前沿 | 規(guī)范生物識別技術(shù)使用,強(qiáng)化生物特征數(shù)據(jù)保護(hù)——波蘭發(fā)布《生物識別技術(shù)指南》
2021-06-05
來源: 中國信息安全
根據(jù)《通用數(shù)據(jù)保護(hù)條例》GDPR的規(guī)定,除某些例外情況,一般應(yīng)禁止處理生物特征識別數(shù)據(jù)。使用特殊的技術(shù)方法處理的數(shù)據(jù),例如指紋、臉部圖像、視網(wǎng)膜、眼睛的虹膜、人的行為或心理特征,由于這些數(shù)據(jù)在一定程度上來說是不容易改變的,所以可以唯一地標(biāo)識和定義到個人。因此,個人一般無法像改變姓名、居住地址等數(shù)據(jù)一樣更改生物特征識別數(shù)據(jù)。這類特殊類型的個人數(shù)據(jù)如果發(fā)生泄露,對個人的權(quán)利和自由帶來的侵害風(fēng)險將非常高,而且持續(xù)時間也會非常長,極有可能伴隨個人終生。因此,數(shù)據(jù)控制者和數(shù)據(jù)處理者應(yīng)當(dāng)僅在非常例外的情況下才能讀生物特征數(shù)據(jù)進(jìn)行處理。
GDPR的主要規(guī)定:個人同意條款和相關(guān)的條件
GDPR規(guī)定,針對生物特征識別數(shù)據(jù)的收集和處理,數(shù)據(jù)主體必須以書面(包括電子形式)或口頭陳述的形式明確、自愿、知情并直接地表示同意。因此,同意的基本前提是自愿的、特定的、有意識的和明確的。此外,同意方應(yīng)知道同意的目的。
自愿同意的要求意味著,在表達(dá)同意方面,數(shù)據(jù)主體必須有真正進(jìn)行選擇的自由,并且可以自由的拒絕或撤回同意,而不會產(chǎn)生不利后果。因此,如果個人對處理其個人數(shù)據(jù)沒有賦予同意,那么也不應(yīng)該導(dǎo)致歧視個人、所提供的的服務(wù)質(zhì)量下降或無法使用的不良后果。
生物識別技術(shù)的現(xiàn)實應(yīng)用:既普遍又有吸引力
在實踐中,數(shù)據(jù)控制者越來越希望使用個人的生物識別數(shù)據(jù)。導(dǎo)致這一情況的原因有很多。其中最為重要的就是,生物識別特征數(shù)據(jù)的使用能夠給數(shù)據(jù)控制者提供服務(wù)和開展業(yè)務(wù)帶來極大的便利。在實踐中,數(shù)據(jù)控制者很容易獲得一些生物特征數(shù)據(jù)使得服務(wù)的效率更高,例如,通過將手指放在閱讀器上或?qū)⒀劬Ψ旁趻呙鑳x上就可以實現(xiàn)對個人身份的驗證;通過個人的指紋數(shù)據(jù)的使用就可以控制房間或建筑物的出入。這些生物特征識別數(shù)據(jù)的收集和使用更加高效和精準(zhǔn),相較于以往的輸入密碼和使用感應(yīng)卡來說,都具有很大的優(yōu)勢,速度更快,方式更便捷,準(zhǔn)確性也更高。
生物識別技術(shù)的應(yīng)用范圍非常廣,這同時也意味著,歐洲數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)將在執(zhí)法等實踐中遇到越來越多的與生物識別技術(shù)有關(guān)的個人數(shù)據(jù)保護(hù)問題。
但是,同時也應(yīng)當(dāng)確定,如果生物特征識別數(shù)據(jù)的使用沒有滿足相關(guān)領(lǐng)域或行業(yè)規(guī)定的最小化原則,那么,數(shù)據(jù)控制者就無法對生物特征數(shù)據(jù)進(jìn)行處理。因此,在實踐中,數(shù)據(jù)控制者應(yīng)當(dāng)特別注意,可以通過僅獲得實現(xiàn)特定目的所需的數(shù)據(jù)來實現(xiàn)對個人數(shù)據(jù)的處理。
