介绍:
目前,我国个人信息保护立法正在进行中。 与欧盟《通用数据保护条例》(GDPR)相比,国外对俄罗斯联邦现行隐私保护立法尝试以及已出现的多个版本的隐私保护法律文本的研究还不足【部分草案的翻译,参见:,以及】。 本系列文章试图进一步填补这一空白。
遵循本公众号一贯的风格,本系列文章将避免理论介绍,而是按主题对各种法律文本中的概念和制度设计进行分析和研究。 核心目的是为我国各级立法和监管提供参考。 本系列发表的文章:
过去一年,人脸识别在国外引起了广泛关注。 除美国外网站隐私策略模板,国外对此的专门立法很可能是一个大问题。 为此,本文密切关注马来西亚联邦隐私保护立法中对“生物识别信息”的定义和保护规定。 继续一一分析。
《2020 年消费者数据隐私和安全法案》
本法所称生物识别信息,是指通过特定技术处理个人的身体、生物、心理、遗传、行为特征后能够识别个人身份的信息。 (术语“生物识别信息”是指通过与个人的物理、生物、生理、遗传或行为特征相关的特定技术处理而产生的、可识别个人的信息。)
在该法中,生物特征信息被归类为个人敏感信息的一种。 对于个人敏感信息,本法提出的保护规则是:
一年内收集或处理超过10,000人的个人敏感信息即可视为小型企业(smallbusiness);
收集或处理敏感个人信息需要明确同意;
企业完成处理目的后,应当删除或者去标记个人敏感信息,并应当要求其使用的服务提供者也删除或者去标记个人敏感信息;
若新隐私政策有实质性变更,在个人重新明确同意之前不得处理个人敏感信息;
如果每年收集或处理个人敏感信息超过10万人,公司应任命一名隐私保护官;
如果每年收集或处理的个人敏感信息超过10万人,企业应在收集或处理个人敏感信息之前,或者在实质性改变个人敏感信息的处理方式之前,对所涉及的个人敏感信息的性质和数量进行评估,并收集或处理行为可能对个人造成的损害(即隐私影响评估PIA的要求)。
在该法案中,“处理”的定义包括:分析、组织、构建、保存、使用、披露、传输、共享、转让、出售、许可等,除收集之外的所有行为。
在该法案中,对小企业的优惠主要体现在个人数据主体权利的实现上。
《2019 年在线隐私法》
该法案没有给出生物识别信息的定义,但具体对遗传信息做出了详细规定。 第 209 条规定如下:
受监管实体不得收集、处理、持有或披露遗传信息网站隐私策略模板,但以下目的除外:
1.为个人提供医疗服务或体检,并可能收集、处理、持有、披露个人的基因信息;
2.与遗传信息的医疗利用、既往利用、人群利用相关的研究和服务,涉及遗传信息公开的,应当同时满足以下三个条件:
3、【依法设立的隐私保护机构】负责人通过制定规则所明确的目的; 在制定规则时,应综合考虑收集、处理、持有、披露基因的潜在隐私损害和潜在利润;
4. 遵守联邦刑事调查的要求或命令。
在该法案中,遗传信息被定义为——任何个人的以下信息: 1) 个人基因检测的结果; 2)个人家庭成员基因检测结果; 3)家庭成员患病或体弱时的个人临床表现。 但不包括性别和年龄。
第 209 节。 限制歌曲网络信息。
(a) 一般性规定——适用实体不得出于以下目的以外的任何目的收集、处理、维护或披露遗传信息:
(一)向其遗传信息被收集、处理、保存或者披露的个人提供医疗或者检测;
(2) 与遗传信息的医学、历史或人口用途相关的研究和服务,如果在披露遗传信息的情况下——
(A) 此类遗传信息仅披露给主任确定的合格研究实体;
(B) 与此类遗传信息一起披露的其他个人信息仅限于可能产生预期利益的最可能范围; 和
(C) 所涵盖的实体通过合同义务限制可与所披露的遗传信息和个人信息一起处理的其他类型的个人信息。
(3) 局长根据法规规定的目的,考虑到此类收集、处理、维护或披露的潜在隐私危害和潜在利益; 或者
(4) 遵守联邦刑事调查请求者命令。
(b) 遗传信息的定义。—在本节中,术语“遗传信息”具有 2008 年遗传信息非歧视法案 (42U.SC2000ff) 第 201 节中给出的术语的含义。
(c) 服务提供商安全港。如果服务提供商按照所涵盖实体的指示行事且不是所涵盖实体的一半,并且有理由相信所涵盖实体,则该服务提供商不应因违反本节而承担责任。实体的指示符合本节的规定。
《数据隐私法》
该法并未对生物特征信息进行定义,将“与个人健康、生理、心理、生物特征、性、遗传信息有关的信息”纳入个人敏感信息的范围。
对于敏感个人信息,法案提出的保护规则是——在收集和披露敏感个人信息之前,需要征得个人自愿同意(选择不同意)。
《隐私权法案》
该法案没有定义生物识别信息。 但对生物特征信息提出以下安全保护要求:
