นี่คือโพสต์ของแขกรับเชิญโดย Paul Sheldon Foote และ Sumantra Chakravarty อาจารย์ด้านการบัญชีที่ California State University, Fullerton
เมื่อวันที่ 25 พฤษภาคม 2018 การบังคับใช้กฎระเบียบการคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป (EU) ใหม่ (GDPR) (GDPR) บริษัท ขนาดใหญ่และขนาดเล็ก (รวมถึง บริษัท ที่มีสำนักงานใหญ่นอกสหภาพยุโรป) ทำธุรกิจกับบุคคลในสหภาพยุโรปจะต้องเผชิญกับภาระการปฏิบัติตามกฎระเบียบที่มีราคาแพงและการคุกคามของค่าปรับและการลงโทษจำนวนมาก เมื่อวันที่ 19 มีนาคม 2561 หุ้นของ Facebook และตลาดหุ้นทั่วไปลดลงอย่างรวดเร็วเนื่องจากนักลงทุนตระหนักว่ากฎระเบียบในอนาคตที่นอกเหนือจากยุโรปอาจหมายถึงผลกำไรที่ลดลงสำหรับ บริษัท ที่จำเป็นต้องให้ลูกค้าเลือกที่จะขายหรือแบ่งปันข้อมูลส่วนบุคคล ระบบที่สอดคล้องกับ GDPR รวมถึงระบบไบโอเมตริกซ์จะเป็นการป้องกันที่สำคัญ หลาย บริษัท ดูเหมือนจะขาดระบบที่เพียงพอ
ปัญหาไบโอเมตริกซ์ในสหภาพยุโรป GDPR
เมื่อวันที่ 25 พฤษภาคม 2018 การบังคับใช้ใหม่ระเบียบการคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป(EU GDPR) เริ่มต้นขึ้น กฎระเบียบปกป้องบุคคลธรรมดาเกี่ยวกับการประมวลผลและการเคลื่อนไหวของข้อมูลส่วนบุคคล กฎระเบียบครอบคลุมข้อมูลส่วนบุคคลทุกรูปแบบ (รวมถึงข้อมูลทางพันธุกรรมสุขภาพและไบโอเมตริกซ์) ข้อมูลไบโอเมตริกซ์รวมถึงลักษณะทางกายภาพสรีรวิทยาและพฤติกรรม (บทที่ 1, บทความ 4) กฎระเบียบให้ตัวอย่างของข้อมูลไบโอเมตริกซ์: ภาพใบหน้าและข้อมูล dactyloscopic (ลายนิ้วมือ) กฎระเบียบตระหนักถึงความจำเป็นที่จะต้องมีข้อมูลไบโอเมตริกซ์เพื่อระบุบุคคลที่เป็นธรรมชาติ กฎระเบียบให้เงื่อนไขสำหรับการปกป้องข้อมูลส่วนบุคคลเช่นความยินยอมของบุคคลธรรมชาติ (บทที่สอง, บทความ 9)
ข้อมูลไบโอเมตริกซ์เป็นหมวดหมู่พิเศษของสหภาพยุโรป GDPR
EU-GDPR พิจารณาข้อมูลไบโอเมตริกซ์เมื่อใช้เพื่อวัตถุประสงค์ ID เป็นกข้อมูลหมวดหมู่พิเศษนั่นคือความอ่อนไหวมากขึ้นต้องมีการป้องกันเป็นพิเศษ GDPR บทความ 4กำหนดข้อมูลไบโอเมตริกซ์ในฐานะที่เป็น“ ลักษณะทางกายภาพทางสรีรวิทยาหรือพฤติกรรมของบุคคลธรรมดาซึ่งอนุญาตหรือยืนยันการระบุที่ไม่ซ้ำกันของบุคคลธรรมดานั้นเช่นภาพใบหน้าหรือข้อมูล dactyloscopic [การระบุลายนิ้วมือ]” การประมวลผลข้อมูลไบโอเมตริกซ์เป็นสิ่งต้องห้ามโดยข้อ 9(1) ของ GDPR แม้จะได้รับความยินยอมจากพนักงานเว้นแต่จะมีเงื่อนไขสำหรับการประมวลผลข้อมูลหมวดหมู่พิเศษแสดงอยู่ในมาตรา 9 (2) การใช้ข้อมูลไบโอเมตริกซ์เผชิญกับความท้าทายเพิ่มเติมเนื่องจากมาตรา 9 (4) อนุญาตให้ประเทศสมาชิกสหภาพยุโรป“ แนะนำเงื่อนไขเพิ่มเติมรวมถึงข้อ จำกัด ในการประมวลผล…ข้อมูลไบโอเมตริกซ์…” GDPR ใช้กับ บริษัท หลายแห่งรวมถึง บริษัท อเมริกันประมวลผลข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรป- Google กำลังเผชิญหน้ากับคดีในศาลอังกฤษในกรณีที่ผู้ฟ้องร้องสองคนที่ไม่ระบุชื่อต้องการผลการค้นหาเพื่อความเชื่อมั่นทางกฎหมายเก่าของพวกเขา“ ถูกลืม” การประชาสัมพันธ์โดยรอบการฟ้องร้องดำเนินการคำขอ“ สิทธิที่จะถูกลืม” 650,000ไปยัง Google สิ่งเหล่านี้ควรเป็นการโทรปลุกให้กับ บริษัท ในสหรัฐอเมริกาทุกแห่ง สายจนถึงเดือนกุมภาพันธ์ 2561Jason Rosen แห่ง Gigyaบริษัท SAP จากอิสราเอลได้ให้ความเห็นว่า:“ ไม่มีผลิตภัณฑ์ในตลาดที่สามารถทำให้องค์กร GDPR ของคุณเป็นไปตามมาตรฐาน”
บทลงโทษสำหรับการไม่ปฏิบัติตาม
ในขณะที่กฎระเบียบใหม่นั้นคลุมเครือและยังไม่ทดลองบทลงโทษสำหรับการไม่ปฏิบัติตามไม่ชัดเจน กฎระเบียบนี้ใช้กับทุกองค์กรที่รวบรวมหรือประมวลผลข้อมูลส่วนบุคคลของบุคคลในสหภาพยุโรปโดยไม่คำนึงถึงสถานที่ที่องค์กรมีสำนักงานใหญ่ในโลก บทลงโทษสำหรับการไม่ปฏิบัติตามอาจสูงถึง 20 ล้านยูโรหรือ 4% ของการหมุนเวียนทั่วโลก (ยอดขาย) ของปีก่อนหน้าแล้วแต่จำนวนใดจะสูงกว่า (มาตรา 83) อาจมีบทลงโทษซ้ำ ๆ สำหรับปีที่แตกต่างกันหรือสำหรับอินสแตนซ์ที่แตกต่างกัน
ระบบที่สอดคล้องกับ GDPR
บริษัท ซอฟต์แวร์หลายแห่งตอบสนองโดยประกาศข้อเสนอของระบบที่สอดคล้องกับ GDPR ระบบทั่วไปเกี่ยวข้องกับชุดเครื่องมือ ตัวอย่างเช่นกฎระเบียบรวมถึงข้อกำหนดการแจ้งเตือนและความยินยอม บริษัท หลายแห่งจะตอบสนองต่อกฎระเบียบโดยกำหนดเจ้าหน้าที่คุ้มครองข้อมูล (DPO) ผู้ตรวจสอบจะต้องตรวจสอบการใช้ข้อมูลส่วนบุคคลการยินยอม (รวมถึงการถอนการยินยอม) และการแจ้งเตือนความเป็นส่วนตัวของข้อมูล ในขณะที่ บริษัท ซอฟต์แวร์บางแห่งยอมรับการมีอยู่ของข้อมูลไบโอเมตริกซ์ในกฎระเบียบ แต่ก็มีคำอธิบายรายละเอียดเพียงเล็กน้อยเกี่ยวกับวิธีการที่ระบบของพวกเขาจะจัดการกับข้อมูลไบโอเมตริกซ์ บริษัท ซอฟต์แวร์บางแห่งอาจไม่มีระบบไบโอเมตริกซ์ใด ๆ ที่จะรวมไว้ในห้องชุด บริษัท ซอฟต์แวร์อื่น ๆ พึ่งพาพันธมิตรกับ บริษัท ซอฟต์แวร์ไบโอเมตริกซ์เพื่อให้ระบบที่สอดคล้องกับ GDPR ที่สมบูรณ์
ที่เคส Googleเกี่ยวข้องกับสิทธิ์ในการยินยอมในการประมวลผลข้อมูลและสิทธิในการถอนความยินยอม (หรือสิทธิที่จะลืม) เป็นตัวอย่างของกรณีในอนาคตที่จะปฏิบัติตามด้วยการบังคับใช้ GDPR
