前沿 | 规范生物识别技术使用,强化生物特征数据保护——波兰发布《生物识别技术指南》
发布日期:2021-06-05
来源: 中国信息安全
根据《通用数据保护条例》GDPR的规定,除某些例外情况,一般应禁止处理生物特征识别数据。使用特殊的技术方法处理的数据,例如指纹、脸部图像、视网膜、眼睛的虹膜、人的行为或心理特征,由于这些数据在一定程度上来说是不容易改变的,所以可以唯一地标识和定义到个人。因此,个人一般无法像改变姓名、居住地址等数据一样更改生物特征识别数据。这类特殊类型的个人数据如果发生泄露,对个人的权利和自由带来的侵害风险将非常高,而且持续时间也会非常长,极有可能伴随个人终生。因此,数据控制者和数据处理者应当仅在非常例外的情况下才能读生物特征数据进行处理。
GDPR的主要规定:个人同意条款和相关的条件
GDPR规定,针对生物特征识别数据的收集和处理,数据主体必须以书面(包括电子形式)或口头陈述的形式明确、自愿、知情并直接地表示同意。因此,同意的基本前提是自愿的、特定的、有意识的和明确的。此外,同意方应知道同意的目的。
自愿同意的要求意味着,在表达同意方面,数据主体必须有真正进行选择的自由,并且可以自由的拒绝或撤回同意,而不会产生不利后果。因此,如果个人对处理其个人数据没有赋予同意,那么也不应该导致歧视个人、所提供的的服务质量下降或无法使用的不良后果。
生物识别技术的现实应用:既普遍又有吸引力
在实践中,数据控制者越来越希望使用个人的生物识别数据。导致这一情况的原因有很多。其中最为重要的就是,生物识别特征数据的使用能够给数据控制者提供服务和开展业务带来极大的便利。在实践中,数据控制者很容易获得一些生物特征数据使得服务的效率更高,例如,通过将手指放在阅读器上或将眼睛放在扫描仪上就可以实现对个人身份的验证;通过个人的指纹数据的使用就可以控制房间或建筑物的出入。这些生物特征识别数据的收集和使用更加高效和精准,相较于以往的输入密码和使用感应卡来说,都具有很大的优势,速度更快,方式更便捷,准确性也更高。
生物识别技术的应用范围非常广,这同时也意味着,欧洲数据保护监管机构将在执法等实践中遇到越来越多的与生物识别技术有关的个人数据保护问题。
但是,同时也应当确定,如果生物特征识别数据的使用没有满足相关领域或行业规定的最小化原则,那么,数据控制者就无法对生物特征数据进行处理。因此,在实践中,数据控制者应当特别注意,可以通过仅获得实现特定目的所需的数据来实现对个人数据的处理。
波兰数据保护机构在2020年4月28日的指南中指出了这一点,强调数据控制者和数据处理者应当评估是否必须通过生物特征识别数据来对个人进行身份验证,是否考虑了其中可能存在的安全问题等。波兰数据保护机构表示,生物特征识别数据的使用非常需要确保安全性,因此可以使用生物识别技术来赋予个人控制对房间进行访问的权利,但进入其他房间(例如车间)时,则不宜使用生物特征识别数据。
另外,在2019年,瑞典个人数据保护监管机构也对一所学校处理生物特征数据的行为进行了调查。该学校使用学生面部特征数据确认学生的相关状态。该学校表示同意是这一数据处理行为的合法性基础。但在这种情况下,瑞典个人数据保护机构仍然对学校进行了罚款。瑞典个人数据保护机构给出的理由是:处理特殊类别的数据一方面必须具有处理的合法性基础,同时也必须遵守个人数据处理的基本原则。因此,如果同意的事项并不符合GDPR中规定的最小化、目的限制等基本原则,那么同意也就不能成为处理个人数据的合法性基础。瑞典法院对该学校处理生物特征数据的依据也提出异议,该法院裁定,基于学生与学校行政管理部门之间的“不平等”关系,学生无法针对个人数据处理行为自由的表达同意。
存在的问题:个人被识别与产生歧视
生物特征识别数据的收集和处理一般应在以下目标的限制内进行:一是要符合数据主体的意愿,二是要通过足够水平的风险评估对其中可能存在的风险进行分析和论证,三是要尽量减少可能对个人隐私产生的侵害。在波兰,数据控制者和数据处理者都倾向于使用生物特征识别数据。但是对此类数据进行的处理,并不总是能够达到以上目标。
在波兰的一所学校使用学生的生物特征识别数据的案例中,学校在食堂的入口处设置了生物数据识别系统,使得学生可以通过这种方式进行餐费支付。当针对该学校的管理员进行诉讼时,个人数据保护办公室确定,波兰立法中针对学校可以从学生那里收集使用的数据类型已经做出了明确的规定,而且不允许学校处理生物特征数据。在这种情况下,学校依然获得了指纹形式的生物识别数据,并声称根据父母或法定监护人的书面同意对这些生物特征数据进行了处理。个人数据保护办公室在其决定中指出,对实现学生支付餐费从而正常午餐的目标而言,生物特征识别数据的处理不是必需的,学校完全可以通过其他不会干扰学生隐私的方式进行身份识别。例如,除了指纹识别系统外,学校还设置了一个基于电子卡的识别系统。但是,那些父母不同意处理其生物特征数据的孩子必须在自助餐厅队列中排在所有进行指纹识别的孩子后面。因此,监管机构得出结论认为,存在对这些人的歧视。此外,在这种情况下,此种生物特征识别数据的处理与其目的是不成比例的。
关于法院的判决和先前的判例
波兰个人数据保护办公室(UODO)的主席对该学校处以20,000波兰兹罗提的罚款,同时命令学校删除了这些数据。但是,学校向省行政法院提起了上诉,该法院推翻了UODO的决定。在这种情况下,省级行政法院裁定,《民事诉讼法》和 GDPR中均已经规定了监护人的同意,以使儿童生物特征数据的收集和处理合法化。
但是,UODO却认为,父母授予处理孩子生物特征数据的同意不能被视为是自愿的,因为不做出同意就会产生负面影响,例如必须让孩子们排在最后吃饭,基于此,父母只能同意。
同时,UODO认为,波兰最高行政法院在2009年12月1日的判决中,提供的参考文件( OSK 249/09)中明确,使用员工的生物特征数据来控制工作时间违反了个人数据处理的充分性原则,使用生物特征数据控制员工的工作时间与处理工作的预期目的是不成比例的。省行政法院的裁决与最高行政法院的先前裁决是相抵触的。
但省行政法院认为,UODO在应用数据最小化原则方面过于严格。该法院指出,应将必要性要求与充分性、适当性要求放在一起进行考虑,同时考虑到各种情况,法院认为在此类案例中允许处理生物特征数据可能大大有助于实现处理目的。
UODO不同意这一裁决,其认为数据控制者只能处理实现特定目的所需的数据。如果只是为了帮助实现某一目的而允许不必要的数据处理,可能会导致以各种借口对无限范围的数据进行处理。数据控制者可以解释数据虽然不是必需的,但对于实现给定的目的可能是很有用的。这种做法明显将违反个人数据保护的最小化和适当性原则。
考虑到与数据处理相关的风险,以及GDPR中规定的基本原则,UODO针对上述省级行政法院的判决向最高行政法院提出了撤销原判的上诉从而废除了该决定。
GDPR非常重视保护儿童的个人数据,考虑到对儿童的风险、后果、保障和权利以及生物特征识别数据的不可变性,通过生物特征识别数据的使用可能产生的负面后果将持续一生,因此对这一问题的处理应当慎重。
