墨者防御联盟-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

防cc攻击_高防ip怎么用_优惠券

03-14 WEB安全

2018年5月,欧盟《通用数据爱护条例》(GDPR)正式生效。此后,法国对Google开出了高达5千万欧元的罚单,以为其服务条款不够透明,DDoS防护,违背了取得用户“有效接受”的原则。瑞典数据监管机构也根据该条例对一所高中开出罚单,以为使用人脸识别记录出勤违背了“必要性原则”。

据统计,截至2020年1月,欧盟各国数据监管机构接到的违规举报超过16万件,而各国开出的罚单总金额达1.14亿欧元。

GDPR被誉为“史上最严格数据爱护法”,CC防御,也阻碍了其后多国的数据立法,包括中国刚不久出台的《个人信息爱护法(草案)》。但面对更为敏感的生物识别数据,比如人脸数据,GDPR仍存在局限性。比如,它未能覆盖“数据生命全周期”,原始数据采集过程中的风险性就被大大低估了。

本文节选自纽约大学AI Now研究中心报告“Regulating Biometrics:Global Approaches and Urgent Questions”(生物识别技术监管:全球举措及关键咨询题)的第四章。为便于理解,我们对原文举行了必要的补充和修改。

2004年,欧盟颁布了一项法律,要求各成员国在公民的护照和旅行文件中存储面部图像和指纹信息。大约并且,欧盟建立了一具大型数据库,涵盖申根地区所有寻求庇护者和申请签证者的生物识别数据。

不大会儿,生物识别的应用在公共部门和私人企业得到了进一步扩张,用于操纵人流、公司的电子门禁,以及校园监控。技术的优越性得到了欧洲委员会的承认,但后者提醒,生物识别数据应被视为“敏感”信息,它包含个人的健康状况、种族等敏感信息,能识别人的身份,能轻易与其他信息扣连,且不可更改。

面对上述风险,法律层面的监管一度“缺位”,不管是普通意义上的数据爱护法,依旧大多数国家的立法,都未有特意针对生物识别数据使用和处理的具体规定。技术开辟和应用的并且,法律相对滞后。

为弥补其间差距,一些国家的数据爱护监管机构开始制定生物识别数据的使用框架。比如,强调数据的敏感性、数据库维护的风险性,以及 “功能潜变”(编者注:function creep,即出于某一特定目的采集的数据被用于其他目的)的大概性,还包括使用目的和手段之间是否相称(编者注:proportionality,相称性原则,即需考察为达成某一目的,是否有必要采纳生物识别技术)。可是,这些法案在实际操作时留下了诸多不确定空间。

2016年,欧盟推出了《通用数据爱护条例》(General Data Protection Regulation,下文简称GDPR),适用于各成员国,涵盖了生物识别数据在公共和私人领域的应用。此外,欧盟还经过了《数据爱护执法指令》(Data Protection Law Enforcement Directive,下文简称DP LED),特意针对执法部门,当执法者需为预防、监控、调查或起诉犯罪行为使用个人数据时,需遵守该指令。

4f0d-keyancx7889281

DLA Piper律师事务所统计了2018年5月至2020年1月期间,各国数据监管机构根据GDPR所做出的判罚,其中,荷兰、德国、英国位列数据泄露案件数的前三位。图片来源:DLA Piper统计报告。

欧盟怎么监管生物识别数据?

GDPR和DP LED首次对生物识别数据作出定义:“与自然人的身子、生理或行为特征相关、经特定技术处理而产生的个人数据,这些个人数据可用于确认该自然人的独特身份,如面部图像或皮肤(指纹)数据。”

值得注意的是,对“特定技术处理”(specific technical processing)的强调排除了那些存储和保留在数据库中的“原始”数据,如视频监控拍到的人脸或录音,以及用户公布在网站、社交媒体上的原始信息。

此外,GDPR提及,“照片处理不应被系统地视为处理特殊类别的个人数据……”私人的视频片段也不被视作生物识别数据,除非它通过特殊技术处理,能够识别出个人。

尽管GDPR规定,禁止“以唯一识别为目的举行生物特征数据处理”,但这项禁令仍存在很多例外。比如数据“明显公开”,或“出于重大公共利益的目的”。这些“例外事情”大量存在,含糊不清,实际上,GDPR允许了特别多场景下生物识别数据的处理和技术应用。作为一具基础性框架,GDPR也提及,各个成员国能够引入进一步的法规或禁令。

而DP LED则对执法机关使用生物识别数据提出了限制,惟独在以下三种事情下执法机关能够使用生物识别数据:获得了法律授权、爱护关键利益,或处理已被数据主体公开的数据。

当新技术的应用“大概导致高风险”时,或大规模处理特定类型的个人数据时, GDPR和DP LED要求启动“数据爱护阻碍评估”(Data Protection Impact Assessments, DPIA)。此外,当公共部门系统性监控某个可公开进入的区域时,同样需要启用这种评估。

