENS, устанавливающей 3 уровня категоризации (Высокий, Средний и Низкий), оказалась такой:

В соответствии с этой категоризацией были рассмотрены основные риски и реализован ряд мер по их снижению.

Для снижения рисков применяются следующие меры:

• Чтобы избежать недоступности системы:
  • В рамках контракта с поставщиком установлены соглашения об уровне обслуживания (SLA), которые необходимо соблюдать и периодически пересматривать.
  • Отчеты ANS о соответствии требованиям публикуются еженедельно и включают аспекты, касающиеся пропускной способности системы, ее доступности и управления инцидентами.
• Чтобы избежать выдачи себя за другое лицо:
  • • Генерация SMS OTP для проверки сообщенного номера мобильного телефона и подтверждения того, что человек владеет мобильным телефоном: генерируется OTP (одноразовый пароль или одноразовый ключ) и отправляется в виде SMS на ранее указанный пользователем номер телефона. Пользователь вводит его, и система проверяет совпадение числа.
    • Запрещается загружать заранее записанное видео или видео, хранящееся локально и подверженное манипуляциям.
    • Жизненное испытание проводится для человека, выполняющего процесс, требующего жеста или движения (улыбка).
    • Кроме того, все транзакции контролируются госслужащими.

• Во избежание подделки официального документа, удостоверяющего личность:
  • Проверка подлинности предоставленного документа: в сервисе есть проверки подлинности используемого документа (МЗ, водяные знаки, голограмма и т. д.) и механизмы контроля неманипулятивности.
  • Если человек проживает в Испании, подтверждается, что данные в документе соответствуют официальному реестру Главного управления полиции.
• Во избежание ошибок в соотнесении фотографии, сделанной из официального документа, удостоверяющего личность, и «селфи»:
  • В случае некачественного «селфи» или не в фокусе фотографии предлагается сделать новое фото.
  • Алгоритм лица дает «оценку» степени сходства между двумя фотографиями (хотя окончательную проверку выполняет оператор).
• Чтобы избежать регистрации нескольких idCat Mobile, связанных с одним и тем же человеком:
  • Проверка «уже существующих» пользователей с базой данных людей из Электронного штаба Женералитата Каталонии.

D. Прозрачность и объяснимость

Выявленные риски: непрозрачность, недоверие

Примененные меры

• Публикация листа алгоритмической прозрачности на портале прозрачности AOC. На листе содержится четкая информация о:
  • Данные, используемые для обучения алгоритма
  • Тип используемого алгоритма
  • Проблема, решение которой ищут
  • Как это было реализовано
  • На кого она направлена?
  • Личность и контактные данные поставщика алгоритма
  • Орган, ответственный за обслуживание, и контактный адрес электронной почты для жалоб, запросов и предложений.
• Распространение услуги через Интернет, социальные сети (посты, твиты и т. д.), конференции и др. Например: Инновационный лист «Дистанционная идентификация граждан посредством видеоидентификации»

E. Хранение счетов и возможность проверки

Больше информации

• FAQ: Как я могу зарегистрироваться в idCAT Mobile с помощью «селфи/видео идентификации»?
• АОК-2020-96 Тендер на услугу видеоидентификации

Рекомендации и руководства

• Рекомендации по управлению цифровой идентичностьюОЭСР – OCDE
• NIST: правила цифровой идентификации [PDF]
• Текущий тест поставщиков распознавания лиц (FRVT) NIST, часть 2: Идентификация [PDF]
• Службы цифровой идентификации, уведомленные Европейской комиссией
• Руководство по применению уровней гарантии, которые поддерживают Регламент eIDAS [док]
• Исследование по eID и цифровой адаптации. Картирование и анализ существующей практики привлечения банков в ЕС

Регулирование

• Регулирование в испанском банковском секторе сепблак.
• Закон 6/2020 от 11 ноября., регулирующие определенные аспекты доверенных электронных услуг.
• Приказ ETD / 465/2021 от 6 мая, который регулирует методы удаленной идентификации по видео для выдачи квалифицированных электронных сертификатов.
• : ПОСТАНОВЛЕНИЕ (ЕС) № 910/2014 ЕВРОПЕЙСКОГО ПАРЛАМЕНТА И СОВЕТА от 2 июля 2014 г. об электронной идентификации и трастовых услугах для электронных транзакций на внутреннем рынке.
• ПОЛОЖЕНИЕ О ВЫПОЛНЕНИИ КОМИССИИ (ЕС) 2015/1502 [pdf] от 8 сентября 2015 г. об установлении минимальных технических спецификаций и процедур для уровней безопасности электронных средств идентификации в соответствии со статьей 8 (3) Регламента (ЕС) № 910/2014 Европейского парламента и Совета. об электронной идентификации и доверительных услугах для электронных транзакций на внутреннем рынке.