แม้แต่เทมเพลตไบโอเมตริกซ์ที่มีการเข้ารหัสก็อยู่ภายใต้การควบคุมการป้องกันข้อมูลทั่วไปของยุโรปและจะต้องได้รับการคุ้มครองเพิ่มเติมสมาคมชีวภาพแห่งยุโรป-
EAB หันไปพิจารณาว่าการออกกฎหมาย GDPR และการตัดสินใจของศาลหมายถึงเทมเพลตไบโอเมตริกซ์ก่อนที่จะปิด 'การประชุมเชิงปฏิบัติการเกี่ยวกับการคุ้มครองข้อมูลไบโอเมตริกซ์ภายใต้ GDPR' ด้วยการอภิปรายตามคำถามจากชุมชน
ที่ส่วนแรกของการประชุมเชิงปฏิบัติการคำอธิบายที่โดดเด่นของมาตรฐานการปกป้องข้อมูลไบโอเมตริกซ์และวิธีการเข้ารหัสที่สามารถใช้เพื่อให้สอดคล้องกับพวกเขาโดย Udo Mahlmeister, Patrick Grother และ Florian Hahn
Els Kindt of the Biometric Law Lab ที่ศูนย์ไอทีและกฎหมาย IP(Citip), Ku Leuven นำเสนอมุมมองทางกฎหมาย
GDPR กำหนดแนวคิดที่เป็นที่ยอมรับและกำหนดไว้อย่างดี Kindt กล่าวและปริมาณของกฎหมายกรณีที่สามารถดึงได้เพิ่มขึ้น คำศัพท์ทางชีวภาพที่เป็นประโยชน์นั้นมีให้โดยมาตรฐาน ISO/IEC 2382-37: 2022
GDPR ไม่ได้ใช้กับข้อมูลที่ไม่ระบุชื่อ, หมายเหตุ Kindt, ในขณะที่การระบุชื่อนามแฝงได้รับการแก้ไขโดยตรงในกฎหมาย มันบอกเป็นพิเศษว่าข้อมูลเพิ่มเติมที่สามารถใช้ในการระบุบุคคลจะต้องจัดเก็บแยกต่างหากจากข้อมูลนามแฝง
“ ข้อมูลส่วนบุคคล” เป็นหมวดหมู่ที่การใช้งานชีวภาพส่วนใหญ่ถูกควบคุมภายใต้ GDPR “ การระบุตัวตน” เป็นแนวคิดหลักในการทำความเข้าใจว่า GDPR ใช้กับไบโอเมตริกซ์ได้อย่างไร
การพิจารณาว่าบุคคลนั้น“ สามารถระบุตัวตนได้” จากข้อมูลเฉพาะนั้นต้องใช้ฐานการประเมินใน“ วิธีการทั้งหมดที่มีแนวโน้มที่จะใช้อย่างสมเหตุสมผล” ตาม Recital 26 ซึ่งถูกแยกออกมาเพื่อความสำคัญก่อนหน้านี้ในการประชุมเชิงปฏิบัติการโดย Mahlmeister ซึ่งรวมถึงวิธีการที่อาจใช้โดยทั้งตัวควบคุมข้อมูลและบุคคลอื่น ๆ
กฎหมายกรณีที่เกี่ยวข้องกับหน่วยงานคุ้มครองข้อมูลทำให้ชัดเจนว่าแม้ข้อมูลเช่นที่อยู่ IP แบบไดนามิกจะนับเนื่องจากอาจรวมกับข้อมูลจากแหล่งข้อมูลอื่นเพื่อระบุบุคคล ไม่ใช่ข้อมูลทั้งหมดที่จำเป็นในการระบุความจำเป็นของแต่ละบุคคลโดยส่วนเดียวกันเพื่อให้ข้อมูลสามารถระบุได้
รูปภาพนับเป็นข้อมูลไบโอเมตริกซ์ในทุกขั้นตอนของการประมวลผลตามมาตรฐาน ISO แต่กฎระเบียบบางอย่างจาก DPAs ขัดแย้งกับคำจำกัดความนี้
คำแนะนำเพิ่มเติมจาก DPAs ชี้ให้เห็นว่าเทมเพลตไบโอเมตริกซ์ถือเป็นข้อมูลส่วนบุคคลในกรณีส่วนใหญ่
เทมเพลตที่เก็บแยกต่างหากจากชื่อของแต่ละบุคคลหรือข้อมูลที่มีความสัมพันธ์อื่น ๆ จึงได้รับการจัดการภายใต้ GDPR เป็นข้อมูลส่วนบุคคลที่ใช้นามแฝง ในเวลาเดียวกันฟังก์ชั่นแฮชเค็มไม่ได้ทำให้เป็นไปไม่ได้ที่เทมเพลตจะกลับด้านเพื่อกู้คืนภาพต้นฉบับ
