魁北克最終可能成為加拿大的伊利諾伊州——至少就其數據隱私立法的嚴肅程度而言。一個特徵Osler 律師事務所的文章探討了省隱私專員如何加強執法活動,以及信息獲取委員會 (CAI) 如何在《隱私法》下對生物特徵數據收集採取“嚴格方法”魁北克隱私法可能會影響全國范圍內的類似立法。
CAI 認為印刷公司不需要使用面部識別進行訪問控制
Osler 引用了 2024 年 9 月的一個案例,其中 CAI 對一家印刷公司的生物識別做法發起了調查,隨後發布了決定命令該公司停止使用面部識別技術進行員工訪問控制,理由是:在當時的情況下是沒有必要或不相稱的。
Osler 表示,“雖然與 CAI 過去的命令和指導一致,但該決定凸顯了使用以及魁北克省的其他生物識別技術。 ”
CAI 日益加強的執法力度伴隨著嚴厲的經濟處罰,使得違規行為的成本高昂。 “根據《魁北克隱私法》,行政罰款最高可達 1000 萬美元或全球營業額的 2%,以較高者為準。”
生物識別數據收集的目的必須是“合法、重要、真實”
魁北克隱私法分類作為個人信息的敏感類別。收集必須出於“嚴肅且合法的原因,並且僅限於該目的所需的信息”。
因此,該省對生物識別技術有獨特的備案要求:組織必須獲得明確同意,“聲明其使用生物識別技術”在使用前向 CAI 進行身份識別,並在部署前至少 60 天向 CAI 聲明創建生物識別數據庫。 ”
根據其雙管齊下的測試系統,“組織必須確定收集所追求的目標是合法、重要和真實的”,並且“收集所造成的隱私侵犯與所追求的目標相稱”。
就印刷公司而言,其對面部識別的使用未能通過測試的第一個方面,“因為它無法證明其使用面部識別的目標因為訪問控制是“真實的”或“重要的”。 ”第二個失敗了,因為員工隱私沒有得到充分最小化。
進行隱私評估,不要在證據上搞砸:奧斯勒
奧斯勒就如何保持合規性和避免來自日益頑固的隱私專員。總的來說,該指南應具體而徹底地證明生物識別系統具有“重要且真實”的目的:“一般性指控或投機性風險通常是不夠的。”
組織應該能夠證明比例性的高門檻,並記住生物識別數據的安全性與維護生物識別數據的安全性不同。。
“聲稱更有效,或者替代方案帶來假設的風險(例如,徽章共享或“夥伴打孔”)不太可能令人信服,除非有實際的、有記錄的證據支持。 ”
奧斯勒建議各組織開展隱私影響評估(PIA) 在實施生物識別系統之前證明遵守所有相關隱私義務。向 CAI 提交的演示文稿應包括包含事實和統計數據的可靠文件,以支持業務案例,並應與內部和外部利益相關者合作,考慮所有法律和監管義務。
文章主題
||||||||
