= Hvad ved vi om...

Hvad ved vi om smart glasses og ansigtsgenkendelse: privatlivsrisici ved ny forbrugsteknologi?

Kan forbrugertilgængelige smart glasses kombineret med open source ansigtsgenkendelse afsløre fremmedes identitet i realtid — og hvad ved vi om, hvordan teknologien allerede bruges, og hvad lovgivningen faktisk beskytter os imod?

Det korte svar

Ja, teknologien eksisterer og er tilgængelig. To amerikanske studerende demonstrerede i efteråret 2024, at almindelige Ray-Ban Meta smart glasses kombineret med gratis ansigtsgenkendelsessoftware kan bruges til at slå fremmede menneskers identitet op i realtid — navn, adresse og arbejdsplads — blot ved at kigge på dem på gaden. Ifølge Politiken sker lignende eksperimenter allerede i Danmark. Teknologien er ikke hypotetisk. Den er her.

Lovgivningen — både GDPR og den kommende EU AI Act — forbyder i udgangspunktet denne brug. Men håndhævelse er svær, og der er reelle huller.


Det politiske spørgsmål

Debatten om ansigtsgenkendelse har hidtil primært handlet om statens brug af teknologien: politiets overvågningskameraer, grænsekontrol og efterforskning. Spørgsmålet om myndighedernes brug har Folketinget behandlet siden mindst 2018, da justitsministeren blev spurgt direkte om, hvorvidt politiets brug af ansigtsgenkendelse er forenelig med Den Europæiske Menneskerettighedskonvention og GDPR.

Men der er et nyt lag i debatten: hvad sker der, når det ikke er staten, men en privatperson med et par solbriller, der scanner dit ansigt?

Det er dette spørgsmål — om forbrugerteknologi i hænderne på enkeltpersoner — som politikere, myndigheder og forskere endnu ikke har et godt svar på. Teknologien løber fra lovgivningen, og det sker nu.


Det empiriske spørgsmål bag

Det centrale spørgsmål er ikke, om teknologien kan bruges sådan. Det kan den. Spørgsmålet er:

  • Hvor let er det i praksis?
  • Hvad kræver det af den, der bruger den?
  • Hvad beskytter borgerne i dag — og hvad gør ikke?
  • Hvem håndhæver reglerne, og hvordan?

Hvad ved vi

Smart glasses og ansigtsgenkendelse er en reel kombination — ikke science fiction ✓✓

I 2024 demonstrerede to studerende fra Harvard University, hvordan Ray-Ban Meta smart glasses — der sælges i Danmark og koster under 3.000 kroner — kan kobles til open source ansigtsgenkendelsessoftware. Systemet, de kaldte "I-XRAY", kunne i realtid matche ansigter mod offentligt tilgængelige databaser og returnere navn, adresse og arbejdsplads på fremmede mennesker på gaden. Politiken dokumenterede, at lignende eksperimenter er blevet gennemført i Danmark.

Brillerne optager video, sender det til en ekstern server, som kører genkendelsen, og viser resultatet i brillernes display eller på en tilkoblet telefon. Det kræver teknisk viden, men ikke specialiseret udstyr — kun komponenter der er frit tilgængelige.

GDPR forbyder dette i udgangspunktet — men med undtagelser ✓✓

Ansigtsgenkendelse behandler biometriske data. Under GDPR (databeskyttelsesforordningen) er biometriske data en særlig følsom kategori, der som udgangspunkt ikke må behandles uden eksplicit samtykke fra den registrerede. At filme og identificere fremmede på gaden uden deres viden er derfor som udgangspunkt ulovligt i EU — herunder Danmark.

Datatilsynet i Danmark er den myndighed, der håndhæver GDPR. Men håndhævelse forudsætter, at en overtrædelse opdages og anmeldes. En person med smart glasses ser ikke anderledes ud end en turist med kamera.

Politiets brug er reguleret — men også den er omdiskuteret ✓

Allerede i 2018 behandlede Folketingets Retsudvalg spørgsmålet om politiets brug af ansigtsgenkendelse. Justitsministeren blev spurgt direkte, om brugen var forenelig med EMRK og GDPR. Det svar viste, at myndighedernes brug befinder sig i et regulatorisk gråzone, og at spørgsmålet dengang ikke var endeligt afklaret.

I 2024 udgav tænketanken Justitia en rapport om ansigtsgenkendelsesteknologi, som Retsudvalget modtog som bilag. Rapporten konkluderede, at selv en retrospektiv brug af ansigtsgenkendelse — altså at søge i videooptagelser i efterforskning — udgør "et markant indgreb i retten til privatliv", selvom det er et mindre intenst indgreb end realtidsovervågning. Realtidsanvendelse betragtede rapporten som det mest alvorlige indgreb.

Hvis det gælder for politiet, gælder det i endnu højere grad for private borgere uden noget retligt grundlag overhovedet.

