ItSikkerhed

Face ID og Touch ID – kan politiet tvinge mig til at låse min iPhone op?

#Face #ID og #Touch #ID – kan #politiet tvinge mig til at låse min iPhone op?
Hvis politiet har beslaglagt din iPhone og nu beder dig om at samarbejde om at åbne enheden, og #Touch-ID eller #Face-ID er aktiveret på enheden, bør du læse denne artikel, før situationen opstår.

Det vigtigste er at vide med det samme, når din iPhone er slukket. Så hvis du har brug for et grundlæggende input for at aktivere Touch ID eller Face ID først, så anbefaler jeg på det kraftigste, at du ikke udleverer denne kode. I denne forbindelse er det vigtigt at vide, at iPhone’s PIN-kode ikke bør bestå af fire cifre, men bør være meget længere og alfanumerisk, dvs. indeholde bogstaver og tal.

Men hvad nu, hvis du har aktiveret Face ID eller Touch ID på telefonen, og telefonen stadig er tændt, så den kan låses op med Face ID eller Touch ID? I praksis sker det ofte, at politiet enten tager sin finger og lægger den på Touch ID-feltet eller, i tilfælde af Face ID, holder iPhone foran den anklagedes ansigt i håb om, at den anklagede vil kigge ind i de tilsvarende sensorer, hvilket er det, der kræves, og dermed åbne telefonen. Her opstår naturligvis spørgsmålet:

– Er det overhovedet tilladt?
– Hvis det er tilladt, på grundlag af hvilken godkendelsesnorm er det så tilladt?

Så vidt jeg kan se, findes der ingen overretlig retspraksis om dette emne. I den såkaldte litteratur, dvs. faglitteraturen, er der imidlertid hovedsageligt to essays, der omhandler, hvad retsgrundlaget kan være for denne procedure fra politiets side, dvs. for at placere fingeren på sensoren eller for at holde den foran ansigtet for at bruge Face ID.

Og her er den enstemmige udtalelse, dvs. disse to forfatteres udtalelse, som desværre også er blevet kopieret fra mange kommentarer til retsplejeloven. Godkendelsesgrundlaget for dette er den bestemmelse, der regulerer identifikationsbehandlingen.
Den regulerer, at der kan tages #fotografier og #fingeraftryk. Med henblik på identifikationstjenesten, hvor der er tale om en officiel strafferetlig procedure, er det naturligvis et spørgsmål, hvad lovgiveren måtte have ment på dette punkt. I de to nævnte essays antages det uden problemer, at fingeraftryk eller fotografier er nødvendige i straffesager, dvs. med henblik på strafferetlig forfølgelse, og at det derfor er naturligt at bruge Touch ID-sensoren til fingeraftrykket eller Face ID til fotografiet.

Efter min mening er dette synspunkt imidlertid langt fra rigtigt. Det er heller ikke underligt, at man har denne opfattelse der, og hvis man ser på, hvem forfatterne til disse to essays er, vil man se, at den ene af dem var en statsadvokat i Bayern, som på det tidspunkt, hvor han skrev dette, var udstationeret i ministeriet og naturligvis lavede meget resultatorienteret forskning der, og det samme gælder for et andet essay. Her var forfatteren ansat i Cybercrime Unit i Nordrhein-Westfalen. Ingen af forfatterne er videnskabsmand, dvs. universitetslærer eller lignende, og ingen af forfatterne er strafferetlig forsvarsadvokat, så de har fundet på resultatet. I dette tilfælde søgte de efter et passende grundlag for godkendelse. Det er i hvert fald sådan, det forekommer mig.

Hvorfor mener jeg, at dette tilladelsesgrundlag ikke er tilstrækkeligt her? Hvis du siger, at du kan tage et fingeraftryk for at låse iPhone op, er det ganske enkelt. Selvfølgelig kan man gøre det, dvs. man kan tage fingeraftrykket, og så har man et fingeraftryk, enten i digital form, hvis man har gjort det med et passende apparat, eller på papir, hvis man har gjort det med maling. Hvis der så tages et sådant konventionelt fingeraftryk, kan man forsøge at bruge Touch ID med dette fingeraftryk, dvs. med billedet af #fingeraftrykket.

