人臉識別在瑞典被罰,中國美國試水引爭議
2019年8月20日,瑞典數據檢查局對使用攝像頭人臉識別記錄學生出勤率的Anderstorps 高中收取200,000瑞典克朗(約合2萬歐元,15萬元人民幣)的罰款。這是瑞典數據保護局的第一筆罰款。
主要原因是 Anderstorps 高中學校使用人臉識別技術來記錄學生的上課考勤。該實驗項目持續了三週,涉及到 22 名學生。其目的是進一步簡化操作並自動進行課程註冊。學生們的面部生物識別數據及全名被相機以照片的形式捕獲,這些信息被存儲在沒有連接互聯網的本地計算機中。
雖然,學校在收集學生的生物識別數據之前徵得了監護人的明確同意。但是,學校的這項行爲並沒有進行相關的風險評估,也沒有事先與瑞典數據保護機構進行協商。且監管當局認爲因爲學校與學生之間關係的不平等性,監護人同意不能視爲自願,因此該同意存在瑕疵,不能作爲合法性基礎。
無獨有偶,幾個月前,中國藥科大學在兩間教室試點安裝的人臉識別系統,被推到了輿論的風口浪尖。
這一系統除了能自動識別學生的出勤情況外,還能夠實現對學生課堂聽講情況的全程監控,包括學生是否認真聽講、課堂上是否擡頭低頭、擡頭低頭了幾次、擡頭低頭了多長時間、低頭是否在玩手機、是否閉眼打瞌睡……
中國藥科大學圖書與信息中心主任許建真表示:傳統點名浪費時間、準確率不高,但是有人臉識別就沒問題了。
然而,臉識別教室引發微博網友熱議,大部分網友表示反對,認爲這侵犯了學生隱私,不過一些人表示支持。
“爲了(敦促)你學習,你還抱怨,請問你還是學生嗎?”對於教室安裝人臉識別系統侵犯學生隱私的說法,許建真表示,學校之前已向公安部門和法務部門諮詢,由於教室屬於公開場所,因此不存在“侵犯隱私”的說法。
繼中國高校試水人臉識別進教室後,美國高校也“享受”到了類似的待遇,甚至還加入了姿勢、動作識別,連老師也在監控範圍內。
近日,卡內基梅隆大學(CMU)的研究人員展示了一套全面的實時傳感系統,可以對視頻和音頻進行分析:
這套“EduSense”系統使用兩臺壁掛式攝像頭(一臺對着學生,一臺對着老師),單個攝像頭可以看到教室中的每個人,並自動識別信息,例如學生正在看的地方、舉手的頻率、老師是在講臺後面還是在教室中移動,以及老師在點名學生之前停留了多長時間等等。基本上教室內的一舉一動都逃不過它的“火眼金睛”。
網友twitter評論:好的教學不能減少到可量化的程度,例如老師問問題後要等待多長時間。有效的教學不僅僅是其各個部分的總和。他的觀點得到不少網友的認同。面對網友的twitter評論CMU的人機交互研究所(HCII)的助理教授克里斯·哈里森(Chris Harrison)回覆道:我鼓勵你閱讀文獻,這些文獻已多次證明,這種技術對於改進教學非常有效,而今天迫切需要這種技術。大學教學的現狀不是前進的方向,因此進行探索性研究。
論文地址:http://chrisharrison.net/projects/edusense/edusense.pdf
2019年8月20日,瑞典根據GDPR正式對Anderstorps 高中實施罰款。
2018 年美國加州通過消費者隱私法案(CCPA),將於 2020年 1 月生效。
2019年11月12日,歐盟數據保護委員會(European Data Protection Board, EDPB)結束徵求意見,正式發佈《GDRP適用地域指南3/2018(條款3)》!GDPR的長臂效應更強了。
由此可見,個人數據隱私保護正在受到各國政府的重視。
瑞典Anderstorps高中使用人臉識別被罰違反了GDPR的哪些規定?
