面部验证是指“一对一”匹配。它涉及判断一张面部是否与单个生物识别模板匹配。 面部识别是指“一对多”匹配。它涉及判断一张面部是否与数据库中的任何生物识别模板匹配。
必要性和相称性(APP 3)——仅当在特定情况下必要且相称时,且当目的无法通过隐私侵扰程度较低的方式合理实现时,才可收集用于FRT的个人信息。 同意和透明度(APP 3和5)——需要主动向个人提供充分的通知和信息,以便他们能够就收集其信息提供有意义的同意。 准确性、偏见和歧视(APP 10)——组织需要确保FRT中使用的生物识别信息是准确的,并需要采取措施解决任何偏见风险。 治理和持续保障(APP 1)——决定使用FRT的组织需要制定明确的治理安排,包括有效实施的隐私风险管理实践和政策,并确保它们得到定期审查。
面部验证是指“一对一”匹配。它涉及判断一张面部是否与单个生物识别模板匹配。例如,iPhone Face ID。 面部识别是指“一对多”匹配。它涉及判断一张面部是否与数据库中的任何生物识别模板匹配。面部识别越来越多地被执法机构用于通过比较数据库中的面部来识别未知的犯罪嫌疑人。
设计隐私 必要性和相称性 同意和透明度 准确性和偏见 治理和持续保障
收集个人信息的主要目的 个人信息将如何在组织的功能或活动中被使用,以及 组织是否可以在不收集该个人信息或收集较少个人信息的情况下执行该功能或活动。
FRT系统在解决相关活动或行为方面的适用性 可用于解决相关活动或行为的替代方案 使用FRT系统与所实现的成果是否相称。组织需要权衡收集敏感信息和持有这些信息对隐私的影响,与使用FRT系统所带来的好处。
高质量的闭路电视监控 部署安保人员,包括隐蔽安保人员 培训员工处理安全和安保问题,以及 与执法机构紧密合作。
收集生物识别信息对于执行特定功能或活动而言是否合理必要?“合理必要”取决于对隐私的干扰是否与一个正当目标相称。需考虑的因素包括:收集信息的主要目的是什么?生物识别信息在执行功能或活动时将如何被使用、存储和保护?你是否可以在不收集生物识别信息的情况下执行该功能或活动?目的是否可以通过侵入性较小的方式实现?你是否考虑了其他替代方式?你是否已经确定并评估了好处和隐私风险?要实现的好处是否明显超过隐私风险,为什么? 使用FRT是否有明确的公共利益?例如,为了减轻或防止对公共健康或安全的严重威胁。 个人在这种情况下是否会合理地预期使用FRT?使用FRT是否会导致不公正的负面影响,如不公正歧视?
个人在给予同意前已充分了解情况 个人自愿给予同意 同意是当前和具体的,以及 个人有理解和传达其同意的能力。[9]
你将如何保持透明并向个体提供通知,以确保他们能够做出知情同意? 你是否已根据APP 5.2的要求向个体提供了所需信息? 你将如何告知个体,他们的面部图像可能或将会被纳入FRT系统的参考数据库,或受其影响? 个体是否有便捷的途径对生物识别信息的收集和使用提出投诉或疑问?你的隐私政策应说明个体如何提出投诉。 你是否考虑了同意的四个关键要素? 如何从有特殊需求的个体(如非英语背景的个体和儿童)那里获得同意? 如果生物识别信息来源于第三方,该第三方是否合法收集了这些信息,并有权向你披露? 如果个体不同意收集其生物识别信息或撤回同意,是否有替代流程可供使用,且不会对个体造成不利影响?
个人信息的敏感性 持有个人信息的组织的性质 如果不能保证个人信息的质量,可能对个体产生的不良后果。在收集、使用或披露“敏感信息”(如FRT中使用的生物识别数据)时,需要采取更严格的步骤。
采取措施确保参考数据库由准确且最新的信息组成 对准确性进行试验和定期测试 在数据质量实践方面尽到尽职调查义务 清晰传达FRT系统在准确性方面的任何局限性
漏报(假阴性)——未能识别出面部在参考数据库中的个体 误报(假阳性)——将两个不同个体的面部匹配为同一人
你是否采取了适当且严谨的步骤来检查FRT系统是否产生了准确的结果? 你制定了哪些策略来管理和减轻与假阴性和假阳性相关的风险? 你对FRT的准确性进行了哪些尽职调查?例如,如果你依赖第三方的FRT系统,你是否已了解其技术有效性和统计准确性? 在使用FRT系统之前,你是否已实施措施来减轻对不同人口群体的偏见、歧视和不公平待遇的风险?
在信息收集、使用、披露、存储、销毁和去标识化的每个阶段,制定识别和管理隐私风险的程序 建立清晰且稳健的治理机制,以确保遵守APPs,如指定隐私官员并定期向组织的治理机构报告 定期对员工进行关于APPs如何适用于组织及其根据APP 1.2制定的实践、程序和系统的培训,并发布信息公报 对经常处理个人信息的员工进行适当的监督,并加强对组织APP 1.2实践、程序和系统的执行 制定一个主动审查和审计计划,以评估组织隐私政策的充分性和时效性,以及根据APP 1.2实施的实践、程序和系统的充分性和时效性,包括处理咨询和投诉的程序。[20]
FRT系统如何收集、使用、持有和披露个人信息 可使用FRT系统的情形 对工作人员访问FRT系统和参考数据库的控制 将图像纳入参考数据库以及对其进行审查的流程 评估真阳性和假阳性的流程 任何收集到的生物识别信息的保留和销毁协议 处理投诉的流程 对相关工作人员的培训要求 审查FRT系统有效性并实施相关政策的系统
如何评估隐私风险管理做法和政策的有效性?
您是否制定了明确的流程,以确保您根据法定义务处理个人和敏感信息?
您是否为员工提供有关隐私、风险管理及其他做法和政策的培训?培训应记录在案并定期举行,以使员工了解最新的隐私问题。
您是否明确规定了员工应如何处理个人和敏感信息?
是否存在报告机制,以确保员工能够及时了解做法和政策的变更?
您是否定期审查和更新隐私政策,以确保其反映您的信息处理做法?
对面部识别技术(FRT)是否有足够的人力控制或监督?
您是否定期对使用FRT的有效性和必要性进行审计?
考虑到FRT快速发展的步伐,隐私风险管理做法和政策是否具有灵活性和适应性,以应对技术的变化?
您是否制定了数据泄露准备和响应计划,以便在发生网络安全事件时可以依靠?如果您依赖第三方托管的FRT系统,请考虑谁将负责满足法定要求。例如,如果生物识别信息由双方共同持有,那么在发生数据泄露时,谁将负责遵守《应报告数据泄露方案》和处理投诉?
是否有流程允许个人轻松访问和更正其个人信息?您必须在请求提出后的合理期限内对更正请求作出回应。在大多数情况下,合理期限不会超过30个自然日。如果您依赖第三方托管的FRT系统,您是否已获得足够的信息来为您的隐私风险管理做法和政策提供依据?