ChaosComputerClub (CCC) har lavet et eksperiment, hvor der blev lavet en fingeraftryksdukke, og denne dukke kunne faktisk låse en iPhone op med Touch ID. Ikke desto mindre er det naturligvis sådan, at alt efter hvor dygtigt du er til at lave dummyen, kan forsøget på at låse iPhone op mislykkes, for hvis du har lavet et vist antal mislykkede forsøg med fingeraftryksdummyen, vil iPhone på et tidspunkt bede om pinkoden igen og kan ikke længere låses, heller ikke med det rigtige fingeraftryk.

At tage et fingeraftryk er derfor slet ikke at sammenligne med aktiv betjening af en #biometrisk låsefunktion. Det princip, som man altid vender tilbage til her, er, at den anklagede ikke selv behøver at samarbejde om sin overførsel. Hvis man nu repræsenterer, at fingeren kan placeres på personen, så handler den anklagede udelukkende ved, at fingeren placeres på personen, han er tvunget til at gøre det, og det har heller ikke noget at gøre med en identifikationstjenestebehandling. Som sagt har identifikationstjenestens behandling kun givet et billede af fingeraftrykket, og om det så lykkes politiet at låse iPhone op med dette billede er et andet spørgsmål, men om man må bruge sin finger under direkte tvang, er ikke besvaret af dette.

Det er endnu mere vanvittigt med Face ID. Også her er de forfattere, der er nævnt i de tekniske dokumenter, naturligvis af den opfattelse, at brugen af Face ID, dvs. at kigge ind i iPhone, i sidste ende er sammenlignelig med at kigge ind i et kamera. I dette tilfælde kunne man altid fikse den anklagedes ansigt, fordi han altid kigger væk, så man kan tage billeder af hans ansigt. Men nu kan Face-ID slet ikke gøre noget som helst med et billede af ansigtet. Face ID projicerer et gitter af infrarøde prikker på ansigtet, dvs. den scanner ansigtet og sammenligner det med den scanning, der blev gemt på enheden, da Face ID blev oprettet. En sådan scanning kan slet ikke foretages med et trykt billede eller med et billede på en computerskærm, og derfor kan tilladelsesgrundlaget for at tage billeder af tiltaltes ansigt naturligvis slet ikke sammenlignes med at tvinge #biometrisk adgang til en anordning ved at tvinge tiltalte til dels at tillade den #infrarøde scanning gennem sin anordning og dels at kigge ind i anordningen.

Hvad får man nu ud af denne erkendelse af, at brugen af Touch ID og Face ID til biometrisk oplåsning af en iPhone ifølge det nok så vigtige synspunkt ikke må være tvang på retsgrundlaget for identifikationstjenesten? To ting: For det første bør du, hvis du antager, at der er betydelige data gemt på din egen iPhone, som kan dømme dig for at have begået en forbrydelse, overveje, om det måske er bedre ikke at bruge Face ID og Touch ID, for som sagt sker det i praksis, at politiet bruger Face ID og Touch ID til at låse enheden op, og hvordan den højere retsinstans vil vurdere dette på et tidspunkt i sidste instans, ved vi simpelthen ikke. Så vi kan ikke regne med, at de vil følge min holdning, og at det endda er ret sandsynligt, at vi, alt efter hvor vi ender, vil møde dommere, der er mere tilbøjelige til at følge holdningen til fordel for brugervenlighed. For overhovedet at kunne få dette spørgsmål undersøgt kræver det imidlertid, at man ikke fra starten sikrer sig, f.eks. ved at udlevere pinkoden, at politiet har adgang til apparatet, for så er dette spørgsmål alligevel ikke længere relevant i den videre procedure.

Hvis du ikke ønsker at undvære Touch ID eller Face ID, kan du gøre følgende. En iPhone har mulighed for at foretage et nødopkald ved at trykke på en tastekombination. Du bør aktivere denne indstilling. Hvis du så har mulighed for at holde telefonen i hånden igen, når politiet kommer, f.eks. fordi den ringer, eller fordi nogen råber “Åbn op, politi”, og #mobiltelefonen ligger ved siden af dig, kan du holde denne tastekombination nede, derefter afbryde nødopkaldet, og fra dette øjeblik skal du indtaste koden igen for at kunne bruge Touch ID eller Face ID.
Ellers er der også den såkaldte bloktilstand i iPhone. Du skal dog vænne dig til, at iPhonens normale funktioner er stærkt begrænsede, hvis du vil bruge denne blokeringstilstand.