FTC在制定规则时应严格禁止受监管实体将个人信息用于不合理目的,包括:
《消费者在线隐私权法案》
在该法案中,生物识别信息有以下定义:个人的身体、生物、心理、遗传、行为特征(包括指纹、声纹、虹膜或黄斑扫描、面部扫描或模板、脱氧内质网核苷酸(DNA)信息、步态) )来处理所获得的信息。
当书写样本、签名、照片、录音、人口统计数据或身体特征(例如臂展、体重、头发颜色或鼻子颜色)不用于识别个人独特的生物、身体或心理特征时,它们不包括在内在生物识别信息的范围内。
(3) 生物识别信息。——
(A) 总则。“生物特征信息”一词是指通过对个人的生物、物理或生理特征进行测量或特定技术处理而生成的任何涵盖数据,包括——
(i) 指纹;
(ii) 声纹;
(iii) 虹膜视网膜扫描;
(iv) 面部扫描分类模板;
(v) 脱氧核糖核酸(DNA)信息; 和
(六)步态。
(B) 排除——此类条款不包括书写样本、书面签名、照片、录音、人口统计数据或身高、体重、头发颜色、或眼睛颜色等身体特征,前提是此类数据不用于此目的识别个体独特的生物、物理或生理特征。
该法案对生物特征信息保护提出的主要要求是:
严格的数据处理限制,包括严格禁止处理生物特征信息,除非有合理理由怀疑个人参与犯罪活动;
严格的外部数据传输限制,包括严格禁止外部传输生物识别信息,除非是为了履行法律义务,或者为了改进、行使或捍卫法律主张;
严格的透明度义务,包括以易于访问的形式披露具体的数据处理和外部传输活动。
《2020 年数据保护法》
首先,“敏感个人信息的使用”包括生物识别信息的处理。 根据该法案,“使用敏感个人信息”构成“高风险数据行为”。
第三,以识别个人身份为目的而处理生物特征信息也构成“高风险数据行为”。
针对“高风险数据行为”,该法案提出了以下安全保护要求:
1. 法律设立的新隐私保护机构对高风险数据行为负有以下责任:
2.对于“非常大的覆盖实体”,即年收入超过2500万欧元; 年收入50%以上来自出售个人信息; 订购、接收、出售、披露超过5万条个人、家庭或设备个人信息),新建隐私保护机构有权要求其对高风险数据进行事前影响评估和事后审计实践
2019 年美国消费者数据隐私法案
就本法而言,生物特征信息定义如下:
(A) 指个人的生理、生物或行为特征(包括 DERN),这些特征可以单独使用或相互结合使用或与其他识别数据结合使用以完成个人身份; 和
(B) 包括——
(i) 虹膜、视网膜、指纹、脸部、手、手掌、静脉图案和录音的图像,可以从中提取标识符模板,例如背部纹理、细节模板或声纹; 和
(ii) 击键模式或节奏、步态模式或节奏以及睡眠、健康或锻炼数据,包括识别信息。
(3) 生物识别信息。——术语“生物识别信息”——:
(A) 指个人的生理、生物或行为特征,包括脱氧核糖核酸,这些特征单独使用或相互结合或与其他识别数据结合使用,以确定个人身份; 和
(B) 包括——
和
(ii) 击键模式节奏、步态模式节奏以及包含识别信息的睡眠、健康或锻炼数据。
该法案提出了生物识别信息的安全保护要求:
同时,在该法案中,生物识别信息属于个人敏感信息的一种。 因此,本法提出的个人敏感信息保护要求也适用于生物识别信息,包括:
概括
从目前的分析来看,可以得出以下初步观察:
1、美国联邦隐私保护法草案中,提出了生物识别信息的专门定义。 定义的核心是:对个体的身体、生物、心理、遗传、行为特征进行处理后能够识别个体的信息。
2、生物识别信息一般被认为是个人敏感信息,或者属于个人敏感信息,享有较高级别的保护。 鉴于生物识别信息在实际场景中主要用于认证或识别,此类处理行为均属于高风险行为。
3.草案非常关注不得基于生物识别信息对个人造成歧视性待遇或剥夺机会的要求。
4. 有两部法律对生物特征信息的使用做出了非常具体的规定:“安全事件的发生和响应;提供安全的环境,或维护产品或服务的安全;防止恶意、欺诈、欺诈或非法活动”。 规定。 这是特别有特点的。
5.严格控制生物特征信息的流动。
数据保护官(DPO)群体的主要成员是个人信息保护和数据安全的一线工作者。 他们主要来自海外互联网公司、安全公司、律师事务所、会计师事务所、大学、研究机构等。DPO社区成员在做好本职工作的同时,也放眼全球思考数据安全的最新发展、进展和趋势和隐私保护。 2018年5月,DPO社区举办首届线下沙龙。 沙龙每月举办一次,聚焦不同议程。 目前,DPO社区拥有近300名成员。 更多关于DPO社区和沙龙的信息如下:
DPO 社区结果
线下沙龙记录参见:
评估 GDPR 的效力和影响:
关于龙健的6号线:
DPO 社区成员的观点
传染病防控与个人信息保护系列文章
个人数据和域外国家安全审查系列文章
