会議やその他の対面式のイベントが、データ保護に関する必要なデューデリジェンスを行わずにヨーロッパの参加者に顔認識を強要しようとしていることに注意してください: グローバル接続業界の主催者 shindig, モバイル・ワールド・コングレス 毎年バルセロナで開催される (MWC) は、2021 年版のショーでプライバシー規則に違反したとして、スペインのデータ保護監視機関から 20 万ユーロ (約 22 万 4,000 ドル) の罰金を科されました。
8ページで 決断 (スペイン語の PDF) MWC の主催者である GSMA による、侵害認定に対する控訴を棄却し、 Agencia Española de Protección de Datos (AEPD) は、一般データ保護規則 (GDPR) の第 35 条に違反していると結論付けました。これは、データ保護影響評価 (DPIA) を実行するための要件を扱っています。
侵害の発見は、GSMA が実装した顔認識システム (BREEZZ と呼ばれる) を含む、ショーの参加者に関する GSMA による生体認証データの収集に関連しています。スタッフへのドキュメント。
2021 年のことを思い出してください。モバイル業界のイベントが開催されたのは、COVID-19 のパンデミックに関連して、対面でのイベントへの参加に対する懸念がまだ高まっていた時期でした。 それは、MWCの主催者がその年の夏に物理的な会議を進めることを止めたわけではありません.ショーの通常のタイミングより数か月遅れ、過去数年よりもはるかに少ない出展者と参加者で容赦なくスリム化された形で.
実際、MWC 2021 に直接参加した登録者は 20,000 人未満 (正確には 17,462 人) で、GSMA が AEPD に開示した情報によると、そのうち 7,585 人が実際に顔認識システム BREEZZ を使用して会場にアクセスしました。 大多数は、身分証明書の手動チェックの代替手段を選択したようです。 (とはいえ、MWC 2021 はパンデミックの最中に (まだ) 開催されていましたが、GSMA は仮想出席も提供し、会議セッションはリモートの視聴者にストリーミングされました。そのような出席には ID チェックは必要ありませんでした。)
GDPR に戻ると、この規則では、人々のデータの処理が個人の権利と自由に高いリスクをもたらす状況では、DPIA を積極的に実施する必要があります。 ふ一方、顔認識技術は生体認証データの処理を伴います。生体認証データは、個人の識別に使用され、GDPR では特別なカテゴリのデータとして分類されます。 これは、識別のためのバイオメトリクスの使用が、事前の評価を必要とするこのタイプの高リスク カテゴリに必然的に分類されることを意味します。
この評価では、提案された処理の必要性と比例性を考慮し、リスクを調べ、特定されたリスクに対処するための想定される対策を詳述する必要があります。 GDPR は、データ管理者がリスクの高い処理の堅牢かつ厳密な事前評価を実施することに重点を置いています。そのため、AEPD が GSMA が第 35 条に違反していることを発見したという事実は、この点に関して必要なデューデリジェンスを行ったことを証明できなかったことを示しています。
実際、規制当局は、決議によると、GSMA の DPIA は「単なる名目上のもの」であると判断し、データ処理の「実質的な側面」を調査できなかったと述べました。 また、リスクや、実装されたシステムの比例性と必要性を評価しませんでした。
「決議の結論は、 [DPIA] その本質的な要素を熟考しないものは、効果的ではなく、目的を達成するものでもありません」とAEPDは付け加え、GSMAのDPIAはGDPRの要件を満たしていなかったという見解を確認しました [NB: this is a machine translation of the original Spanish text].