對瑞典Anderstorps高中使用人臉識別給學生進行考勤的違規分析可知,瑞士數據監管機構依據 Art. 5 (1) c) GDPR Art. 9 GDPR Art. 35 GDPR Art. 36 GDPR對Anderstorps高中進行了處罰。分別是最小原則法,特殊類別數據處理規定,數據影響評估和事先諮詢。
按照相關法律,當局最多可收取1000萬瑞典克朗的罰款,最終定爲200,000瑞典克朗(約合2萬歐元,15萬元人民幣)的罰款主要原因是:
1、授權問題,GDPR規定,歐盟成員國法律可以要求數據控制者在其進行爲公共利益執行職務的數據處理,包括涉及數據保證和公共衛生的數據處理前,先向監管機關諮詢並取得監管機關的事先授權。且Anderstorps高中對學生人臉數據的識別數據沒有規定明確的儲存期限。
2、GDPR規定,特殊類別的個人數據處理,“……用以識別特定自然人的基因數據、生物特徵數據,有關健康或有關自然人的性生活取向個人數據的處理,應被禁止。”數據檢查專員在其決定中指出,面部識別涉及對學生日常環境中的攝像頭進行監視,對他們的完整性造成了侵害,並且可以通過其他方式來完成學生考勤檢查。
3、GDPR 原則上禁止以識別自然人身份爲目的處理生物特徵數據,除非符合例外情形。然而由於學校與學生之間關係的不平等性,雖然監護人同意了,但不能視爲自願,律師Ranja Bunni解釋說:``在這種情況下,高中學生無法使用同意書,因爲學生依賴於該主體。”因此該同意存在瑕疵,不能作爲合法性基礎;
4、學校對人臉識別的風險評估缺乏該數據收集、處理行爲對數據主體權利和自由存在的風險的評估,也缺乏與其處理目的相關的比例方面的評估和說明。面部識別技術尚處於起步階段,但發展趨勢很快。瑞典數據保護局官員Lena Lindgren Schelin說,因此我們非常需要明確適用於所有場景的內容。
PS:關於瑞典Anderstorps被罰違反的GDPR的具體條款的內容SCA整理並附在了文末,有興趣者可以翻閱查看。
瑞典Anderstorps高中被罰給我們的合規啓示有哪些?
1、對於人臉識別等生物特徵數據的使用應持謹慎態度。根據數據最小化原則,處理的個人數據應該是充分的、相關的,並且與處理它們的目的相關,而不能過於全面的收集、處理數據。只有在用其他方法無法以令人滿意的方式實現處理目的時,纔可以考慮使用此類敏感數據,否則將存在較大的合規風險。如果數據管理者收取了大量的個人數據卻沒有保護好,將會更加有風險。
2、“同意”作爲合法性基礎存在較大風險。首先,“同意”作爲合法性基礎之一,只有在其他合法性基礎不適用的情況下才得以適用。其次,“同意”需要符合自願、自由要求。雙方地位不平等將導致同意因欠缺自願要素而失去效力。尤其在僱傭關係中,需謹慎使用同意。
3、新技術投入使用時,應當重視風險評估合規工作。形式主義的風險評估無法被監管部門認可,風險評估必須包含對處理目的必要性及相稱性的評估和說明、對數據主體權利和自由存在的風險的評估等內容。具體數據影響風險評估應該怎樣進行?怎樣的數據處理行爲應該進行數據處理評估?應該向監管部門提供哪些資料供其進行數據影響的風險評估?在此,SCA建議您仔細閱讀以下GDPR第35條 數據保護影響評估 的主要內容,已附在文末,學習更多網絡信息安全、個人數據安全合規知識歡迎諮詢SCA。
本文由SCA結合相關法律文件整理,轉載請註明出處。
附:根據瑞典數據保護局對Anderstorps 高中的處罰依據,相關GDPR法律條款原文如下:
Art. 5 (1) c) GDPR
第5條 與個人數據處理相關的原則
1、個人數據應
(c)適當、相關且以處理目的所必需的爲限(“數據最少化”原則)
Art. 9 GDPR
第9條 特殊類別的個人數據處理
1、對揭示種族或民族出身、政治觀點、宗教或哲學信仰,或工會學員資格的個人數據處理,以及用以識別特定自然人的基因數據、生物特徵數據,有關健康或有關自然人的性生活取向個人數據的處理,應被禁止。
Art. 35 GDPR
第35條 數據保護影響評估
