Omawianie pojęć użytych w treści AI Act rozpocząć należy od zapoznania się z art. 3, który przedstawia definicje licznych pojęć, mających zastosowanie dla wykładni treści tego rozporządzenia. Siedem z nich dotyczy biometrii. Są to następujące pojęcia: dane biometryczne, identyfikacja biometryczna, weryfikacja biometryczna, system kategoryzacji biometrycznej, system zdalnej identyfikacji biometrycznej, system zdalnej identyfikacji biometrycznej w czasie rzeczywistym oraz system zdalnej identyfikacji biometrycznej post factum. Wyjściowym pojęciem dla nich wszystkich jest pojęcie „danych biometrycznych”. AI Act dostarcza jego następującej definicji:
„dane biometryczne” oznaczają dane osobowe będące wynikiem specjalnego przetwarzania technicznego, które dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej, takich jak wizerunek twarzy lub dane daktyloskopijne;
Powyższa definicja różni się minimalnie od tej zawartej w RODO:
„dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;
Podkreślone powyżej zdanie rozróżnia definicję danych biometrycznych zawartą w AI Act i RODO. Dane biometryczne definiowane są zatem szerzej w AI Act niż w RODO. Mianowicie, na gruncie AI Act zgromadzone dane nie muszą umożliwiać lub potwierdzać jednoznacznej identyfikacji osoby, której te dotyczą a w RODO tak.
Preambuła natomiast ponownie alarmuje, że pojęcia tego nie można interpretować w oderwaniu od definicji zawartej w RODO oraz w rozporządzeniu (UE) 2018/1725 i dyrektywie (UE) 2016/680, ponieważ na marginesie wskazać należy, że również w tych aktach znajdują się definicje danych biometrycznych, które są tożsame z tą zawartą w RODO. Preambuła precyzuje przy tym, że:
Dane biometryczne mogą umożliwiać uwierzytelnianie, identyfikację lub kategoryzację osób fizycznych oraz rozpoznawanie emocji osób fizycznych.
Tym samym ostatecznie podkreślone jest, że zgodnie z przyjętą wykładnią dane biometryczne nie muszą umożliwiać identyfikacji osoby fizycznej a mogą to umożliwiać. Poszerzona definicja ma na celu rozbudowanie ochrony osób fizycznych, tak aby np. kiedy mowa o zakazanych praktykach w zakresie AI, niedozwolonym było wykorzystywanie jakichkolwiek danych biometrycznych do wnioskowania na ich podstawie orientacji seksualnej, przekonań religijnych czy przynależności do związków zawodowych. Aby zakaz obowiązywał nie muszą być to dane biometryczne wprost identyfikujące osobę – wizerunek twarzy a np. jedynie jego fragment, który na gruncie RODO nie pozwalałby w łatwy sposób na identyfikację tej osoby, a więc nie stanowiłby danych biometrycznych a w reżimie AI Act kwalifikowałby się do tej kategorii, ponieważ dotyczy cech fizycznych jednostki; oczywiście jeżeli byłby wynikiem specjalnego przetwarzania technicznego.
Dlatego też, nawet jeżeli stosowanie danych systemów AI jest prawnie dozwolone, to nadal będą one postrzegane jako te niosące ze sobą wysokie prawdopodobieństwo wystąpienia szkody, której dotkliwość będzie dla człowieka wysoka a zatem klasyfikowane będą co do zasady jako systemy AI wysokiego ryzyka.
Prawodawca unijny poprzez tak rygorystyczne podejście w zakresie biometrii, zdaje się dążyć do jak najskuteczniejszej eliminacji zachowań mogących prowadzić do powstania na terenie Unii „systemu chińskiego”, który przede wszystkim opiera się na wykorzystywaniu danych biometrycznych do identyfikacji ludzi w celach nieuzasadnionej represji. AI Act ma zapobiegać takim sytuacjom.
Podsumowując, pojęcie danych biometrycznych przedstawione w AI Act nie przeciwstawia się definicji przyjętej przez RODO. Nie zmienia jej ani jej nie przeczy. Jest jej swoistym rozbudowaniem, dostosowanym do realiów sztucznej inteligencji, których regulacja zawarta jest AI Act, nie RODO.
Autor:
aplikantka radcowska
