Användning av AI-system innebär regelbundet biometrisk identifiering av enskilda i AI-förordningens mening. Denna artikel förklarar begreppet biometrisk identifiering och avgränsar det från biometrisk verifiering.
Enligt artikel 3.35 AI-förordningen (AIF) avser biometrisk identifiering automatiserad igenkänning av fysiska, fysiologiska, beteendemässiga eller psykologiska mänskliga särdrag för att fastställa en fysisk persons identitet genom jämförelse av personens biometriska uppgifter med biometriska uppgifter om enskilda personer som lagrats i en databas.
Innebörden av bestämmelsen förtydligas i skälen till AIF. För det första redovisas följande exempel på mänskliga särdrag som avses i bestämmelsen: ansikte, ögonrörelser, kroppsform, röst, prosodi, gång, hållning, hjärtfrekvens, blodtryck, lukt eller tangenttryckningskarakteristik (skäl 15 AIF).
För det andra framgår av skäl 14 AIF att begreppet biometriska uppgifter bör tolkas mot bakgrund av begreppet biometriska uppgifter enligt definitionen i artikel 4.14 dataskyddsförordningen (GDPR). Enligt denna artikel är biometriska uppgifter personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter. Begreppet förtydligas i riktlinjer som utfärdats av myndigheter och rättspraxis.
För det tredje förtydligar skäl 14 AIF att biometriska uppgifter kan ge möjlighet till autentisering, identifiering och kategorisering av fysiska personer och igenkänning av fysiska personers känslor. Därigenom införs en koppling mellan begreppet biometriska uppgifter och system för känsloigenkänning, ett annat begrepp som genomsyrar AIF.
Det anges inga tidsgränser för hur länge uppgifterna ska vara lagrade i databasen för att definitionen ska vara tillämplig, varken i ovannämnda bestämmelse eller skäl. Som utgångspunkt innebär detta att bestämmelsen blir tillämplig även i sådana fall när uppgifterna endast lagras under korta tidsperioder, vilket förekommer regelbundet i kommersiella AI-system för biometrisk identifiering.
En viktig detalj i sammanhanget är emellertid att AIF skiljer mellan biometrisk identifiering och biometrisk verifiering. Med biometrisk verifiering avses automatiserad en-till-en-verifiering, inklusive autentisering, av fysiska personers identitet genom jämförelse av deras biometriska uppgifter med tidigare lämnade biometriska uppgifter (artikel 3.36 AIF).
Skillnaden mellan biometrisk identifiering och verifiering har en avgörande betydelse i praktiken. Till exempel klassas AI-system för biometrisk fjärridentifiering som system med hög risk. Detta omfattar dock inte sådana AI-system som är avsedda att användas för biometrisk verifiering och vars enda syfte är att bekräfta att en viss fysisk person är den person som han eller hon påstår sig vara (Bilaga III AIF). Vidare klassas vissa typer av biometrisk fjärridentifiering i realtid som förbjudna AI-metoder enligt artikel 5 AIF.