【观天下事】孟洁:瑞典GDPR处罚第一案聚焦人脸识别技术
The following article is from M姐 数据合规评论 Author 孟洁律师团队
B D A I L C
欢 迎 关 注
田渕俊夫
瑞典GDPR处罚第一案
聚焦人脸识别技术
文 / 环球律师务所合伙人 孟洁
2019年8月21日,瑞典数据保护机构对瑞典Anderstorps中学因违反通用数据保护条例(General Data Protection Regulation, “GDPR”)第5条规定的数据处理的最小必要性原则和第6条规定的数据处理的合法依据而判处2万欧元罚款。这是瑞典数据保护机构针对违反GDPR规定的行为做出的第一笔处罚。
该学校位于瑞典的Skellefteå市,学校的工作人员在一个教室里面安装了一部人脸识别相机作为实验,以检测采用此种方式登记学生考勤是否更为迅速。该实验持续了3周,共影响22名学生。瑞典数据保护机构认为,学校采用人脸识别技术收集、处理生物可识别数据的行为违反了GDPR的相关规定,具体体现在以下两个方面:
1. 该学校征得的同意不是“自由作出的” 。
在该案中,学校辩称实验的进行已征得了学生及其家长的同意。但瑞典数据保护机构认为,因为学生需要在学校接受教育,因而在本案中学校与学生及其监护人实际的地位明显不平等,在此情况下学校征得的同意违背了GDPR第7条规定的“同意须为…自由作出(freely given)”这一要求。
2. 学校收集的数据类别不符合最小必要性原则。
瑞典数据保护机构认为,该学校利用人脸识别技术并收集生物性识别数据的目的是监控学生的出勤,但为实现这一目的,本可以采取其他更为保护学生个人数据的方式进行,且学校所采取的人脸识别技术和收集学生的生物性识别数据并不是GDPR第5条第(1)(c)项要求的“为了实现数据处理目的而适当的、相关的和必要的”,故该学校的个人数据收集违反了GDPR所要求的最小必要性原则。
基于该案件的严重性以及涉及的生物性识别数据的敏感性,但考虑到实验进行的时间很短且涉及的学生较少,瑞典数据保护机构最终对该学校做出了约20000欧元的处罚。
【我们的观点】
人脸识别技术一直是当下的热点话题,人脸识别技术的使用,为各行业带来了诸多便利。然而,伴随而之的,是它对数据主体隐私权和个人数据的侵犯,这些问题不容小觑。瑞典数据保护机构,在GDPR生效后1年多的时间,终于做出了第一笔处罚,其象征意义是极其深刻的:一方面体现了瑞典数据保护机构对涉及个人数据的新兴科技的关注,警示采用人脸技术的相关企业在进行数据收集、处理前须自行确认是否取得了正当的合法处理依据; 另一方面本案中瑞典数据保护机构在作出处罚时委婉地表示,2万欧元的处罚是因为考虑到本案涉及人员较少、时间较短而做出的结果,暗示着该机构对未来违反GDPR行为的处罚力度上,不会手软。
正确使用人脸识别技术,不仅为企业降低数据合规风险,还可以赢得用户的信任。我们建议国内相关企业,在使用人脸识别技术和人的面部特征数据时,应当充分告知,保证信息收集、处理的透明性、征得用户的明示同意、开展个人信息安全评估、保障数据安全、人员与业务管理能力。
1. 充分告知,保证信息收集、处理的透明性
企业应制定并发布《隐私政策》,以清晰、明确、易懂的方式告知其使用人脸识别系统以及收集面部特征信息目的、该等信息是否会被分享和分享的第三方清单、该等信息的保存期限、删除和去标识化手段、报告反馈问题的途径、发生重大变更的措施、拒绝自动化决策的方式等,以及个人信息主体审查其面部特征信息的方法、信息有误时如何进行更正修改等行使其权利的方法。
2. 征得用户的明示同意
不论是欧盟的GDPR、美国的《生物信息隐私法案》还是中国的《信息安全技术个人信息安全规范》,均要求企业在收集面部特征信息前,履行告知义务并征得信息主体的授权同意。因此,企业在收集前应向个人信息主体告知收集、使用面部特征信息的目的、方式和范围,以及征得个人信息主体的明示同意(通过肯定性动作进行表示),并确保个人信息主体的明示同意是其在完全知情的基础上给出自主的、具体的、清晰明确的意思表示。
3. 开展个人信息安全影响评估
企业在应用人脸识别技术收集面部特征信息前,应当评估使用人脸识别技术收集相应的信息是否遵循了个人信息安全基本原则,以及处理活动对个人信息主体合法权益是否会造成影响。具体而言,评估内容主要包括:
(1)个人信息收集环节是否能够遵循目的限定、选择同意、最少必要、透明性等原则;
(2)个人信息处理环节是否可能对个人信息主体的合法权益造成不利影响,包括是否会危害人身和财产安全、损害个人名誉和身心健康、导致歧视性差别待遇等;
(3)个人信息安全措施的有效性与可靠性,是否会进行漏洞检测、渗透性测试和病毒防护等措施;
(4)采用去标识化处理后的数据集能够重新识别出个人信息主体或与其他数据集汇聚后重新识别出个人信息主体的风险;
(5)共享、转让、公开披露个人信息对个人信息主体合法权益可能产生的不利影响;
(6)发生安全事件时,对个人信息主体合法权益可能产生的不利影响,以及拟采取的应急预案准备情况。
4. 保障数据安全能力
企业在应用人脸识别技术,收集、处理面部特征信息时,应当保证自身的数据安全能力,并确保足以保护该等信息。企业可采取的措施包括但不限于: 收集的面部特征信息后,宜做去标识化处理;存储面部特征信息时,应采用加密和其他技术措施确保信息安全,例如将个人生物识别信息的原始信息和摘要分开存储,或仅存储摘要信息,设定访问权限;对面部特征信息的处理活动进行记录;当面部特征信息已过保存的最小期限后,建议立即对该等信息进行删除或匿名化处置。如果涉及有收集经授权的儿童脸部信息的,更应该谨慎使用,并且建议分类存储并对脸部部分位置打码处理,尽量少做主动识别动作,不做画像和精准推送。
5. 保障人员与业务管理能力
隐私和个人信息保护的概念应当贯穿企业收集和处理的全过程。企业应当任命专门的人员负责监督面部特征信息的收集和使用、培训员工相关知识并定期进行考核;同时,企业应当定期对隐私政策、相关规程和安全措施的有效性进行审计,及时处理审计过程中发现的面部特征信息违规使用、滥用等情况。
仅作学习交流之用
田渕俊夫
往期荐读
编辑:钟柳依
欢迎点击“阅读原文”