根據(jù)《通用數(shù)據(jù)保護(hù)條例》GDPR的規(guī)定，除某些例外情況，一般應(yīng)禁止處理生物特征識(shí)別數(shù)據(jù)。使用特殊的技術(shù)方法處理的數(shù)據(jù)，例如指紋、臉部圖像、視網(wǎng)膜、眼睛的虹膜、人的行為或心理特征，由于這些數(shù)據(jù)在一定程度上來說是不容易改變的，所以可以唯一地標(biāo)識(shí)和定義到個(gè)人。因此，個(gè)人一般無法像改變姓名、居住地址等數(shù)據(jù)一樣更改生物特征識(shí)別數(shù)據(jù)。這類特殊類型的個(gè)人數(shù)據(jù)如果發(fā)生泄露，對(duì)個(gè)人的權(quán)利和自由帶來的侵害風(fēng)險(xiǎn)將非常高，而且持續(xù)時(shí)間也會(huì)非常長，極有可能伴隨個(gè)人終生。因此，數(shù)據(jù)控制者和數(shù)據(jù)處理者應(yīng)當(dāng)僅在非常例外的情況下才能讀生物特征數(shù)據(jù)進(jìn)行處理。

　　GDPR的主要規(guī)定：個(gè)人同意條款和相關(guān)的條件

　　GDPR規(guī)定，針對(duì)生物特征識(shí)別數(shù)據(jù)的收集和處理，數(shù)據(jù)主體必須以書面（包括電子形式）或口頭陳述的形式明確、自愿、知情并直接地表示同意。因此，同意的基本前提是自愿的、特定的、有意識(shí)的和明確的。此外，同意方應(yīng)知道同意的目的。

　　自愿同意的要求意味著，在表達(dá)同意方面，數(shù)據(jù)主體必須有真正進(jìn)行選擇的自由，并且可以自由的拒絕或撤回同意，而不會(huì)產(chǎn)生不利后果。因此，如果個(gè)人對(duì)處理其個(gè)人數(shù)據(jù)沒有賦予同意，那么也不應(yīng)該導(dǎo)致歧視個(gè)人、所提供的的服務(wù)質(zhì)量下降或無法使用的不良后果。

　　生物識(shí)別技術(shù)的現(xiàn)實(shí)應(yīng)用：既普遍又有吸引力

　　在實(shí)踐中，數(shù)據(jù)控制者越來越希望使用個(gè)人的生物識(shí)別數(shù)據(jù)。導(dǎo)致這一情況的原因有很多。其中最為重要的就是，生物識(shí)別特征數(shù)據(jù)的使用能夠給數(shù)據(jù)控制者提供服務(wù)和開展業(yè)務(wù)帶來極大的便利。在實(shí)踐中，數(shù)據(jù)控制者很容易獲得一些生物特征數(shù)據(jù)使得服務(wù)的效率更高，例如，通過將手指放在閱讀器上或?qū)⒀劬Ψ旁趻呙鑳x上就可以實(shí)現(xiàn)對(duì)個(gè)人身份的驗(yàn)證；通過個(gè)人的指紋數(shù)據(jù)的使用就可以控制房間或建筑物的出入。這些生物特征識(shí)別數(shù)據(jù)的收集和使用更加高效和精準(zhǔn)，相較于以往的輸入密碼和使用感應(yīng)卡來說，都具有很大的優(yōu)勢，速度更快，方式更便捷，準(zhǔn)確性也更高。

　　生物識(shí)別技術(shù)的應(yīng)用范圍非常廣，這同時(shí)也意味著，歐洲數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)將在執(zhí)法等實(shí)踐中遇到越來越多的與生物識(shí)別技術(shù)有關(guān)的個(gè)人數(shù)據(jù)保護(hù)問題。

　　但是，同時(shí)也應(yīng)當(dāng)確定，如果生物特征識(shí)別數(shù)據(jù)的使用沒有滿足相關(guān)領(lǐng)域或行業(yè)規(guī)定的最小化原則，那么，數(shù)據(jù)控制者就無法對(duì)生物特征數(shù)據(jù)進(jìn)行處理。因此，在實(shí)踐中，數(shù)據(jù)控制者應(yīng)當(dāng)特別注意，可以通過僅獲得實(shí)現(xiàn)特定目的所需的數(shù)據(jù)來實(shí)現(xiàn)對(duì)個(gè)人數(shù)據(jù)的處理。