AEPD の決議の詳細:
の [GSMA’s DPIA] ドキュメントは、その目的に関する処理操作の必要性と比例性の評価を欠いています。 イベントへのアクセスのための顔認識の使用、GDPR の第 35 条 (1) で言及されているデータ主体の権利と自由に対するリスクの評価、およびリスクに対処するために想定される措置 (セーフガード、セキュリティ対策、および個人データの保護を確実にし、GDPR への準拠を実証するためのメカニズム。データ主体およびその他の影響を受ける人々の権利と正当な利益を考慮に入れます。 また、パスポートと ID カードのデータも記載されています。 モッソス デスクアドラ [local police] これには目的があるとされており、ソフトウェアで撮影した写真と関連付けて、顔認識プロセスを開始し、身元を照合してアクセスを容易にします。
AEPD の決議における GSMA の DPIA の説明は、GSMA が適切な評価を実施できなかっただけでなく、ショーの参加者のパスポート/EU ID 文書を収集するためのセキュリティ上の正当化を提供したことを示唆しています。身元審査の出席者のための「厳格なプロセス」を実施します。
また、ID アップロード プロセスの一環として、顔データの生体認証処理に同意することを参加者に要求したようです。オンライン登録のコンテキストでの身元確認の目的で提供され、会場へのアクセスの目的でMWCバルセロナに提供されます。」
GDPR は、同意が有効な法的根拠となる明確な基準を設定しているため、これは重要です。 したがって、同意を強制することはできません。 (顔の生体認証などの機密データを処理するための同意には、法的に処理される明示的な同意のハードルがさらに高くなります。)
機密性の高い生体認証データをアップロードすることに関して会議参加者の自由な選択がなかったため、GSMA のデータ処理に対する苦情が、デジタル ウェルネスの講演者であるアナスタシア デデュキナ博士によって AEPD に提出されました。 MWC 2021. 数年後、GSMA が現在認可されているのは彼女の不満です。
「合理的な理由を見つけることができませんでした」と彼女は説明した リンクトインの投稿 先週遅く、彼女が苦情を公表したとき、MWC 出席者が ID 文書をアップロードするという GSMA による不釣り合いな要求であると彼女が感じたことについて話し合った。 「彼らのウェブサイトでは、本人確認のために ID/パスポートを持参することもできると示唆されていましたが、私は気にしませんでした。 しかし、主催者は、パスポートの詳細をアップロードしない限り、ライブ イベントに参加することはできず、仮想的に参加する必要があると主張し、最終的には参加することになりました。」
彼女の苦情の共同執筆者である技術者のアダム・レオン・スミスも、それについて次のように書いています。 リンクトインの投稿 — その中で、彼は次のように警告しています。
スミス氏は訴状で提起された懸念について、TechCrunch に次のように説明しています。 しかし、オプトアウトは実際には不可能であることが明らかになりました。 第二に、技術を管理している会社は、EU 外のベラルーシにありました。 これは、苦情を申し立てた時点で公開されていた情報です。 この技術を提供している ScanViz のウェブサイトに香港の住所が掲載されているようです。」
「AEPD は、MWC に内部のプライバシー評価文書を要求することができ、それが時代遅れで不十分であることを確認できました。 AEPD の決定は、主にそれに焦点を当てています」と彼は言いました。 「MWCはそのリスクと影響の評価を非常に慎重に行う必要があると思いますが、他に特定の救済策はありませんでした。」
スペインのデータ保護規制当局の決議は、生体認証処理に関する GSMA の法的根拠が有効であったかどうかに影響を与えるものではありませんが、これは DPIA が不十分であることが判明したことの結果に過ぎない可能性があるとスミス氏は示唆しています。つまり、より完全な技術的評価を決定した可能性があります価値がありません。
「彼らが顔認識技術の使用を放棄したとしても、私は驚かないだろう」と彼はGSMAについて示唆した. 「この種の技術の適用は、最新の草案ではリスクの高いカテゴリに分類されます。 [EU] つまり、独立した第三者による何らかの形の適合性評価が必要になるということです。」
GSMA は、AEPD のペナルティについてコメントを求められましたが、執筆時点では回答がありませんでした。
この苦情に関する AEPD の管理プロセスはこの決議をもって終了しますが、GSMA は、法的な上訴を通じて結果に異議を申し立てることができることに注意してください。 オーディエンス ナシオナル (スペイン国立高等裁判所)。
スミスが指摘するように、ズームアウトすると、次期汎EU AI法は、今後数年間でAIのアプリケーションを規制するためのリスクベースのフレームワークを導入する予定です。
2021年に委員会によって提案されたこの法案の草案には、公共の場所での顔認識などの遠隔バイオメトリクスの使用の禁止が含まれており、これが最終版になった場合、実装に関する規制リスクが確実に高まります将来の自動検証チェック。 (それに加えて、国会議員は 遠隔生体認証の禁止をさらに強化することを推進.) そして、データ プロセッサがリスク デュー デリジェンス (または、実際には、そのような機密データ処理に対して有効な法的根拠を持つという厳格な要件) に対してずさんなアプローチをとる既存の GDPR リスクに加えて、.
GSMA は、MWC の出席者に顔の生体認証に基づく自動 ID チェック オプションを提供し続けています (今年と昨年の両方)。 そのため、GDPR 制裁に照らして、プライバシーの開示を修正するか、MWC 2024 の登録プロセスを変更するかが注目されます。 (そして、将来的にショーで生体認証ベースの自動IDチェックオプションを提供し続ける場合は、技術サプライヤーが完全にEU内にあることを確認することをお勧めします。)