魁北克最终可能成为加拿大的伊利诺伊州——至少就其数据隐私立法的严肃程度而言。一个特征Osler 律师事务所的文章探讨了省隐私专员如何加强执法活动,以及信息获取委员会 (CAI) 如何在《隐私法》下对生物特征数据收集采取“严格方法”魁北克隐私法可能会影响全国范围内的类似立法。
CAI 认为印刷公司不需要使用面部识别进行访问控制
Osler 引用了 2024 年 9 月的一个案例,其中 CAI 对一家印刷公司的生物识别做法发起了调查,随后发布了决定命令该公司停止使用面部识别技术进行员工访问控制,理由是:在当时的情况下是没有必要或不相称的。
Osler 表示,“虽然与 CAI 过去的命令和指导一致,但该决定凸显了使用以及魁北克省的其他生物识别技术。”
CAI 日益加强的执法力度伴随着严厉的经济处罚,使得违规行为的成本高昂。 “根据《魁北克隐私法》,行政罚款最高可达 1000 万美元或全球营业额的 2%,以较高者为准。”
生物识别数据收集的目的必须是“合法、重要、真实”
魁北克隐私法分类作为个人信息的敏感类别。收集必须出于“严肃且合法的原因,并且仅限于该目的所需的信息”。
因此,该省对生物识别技术有独特的备案要求:组织必须获得明确同意,“声明其使用生物识别技术”在使用前向 CAI 进行身份识别,并在部署前至少 60 天向 CAI 声明创建生物识别数据库。”
根据其双管齐下的测试系统,“组织必须确定收集所追求的目标是合法、重要和真实的”,并且“收集所造成的隐私侵犯与所追求的目标相称”。
就印刷公司而言,其对面部识别的使用未能通过测试的第一个方面,“因为它无法证明其使用面部识别的目标因为访问控制是“真实的”或“重要的”。”第二个失败了,因为员工隐私没有得到充分最小化。
进行隐私评估,不要在证据上搞砸:奥斯勒
奥斯勒就如何保持合规性和避免来自日益顽固的隐私专员。总的来说,该指南应具体而彻底地证明生物识别系统具有“重要且真实”的目的:“一般性指控或投机性风险通常是不够的。”
组织应该能够证明比例性的高门槛,并记住生物识别数据的安全性与维护生物识别数据的安全性不同。。
“声称更有效,或者替代方案带来假设的风险(例如,徽章共享或“伙伴打孔”)不太可能令人信服,除非有实际的、有记录的证据支持。”
奥斯勒建议各组织开展隐私影响评估(PIA) 在实施生物识别系统之前证明遵守所有相关隐私义务。向 CAI 提交的演示文稿应包括包含事实和统计数据的可靠文件,以支持业务案例,并应与内部和外部利益相关者合作,考虑所有法律和监管义务。
文章主题
||||||||