波蘭數(shù)據(jù)保護(hù)機(jī)構(gòu)在2020年4月28日的指南中指出了這一點,強(qiáng)調(diào)數(shù)據(jù)控制者和數(shù)據(jù)處理者應(yīng)當(dāng)評估是否必須通過生物特征識別數(shù)據(jù)來對個人進(jìn)行身份驗證,是否考慮了其中可能存在的安全問題等。波蘭數(shù)據(jù)保護(hù)機(jī)構(gòu)表示,生物特征識別數(shù)據(jù)的使用非常需要確保安全性,因此可以使用生物識別技術(shù)來賦予個人控制對房間進(jìn)行訪問的權(quán)利,但進(jìn)入其他房間(例如車間)時,則不宜使用生物特征識別數(shù)據(jù)。
另外,在2019年,瑞典個人數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)也對一所學(xué)校處理生物特征數(shù)據(jù)的行為進(jìn)行了調(diào)查。該學(xué)校使用學(xué)生面部特征數(shù)據(jù)確認(rèn)學(xué)生的相關(guān)狀態(tài)。該學(xué)校表示同意是這一數(shù)據(jù)處理行為的合法性基礎(chǔ)。但在這種情況下,瑞典個人數(shù)據(jù)保護(hù)機(jī)構(gòu)仍然對學(xué)校進(jìn)行了罰款。瑞典個人數(shù)據(jù)保護(hù)機(jī)構(gòu)給出的理由是:處理特殊類別的數(shù)據(jù)一方面必須具有處理的合法性基礎(chǔ),同時也必須遵守個人數(shù)據(jù)處理的基本原則。因此,如果同意的事項并不符合GDPR中規(guī)定的最小化、目的限制等基本原則,那么同意也就不能成為處理個人數(shù)據(jù)的合法性基礎(chǔ)。瑞典法院對該學(xué)校處理生物特征數(shù)據(jù)的依據(jù)也提出異議,該法院裁定,基于學(xué)生與學(xué)校行政管理部門之間的“不平等”關(guān)系,學(xué)生無法針對個人數(shù)據(jù)處理行為自由的表達(dá)同意。
存在的問題:個人被識別與產(chǎn)生歧視
生物特征識別數(shù)據(jù)的收集和處理一般應(yīng)在以下目標(biāo)的限制內(nèi)進(jìn)行:一是要符合數(shù)據(jù)主體的意愿,二是要通過足夠水平的風(fēng)險評估對其中可能存在的風(fēng)險進(jìn)行分析和論證,三是要盡量減少可能對個人隱私產(chǎn)生的侵害。在波蘭,數(shù)據(jù)控制者和數(shù)據(jù)處理者都傾向于使用生物特征識別數(shù)據(jù)。但是對此類數(shù)據(jù)進(jìn)行的處理,并不總是能夠達(dá)到以上目標(biāo)。
在波蘭的一所學(xué)校使用學(xué)生的生物特征識別數(shù)據(jù)的案例中,學(xué)校在食堂的入口處設(shè)置了生物數(shù)據(jù)識別系統(tǒng),使得學(xué)生可以通過這種方式進(jìn)行餐費支付。當(dāng)針對該學(xué)校的管理員進(jìn)行訴訟時,個人數(shù)據(jù)保護(hù)辦公室確定,波蘭立法中針對學(xué)校可以從學(xué)生那里收集使用的數(shù)據(jù)類型已經(jīng)做出了明確的規(guī)定,而且不允許學(xué)校處理生物特征數(shù)據(jù)。在這種情況下,學(xué)校依然獲得了指紋形式的生物識別數(shù)據(jù),并聲稱根據(jù)父母或法定監(jiān)護(hù)人的書面同意對這些生物特征數(shù)據(jù)進(jìn)行了處理。