瑞典人脸识别进校园被判违反GDPR 欧盟半年内或将迎来立法
近日,瑞典数据监管机构(The Swedish Data Inspection Authority,下称“DPA”)对当地一所高中开出第一张基于欧盟《通用数据保护条例》(GDPR)的罚单,金额为20万瑞典克朗(约合人民币14.8万元)。
据悉,该校使用人脸识别系统记录学生的出勤率,而瑞典DPA通过对系统试行期间涉及的22名学生进行调查,最终认定学校董事会对学生个人信息的处理不符合GDPR的规定。
事实上,随着人脸识别技术的广泛应用,欧洲已经开始考虑对人脸识别等人工智能(AI)技术进行立法规管,限制公司和公共机构“不加区分地使用人脸识别技术”,并赋予所有欧洲居民明确的决定权。
8月21日,瑞典DPA在官网公布了GDPR生效以来的首张罚单。与其他欧盟国家普遍拿科技巨头“开刀”不同,瑞典DPA的处罚对象是斯盖乐夫提的一所高中。
该校为了统计学生的出勤率,在校园内试行人脸识别系统。在实施试验的三周内,共涉及到22名学生。学校强调,他们事先获得了学生的同意。
但是,瑞典DPA律师Ranja Bunni指出:“‘事先获得学生同意’的说法不可接受,因为学生是在学校董事会管理之下的”。也就是说,无法判断这里的“同意”是否为学生的独立意志。
经调查,瑞典DPA认为,在日常环境中对学生进行摄像监控等行为侵犯了学生的隐私。因为学校统计学生出勤率完全可以通过其他方式完成,而这些方式都比人脸识别技术对学生权益的侵害要小得多。
因此,瑞典DPA以该校董事会处理个人信息不符合GDPR规定为由,对其处以20万瑞典克朗(约合人民币14.8万元)的罚款。据悉,罚款金额最高可以达到一千万克朗(约合人民币740万元)。
南都记者了解到,在瑞典,记录每节课的出勤率是法律要求。据IT公司Tieto统计,每年瑞典老师需要花费17,280小时在记录出勤率的工作上,这相当于10个全职工作的时间。
“人脸识别技术还处在起步阶段,但是发展非常迅速,我们看到了建立一个适用于所有参与者的清晰准则的巨大需求。”瑞典DPA负责人Lena Lindgren Schelin表示。
不仅是在瑞典,英国数据保护监管机构(ICO)也刚刚对一起人脸识别相关事件发起调查。
据英国媒体披露,伦敦国王十字车站地区安装了带有人脸识别系统的闭路电视摄像头,可以监控这一带办公室、商场的人流情况。据房地产开发商表示,这些摄像头不仅有人脸识别和追踪功能,背后还有复杂的系统支撑,可以保护公众隐私。
日前,ICO已经展开调查。“在日常生活中扫描人脸以识别他们的身份,这种对隐私的潜在威胁值得所有人重视”,ICO专员Elizabeth Denham认为,“尤其是没有经过告知或理解的情况下”。
据《金融时报》报道,欧盟委员会的高级官员透露,他们正在计划一项关于人脸识别数据使用的立法,这将赋予所有欧洲居民明确的决定权,而这项立法也是欧洲AI监管改革的一部分。
还有官员指出,这项立法的目的在于限制公司和公共机构“不加区分地使用人脸识别技术”。欧洲居民将有权“知道人脸识别数据何时被使用”,即使有例外情况,也将是在“严格限制”之下,以确保适当使用。
《金融时报》还提到,在一份相关文件中,欧盟提出希望制定一套“AI监管的世界性标准”,并建立“足以保护个人的明确,可预测和统一的规则”。它将在GDPR的现有义务之上更进一步,将目标锁定为“带来特定风险”的人脸识别等技术。
“AI应用可能对基本权利构成重大风险,不受管制的AI系统可能会做出影响人们却又无法解释的决定,还无法溯源或者找到相关负责人”,该文件称。
公开资料显示,欧盟委员会将在11月迎来新一任主席——Ursula von der Leyen。她计划在其上任的前100天内推出新的AI管理法规,为人类和AI伦理提供一个“经过协调的欧洲方法”。
报料请点击
推荐阅读:
民法典拟规定:酒店偷拍侵犯隐私权,邮箱、行踪信息属于个人信息