人脸识别在瑞典被罚,中国美国试水引争议
2019年8月20日,瑞典数据检查局对使用摄像头人脸识别记录学生出勤率的Anderstorps 高中收取200,000瑞典克朗(约合2万欧元,15万元人民币)的罚款。这是瑞典数据保护局的第一笔罚款。
主要原因是 Anderstorps 高中学校使用人脸识别技术来记录学生的上课考勤。该实验项目持续了三周,涉及到 22 名学生。其目的是进一步简化操作并自动进行课程注册。学生们的面部生物识别数据及全名被相机以照片的形式捕获,这些信息被存储在没有连接互联网的本地计算机中。
虽然,学校在收集学生的生物识别数据之前征得了监护人的明确同意。但是,学校的这项行为并没有进行相关的风险评估,也没有事先与瑞典数据保护机构进行协商。且监管当局认为因为学校与学生之间关系的不平等性,监护人同意不能视为自愿,因此该同意存在瑕疵,不能作为合法性基础。
无独有偶,几个月前,中国药科大学在两间教室试点安装的人脸识别系统,被推到了舆论的风口浪尖。
这一系统除了能自动识别学生的出勤情况外,还能够实现对学生课堂听讲情况的全程监控,包括学生是否认真听讲、课堂上是否抬头低头、抬头低头了几次、抬头低头了多长时间、低头是否在玩手机、是否闭眼打瞌睡……
中国药科大学图书与信息中心主任许建真表示:传统点名浪费时间、准确率不高,但是有人脸识别就没问题了。
然而,脸识别教室引发微博网友热议,大部分网友表示反对,认为这侵犯了学生隐私,不过一些人表示支持。
“为了(敦促)你学习,你还抱怨,请问你还是学生吗?”对于教室安装人脸识别系统侵犯学生隐私的说法,许建真表示,学校之前已向公安部门和法务部门咨询,由于教室属于公开场所,因此不存在“侵犯隐私”的说法。
继中国高校试水人脸识别进教室后,美国高校也“享受”到了类似的待遇,甚至还加入了姿势、动作识别,连老师也在监控范围内。
近日,卡内基梅隆大学(CMU)的研究人员展示了一套全面的实时传感系统,可以对视频和音频进行分析:
这套“EduSense”系统使用两台壁挂式摄像头(一台对着学生,一台对着老师),单个摄像头可以看到教室中的每个人,并自动识别信息,例如学生正在看的地方、举手的频率、老师是在讲台后面还是在教室中移动,以及老师在点名学生之前停留了多长时间等等。基本上教室内的一举一动都逃不过它的“火眼金睛”。
网友twitter评论:好的教学不能减少到可量化的程度,例如老师问问题后要等待多长时间。有效的教学不仅仅是其各个部分的总和。他的观点得到不少网友的认同。面对网友的twitter评论CMU的人机交互研究所(HCII)的助理教授克里斯·哈里森(Chris Harrison)回复道:我鼓励你阅读文献,这些文献已多次证明,这种技术对于改进教学非常有效,而今天迫切需要这种技术。大学教学的现状不是前进的方向,因此进行探索性研究。
论文地址:http://chrisharrison.net/projects/edusense/edusense.pdf
2019年8月20日,瑞典根据GDPR正式对Anderstorps 高中实施罚款。
2018 年美国加州通过消费者隐私法案(CCPA),将于 2020年 1 月生效。
2019年11月12日,欧盟数据保护委员会(European Data Protection Board, EDPB)结束征求意见,正式发布《GDRP适用地域指南3/2018(条款3)》!GDPR的长臂效应更强了。
由此可见,个人数据隐私保护正在受到各国政府的重视。
瑞典Anderstorps高中使用人脸识别被罚违反了GDPR的哪些规定?