“数据爱护阻碍评估”是一具综合性评估,包括数据处理的风险性、必要性,以及目的与手段是否相符。某些事情下,当私人机构或公共部门想要使用生物识别技术时,他们需要事先向当地或本国的数据监管部门问,DDoS防护,获得许可。

c901-keyancx7891652

英国信息委员会办公室(Information Commission Office)列出的“数据爱护阻碍评估”的差不多步骤,其中包括向有关部门问、评估必要性、评估手段与目的是否相符、风险评估、思量落低风险的手段等。ICO表示,该评估应先于技术的应用。图片来源:ICO官网

此外,生物识别数据的处理和技术应用需尊重公民的差不多人权和自由,当隐私权或个人数据爱护权受到侵害时,与人权相关的法律框架也会被启用。

以下各节概述从这些监管尝试中获得的要紧经验教训,讨论了它们的有效性,并重点介绍了今后监管应吸取的经验。

含糊的定义:原始数据在采集时期的风险性被大大低估

GDPR和DP LED中,生物识别数据被定义为“通过特定技术处理”的数据,(编者注:由于过多强调数据的处理环节)。在采集和存储环节,除了获得用户接受、满脚必要性等原则之外,相较于其他普通意义上的个人数据,生物识别数据并不享有更高级别的爱护。

正因这样,生物识别数据在采集环节的风险性被大大低估了。一些理应受到爱护的敏感数据由于尚未被处理编者注:即尚不符合GDPR对生物识别数据的定义),而无法被爱护。这一点尤为关键,非常在执法部门使用时,透明度受限,数据大概在不通知有关个人或公众的事情下使用。这是GDPR和DP LED法律文本中的漏洞,公司和政府能够收集大型图像数据库,这些数据将来大概用于执法目的。

19bc-keyancx7893354 (1)

2020年,Clearview AI公司引发了巨大争议,经过一张人脸信息就能够识别出其身份和电子脚迹,这也让更多人意识到现有法律框架的局限。图片来源:Clearview AI官网。

这也与欧洲人权法院的判例法相违背,后者一再强调,从数据库中捕获、收集和储存人类特征信息的做法影响了个人私日子被尊重的权利。此前,英国人Gaughran就将英国政府告上欧洲人权法庭,(编者注:2008年Gaughran因酒驾被捕,在警局留下了照片、指纹和DNA信息。其DNA样本在2015年被销毁,但其DNA资料、指纹信息和照片仍被无限期保留在警方记录中。Gaughran将英国告上法庭,要求警方销毁个人数据或退还给自个儿。)欧洲人权法院将人脸识别和面部特征比对等技术思量在内,最后来判决“保留申请人的DNA档案、指纹和照片等构成了对他私日子的干扰。”

更恰当的定义应能为人类特征数据提供法律爱护,这些数据可用于身份识别目的,或可供自动化识别过程,

法规还应对数据的存储提出限制

。我们尝试提出另一种生物识别数据的定义:所有满脚以下条件的个人数据:(a)直截了当或间接与人类独特的生物或行为特征有关的数据;(b)可使用或可经过自动化手段使用的数据;(c)可用于身份识别、身份验证或验证自然人主张的数据。”

生物识别“禁令”的含糊性

现有的法律未能对不同的生物识别系统举行区分,也未能对不同的数据处理方式设置针对性规范。例如,尽管GDPR的第9.1条列出了一些禁止使用和处理的规定,但它并没有区分“一对一” 的“验证”(编者注:1:1,比如经过电子门禁时,确认进入者身份)和“一对多”的“识别”。

目前,欧洲委员会和很多国家的数据监管部门表示,验证比识别的风险性小,因为验证不需要数据库。

一对多的身份识别存在额外的风险,包括在数据库中大规模收集和存储生物识别信息、基于概率的匹配(这引起了人们对准确性和误报的担忧),以及对隐私监视的担忧。但GDPR和DP LED并未区分这两种功能,这也造成了技术开辟者的顾虑,关于希翼投资生物识别验证技术和隐私增强想法的公司来讲,这些操作存在法律上的不确定性。

恰当的监管应该更积极地区分不同处理方式的风险性差异,禁止那些构成真正风险的技术,鼓舞那些有大概提供真正隐私和安全爱护的功能。

啥是“例外事情”?

最终,法律中朦胧的“例外事情”也存在漏洞,为一些高风险的技术使用方式打开了大门。

GDPR对“例外”的定义极为宽泛,允许基于“重大公共利益”举行生物识别数据处理(编者注:由于未对“重大公共利益”举行具体界定,它会成为一具宽泛的“筐”)。

由于对“例外”事情的界定笼统宽泛,目前尚不清晰其是否可作为授权公共部门或私人机构部署人脸识别技术的法律根据(例如,在大型体育场活动中)。GDPR和DP LED无法回答这些咨询题的,还需要制定更针对性的法律。

版权保护: 本文由 主页 原创,转载请保留链接: http://heikesz.cooou.com/web/42774.html


QQ客服

400-0797-119