瑞典根据GDPR对某高中使用面部识别软件进行罚款的依据分析

2019年8月20日，瑞典数据保护机构在今年早些时候收到媒体报道后，通过对一个名为Anderstorps的高中学校进行审查，对其进行了20万瑞典克朗的罚款，并发出警告，要求进一步处理。这是瑞典依据欧盟通用数据保护条例（GDPR）开出的第一个罚单。

一、背景

该高中的学校董事会在一个实验项目中使用面部识别技术对学生的面部信息进行了登记。学校董事会通过相机使用面部识别软件对参与课堂学习的22名学生进行了面部捕获和注册，而且学校董事会正在考虑将此技术作为标准程序来实施，其目的是进一步简化操作并自动进行课程注册。这项工作一般需要在每个课堂使用十分钟左右的时间，使用之后每年能够在自动化课程登记方面为学校节省17280小时的工作。学生们的面部生物识别数据及全名被相机以照片的形式捕获，这些信息被存储在没有互联网连接的本地计算机中，计算机也是被所在规制当中。学校在收集学生的生物识别数据之前征得了监护人的明确同意，而且监护人和学生也可以表达不参加试验的意见。但是，学校的这项行为并没有进行相关的风险评估，也没有事先与瑞典数据保护机构进行协商。

二、违反的相关立法规定

瑞典数据保护机构在其裁决中认为该学校以三种方式违反了GDPR的下列规定：违反第5条的基本原则，以更加完整的侵入方式处理个人数据，而不是根据专门的目的（考察出勤）进行处理；违反第9条，没有法律依据而处理敏感的个人数据（生物统计数据）；违反第35和36条，不符合数据保护影响评估和事先咨询的要求。

（一）违反第5条：目的限制和数据最小化原则

GDPR第5条规定，个人数据应为特定的、明确说明的和合法的目的而收集，以后不得以与这些目的不相符的方式使用数据（目的限制）。此外，处理的个人数据应该是充分的、相关的，并且与处理它们的目的相关，而不能过于全面的收集、处理数据（数据最小化）。根据GDPR的精神，只有在用其他方法无法以令人满意的方式实现处理目的时，才可以使用个人数据。

瑞典数据保护机构发现，该学校进行的个人数据处理行为涉及依赖学校董事会的儿童，并且处理发生在儿童的日常环境中。虽然处理时间相当有限——很少有学生担心，时间很短——但瑞典数据保护机构表示，这种行为对学生的隐私构成了极大的侵扰。此外，学校可以以侵入性较小的方式登记课堂上的出勤，这意味着面部识别软件的使用与目的不成比例。

（二）违反第9条：敏感数据

GDPR第9条第（1）款构成了处理生物识别个人数据以识别自然人的要求。该条原则上是禁止使用此类敏感信息。为处理敏感的个人数据，必须适用GDPR第9（2）条规定的禁止例外。

如前所述，学校董事会为了处理这些敏感数据获得了监护人的同意。但是，瑞典数据保护机构强调了学校董事会与学生之间关系的严重不平等，以及出勤记录是学校对学生的一种片面控制措施。因此，瑞典数据保护机构声明“同意”不能作为法律依据，因为“同意”不能被视为自愿。因此，不能将案件视为使用敏感个人数据的例外情况。瑞典数据保护机构还指出，管理出勤记录是一项单边行动，并不是为了实际的公共利益所必需的（如果是的话，才属于该条规定中的例外情况）。

（三）违反第35条和第36条：数据保护影响评估和事先协商

学校董事会声称进行了某种风险评估，评估中的安全和法律依据（同意和公共利益）推导出了该行为对数据主体不存在高风险的结论。但是，该学校并没有进行任何数据保护影响评估。瑞典数据保护机构发现，学校董事会的风险评估缺乏该数据收集、处理行为对数据主体权利和自由存在的风险的评估，也缺乏与其处理目的相关的比例方面的评估和说明。因此，GDPR第35条的要求没有得到满足。

三、小结

GDPR对敏感个人数据的收集使用以及新兴技术的适用进行了明确规定。为保障数据主体的个人数据保护权利得到充分尊重和保障，GDPR明确了个人数据的收集、处理原则，尤其规定了原则上不得以识别自然人身份为目的对个人生物识别数据进行处理，对这些数据的处理，GDPR还规定成员国可以维持或者引入更进一步的限制条件。当数据处理行为特别是用到了新技术时，GDPR规定了应当进行数据保护影响评估。

该案反映了瑞典数据保护机构依据GDPR对于敏感个人数据的严格保护及对新兴技术的谨慎应用。在该案中，面部图像是一项重要的生物识别数据，其捕获是通过摄像机监视完成的，涉及到包括儿童在内的所有人在其所依赖的环境中的敏感个人信息，而人脸识别作为一项新技术，其使用环境和使用目的也在本案中受到了限制。瑞典数据保护机构对该案例进行罚款真正强调了在进行风险评估和减轻隐私风险方面采取积极立场的倾向和重要性。

瑞典对该中学进行处罚的案件符合GDPR强化数据主体控制力、严格保护个人数据的原则和宗旨。适应信息和通信技术的发展以及对商务活动应用的加深，改变个人与企业对个人数据不平衡的控制能力是整个GDPR的一大基本原则和适用思路。为达到这一目的，GDPR在内容和制度规则上进行了完善，强调了数据主体的知情权、修正权、删除权（被遗忘权）、限制处理权、数据可携权、拒绝权等个人数据权利；并对数据控制者和处理者规定了大量数据保护义务。该案遵循了这一宗旨，实现了对个人数据权利的最大程度的保护。

作者简介：刘耀华，中国信息通信研究院互联网法律研究中心研究员

声明：本文来自CAICT互联网法律研究中心，版权归作者所有。文章内容仅代表作者独立观点，不代表士冗科技立场，转载目的在于传递更多信息。如有侵权，请联系 service@expshell.com。