对瑞典Anderstorps高中使用人脸识别给学生进行考勤的违规分析可知,瑞士数据监管机构依据 Art. 5 (1) c) GDPR Art. 9 GDPR Art. 35 GDPR Art. 36 GDPR对Anderstorps高中进行了处罚。分别是最小原则法,特殊类别数据处理规定,数据影响评估和事先咨询。
按照相关法律,当局最多可收取1000万瑞典克朗的罚款,最终定为200,000瑞典克朗(约合2万欧元,15万元人民币)的罚款主要原因是:
1、授权问题,GDPR规定,欧盟成员国法律可以要求数据控制者在其进行为公共利益执行职务的数据处理,包括涉及数据保证和公共卫生的数据处理前,先向监管机关咨询并取得监管机关的事先授权。且Anderstorps高中对学生人脸数据的识别数据没有规定明确的储存期限。
2、GDPR规定,特殊类别的个人数据处理,“……用以识别特定自然人的基因数据、生物特征数据,有关健康或有关自然人的性生活取向个人数据的处理,应被禁止。”数据检查专员在其决定中指出,面部识别涉及对学生日常环境中的摄像头进行监视,对他们的完整性造成了侵害,并且可以通过其他方式来完成学生考勤检查。
3、GDPR 原则上禁止以识别自然人身份为目的处理生物特征数据,除非符合例外情形。然而由于学校与学生之间关系的不平等性,虽然监护人同意了,但不能视为自愿,律师Ranja Bunni解释说:``在这种情况下,高中学生无法使用同意书,因为学生依赖于该主体。”因此该同意存在瑕疵,不能作为合法性基础;
4、学校对人脸识别的风险评估缺乏该数据收集、处理行为对数据主体权利和自由存在的风险的评估,也缺乏与其处理目的相关的比例方面的评估和说明。面部识别技术尚处于起步阶段,但发展趋势很快。瑞典数据保护局官员Lena Lindgren Schelin说,因此我们非常需要明确适用于所有场景的内容。
PS:关于瑞典Anderstorps被罚违反的GDPR的具体条款的内容SCA整理并附在了文末,有兴趣者可以翻阅查看。
瑞典Anderstorps高中被罚给我们的合规启示有哪些?
1、对于人脸识别等生物特征数据的使用应持谨慎态度。根据数据最小化原则,处理的个人数据应该是充分的、相关的,并且与处理它们的目的相关,而不能过于全面的收集、处理数据。只有在用其他方法无法以令人满意的方式实现处理目的时,才可以考虑使用此类敏感数据,否则将存在较大的合规风险。如果数据管理者收取了大量的个人数据却没有保护好,将会更加有风险。
2、“同意”作为合法性基础存在较大风险。首先,“同意”作为合法性基础之一,只有在其他合法性基础不适用的情况下才得以适用。其次,“同意”需要符合自愿、自由要求。双方地位不平等将导致同意因欠缺自愿要素而失去效力。尤其在雇佣关系中,需谨慎使用同意。
3、新技术投入使用时,应当重视风险评估合规工作。形式主义的风险评估无法被监管部门认可,风险评估必须包含对处理目的必要性及相称性的评估和说明、对数据主体权利和自由存在的风险的评估等内容。具体数据影响风险评估应该怎样进行?怎样的数据处理行为应该进行数据处理评估?应该向监管部门提供哪些资料供其进行数据影响的风险评估?在此,SCA建议您仔细阅读以下GDPR第35条 数据保护影响评估 的主要内容,已附在文末,学习更多网络信息安全、个人数据安全合规知识欢迎咨询SCA。
本文由SCA结合相关法律文件整理,转载请注明出处。SCA安全通信联盟始终关注安全通信和身份认证领域,亦在信息安全领域提供中立、专业的GDPR、网络安全等级保护、信息安全技术认证、相关合规的咨询和培训服务。欢迎关注SCA官方微信公众号“奥航智讯”留言讨论。更多GDPR相关内容请点击下方文字链接:
SCA连载系列之| GDPR个人数据处理的6大原则包含哪些内容?
SCA连载系列之| GDPR“数据处理”、“处理安全”、“加密”分别对应哪些内容?
SCA连载GDPR罚单之| 德国首例GDPR 数据处理案件,为啥罚单是2万欧元?轻罚的依据是什么?
