英國生物識別非營利組織Simprints概述了其在網絡研討會上負責生物特徵部署的想法,為組織建立了一份指南,以成功地將生物識別技術與最小的摩擦相結合。
在標題為'的演講中我們如何負責任地部署技術,''詹姆斯·伊頓·李(James Eaton-Lee)是Simprint的隱私,負責數據和風險的總監,揭露了非營利組織對生物識別技術的負責使用的觀點。他列出了原則性的方法,例如“不傷害”,基於權利的方法,安全的編程,遵守國家立法,以及其他良好實踐和技術標準,例如NIST。
Simprint與非洲各個團體合作,以提供其生物識別技術,主要在醫療保健中, 包括疫苗接種計劃。
對於其他組織,伊頓·李(Eaton-Lee)為他們如何負責任地使用生物識別技術提出了藍圖。他建議他們從確保通過設計,流程,技能和能力來確保他們擁有正確的隱私方法。他經歷了一種方法的重要性,該方法強調預測,預期和計劃純粹是合規或預防方法。
“您的組織不太可能實現任何目標至關重要的目標,而無需將其中一些事情嵌入您的工作中,並記錄您如何做到這一點,以跨越計劃,交付,日落,日落並產生生活的書面輸出,從而捕捉您的決策,風險評估,您採取的步驟,以及您如何諮詢您的維持者。”
他說,從那裡開始,它涉及考慮資助,有記錄的方法以及風險管理方法,以設計為安全的過程,能力和資金。
在組織了解他們對方法和記錄的理解之後,他說下一步是在他稱之為問題識別的過程中找出如何將乾預措施與技術匹配。在這裡要問的問題將圍繞詢問確保生物識別技術非常適合該問題,例如是否需要重新識別;確定合適的人有多重要;生物識別在社會上可接受的程度;以及組織是否具有使其運作的金錢,時間和能力?
伊頓·李(Eaton-Lee)說,有些合作夥伴對生物識別技術可以做什麼或好處沒有清楚的了解。 “它們是一項非常強大的技術,但同樣,在尚未成功實施的情況下,你們中的許多人都有生物識別技術的經驗。”這意味著組織必須確保身份證明的價值以及是否值得。
他說,一旦完成問題確定,下一步就是為業務需求選擇合適的產品和合適的合作夥伴或供應商。伊頓·李說,了解最合適的方式是關鍵,因為它們具有不同的成熟度和用例,因為使用生物識別技術進行識別和驗證之間存在關鍵差異。要詢問的其他問題包括是否必須將生物識別技術集成到其他系統中,或者組織是否需要後端數據分析或更廣泛的支持和能力建設。
然後,該組織必須考慮圍繞數據,例如資金,設計,建築,維護,員工,權利和違規,分析和破壞基礎設施的資金,建築,維護,員工,權利和違規行為。他敦促對角色和雙重證實是否最初可行,這是清楚的。
然後,Eaton-Lee總結了GDPR及其為利益相關者設定的角色。他說,個人並沒有真正擁有GDPR的所有數據,如果該組織與脆弱的社區和團體合作,則可能會有“公開共享合法的數據,但仍然可能使人們處於危險之中”。為了防止這些問題,他敦促可以訪問正確的法律模板和工具,以共享“共同控制器”之類的數據,以使利益相關者的責任正確。
他說,也有重要的重要性,即生物識別技術背後的背景,就像民間社會的觀點,社區的脆弱性,民間理解和透明度一樣。他補充說,應該對此進行早期評估,以構成運營考慮因素以及隱私工具和加密等技術選擇等操作方面的基礎。
為了管理數據,他說要考慮您存儲數據的信託,控制,安全,安全和遵守數據,無論是用戶控制,本地託管還是雲。雖然他說組織應採用雲,但應將數據存儲與用例相匹配。伊頓·李(Eaton-Lee)警告不靈活,並說是誰做什麼。他說,雲存在棘手的問題,因為“非洲因雲的存在而遭受了嚴重的影響。”
考慮到收集數據的人,伊頓·李(Eaton-Lee)說,在可能的情況下提供選擇並告知他們數據收集目的,與您合作的人以及其數據的長期使用。
他說:“沒有有意義的社會解決,安慰信息和選擇的混合在一起,您的實施不太可能成功。”如果您不提供代理商,尊嚴和乾預,他說替代方案可能會生氣或脫離參與者。 Simprint提供的是與參與者進行的對話,從實時分析來重新評估其流程,而不是交易模型。
他說,負責任地收集數據的方法至少應該有一種嵌入公平和平等的方法,從而產生生活產出。這可能包括記錄數據所在的設計,揭示項目結束時發生的情況,進行法律和道德分析以及創建隱私影響評估。
伊頓·李(Eaton-Lee)也認可具有安全要求的人,儘管GDPR在這種實施方面含糊不清。他說,該組織應該詢問他們是否有信息安全管理系統,是否通過編程設計嵌入安全性並預測威脅。
他敦促具有威脅模型的威脅,獲得供應商的盡職調查(例如可共享的供應商政策,安全開發生命週期,風險評估材料以及ISO等獨立認證),以及保留技術的密碼技術和隱私技術。他說,詢問供應商的問題尤其重要。
為了保護生物識別數據,Eaton-Lee提出了諸如令牌化和模板保護,同型和常規加密等想法,以及存儲數據的不同模式,例如分佈式或用戶控制的存儲。
最後,伊頓·李(Eaton-Lee)深入研究了數字邊界的問題。由於GDPR對歐洲以外的個人數據的移動施加了一些限制,就像其他法律一樣,他說,這會造成行政上的頭痛和風險,與將數據保持在邊界內也會產生風險。可以通過最大程度地減少收集的數據,有好奇心和預測以及詢問您需要收集的內容來避免這種情況。此外,選擇一個可以幫助做出正確決定並儘早寫下風險評估文件的供應商。他總結說,對於大型素數,機構捐助者或機構資助者,這是一項需要仔細考慮的政策。他說,這對於非政府組織通常面臨數據癲癇發作的問題至關重要。
網絡研討會基於Simprint在2021年末的演講ID4AFRICA RIVECAST。
文章主題
最佳實踐|生物識別數據|生物識別技術|數據保護|數據存儲|數字身份|身份管理|設計的隱私|負責的生物識別技術|Simprints|標準
