在公共场所使用实时面部识别技术（英文）

信息专员办公室信息专员的意见：现场人脸识别技术在公共场所的使用2021 年 6 月 18 日 信息专员的意见 | 2021 年 6 月 18 日2内容1.执行摘要 41.1什么是人脸识别技术？ 41.2什么是实时人脸识别？ 41.3为什么生物识别数据特别敏感？ 51.4LFR 是如何使用的？ 51.5LFR 涉及哪些关键数据保护问题？ 61.6法律的要求是什么？ 61.7后续步骤 82.介绍 92.1公共场所实时人脸识别 92.2生物识别数据的重要性 92.3专员在 LFR 方面的工作 ...............................................................................102.4本意见的范围 123.今天如何使用 LFR 143.1ICO 分析和关键问题 143.1.1监控用途 143.1.2营销和广告用途 173.1.3LFR 19 的其他用途3.1.4关键数据保护问题 193.2国际例子 223.3公众对 LFR 24 的看法4.数据保护法的要求 264.1为什么数据保护法适用 264.2法律要求简介 284.3LFR 30 的用途4.4合法依据和特殊类别数据 30 信息专员的意见 | 2021 年 6 月 18 日34.5必要性和相称性 344.6公平和透明 374.7评估风险和影响 414.8其他合规问题 454.9监督和直销注意事项 474.9.1关注列表 474.9.2与执法部门的合作 484.9.3直销的合规问题 495.结论和后续步骤 515.1控制器的关键要求 515.2对行业的建议 535.3专员的下一步行动 .......................................................................................54附件：公共场所实时人脸识别数据保护影响评估预期 561.介绍 562.稳健评估的重要性 563.LFR 57 的数据保护影响评估 信息专员的意见 | 2021 年 6 月 18 日41.执行摘要面部识别技术 (FRT) 依赖于人们的个人数据和生物特征数据的使用。因此，数据保护法适用于任何使用它的组织。实时面部识别 (LFR) 是一种 FRT，通常涉及生物特征数据的自动收集。这意味着它有更大的潜力以侵犯隐私的方式使用。专员先前发表了关于在执法环境中使用 LFR 的意见。它的结论是，数据保护法为在公共场所使用 LFR 的合法性设定了高标准。信息专员办公室 (ICO) 通过评估和调查在执法之外使用 LFR 的情况，以此为基础开展了这项工作。这涵盖了将技术用于更广泛目的和许多不同设置的控制器。这项工作让 ICO 了解了当今 LFR 的典型使用方式、控制者的利益和目标、公众和更广泛社会提出的问题以及关键的数据保护考虑因素。专员发布了本意见，以解释数据保护法如何适用于这种复杂而新颖的数据处理类型。1.1什么是人脸识别技术？面部识别是从数字面部图像中识别或以其他方式识别一个人的过程。相机用于捕捉这些图像，FRT 软件生成生物识别模板。通常，系统随后会估计两个面部模板之间的相似程度，以识别匹配项（例如验证某人的身份），或将模板放入特定类别（例如年龄组）。 FRT 可用于各种情况，从解锁我们的手机到在线设置银行账户，或通过护照检查。它可以帮助我们生活的方方面面变得更轻松、更高效和更安全。1.2什么是实时人脸识别？上面提到的 FRT 的使用通常涉及“一对一”过程。个人直接参与并了解他们的数据被使用的原因和方式。 LFR 是不同的，通常以与传统闭路电视类似的方式部署。它针对特定领域的每个人，而不是特定的个人。它能够自动、不加区别地捕获在摄像机范围内经过的所有个人的生物特征数据。他们的数据是实时收集的，并且可能是大规模收集的。在这个过程中，个人往往缺乏意识、选择或控制。 