1、當一種數據處理方式特別是使用新技術時,考量處理的性質、範圍、背景和目的,可能給自然人的權利和自由帶來高風險的,數據控制者在處理前應當對擬進行的處理行爲給個人數據保護帶來的影響進行評估。一次評估可以針對一系列呈現類似高風險的類似處理行爲。
2、進行數據影響評估時,數據控制者應該向數據保護官(如已指定)尋求意見。
3、第1款規定的數據保護影響評估在以下情形應特別必須:
(a)對自然人進行系統性和廣泛性的個人情況評估,且評估基於自動化處理(包括數據畫像),並且基於該評估做出對該自然人產生法律效力或類似重要影響的決定。
(b)大規模處理本條例第9條第1款規定的特殊列別數據,或者第10條規定的有關刑事定罪和犯罪的個人數據。
(c)對公共區域的大規模系統性監控。
4、監管機關應當建立並公佈依據第1款需要進行數據評估的處理行爲類型清單,監管機關應該就本清單與本條例第68條規定的委員會進行溝通。
5、監管機關也可以建立並公佈不需要數據影響評估的處理行爲類型清單。監管機關應該就該清單與本條例第68條規定的委員會進行溝通。
6、在採用第4款第5款的清單前,當該類清單涉及向數據主體提供商品或服務,或監管數據主體在歐盟成員國的行爲,或可能對個人數據在歐盟內自由流通產生的實質影響的處理時,有關監管機關適用本條例第63條規定的一致性機制。
7、評估應至少包括:
(a)對擬進行的處理行爲以及處理目的,包括數據控制者追求的正當利益(如適用)的系統性描述;
(b)對該處理行爲與處理目的之間的必要性和合比例性進行評估;
(c)對第1款規定的給數據主體的權利和自由帶來的風險的評估;
(d)預計應對風險的措施,包括安保措施、安全措施、個人數據保護的保障機制以及看,考量數據主體與其他相關人員的權利的正當利益,符合本條例的證明。
8、在對數據控制者和數據處理者進行的數據影響評估的過程中,相關數據控制者和數據處理者遵守本條例第40條規定的經批准的行爲準則的事實應該被慎重考量,特別是爲了數據保護影響評估的目的。
9、在不影響商業或公共利益的保護或處理行爲的安全時,數據控制者應該尋求數據主體或其代表對擬進行的處理的(意見)。
10、依據本條例第6條第1款的(c)項或(e)項的處理有對數據控制者生效的歐盟或歐盟成員國上的依據,而該法律規制了該特定處理或一系列的處理,且數據保護影響評估已因適用上述法律而作爲一般處理的一部分得以實施時,不適用第1款至第7款,歐盟成員國認爲在處理活動前進行該事先評估確有必要的除外。
11、必要時,數據控制者應該進行審查以評估處理是否符合數據保護影響評估,至少在處理行爲的風險出現變化時應當審查。
Art. 36 GDPR
第36條 事先諮詢
5、如果本條例第35條規定的數據保護影響評估顯示,如果數據控制者未採取減少風險的措施,該處理將導致高風險的,數據控制者應當在處理前諮詢監管機關。
6、當監管機關認爲第1款規定的擬進行的處理將違反本條例的特別是當數據控制者未能控制或降低風險的,監管機關應該在收到諮詢請求後不超過八週向數據控制者(以及數據處理者,如適用)提出書面建議,並可行使本條例第58條規定的權力。考慮到擬進行的處理的複雜程度,該期限內可延長6周。監管機關應該在收到諮詢請求後一個月內就任何延長期限的情況和理由通知數據控制者以及數據處理者(如適用)。
7、依據第1款向監管機關諮詢時,數據控制者應該向監管機關提供:
(a)涉及該處理的數據控制者、聯合數據控制者和數據處理者的各自責任,特別是當處理髮生在企業集團時(如適用);
(b)擬進行的處理的目的和方式;
(c)依據本條例保護數據主體的權利和自由的措施和安保措施;
(d)數據保護官的詳細聯繫方式;
(e)本條例第35條規定的數據保護影響評估;
(f)其他任何監管機關要求的信息。
8、歐盟成員國應該在提出將有議會通過的關於數據處理的立法措施議案或基於該立法的監管措施的準備期間諮詢監管機關。
9、儘管在第一款的規定,歐盟成員國法律可以要求數據控制者在其進行爲公共利益執行職務的數據處理,包括涉及數據保證和公共衛生的數據處理前,先向監管機關諮詢並取得監管機關的事先授權。