GDPR经典案例之瑞典
关键词:区块链;人工智能;大数据;智能合约;涉外法律服务;专业律师
本期关键词:GDPR;Facebook;欧盟;美国;保护盾;数据
本文约1133字,大概需要阅读4分钟。
我们在前几期的推文讨论了欧盟的《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”),本期我们来看一下在GDPR生效后,依照GDPR执法过程中,在瑞典发生的一案,以及该案导致的结果和启示。
学校使用人脸识别技术缺乏合法性基础
摘要:
处罚金额:18,630 欧元
处罚依据:Art. 5 (1) c) GDPR;Art. 9 GDPR;Art. 35 GDPR;Art. 36 GDPR
处罚时间:2019/8/20
案件事实概述:
一个名为Anderstorps 的高中学校使用人脸识别技术来记录学生的上课考勤。学校董事会正在考虑将此技术作为标准程序来实施,其目的是进一步简化操作并自动进行课程注册。该学校董事会在一个实验项目中使用面部识别技术对学生的面部信息进行了登记。该实验项目持续了三周,涉及到22 名学生。学生们的面部生物识别数据及全名被相机以照片的形式捕获,这些信息被存储在没有连接互联网的本地计算机中。学校在收集学生的生物识别数据之前征得了监护人的明确同意。但是,学校的这项行为并没有进行相关的风险评估,也没有事先与瑞典数据保护机构进行协商。
违规分析:
1.违反目的限制和最小范围原则。为满足上课出勤统计的目的,学校可以以侵入性较小的方式实现,面部识别软件的使用与目的不成比例;
2.GDPR 原则上禁止以识别自然人身份为目的处理生物特征数据,除非符合例外情形。然而由于学校与学生之间关系的不平等性,监护人同意不能视为自愿,因此该同意存在瑕疵,不能作为合法性基础;
3.学校对人脸识别的风险评估缺乏该数据收集、处理行为对数据主体权利和自由存在的风险的评估,也缺乏与其处理目的相关的比例方面的评估和说明。
合规启示:
1.对于人脸识别等生物特征数据的使用应持谨慎态度。根据数据最小化原则,处理的个人数据应该是充分的、相关的,并且与处理它们的目的相关,而不能过于全面的收集、处理数据。只有在用其他方法无法以令人满意的方式实现处理目的时,才可以考虑使用此类敏感数据,否则将存在较大的合规风险;
2.同意作为合法性基础存在较大风险。首先,同意作为合法性基础之一,只有在其他合法性基础不适用的情况下才得以适用。其次,同意需要符合自愿、自由要求。双方地位不平等将导致同意因欠缺自愿要素而失去效力。尤其在雇佣关系中,需谨慎应用同意;
3.新技术投入使用时,应当重视风险评估合规工作。形式主义的风险评估无法被监管部门认可,风险评估必须包含对处理目的必要性及相称性的评估和说明、对数据主体权利和自由存在的风险的评估等内容。
陆续更新,敬请期待
版权归闪涛律师团队所有,未经许可不得转载。
如认为本文侵犯版权,请及时联系闪涛律师团队。
往期回顾