信息专员的意见 | 2021 年 6 月 18 日51.3为什么生物识别数据特别敏感？生物特征数据是允许根据个人的生物或行为特征识别个人的数据，例如从指纹、虹膜或面部特征中提取的数据。1与其他个人数据相比，它更持久且不易更改；它不能轻易改变。从面部图像中提取的生物特征数据可用于在一系列不同的上下文中唯一地识别个人。它还可用于估计或推断其他特征，例如他们的年龄、性别、性别或种族。英国法院的结论是“就像指纹和 DNA [面部生物识别模板]“本质上私人”的性格。”2LFR 可以在不与个人直接接触的情况下收集这些数据。对于任何新技术，建立公众信任和信心对于确保其收益得以实现至关重要。鉴于 LFR 依赖于敏感个人数据的使用，公众必须确信其使用是合法、公平、透明的，并符合数据保护立法中规定的其他标准。1.4LFR 是如何使用的？ICO 已经评估或调查了 14 个 LFR 部署和提案的示例（如本意见所述），并在英国和国际上进行了更广泛的研究和参与。控制者通常将 LFR 用于监视目的，旨在防止实体零售、休闲和交通环境或其他公共场所的犯罪或其他不良行为。 LFR 可以识别进入场所的特定个人并允许控制者采取行动（例如移除他们）。 ICO 也越来越倾向于将 LFR 用于营销、定向广告和其他商业目的。这可能涉及使用个人的生物特征数据将他们归入特定类别。从长远来看，该技术有可能用于更高级的实践。这可能包括与大数据生态系统的集成，这些生态系统结合了来自社交媒体等多个来源的大型数据集。我们正在研究 FRT 系统的一些示例，其中从在线来源捕获的图像被用于识别其他环境中的个人。基于这些例子，本意见侧重于使用 LFR 进行识别和分类。它不涉及验证或其他“一对一”用途。它将公共场所定义为家庭环境之外的任何物理空间，无论是公有还是私有。但它承认1 生物识别数据的完整法律定义包含在英国 GDPR 第 4(14) 条中，并在本意见的第 4.1 节中进行了讨论。2 R (Bridges) 诉南威尔士警察局长和其他人 [2019] EWHC 2341，第 59 段 信息专员的意见 | 2021 年 6 月 18 日6这些地方的性质和环境可能大不相同，公众对不同环境中隐私的期望也大不相同。本意见不针对网络环境。1.5LFR 涉及哪些关键数据保护问题？专员已经确定了在公共场所使用 LFR 自动收集生物识别数据时可能出现的一些关键数据保护问题。这些是通过 ICO 的调查确定的，我们的审查数据保护影响评估 (DPIA) 和更广泛研究的工作。这些问题包括： LFR 系统的治理，包括为什么以及如何使用它们； 在没有明确理由的情况下以速度和规模自动收集生物特征数据，包括处理的必要性和相称性； 个人缺乏选择和控制； 透明度和数据主体的权利； LFR 系统的有效性和统计准确性； 偏见和歧视的可能性； 监视列表和升级过程的治理； 处理儿童和弱势成年人的数据；和 对个人及其社区产生更广泛、意想不到的影响的可能性。其他各方，包括国际组织和民间社会团体，就 LFR 提出了进一步的问题，包括道德、平等和人权问题。本意见阐述了此类问题可能与数据保护分析相关的哪些方面，例如，面部识别算法中的偏见可能导致对个人的不公平待遇。批准或禁止特定技术不是专员的职责。相反，她的职责是解释现有的法律框架如何适用于个人数据的处理、提高风险意识和保护措施以及监督和执法。1.6法律的要求是什么？LFR 涉及个人数据、生物特征数据的处理，在 ICO 所见的绝大多数情况下，还涉及特殊类别的个人数据。虽然 LFR 用于执法由 2018 年数据保护法 (DPA 2018) 第 3 部分涵盖，但除此之外，相关立法是英国通用数据保护条例 (UK GDPR) 和 2018 年数据保护法 (DPA) 2018）。 信息专员的意见 | 2021 年 6 月 18 日7寻求部署 LFR 的控制者必须遵守英国 GDPR 和 DPA 2018 的所有相关部分。 