瑞典開罰首例違反GDPR案,該市透過臉部識別技術取得學生出席率,但動作已太侵犯隱私。(photo by Flickr)
【台灣醒報記者宋秉謙綜合報導】科技侵害隱私權遭開罰!瑞典數據保護局(DPA)27日依循歐盟資料保護法(GDPR),對瑞典謝萊夫特奧市當局開罰,該市涉及與學校合作,用臉部辨識技術監視學生出席率,這也是瑞典首次祭出有關GDPR的罰則。DPA表示,雖然當局與學生家長溝通過,也取得許可,但高科技的徹查範圍太深入,已涉及敏感的個人隱私數據(例如何時進出教室、又前往哪裡),不得不開罰。
瑞典違反GDPR首例
根據《英國廣播公司》報導,DPA27日發佈公告,由於謝萊夫特奧市當局利用臉部辨識技術,探查該市高中生的出勤內容,因為探查的資料細微到能分辨出學生幾點到達學校,期間的活動範圍,離開學校的狀況,這些資料深深違反個人隱私權,也讓DPA依照GDPR開罰當局。
雖然當局表示,用該技術做研究前有向學生家長坦白告知,也獲得許可,不過DPA認為,太過敏感的隱私數據已非「家長能替被侵犯隱私的學生本人做出決定的」,再加上這些蒐集到的數據後續處理並未公佈,有被公開的疑慮,DPA表示,希望學生出席能不透過監視器等高科技監控,走在違反GDPR的灰色地帶,這次開罰是瑞典該國首例,也有殺雞儆猴的表態。
最完善資訊保護法
針對開罰金額只有少少的2萬美元,DPA解釋,依照GDPR規則,罰金多寡取決於運用科技違反個人資料安全的時間長短,因為當局監控實驗才剛開始沒多久,違法獲得的數據量不大,罰金才會不高。
簡言之,GDPR是歐盟法規中保護隱私權與個人資料最完善的一項,規範包含所有個人數據,可說是1995年推出的《數據保護指令》的強化版。GDPR要求,個人數據處理者在得到資訊前必須提出合理的目的(如實驗),同時還得挑明保留數據的時間,以及是否與第三方進行共享。若以本案為例,後兩項要求的缺漏導致謝萊夫特奧市當局慘遭開罰。