SCA连载GDPR罚单之| 葡萄牙数据监管机构认定Barreiro医院违反GDPR
SCA连载GDPR罚单之| 保加利亚国家税务局(NRA)信息泄露事件
附:根据瑞典数据保护局对Anderstorps 高中的处罚依据,相关GDPR法律条款原文如下:
Art. 5 (1) c) GDPR
第5条 与个人数据处理相关的原则
1、个人数据应
(c)适当、相关且以处理目的所必需的为限(“数据最少化”原则)
Art. 9 GDPR
第9条 特殊类别的个人数据处理
1、对揭示种族或民族出身、政治观点、宗教或哲学信仰,或工会学员资格的个人数据处理,以及用以识别特定自然人的基因数据、生物特征数据,有关健康或有关自然人的性生活取向个人数据的处理,应被禁止。
Art. 35 GDPR
第35条 数据保护影响评估
1、当一种数据处理方式特别是使用新技术时,考量处理的性质、范围、背景和目的,可能给自然人的权利和自由带来高风险的,数据控制者在处理前应当对拟进行的处理行为给个人数据保护带来的影响进行评估。一次评估可以针对一系列呈现类似高风险的类似处理行为。
2、进行数据影响评估时,数据控制者应该向数据保护官(如已指定)寻求意见。
3、第1款规定的数据保护影响评估在以下情形应特别必须:
(a)对自然人进行系统性和广泛性的个人情况评估,且评估基于自动化处理(包括数据画像),并且基于该评估做出对该自然人产生法律效力或类似重要影响的决定。
(b)大规模处理本条例第9条第1款规定的特殊列别数据,或者第10条规定的有关刑事定罪和犯罪的个人数据。
(c)对公共区域的大规模系统性监控。
4、监管机关应当建立并公布依据第1款需要进行数据评估的处理行为类型清单,监管机关应该就本清单与本条例第68条规定的委员会进行沟通。
5、监管机关也可以建立并公布不需要数据影响评估的处理行为类型清单。监管机关应该就该清单与本条例第68条规定的委员会进行沟通。
6、在采用第4款第5款的清单前,当该类清单涉及向数据主体提供商品或服务,或监管数据主体在欧盟成员国的行为,或可能对个人数据在欧盟内自由流通产生的实质影响的处理时,有关监管机关适用本条例第63条规定的一致性机制。
7、评估应至少包括:
(a)对拟进行的处理行为以及处理目的,包括数据控制者追求的正当利益(如适用)的系统性描述;
(b)对该处理行为与处理目的之间的必要性和合比例性进行评估;
(c)对第1款规定的给数据主体的权利和自由带来的风险的评估;
(d)预计应对风险的措施,包括安保措施、安全措施、个人数据保护的保障机制以及看,考量数据主体与其他相关人员的权利的正当利益,符合本条例的证明。
8、在对数据控制者和数据处理者进行的数据影响评估的过程中,相关数据控制者和数据处理者遵守本条例第40条规定的经批准的行为准则的事实应该被慎重考量,特别是为了数据保护影响评估的目的。
9、在不影响商业或公共利益的保护或处理行为的安全时,数据控制者应该寻求数据主体或其代表对拟进行的处理的(意见)。
10、依据本条例第6条第1款的(c)项或(e)项的处理有对数据控制者生效的欧盟或欧盟成员国上的依据,而该法律规制了该特定处理或一系列的处理,且数据保护影响评估已因适用上述法律而作为一般处理的一部分得以实施时,不适用第1款至第7款,欧盟成员国认为在处理活动前进行该事先评估确有必要的除外。
11、必要时,数据控制者应该进行审查以评估处理是否符合数据保护影响评估,至少在处理行为的风险出现变化时应当审查。
Art. 36 GDPR
第36条 事先咨询
5、如果本条例第35条规定的数据保护影响评估显示,如果数据控制者未采取减少风险的措施,该处理将导致高风险的,数据控制者应当在处理前咨询监管机关。
6、当监管机关认为第1款规定的拟进行的处理将违反本条例的特别是当数据控制者未能控制或降低风险的,监管机关应该在收到咨询请求后不超过八周向数据控制者(以及数据处理者,如适用)提出书面建议,并可行使本条例第58条规定的权力。考虑到拟进行的处理的复杂程度,该期限内可延长6周。监管机关应该在收到咨询请求后一个月内就任何延长期限的情况和理由通知数据控制者以及数据处理者(如适用)。
7、依据第1款向监管机关咨询时,数据控制者应该向监管机关提供:
(a)涉及该处理的数据控制者、联合数据控制者和数据处理者的各自责任,特别是当处理发生在企业集团时(如适用);
(b)拟进行的处理的目的和方式;
(c)依据本条例保护数据主体的权利和自由的措施和安保措施;
(d)数据保护官的详细联系方式;
(e)本条例第35条规定的数据保护影响评估;
(f)其他任何监管机关要求的信息。
8、欧盟成员国应该在提出将有议会通过的关于数据处理的立法措施议案或基于该立法的监管措施的准备期间咨询监管机关。
9、尽管在第一款的规定,欧盟成员国法律可以要求数据控制者在其进行为公共利益执行职务的数据处理,包括涉及数据保证和公共卫生的数据处理前,先向监管机关咨询并取得监管机关的事先授权。