这包括英国 GDPR 第 5 条规定的数据保护原则，包括合法性、公平性、透明度、目的限制、数据最小化、存储限制、安全和问责制。控制者还必须使个人能够行使其权利。英国法律的这些要求代表了全球许多法律制度通用的数据保护的普遍核心原则。虽然立法的所有相关要素都适用，但根据 ICO 的经验，在部署 LFR 之前要考虑的核心法律原则是合法性、公平性和透明度，包括对必要性和相称性的有力评估。这种评估特别重要，因为 LFR 涉及生物特征数据的自动收集，可能是大规模的，没有个人的选择或控制。为了合法使用 LFR，控制者必须确定合法依据和条件，以在需要时处理特殊类别数据和刑事犯罪数据。他们必须确保他们的处理是必要的并且与他们的目标相称，符合英国判例法中这些概念的发展。对个人数据的任何处理也必须公平。这意味着控制者应该考虑对个人使用 LFR 的潜在不利影响，并确保它们是合理的。他们还应考虑并采取措施减轻其系统中的任何潜在偏差，并确保其在统计上足够准确。控制器必须是透明的，并采取从一开始就采用“设计和默认数据保护”方法，以便他们系统符合数据保护原则。控制者对其遵守法律负责，并且必须证明他们的处理符合其要求。在决定在公共场所使用 LFR 之前，他们应该完成 DPIA。作为此过程的一部分，他们必须评估风险和对个人利益、权利和自由的潜在影响。这包括对其数据保护权和更广泛的人权（例如言论、结社和集会自由）的任何直接或间接影响。总的来说，管制员应该通过严格的审查来仔细评估他们的计划。法律要求他们证明他们的处理是公平、必要和相称的。总之，这些要求意味着如果 LFR 用于在公共场所自动、不加区分地收集生物特征数据，则其合法使用的门槛很高。虽然这是专员在这方面对立法要求的一般评估，但她强调，任何调查或监管评估都将基于案件事实，考虑到具体情况和相关法律。 信息专员的意见 | 2021 年 6 月 18 日81.7下一步专员将继续她的调查和咨询工作。这包括完成正在进行的调查、评估确定高风险处理的 DPIA、对部署中的 LFR 系统进行主动审计，以及在适当的情况下支持数据保护行为准则或认证计划。本意见的结论部分详细介绍了 ICO 和控制器的后续步骤，以及对技术供应商和更广泛行业的建议。在考虑任何监管行动或使用她的执法权力时，专员可以参考本意见作为她如何解释和适用法律的指南。每个案件都将根据其事实和相关法律进行全面评估。专员可以根据这一不断发展的领域的任何重大法律或实践发展，例如司法判决和判例法，或她的监管工作和实践经验的进一步发现，更新或修订本意见。 信息专员的意见 | 2021 年 6 月 18 日2.介绍在英国保护个人数据和维护信息权利方面，制定适当的监控是专员的监管重点之一。在新技术（包括监控技术）依赖于个人数据的使用的情况下，数据保护在建立信任和信心以及保护公众免遭滥用方面发挥着重要作用。 LFR 是一种涉及处理个人数据和生物识别数据的技术，法律承认这些数据可能特别敏感。当以某些方式部署时，LFR 有可能高度侵犯隐私。因此，专员发布了本意见，以解释数据保护法的适用方式以及组织在部署之前需要进行的稳健评估。2.1公共场所实时人脸识别面部识别是从数字面部图像中识别或以其他方式识别一个人的过程。相机用于捕捉这些图像，FRT 软件测量和分析面部特征以生成生物识别模板。这通常使用户能够识别、验证或验证或对个人进行分类。实时面部识别是一种 FRT，它允许此过程自动实时进行。 LFR 通常以与传统 CCTV 类似的方式部署，因为它针对特定区域中的每个人而不是特定个人。它可以不分青红皂白地捕获在相机范围内经过的所有个人的生物特征数据，而不是更多有针对性的“一对一”数据处理。这可能涉及大规模收集生物特征数据，并且在此过程中个人通常缺乏意识、选择或控制。 LFR 可用于多种目的，例如识别监视列表中的个人（见下文）或商业目的。2.2生物特征数据的重要性面部模板形式的生物特征数据是“本质上的私人特征”的数据，因为它具有精确和唯一地识别个人的潜力。在 R (Bridges) v The C