ตัวระบุที่ไม่สามารถย้อนกลับได้ไม่สามารถเชื่อมโยงและเพิกถอนได้นั้นได้รับการปกป้องที่ดีกว่า แต่ก็ยังไม่“ ไม่ระบุชื่อ” ตามการตัดสินใจของหัวหน้างานคุ้มครองข้อมูลยุโรปจากปี 2011 Kindt ชี้ให้เห็น
ในที่สุด Kindt ตีความข้อมูลไบโอเมตริกซ์ที่เข้ารหัสแบบทางเดียวเป็นนามแฝงและได้รับการปกป้องโดย GDPR ซึ่งหมายความว่าข้อมูลสามารถใช้สำหรับการระบุหรือการตรวจสอบรวมถึงการวิจัย แต่เฉพาะในกรณีที่ได้รับการคุ้มครองในลักษณะที่สอดคล้อง
แผงมองเห็นความเสี่ยงในสมมติฐานและช่องทางด้านข้าง
จากนั้น Kindt ก็เข้าร่วมคณะกรรมการกับ Patrick Grother, Florian Hahn และ Agnidipto Tarafder จาก Jindal Global University ในอินเดียเพื่อการอภิปรายเกี่ยวกับ GDPR และการป้องกันเทมเพลตไบโอเมตริกซ์ การพูดคุยนั้นได้รับการดูแลโดย Mahlmeister และ Catherine Jasserand แห่ง Citip
เทมเพลตที่สอดคล้องกับ IEEE-2410 นั้นสอดคล้องกับ GDPR ภายใต้เงื่อนไขบางประการ Jasserand กล่าว แต่ขึ้นอยู่กับข้อมูลอื่น ๆ ที่สามารถเชื่อมโยงกับพวกเขาโดยผู้ถือข้อมูลและบุคคลที่สาม
ฮาห์นตั้งข้อสังเกตว่าสมมติฐานที่บางครั้งเทมเพลตไบโอเมตริกซ์ได้รับการพิจารณาว่าไม่ระบุชื่ออาจไม่ถือเนื่องจากวิธีการช่องทางด้านข้างในการระบุบุคคล
เขาชี้ให้เห็นว่าความเป็นส่วนตัวที่แตกต่างและการยอมรับความแน่นอนที่ต่ำกว่าโดยการใช้เครื่องมือเช่นตัวกรอง Bloom สามารถช่วยแนะนำการไม่เปิดเผยตัวตน แต่ด้วยการแลกเปลี่ยนที่อาจไม่ได้รับการพิจารณาว่าเป็นที่น่าพอใจสำหรับกรณีการใช้งานที่หลากหลาย
สำหรับตอนนี้ตัวควบคุมข้อมูลไบโอเมตริกซ์สามารถใช้แฮชทางเดียวเพื่อรักษาข้อกำหนดสำหรับการป้องกันความเป็นส่วนตัวแม้ว่าการทำเช่นนั้นจะไม่ได้ปลดปล่อยพวกเขาจากความรับผิดที่อาจเกิดขึ้น
การอภิปรายยังสัมผัสหัวข้อรวมถึงความสัมพันธ์ระหว่างคำศัพท์ในการตัดสินใจทางกฎหมายกับข้อกำหนดที่ใช้ในมาตรฐานทางเทคนิคและมาตรฐานสามารถช่วยในการประเมินแนวคิดเช่นการเชื่อมโยงได้หรือไม่
ระหว่างระยะเวลาที่จำเป็นในการประมวลมาตรฐานทางเทคนิคและที่ระบบกฎหมายดำเนินการในการตีความกฎหมายธุรกิจจะต้องนำทางความไม่แน่นอนเกี่ยวกับสิ่งที่ถือเป็นการคุ้มครองที่สอดคล้องกับเทมเพลตไบโอเมตริกซ์ของยุโรป
EAB สำรวจวิธีการปฏิบัติตามคำสั่ง GDPR สำหรับการป้องกันเทมเพลตไบโอเมตริกซ์
หัวข้อบทความ
เทมเพลตไบโอเมตริกซ์-ไบโอเมตริกซ์-ความเป็นส่วนตัวของข้อมูล-การป้องกันข้อมูล-คนที่มีความสุข-สหภาพยุโรป-สมาคมชีวภาพแห่งยุโรป-GDPR