　　波蘭數(shù)據(jù)保護(hù)機(jī)構(gòu)在2020年4月28日的指南中指出了這一點(diǎn)，強(qiáng)調(diào)數(shù)據(jù)控制者和數(shù)據(jù)處理者應(yīng)當(dāng)評(píng)估是否必須通過生物特征識(shí)別數(shù)據(jù)來對(duì)個(gè)人進(jìn)行身份驗(yàn)證，是否考慮了其中可能存在的安全問題等。波蘭數(shù)據(jù)保護(hù)機(jī)構(gòu)表示，生物特征識(shí)別數(shù)據(jù)的使用非常需要確保安全性，因此可以使用生物識(shí)別技術(shù)來賦予個(gè)人控制對(duì)房間進(jìn)行訪問的權(quán)利，但進(jìn)入其他房間（例如車間）時(shí)，則不宜使用生物特征識(shí)別數(shù)據(jù)。

　　另外，在2019年，瑞典個(gè)人數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)也對(duì)一所學(xué)校處理生物特征數(shù)據(jù)的行為進(jìn)行了調(diào)查。該學(xué)校使用學(xué)生面部特征數(shù)據(jù)確認(rèn)學(xué)生的相關(guān)狀態(tài)。該學(xué)校表示同意是這一數(shù)據(jù)處理行為的合法性基礎(chǔ)。但在這種情況下，瑞典個(gè)人數(shù)據(jù)保護(hù)機(jī)構(gòu)仍然對(duì)學(xué)校進(jìn)行了罰款。瑞典個(gè)人數(shù)據(jù)保護(hù)機(jī)構(gòu)給出的理由是：處理特殊類別的數(shù)據(jù)一方面必須具有處理的合法性基礎(chǔ)，同時(shí)也必須遵守個(gè)人數(shù)據(jù)處理的基本原則。因此，如果同意的事項(xiàng)并不符合GDPR中規(guī)定的最小化、目的限制等基本原則，那么同意也就不能成為處理個(gè)人數(shù)據(jù)的合法性基礎(chǔ)。瑞典法院對(duì)該學(xué)校處理生物特征數(shù)據(jù)的依據(jù)也提出異議，該法院裁定，基于學(xué)生與學(xué)校行政管理部門之間的“不平等”關(guān)系，學(xué)生無法針對(duì)個(gè)人數(shù)據(jù)處理行為自由的表達(dá)同意。

　　存在的問題：個(gè)人被識(shí)別與產(chǎn)生歧視

　　生物特征識(shí)別數(shù)據(jù)的收集和處理一般應(yīng)在以下目標(biāo)的限制內(nèi)進(jìn)行：一是要符合數(shù)據(jù)主體的意愿，二是要通過足夠水平的風(fēng)險(xiǎn)評(píng)估對(duì)其中可能存在的風(fēng)險(xiǎn)進(jìn)行分析和論證，三是要盡量減少可能對(duì)個(gè)人隱私產(chǎn)生的侵害。在波蘭，數(shù)據(jù)控制者和數(shù)據(jù)處理者都傾向于使用生物特征識(shí)別數(shù)據(jù)。但是對(duì)此類數(shù)據(jù)進(jìn)行的處理，并不總是能夠達(dá)到以上目標(biāo)。

　　在波蘭的一所學(xué)校使用學(xué)生的生物特征識(shí)別數(shù)據(jù)的案例中，學(xué)校在食堂的入口處設(shè)置了生物數(shù)據(jù)識(shí)別系統(tǒng)，使得學(xué)生可以通過這種方式進(jìn)行餐費(fèi)支付。當(dāng)針對(duì)該學(xué)校的管理員進(jìn)行訴訟時(shí)，個(gè)人數(shù)據(jù)保護(hù)辦公室確定，波蘭立法中針對(duì)學(xué)校可以從學(xué)生那里收集使用的數(shù)據(jù)類型已經(jīng)做出了明確的規(guī)定，而且不允許學(xué)校處理生物特征數(shù)據(jù)。在這種情況下，學(xué)校依然獲得了指紋形式的生物識(shí)別數(shù)據(jù)，并聲稱根據(jù)父母或法定監(jiān)護(hù)人的書面同意對(duì)這些生物特征數(shù)據(jù)進(jìn)行了處理。個(gè)人數(shù)據(jù)保護(hù)辦公室在其決定中指出，對(duì)實(shí)現(xiàn)學(xué)生支付餐費(fèi)從而正常午餐的目標(biāo)而言，生物特征識(shí)別數(shù)據(jù)的處理不是必需的，學(xué)校完全可以通過其他不會(huì)干擾學(xué)生隱私的方式進(jìn)行身份識(shí)別。例如，除了指紋識(shí)別系統(tǒng)外，學(xué)校還設(shè)置了一個(gè)基于電子卡的識(shí)別系統(tǒng)。但是，那些父母不同意處理其生物特征數(shù)據(jù)的孩子必須在自助餐廳隊(duì)列中排在所有進(jìn)行指紋識(shí)別的孩子后面。因此，監(jiān)管機(jī)構(gòu)得出結(jié)論認(rèn)為，存在對(duì)這些人的歧視。此外，在這種情況下，此種生物特征識(shí)別數(shù)據(jù)的處理與其目的是不成比例的。

