不列顛哥倫比亞省信息和隱私專員辦公室(BC)通過評論儘管根據卑詩省的私營部門個人信息保護法(PIPA),但一些私營部門許可的酒和大麻零售商一直在收集個人生物識別數據,而沒有足夠的隱私管理計劃或文件隱私政策。
合規性審查是在幾個媒體故事和有關該行業收集,使用和披露個人信息的收集,使用和披露之後進行的。
OIPC說,零售商應該做更多的事情來保護客戶和員工的生物識別數據隱私,並為酒類和大麻零售商提出18條建議,以建立和維護隱私管理計劃。
“除了發現大多數零售商需要做更多的事情以遵守卑詩省的隱私法,我們還發現,少數零售商向員工,客戶或兩者兼而有之的生物識別信息,”卑詩省專員Michael McEvoy說。 “拇指打印掃描儀記錄了當天簽名的人員,並且將面部識別軟件用作監視系統的一部分只是其中的一些例子。除非有特殊情況要考慮,否則未授權使用卑詩省大麻和酒類商店使用面部識別技術,而且我已經表明,這種做法應該立即停止。”
卑詩省有執照的私營部門酒和大麻零售商有權通過默示同意或獲得法律授權,通過視頻監視收集個人信息,但是必須確保為保護人們提供必要的保障措施和標牌。
發現一項零售商的工資單計劃利用生物識別指標掃描儀,以便員工在輪班的開始和結束時進出。一家酒零售商報告了使用FRT軟件首先由Silverpoint在其至少一家商店中實施。零售商將其位置和財產的安全性作為收集生物識別信息的目的。 OIPC表示,由於面部生物識別技術的不變性以及通過FRT創建的面部向量的敏感性,捕獲不參與刑事犯罪的個人與潛在地協助執法部門獲得的少數人所獲得的利益成正比。
使用FRT,即使是融合熱溫度掃描儀或視頻監視系統的人,也不應使用從商店進入或行走的每個人收集敏感的生物識別信息,實際上OIPC建議零售商立即停止使用面部識別技術。
OIPC建議零售商指定某人負責確保組織符合PIPA;制定書面政策;並監控合規性並進行風險評估,以了解安全保障措施是有效的。 OIPC說,零售商可以通過獲取個人信息持有量的清單來確保他們正在保護個人信息,因為在大多數情況下,收集此敏感的個人信息將無法獲得授權。此外,應在很高的水平上審查使用生物識別技術的授權請求,並且使用應是合理的。
報告稱,應為卑詩省的私營部門酒類和大麻零售商以及考慮購買能夠衡量生物識別的設備的任何零售商必須確保獲得適當的法律授權以收集信息的基礎數據隱私管理系統或政策。
