魁北克最终可能最终成为加拿大的伊利诺伊州 - 至少在其立法数据隐私方面的认真程度上。一个特征来自OSLER律师事务所探讨了省级隐私专员如何拨打其执法活动,以及如何“严格的方法”委员会D'Accès -L'Information(CAI)将其授予根据生物识别数据收集魁北克隐私法可以在全国范围内影响类似的立法。
CAI认为面部识别访问控制不需要打印公司
奥斯勒(Osler)从2024年9月开始引用了一个案件,其中CAI对印刷公司的生物识别实践进行了调查,随后发布了决定命令公司停止使用面部识别技术进行员工访问控制,理由在这种情况下没有必要或相称。
奥斯勒说:“虽然与CAI的过去命令和指导一致,但该决定强调了使用的高法律门槛以及魁北克的其他生物识别技术。”
CAI对执法的味道日益增加,这是经济上的严厉处罚,这使得违规是昂贵的主张。 “根据《魁北克隐私法》,行政货币罚款最多可达到1000万美元或全球营业额的2%,以更大的为准。”
生物识别数据收集的目标必须是“合法,重要和真实的”
《魁北克隐私法》分类作为敏感的个人信息类别。收集必须是出于“严重而合法的原因,并且仅限于为此目的所需的信息。”
因此,该省对生物识别技术有独特的申请要求:组织必须明确同意:“声明他们对为了在使用之前识别CAI的目的,并在部署前至少60天向CAI宣布创建生物识别数据库。”
根据其两管齐下的测试系统,“组织必须确定该收藏的目标是合法,重要和真实的”和“藏品侵犯隐私的侵犯与所追求的目标是成比例的。”
就印刷公司而言,其对面部识别的使用失败了测试的第一个插脚,“因为它无法证明其目的是使用对于访问控制是“真实的”或“重要”。”它的第二次失败,理由是员工隐私不足以最小化。
进行隐私评估,并且不要在证据上进行证据:OSLER
奥斯勒有关于如何维持合规性和避免的建议来自越来越多的隐私专员。通常,指导是要具体而彻底的,以证明生物识别系统具有“重要而真实的”目的:“普遍的指控或投机风险通常不足。”
组织应该能够证明相称性的高阈值,并请记住,生物特征数据的安全性与维护的安全性不同。
“声称这一点更有效,或者替代方案构成假设的风险(例如,徽章共享或“伙伴拳”)不太可能令人信服,除非得到实际的,有记录的证据的支持。”
奥斯勒建议组织进行隐私影响评估(PIA)在实施生物识别系统以证明符合所有相关隐私义务之前。向CAI的演讲应包括与事实和统计数据有关业务案件的强大文件,并应与内部和外部利益相关者合作考虑所有法律和法规义务。
文章主题
|||||||