　　關(guān)于法院的判決和先前的判例

　　波蘭個(gè)人數(shù)據(jù)保護(hù)辦公室（UODO）的主席對(duì)該學(xué)校處以20,000波蘭茲羅提的罰款，同時(shí)命令學(xué)校刪除了這些數(shù)據(jù)。但是，學(xué)校向省行政法院提起了上訴，該法院推翻了UODO的決定。在這種情況下，省級(jí)行政法院裁定，《民事訴訟法》和 GDPR中均已經(jīng)規(guī)定了監(jiān)護(hù)人的同意，以使兒童生物特征數(shù)據(jù)的收集和處理合法化。

　　但是，UODO卻認(rèn)為，父母授予處理孩子生物特征數(shù)據(jù)的同意不能被視為是自愿的，因?yàn)椴蛔龀鐾饩蜁?huì)產(chǎn)生負(fù)面影響，例如必須讓孩子們排在最后吃飯，基于此，父母只能同意。

　　同時(shí)，UODO認(rèn)為，波蘭最高行政法院在2009年12月1日的判決中，提供的參考文件（ OSK 249/09）中明確，使用員工的生物特征數(shù)據(jù)來控制工作時(shí)間違反了個(gè)人數(shù)據(jù)處理的充分性原則，使用生物特征數(shù)據(jù)控制員工的工作時(shí)間與處理工作的預(yù)期目的是不成比例的。省行政法院的裁決與最高行政法院的先前裁決是相抵觸的。

　　但省行政法院認(rèn)為，UODO在應(yīng)用數(shù)據(jù)最小化原則方面過于嚴(yán)格。該法院指出，應(yīng)將必要性要求與充分性、適當(dāng)性要求放在一起進(jìn)行考慮，同時(shí)考慮到各種情況，法院認(rèn)為在此類案例中允許處理生物特征數(shù)據(jù)可能大大有助于實(shí)現(xiàn)處理目的。

　　UODO不同意這一裁決，其認(rèn)為數(shù)據(jù)控制者只能處理實(shí)現(xiàn)特定目的所需的數(shù)據(jù)。如果只是為了幫助實(shí)現(xiàn)某一目的而允許不必要的數(shù)據(jù)處理，可能會(huì)導(dǎo)致以各種借口對(duì)無限范圍的數(shù)據(jù)進(jìn)行處理。數(shù)據(jù)控制者可以解釋數(shù)據(jù)雖然不是必需的，但對(duì)于實(shí)現(xiàn)給定的目的可能是很有用的。這種做法明顯將違反個(gè)人數(shù)據(jù)保護(hù)的最小化和適當(dāng)性原則。

　　考慮到與數(shù)據(jù)處理相關(guān)的風(fēng)險(xiǎn)，以及GDPR中規(guī)定的基本原則，UODO針對(duì)上述省級(jí)行政法院的判決向最高行政法院提出了撤銷原判的上訴從而廢除了該決定。

　　GDPR非常重視保護(hù)兒童的個(gè)人數(shù)據(jù)，考慮到對(duì)兒童的風(fēng)險(xiǎn)、后果、保障和權(quán)利以及生物特征識(shí)別數(shù)據(jù)的不可變性，通過生物特征識(shí)別數(shù)據(jù)的使用可能產(chǎn)生的負(fù)面后果將持續(xù)一生，因此對(duì)這一問題的處理應(yīng)當(dāng)慎重。