許慧瑩
2019年10月04日
全球個人資料外洩、資安事件、身分竊盜(identity theft)層出不窮,在近期達到前所未有的驚人數量。依據統計,駭客攻擊與人為因素為事情發生的主要原因,要如何保護實體環境與資訊的安全成為個人、產業或公務機關最為關心的議題。
傳統控管人類常使用密碼管控近用權,近來,因為生物特徵識別資料(包含生理特徵與行為特徵)的獨一性,各界開始流行以生物特徵識別資料取代密碼,指紋、虹膜、掌紋、靜脈紋、臉型等為常見的生理特徵;敲擊鍵盤、說話、步態、簽名與認知等模式為常見可供分析的行為特徵。隨著連網影像裝置與技術的普遍使用,與臉部影像取得的便利性,舉凡手機解鎖、ATM身份辨識、警察使用臉部辨識進行犯罪偵查等,臉部辨識成為除指紋之外,各界大量開始使用之生物特徵識別資料。
今年(2019年),瑞典一家高中因進行臉部辨識系統點名測試,被瑞典資料保護機關(Data Protection Authority, 以下簡稱DPA)在八月處以200,000 瑞典克朗(約$21,000美金)罰金,成為《一般資料保護規則》(General Data Protection Regulation, GDPR)全面施行後首度於瑞典因違反GDPR開罰的案例。該事件緣於Skellefteå市鎮教育局發現學校老師每年年要花上約17,000小時點名確認學生之出缺勤,為了讓老師們能把時間用於教學,經過討論後決定使用臉部辨識系統使點名更有效率。遂於2018年秋選定當地某高中22位學生做為期三星期之使用臉部辨識系統記錄出缺勤的監控,教育局表示該測試進行前均有先行取得學生父母的同意。測試完畢後,市鎮教育局對於測試結果相當滿意,認為使用臉部辨識技術相當安全(fairly safe),且考慮將擴大使用。對此,瑞典DPA不認同Skellefteå市鎮的看法,表示雖然這只是個測試,但該高中已經違反GDPR數項規定,包含當事人同意、學校是否為公開場所、比例原則的適用,及為完成資料保護影響評估。
本案刷臉點名因涉及生物特徵識別資料,屬於特種個人資料的處理,原則不允許,除非符合GDPR第9條第二項之規定。對此,雙方並無爭議。再者,該學校主張在測試進行前,均已於事前取得各該學生父母的同意,但DPA認為該同意並非有效同意,因就學生與學校間的關係來說,因學生與學校間有依賴關係,該同意的給予於資料當事人與資料管理者(data controller)間的關係並不平衡。另外,雖然Skellefteå市鎮辯稱學校為「公開」(public)的場所,但瑞典DPA認為,學校某些部分可能為所謂「公開」場所,但是學生在進入教室之後,對於教室內部還是具有某程度的隱私期待。在比例原則的適用,瑞典DPA認為,為促進出缺勤監控的效率,應該有對於資料當事人更少侵害(less intrusive)的作法,而不須透過影像蒐集生物辨識資料,使用臉部辨識系統點名。因該測試涉及生物辨識資料的處理,但瑞典DPA卻未見Skellefteå市鎮對此遵循GDPR第35條所規定之資料保護影響評估(Data Protection Impact Assessment),且於測試前並未諮詢瑞典DPA與取得其批准。
最近台灣亦有數間學校試辦多項與臉部辨識相關的服務,應用於借書、點名、與門禁館等,該新聞事件值得作為借鏡。我國雖對於生物特徵識別資料之敏感性有所認知並趨於共識,與生物特徵識別資料相關的法規,更有「個人生物特徵識別資料蒐集管理及運用辦法」、「執行外來人口入出國(境)辨識個人生物特徵作業要點」等,但實務上多為移民相關。再者,「個人資料保護法」未對於生物特徵識別資料有個別明文的定義;甚至,有論者以為我國「個人資料保護法」在法律仍未明文規定,特種(敏感性)個資應僅限於第六條所規範之病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料範疇。對於個人生物特徵識別資料之蒐集處理利用為急需處理之必要;再者,有關影像結合生物辨識裝置的使用是否合於資料當事人之合理預期;影像裝置所取得之影像是否符合資料當事人自行公開或已合法公開之要素,以及在影像結合生物辨識技術應用情境所謂「公開」定義之重新評估;如影像將歸類於特種個資,影像取得與後續辨識技術的應用是否經資料當事人「有效同意」;影像結合生物特徵資料是否可為合目的的使用或其他使用可能,以及影像資料之去識別與去識別後提供應用等議題,尚待進一步的釐清。在我國積極爭取GDPR適足性與各項修法,是否會將生物特徵識別資料納入,讓我們拭目以待。
於此同時,歐盟資料保護委員會(European Data Protection Board, EDPB)注意到影像裝置與生物特徵識別技術的廣泛使用,於2019年公布「使用影像裝置處理(process)個人資料之指引草案」,以確認生物辨識技術的使用遵循GDPR (一般資料保護規則),使與影像相關之個人資料處理更具規範性參考。
備註
- 歐盟注意到生物特徵識別資料為個人屬性的資料,在《一般資料保護規則》(General Data Protection Regulations, GDPR)於修法後新增生物特徵識別資料(biometric data),且鑒於生物特徵識別資料之高度個人屬性,將其納入特種個資加以規範。於第4 (14)條定義「生物特徵識別資料」為:透過特定技術處理所得,且允許或確認具特定識別性之個人身體、生理或行為特徵資料,例如臉部影像或指紋鑑識資料。進一步於GDPR第9(1)條之規定,在處理(processing)用以識別自然人之生物特徵識別資料時(biometric data for the purpose of uniquely identifying a natural person),原則必須予以禁止,除非具有GDPR第9條其他各款之正當化事由,與符合相關規定時,始得為之。
- 歐盟於2020年1月發布「使用攝錄影裝置設備處理個人資料之指引」(Guidelines 3/2019 on Processing of Personal Data Through Video Device, Version 2.0)。
資料來源
- Sweden’s First GDPR Fine Goes to a High School Piloting Facial Recognition Attendance, GIZMODO, Aug. 27, 2019, https://gizmodo.com/swedens-first-gdpr-fine-goes-to-a-high-school-piloting-1837616893 (last visited Oct. 4, 2019).
- Facial Recognition: School ID Checks Lead to GDPR Fine, BBC, Aug. 27, 2019, https://www.bbc.com/news/technology-49489154 (last visited Oct. 4, 2019).
- 《一般資料保護規則》(General Data Protection Regulation, GDPR), https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679 (last visited Oct. 4, 2019).
延伸閱讀
- Report: EU Commission to Clamp Down on Facial Recognition, PCMAG, Aug. 22, 2019, https://www.pcmag.com/news/370336/report-eu-commission-to-clamp-down-on-facial-recognition (last visited Jan. 25, 2020).
- 生物辨識,台權會,https://www.tahr.org.tw/issues/privacy/biometric (last visited Jan. 25, 2020).
- EDPB, Guidelines 3/2019 on processing of personal data through video devices (version for public consultation), July. 10, 2019, https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_201903_videosurveillance.pdf (last visited Jan. 25, 2020).
作者
中央研究院法律學研究所 許慧瑩
本研究感謝「符應社會歸責之資料二次使用隱私框架」計畫與「資訊法中心」支持