根據歐洲一般數據保護法規,即使是使用加密保護的生物識別模板也必須進一步保護。歐洲生物識別協會。
EAB轉向考慮GDPR立法和法院的決定對生物識別模板的意義,然後再關閉其“根據社區問題的問題,對GDPR保護生物識別數據的研討會”進行了討論。
這車間的第一部分對生物識別數據保護標準和加密方法的特色說明,這些方法可用於遵守Udo Mahlmeister,Patrick Grother和Florian Hahn。
Els的生物特徵法實驗室IT和IP法中心(CITIP),Ku Leuven提出了法律觀點。
Kindt說,GDPR提出了一些良好的和定義的概念,並且可以藉鑑的判例法的數量正在增加。 ISO/IEC 2382-37:2022 Standard也提供了有用的生物識別詞彙。
GDPR不適用於匿名數據,Kindt指出,而法律中直接解決了化名。它特別規定,可以使用用於識別個人的其他信息必須與化名數據分開存儲。
“個人數據”是根據GDPR調節生物識別技術的大多數用途的類別。根據Kindt的說法,“可識別性”是理解GDPR如何應用於生物識別的關鍵概念。
根據Redital 26的說法,從特定數據確定一個人是否可以從特定數據中“可識別”,需要對“所有可能使用的所有手段”進行評估基礎,這是Mahlmeister早期在研討會上的重要性而挑出的。這包括數據控制器和其他各方都可以使用的手段。
涉及數據保護機構的案例法明確表示,即使是動態IP地址等數據,也可以將其與其他來源的信息結合使用以識別個人。並非所有確定個人需要持有的信息都需要識別數據所需的所有信息。
Kindt指出,根據ISO標準,圖像在處理的任何階段都被視為生物特徵數據,但DPA的某些調節與此定義相矛盾。
DPA的進一步指導表明,在大多數情況下,生物識別模板被認為是個人數據。
因此,模板與個人的名稱或其他關聯數據分開存儲,因此被以gdpr作為化名的個人數據處理。同時,即使是鹹的哈希功能也不能使模板不可能逆轉以恢復原始圖像。
Kindt指出,根據2011年歐洲數據保護主管的決定,不可逆轉,不可鏈接和可撤銷的標識符得到了更好的保護,但仍然沒有“匿名化”。
最終,Kindt將單向加密的生物識別數據解釋為假名,因此受GDPR的保護。這意味著數據可用於識別或驗證以及研究,但只有以合規的方式保護。
面板看到假設和側通道的風險
隨後,印度金德爾全球大學的帕特里克·格羅斯(Patrick Grother),弗洛里安·哈恩(Florian Hahn)和阿格尼迪普托·塔拉夫德(Agnidiptipto Tarafder)加入了小組討論,以討論有關GDPR和生物識別模板保護的小組討論。 Citip的Mahlmeister和Catherine Jasserand主持了演講。
Jasserand說,符合IEEE-2410的模板符合GDPR,但取決於數據持有人和第三方可以將哪些其他信息鏈接到它們。
哈恩指出,由於側向通道的識別方法,有時認為生物識別模板下的假設可能無法匿名。
他建議,通過應用諸如Bloom過濾器之類的工具來幫助引入匿名化,但由於對各種用例不滿意的權衡,差異隱私和接受較低的確定性可能有助於引入匿名化。
目前,生物識別數據控制器可以實施單向哈希,以保持對隱私保護的要求,即使這樣做並不能使他們免於潛在的責任。
討論還觸及了主題,包括與技術標準中使用的術語以及標準是否可以幫助評估諸如可連接性之類的概念的術語之間的術語之間的關係。
在編纂技術標準所需的時間長度和法律制度在解釋法律方面所需的時間之間,企業將不得不圍繞哪種構成符合歐洲生物識別模板的保護的不確定性。