ระบบการปฏิบัติตามข้อกำหนดทางชีวภาพ
นี่คือการทบทวนของ บริษัท ซอฟต์แวร์บางแห่งที่เสนอระบบที่สอดคล้องกับ GDPR โดยมุ่งเน้นว่าชุดเครื่องมือซอฟต์แวร์ของพวกเขารวมถึงซอฟต์แวร์ไบโอเมตริกซ์หรือไม่
SAP ERP - โฟกัสของพนักงาน
การโพสต์ GDPR ปัจจุบันของ SAP ให้รายละเอียดเกี่ยวกับ SAP SuccessFactors HCM Suite SAP ตั้งข้อสังเกตว่าการปฏิบัติตาม GDPR จะต้องรวมข้อมูลส่วนบุคคลเกี่ยวกับพนักงานและพนักงานที่มีศักยภาพที่ได้รับการคัดเลือก สำหรับพนักงานระบบของ SAP จะรวมถึง: รายละเอียดส่วนบุคคล, ข้อมูลธนาคาร, ข้อมูลทรัพยากรมนุษย์, คุณสมบัติและรายละเอียดการศึกษา, ข้อมูลเงินเดือนและข้อมูลประกันสังคม, การเข้าถึงระบบ, การใช้ระบบและการอนุญาต ห้องชุดนี้จะถูกนำไปใช้ใน SAP Cloud ข้อมูลทั้งหมดจะถูกเข้ารหัสที่เหลือและระหว่างการส่ง
แม้ว่าพนักงานของ บริษัท กำลังให้ข้อมูลส่วนบุคคลให้กับนายจ้างของพวกเขา แต่ก็ยังคงมีคำถามเกี่ยวกับความยินยอมของพนักงานว่าบุคคลใดใน บริษัท นายจ้างหรือ บริษัท อื่น ๆ ควรอ่านและใช้ข้อมูลส่วนบุคคลส่วนบุคคล การเข้ารหัสและรหัสผ่านไม่เพียงพอ บริษัท จะต้องใช้ระบบไบโอเมตริกซ์เพื่อให้สามารถพิสูจน์ได้ว่าใครเป็นผู้เข้าถึงและประมวลผลข้อมูลส่วนบุคคลของพนักงาน
ระบบที่สอดคล้องกับ GDPR จะต้องรวมโซลูชันที่กว้างขวางสำหรับข้อมูลของลูกค้าแต่ละราย บริษัท อาจมีลูกค้าหลายล้านคนในสหภาพยุโรปและออนไลน์ในระดับสากล
SAP ERP ไม่ได้รวมอยู่ในเอกสารสีขาวชื่อหรือรายละเอียดของพันธมิตรระบบไบโอเมตริกซ์ที่ได้รับอนุมัติ: Valantic Biolock และ Fujitsu
บิโอล็อคที่กล้าหาญ
เดิมชื่อเรียลไทม์ Valantic มีสถานะพันธมิตรทองคำของ SAP เป็นเวลาหลายทศวรรษแล้วที่ SAP ได้ใช้พันธมิตรอิสระเพื่อจัดหาโซลูชั่นของบุคคลที่สาม นอกเหนือจากการใช้ลายนิ้วมือตอนนี้ Biolock ยังเป็นแพลตฟอร์มสำหรับเทคโนโลยีเส้นเลือดดำที่ไม่ปลอดภัยของ Fujitsu คุณอาจพบคำอธิบายโดยละเอียดเกี่ยวกับการปฏิบัติตามไบโอเมตริกซ์กับ GDPR บนเว็บไซต์ของพวกเขา
Palmsecure ของ Fujitsu เป็นเทคโนโลยีที่เป็นกรรมสิทธิ์โดยใช้อัลกอริทึมที่ไม่ได้เผยแพร่และลักษณะไบโอเมตริกซ์พื้นผิวย่อย EU GDPR ให้ตัวอย่างเฉพาะลักษณะไบโอเมตริกซ์ผิวเผิน: ลายนิ้วมือและการสแกนใบหน้า
ฟูจิตสึ
นอกเหนือจากชีวภาพแล้วฟูจิตสึยังให้คำแนะนำเกี่ยวกับโครงสร้างพื้นฐานข้อมูล
คำพยากรณ์
