魁北克最終可能最終成為加拿大的伊利諾伊州 - 至少在其立法數據隱私方面的認真程度上。一個特徵來自OSLER律師事務所探討了省級隱私專員如何撥打其執法活動,以及如何“嚴格的方法”委員會D'Accès -L'Information(CAI)將其授予根據生物識別數據收集魁北克隱私法可以在全國范圍內影響類似的立法。
CAI認為面部識別訪問控制不需要打印公司
奧斯勒(Osler)從2024年9月開始引用了一個案件,其中CAI對印刷公司的生物識別實踐進行了調查,隨後發布了決定命令公司停止使用面部識別技術進行員工訪問控制,理由在這種情況下沒有必要或相稱。
奧斯勒說:“雖然與CAI的過去命令和指導一致,但該決定強調了使用的高法律門檻以及魁北克的其他生物識別技術。”
CAI對執法的味道日益增加,這是經濟上的嚴厲處罰,這使得違規是昂貴的主張。 “根據《魁北克隱私法》,行政貨幣罰款最多可達到1000萬美元或全球營業額的2%,以更大的為準。”
生物識別數據收集的目標必須是“合法,重要和真實的”
《魁北克隱私法》分類作為敏感的個人信息類別。收集必須是出於“嚴重而合法的原因,並且僅限於為此目的所需的信息。”
因此,該省對生物識別技術有獨特的申請要求:組織必須明確同意:“聲明他們對為了在使用之前識別CAI的目的,並在部署前至少60天向CAI宣布創建生物識別數據庫。”
根據其兩管齊下的測試系統,“組織必須確定該收藏的目標是合法,重要和真實的”和“藏品侵犯隱私的侵犯與所追求的目標是成比例的。”
就印刷公司而言,其對面部識別的使用失敗了測試的第一個插腳,“因為它無法證明其目的是使用對於訪問控制是“真實的”或“重要”。”它的第二次失敗,理由是員工隱私不足以最小化。
進行隱私評估,並且不要在證據上進行證據:OSLER
奧斯勒有關於如何維持合規性和避免的建議來自越來越多的隱私專員。通常,指導是要具體而徹底的,以證明生物識別系統具有“重要而真實的”目的:“普遍的指控或投機風險通常不足。”
組織應該能夠證明相稱性的高閾值,並請記住,生物特徵數據的安全性與維護的安全性不同。
“聲稱這一點更有效,或者替代方案構成假設的風險(例如,徽章共享或“夥伴拳”)不太可能令人信服,除非得到實際的,有記錄的證據的支持。”
奧斯勒建議組織進行隱私影響評估(PIA)在實施生物識別系統以證明符合所有相關隱私義務之前。向CAI的演講應包括與事實和統計數據有關業務案件的強大文件,並應與內部和外部利益相關者合作考慮所有法律和法規義務。
文章主題
|||||||