個人數(shù)據(jù)保護(hù)辦公室在其決定中指出,對實現(xiàn)學(xué)生支付餐費從而正常午餐的目標(biāo)而言,生物特征識別數(shù)據(jù)的處理不是必需的,學(xué)校完全可以通過其他不會干擾學(xué)生隱私的方式進(jìn)行身份識別。例如,除了指紋識別系統(tǒng)外,學(xué)校還設(shè)置了一個基于電子卡的識別系統(tǒng)。但是,那些父母不同意處理其生物特征數(shù)據(jù)的孩子必須在自助餐廳隊列中排在所有進(jìn)行指紋識別的孩子后面。因此,監(jiān)管機(jī)構(gòu)得出結(jié)論認(rèn)為,存在對這些人的歧視。此外,在這種情況下,此種生物特征識別數(shù)據(jù)的處理與其目的是不成比例的。
關(guān)于法院的判決和先前的判例
波蘭個人數(shù)據(jù)保護(hù)辦公室(UODO)的主席對該學(xué)校處以20,000波蘭茲羅提的罰款,同時命令學(xué)校刪除了這些數(shù)據(jù)。但是,學(xué)校向省行政法院提起了上訴,該法院推翻了UODO的決定。在這種情況下,省級行政法院裁定,《民事訴訟法》和 GDPR中均已經(jīng)規(guī)定了監(jiān)護(hù)人的同意,以使兒童生物特征數(shù)據(jù)的收集和處理合法化。
但是,UODO卻認(rèn)為,父母授予處理孩子生物特征數(shù)據(jù)的同意不能被視為是自愿的,因為不做出同意就會產(chǎn)生負(fù)面影響,例如必須讓孩子們排在最后吃飯,基于此,父母只能同意。
同時,UODO認(rèn)為,波蘭最高行政法院在2009年12月1日的判決中,提供的參考文件( OSK 249/09)中明確,使用員工的生物特征數(shù)據(jù)來控制工作時間違反了個人數(shù)據(jù)處理的充分性原則,使用生物特征數(shù)據(jù)控制員工的工作時間與處理工作的預(yù)期目的是不成比例的。省行政法院的裁決與最高行政法院的先前裁決是相抵觸的。
但省行政法院認(rèn)為,UODO在應(yīng)用數(shù)據(jù)最小化原則方面過于嚴(yán)格。該法院指出,應(yīng)將必要性要求與充分性、適當(dāng)性要求放在一起進(jìn)行考慮,同時考慮到各種情況,法院認(rèn)為在此類案例中允許處理生物特征數(shù)據(jù)可能大大有助于實現(xiàn)處理目的。
UODO不同意這一裁決,其認(rèn)為數(shù)據(jù)控制者只能處理實現(xiàn)特定目的所需的數(shù)據(jù)。如果只是為了幫助實現(xiàn)某一目的而允許不必要的數(shù)據(jù)處理,可能會導(dǎo)致以各種借口對無限范圍的數(shù)據(jù)進(jìn)行處理。數(shù)據(jù)控制者可以解釋數(shù)據(jù)雖然不是必需的,但對于實現(xiàn)給定的目的可能是很有用的。這種做法明顯將違反個人數(shù)據(jù)保護(hù)的最小化和適當(dāng)性原則。
考慮到與數(shù)據(jù)處理相關(guān)的風(fēng)險,以及GDPR中規(guī)定的基本原則,UODO針對上述省級行政法院的判決向最高行政法院提出了撤銷原判的上訴從而廢除了該決定。
GDPR非常重視保護(hù)兒童的個人數(shù)據(jù),考慮到對兒童的風(fēng)險、后果、保障和權(quán)利以及生物特征識別數(shù)據(jù)的不可變性,通過生物特征識別數(shù)據(jù)的使用可能產(chǎn)生的負(fù)面后果將持續(xù)一生,因此對這一問題的處理應(yīng)當(dāng)慎重。