Oracle ได้แนะนำว่าการปฏิบัติตาม GDPR จะต้องมีการประสานงานของหน่วยงานขององค์กรหลายแห่งเช่น: กฎหมายทรัพยากรมนุษย์การตลาดการรักษาความปลอดภัยและไอที คุณจะต้องดูสถานที่มากมายเพื่อค้นหาข้อมูลส่วนบุคคลเช่น: ฐานข้อมูลข้อมูลที่ไม่มีโครงสร้างไฟล์ไฟล์ Mac หรือที่อยู่ IP และข้อมูลเมตา จะมีความจำเป็นในการปรับปรุงการควบคุมความปลอดภัย Oracle จัดเตรียมการเข้ารหัส 'on on' เสมอผ่านการเข้ารหัสฮาร์ดแวร์บนชิปใน CPU (ส่วนหนึ่งของโปรเซสเซอร์ SPARC ของ Oracle)
ในขณะที่ Oracle มีบริการตรวจสอบความถูกต้องทางชีวภาพ Oracle ไม่ได้พูดถึงบริการนี้ในคำอธิบายของการปฏิบัติตาม GDPR
SuperOffice - โฟกัสลูกค้า
ตรงกันข้ามกับการมุ่งเน้นไปที่พนักงานของ SAP SuperOffice เน้นถึงความสำคัญของการปฏิบัติตามกิจกรรมการตลาด บริษัท อาจมีลูกค้ามากกว่าที่พวกเขามีพนักงาน แคมเปญการตลาดอาจรวมถึงอีเมลโทรศัพท์และการเยี่ยมชม บาง บริษัท ใช้แคมเปญอ้างอิงเพื่อน ด้วย GDPR ปัญหาจะกลายเป็นข้อมูลส่วนบุคคลที่คุณเก็บหรือประมวลผลในระบบของคุณ หนึ่งในตัวอย่างที่จัดทำโดย SuperOffice คือการเรียกเก็บค่าปรับในปี 2014 กับ Flybe เพราะ Flybe ได้ส่งอีเมลถึง 3.3 ล้านคนที่ไม่ได้โปรโมตการตลาดด้วยอีเมล: 'รายละเอียดของคุณถูกต้องหรือไม่'
บทสรุป
เพื่อให้เรื่องแย่ลงประเทศสมาชิกของสหภาพยุโรปจะพัฒนากฎหมายและการลงโทษโดยละเอียดที่สอดคล้องกับ GDPR ของสหภาพยุโรป การรับรู้ข้อมูลไบโอเมตริกซ์อย่างชัดเจนในกฎระเบียบชี้ให้เห็นว่าวิธีสำคัญในการเพิ่มการปกป้องข้อมูลส่วนบุคคลคือการใช้ประโยชน์จากระบบไบโอเมตริกซ์มากขึ้น ในขณะที่ บริษัท ซอฟต์แวร์บางแห่งตอบสนองโดยเสนอชุดเครื่องมือสำหรับการปฏิบัติตามกฎระเบียบของ GDPR รายละเอียดของห้องสวีทเกี่ยวข้องกับพนักงานหรือลูกค้า เครื่องมือไบโอเมตริกซ์มีความสำคัญอย่างยิ่งต่อการป้องกันการจัดเก็บและการประมวลผลข้อมูลส่วนบุคคลที่ไม่ซ้ำกัน ในการประเมินตัวเลือกของคุณในการทำให้ระบบของคุณเป็นไปตามมาตรฐาน GDPR คุณต้องยืนยันว่า บริษัท ซอฟต์แวร์อธิบายคุณภาพของเครื่องมือไบโอเมตริกซ์ที่นำเสนอในห้องสวีทของพวกเขา
เมื่อวันที่ 19 มีนาคม 2561 หุ้นของ Facebook และตลาดหุ้นร่วงลงหลังจากที่นักลงทุนตระหนักว่าประเทศอื่น ๆ อาจใช้กฎระเบียบที่คล้ายกัน กฎระเบียบเหล่านี้อาจรวมถึงการกำหนดให้ บริษัท ต่างๆในหลายประเทศกำหนดให้ลูกค้าเลือกที่จะอนุมัติการขายหรือแบ่งปันข้อมูลส่วนบุคคลของลูกค้า สิ่งนี้จะมีผลกระทบอย่างมากต่อความสามารถในการทำกำไรของหลาย บริษัท
ข้อจำกัดความรับผิดชอบ: บล็อก BiometricUpdate.com จะถูกส่งเนื้อหา มุมมองที่แสดงในบล็อกนี้เป็นของผู้แต่งและไม่จำเป็นต้องสะท้อนมุมมองของ biometricupdate.com
