有鑑於愈來愈多 IT 公司為產品加入生物辨識功能,或可能引起個人資料私隱問題,今天(20/7)香港個人資料私隱專員公署發出新指引,為有意收集生物辨識資料的資料使用者提供實務指引,確保符合《個人資料(私隱)條例》規定。
新指引取代 2012 年版本
自從 iPhone 加入 Touch ID 後,生物辨識應用正受到業內追捧,MasterCard 不僅計劃加入指紋辨識,最近更計劃測試使用臉容辨識,而各款新面市的 Android 手機亦加入指紋辨別設計。由於在可見將來,生物辨別技術將更加普及,香港個人資料私隱專員公署發出了《收集及使用生物辨識資料指引》,為有意收集生物辨識資料的機構提供實務指引,確保符合私隱條例的規定。
新指引是根據公署以往處理相關投訴或查詢時所累積的知識及經驗編製而成,以取代於 2012 年 5 月發出的《收集指紋資料指引》。個人資料私隱專員蔣任宏在新聞稿表示,生物辨識資料往往是獨一無二及不可改變的,並可能包含個人健康、精神狀況或種族相關的私密資料,因而屬於敏感資料。
「收集及使用生物辨識資料已應用於消費者市場,例如使用指紋辨識系統,隨著科技進步令成效提升而且售價下降,現時已甚為普及;此趨勢亦逐漸擴展至其他生物辨識資料模式,包括掌形、面部圖像、虹膜、視網膜,甚至 DNA。」
提醒僱主不能超出適度範圍
他提醒使用生物辨識科技的機構,必須了解生物辨識資料的獨特性、不可改變和可作推斷的特質以及其相關的私隱風險,要有充份的理據方能使用,並須配合適當的程序和保障措施,以避免未經授權的查閱和不當使用相關數據而導致個人身份遭盜竊、冒充或遭受歧視。
蔣任宏強調,機構必須選擇收集敏感度較低的生物辨識資料,甚至使用其他較少干犯私隱而達致相同目的的方法,以取代收集生物辨識資料。署方亦鼓勵機構在決定使用生物辨識科技前,先進行「私隱影響評估」,以評估收集相關資料對個人資料私隱的影響。如僱主希望收集僱員的生物辨識資料,必須確保其資料收集屬「必需及不超乎適度」,並在公平(不對僱員施壓)的情況下進行。
這份指引涵蓋下述六項主要議題:
– 謹慎處理敏感生物辨識資料的需要
– 收集及使用生物辨識資料的理由
– 減低收集生物辨識資料風險的方法
– 私隱影響評估的需要
– 資料當事人應在自主及知情的情況下容許他人收集其生物辨識資料
– 處理收集生物辨識資料的私隱保障規定
這份指引可從公署的網頁下載,亦可在公署的辦事處索取。