EU AI Act klassificerer visse former for realtidsansigtsgenkendelse som forbudte ✓

EU's AI Act, som trådte i kraft i 2024 og indfases frem mod 2026-2027, forbyder brug af realtids biometrisk fjernidentifikation i offentlige rum til retshåndhævelsesformål — med snævre undtagelser. For private aktørers brug er billedet mere komplekst: AI Act regulerer primært systemer, der udbydes kommercielt, og samspillet med GDPR er afgørende for, hvad privatpersoner må gøre.

Det betyder, at det software, de studerende brugte, kan falde uden for AI Acts direkte anvendelsesområde, mens GDPR stadig gælder for behandlingen af persondata.


Hvad ved vi ikke

Vi ved ikke, hvor udbredt brugen allerede er ~

Der er ingen systematiske tal for, hvor mange mennesker i Danmark eller Europa eksperimenterer med eller anvender smart glasses til ansigtsgenkendelse. Politikens artikel dokumenterer, at det sker — men omfanget er ukendt. Det er en blind plet i den nuværende viden.

Vi ved ikke, om håndhævelsen er effektiv ~

GDPR giver Datatilsynet mulighed for at udstede bøder på op til 20 millioner euro eller 4 procent af en virksomheds globale omsætning. Men disse sanktioner er designet til virksomheder — ikke til en enkeltperson med smart glasses på en gågade. Det er uklart, om og hvordan Datatilsynet reelt kan gribe ind over for individuel brug af denne type teknologi, og der kendes ikke til danske sager.

Vi ved ikke, hvilke databaser der bruges — eller kan bruges ~

Styrken af et ansigtsgenkendelsessystem afhænger af databasen bag. De studerende brugte offentligt tilgængelige data fra sociale medier. Hvor præcist og pålideligt systemet er, varierer med billedkvalitet, databasens størrelse og algoritmen. Der mangler uafhængige og offentligt tilgængelige tests af præcision under danske eller europæiske forhold.

Vi ved ikke, om teknologien diskriminerer systematisk ~

Forskning fra andre kontekster — primært USA — har vist, at mange ansigtsgenkendelses­algoritmer har højere fejlrate for mørkhudede, kvinder og ældre. Det er ikke dokumenteret, hvilke fejlrater der gælder for de systemer, private brugere anvender i dag i Europa.


Hvad eksperter er uenige om

Er det teknologien eller adgangen til databaser, der er problemet? ~

Nogle eksperter og politikere argumenterer for, at selve ansigtsgenkendelsessoftwaren ikke er problemet — det afgørende er, hvilke databaser den kobles til. Hvis sociale medier beskyttede profiler bedre, eller hvis søgning på ansigter var begrænset, ville systemets nytteværdi for overvågning falde drastisk.

Andre mener, at teknologien i sig selv er for farlig til at være frit tilgængelig, og at regulering af databaser alene er utilstrækkelig, fordi databaser løbende ændres og kan bygges op af ondsindede aktører.

Bør forbrugerprodukter med kamera forbydes eller begrænses? ⚖

Det er et værdispørgsmål, ikke et empirisk spørgsmål. Smart glasses kan bruges til meget andet end overvågning: navigation, handicaphjælpemidler, kommunikation. Et forbud mod kameraer i forbrugerprodukter ville ramme langt bredere end den skadelige brug. Men der er uenighed om, hvorvidt producenterne — som Meta — bærer et medansvar for, at deres produkter muliggør overvågning, og om der bør stilles tekniske krav om, at kameraer ikke må transmittere biometriske data.

Er GDPR tilstrækkeligt, eller kræves der særlovgivning? ⚖

Juridiske eksperter er uenige om, hvorvidt den eksisterende databeskyttelseslovgivning er tilstrækkelig til at håndtere denne type brug, eller om der er behov for specifik lovgivning rettet mod forbrugerprodukter med ansigtsgenkendelseskapacitet. Justitias rapport peger på, at selv politiets brug befinder sig i et regulatorisk uafklaret rum — for privatpersoners brug er uklarhederne endnu større.


Konklusion

Kombinationen af forbrugertilgængelige smart glasses og open source ansigtsgenkendelse er ikke en fremtidig trussel. Det er en nutidig teknisk realitet, der allerede demonstreres i Danmark.

Lovgivningen — primært GDPR — forbyder i udgangspunktet denne brug. Men forbud og håndhævelse er to forskellige ting. Datatilsynet er ikke gearet til at overvåge individers brug af brilleteknologi på gågader, og der kendes ikke til danske sager om det.

Justitias rapport til Folketinget slår fast, at selv statens kontrollerede brug af ansigtsgenkendelse udgør et markant indgreb i retten til privatliv. Privatpersoners ukontrollerede brug er langt mere alvorlig — og langt mindre reguleret i praksis.

Det er et område, hvor lovgivningen halter efter teknologien. Det kræver ikke nødvendigvis ny lovgivning — men det kræver, at myndigheder, producenter og politikere forholder sig aktivt til, at teknologien er ude af laboratoriet og på gaden. Nu.


Kilder