سازمان‌دهنده MWC به دلیل بررسی‌های شناسایی بیومتریک با جریمه GDPR محکوم شد

کنفرانس ها و سایر رویدادهای حضوری که با عجله برای تحمیل تشخیص چهره به شرکت کنندگان در اروپا بدون انجام دقت لازم در مورد خطرات حفاظت از داده ها، مراقب باشید: سازمان دهندگان صنعت اتصال جهانی، کنگره جهانی موبایل (MWC)، که سالانه در بارسلونا برگزار می شود. 200000 یورو (224 هزار دلار) توسط ناظر حفاظت از داده های اسپانیا به دلیل نقض قوانین حفظ حریم خصوصی در طول نسخه 2021 نمایش جریمه شده اند.

در یک تصمیم 8 صفحه‌ای (PDF به زبان اسپانیایی) مبنی بر رد درخواست تجدیدنظر توسط سازمان‌دهنده MWC، GSMA، علیه یافته‌های نقض، Agencia Española de Protección de Datos (AEPD) نتیجه می‌گیرد که ماده 35 مقررات حفاظت از داده‌های عمومی (GDPR) را نقض کرده است. – که با الزامات برای انجام ارزیابی تأثیر حفاظت از داده ها (DPIA) سروکار دارد.

یافته‌های نقض مربوط به جمع‌آوری داده‌های بیومتریک توسط GSMA برای شرکت‌کنندگان در نمایشگاه، از جمله برای سیستم تشخیص چهره (به نام BREEZZ) است که به شرکت‌کنندگان این امکان را می‌دهد که از تأیید هویت خودکار برای ورود به محل به‌جای نشان دادن دستی شناسه خود استفاده کنند. اسناد به کارکنان

اگر ذهن خود را به سال 2021 برگردانید، به یاد می آورید که رویداد صنعت تلفن همراه در زمانی رخ داد که نگرانی های مربوط به بیماری همه گیر COVID-19 در مورد شرکت در رویدادهای حضوری همچنان بالا بود. نه این که برگزارکننده MWC را از برگزاری یک کنفرانس فیزیکی در تابستان همان سال منصرف کرد – ماه‌ها دیرتر از زمان معمول نمایشگاه و به شکلی لاغیرناپذیر با غرفه‌داران و شرکت‌کنندگان بسیار کمتر از سال‌های گذشته.

در واقع کمتر از 20000 نفر ثبت نام شده حضوری در MWC 2021 شرکت کردند (دقیقاً 17462) بر اساس افشای GSMA که به AEPD انجام شد – و از این تعداد فقط 7585 نفر در واقع از سیستم تشخیص چهره BREEZZ برای دسترسی به محل برگزاری استفاده کردند. اکثریت ظاهراً جایگزین بررسی دستی مدارک شناسایی خود را انتخاب کردند. (البته، با برگزاری MWC 2021 (هنوز) در بحبوحه همه‌گیری، GSMA همچنین حضور مجازی را ارائه می‌دهد، با جلسات کنفرانس برای بینندگان از راه دور پخش می‌شود – و برای آن نوع حضور نیازی به بررسی ID نیست.)

با بازگشت به GDPR، این مقررات مستلزم آن است که در شرایطی که پردازش داده‌های افراد خطر زیادی برای حقوق و آزادی‌های افراد دارد، DPIA به طور فعال انجام شود. افدر همین حال، فناوری تشخیص اکتشافی مستلزم پردازش داده‌های بیومتریک است – که در جایی که برای شناسایی افراد استفاده می‌شود، به عنوان داده‌های دسته‌بندی خاص تحت GDPR طبقه‌بندی می‌شود. این بدان معناست که استفاده از بیومتریک برای شناسایی ناگزیر در این دسته از گروه های پرخطر قرار می گیرد که نیاز به ارزیابی پیشگیرانه دارد.

این ارزیابی باید ضرورت و تناسب پردازش پیشنهادی را در نظر بگیرد و همچنین خطرات را بررسی کند و اقدامات پیش‌بینی‌شده را برای رسیدگی به ریسک‌های شناسایی شده به تفصیل بیان کند. GDPR بر کنترل‌کننده‌های داده تأکید دارد که یک ارزیابی پیشگیرانه قوی و دقیق از پردازش مخاطره‌آمیز انجام می‌دهند – بنابراین این واقعیت که AEPD دریافت که GSMA ماده 35 را نقض کرده است، نشان می‌دهد که نشان نمی‌دهد که در این زمینه دقت لازم را انجام داده است.

در واقع رگولاتور طبق این قطعنامه، DPIA GSMA را «صرفاً اسمی» تشخیص داد – گفت که در بررسی «جنبه‌های اساسی» پردازش داده‌ها شکست خورده است. همچنین خطرات یا تناسب و ضرورت سیستمی را که اجرا کرده است ارزیابی نکرده است.

«آنچه قطعنامه نتیجه می گیرد این است که الف [DPIA] AEPD اضافه می‌کند که عناصر اساسی خود را در نظر نمی‌گیرد، نه مؤثر است و نه هیچ هدفی را برآورده می‌کند. [NB: this is a machine translation of the original Spanish text].

بیشتر از قطعنامه AEPD:

این [GSMA’s DPIA] سند فاقد ارزیابی از ضرورت و تناسب عملیات پردازش با توجه به هدف آن است. استفاده از تشخیص چهره برای دسترسی به رویدادها، ارزیابی آن از خطرات مربوط به حقوق و آزادی های افراد موضوع داده که در ماده 35 (1) GDPR و اقدامات پیش بینی شده برای رسیدگی به خطرات، از جمله پادمان ها، اقدامات امنیتی و مکانیسم هایی برای تضمین حفاظت از داده های شخصی، و نشان دادن انطباق با GDPR، با در نظر گرفتن حقوق و منافع مشروع موضوع داده ها و سایر افراد تحت تأثیر. همچنین اطلاعات پاسپورت و کارت هویتی را که بیان می کند مورد نیاز است، فهرست می کند Mossos d’Esquadra [local police] که گفته می شود هدفی دارند، به منظور ارتباط آن با عکس گرفته شده با نرم افزار، که فرآیند تشخیص چهره را آغاز می کند، مطابق با هویت شما برای تسهیل دسترسی.

شرح DPIA GSMA در قطعنامه AEPD نشان می دهد که علاوه بر عدم انجام ارزیابی کافی، GSMA یک توجیه امنیتی برای جمع آوری گذرنامه شرکت کنندگان در نمایشگاه / مدارک شناسایی اتحادیه اروپا وام داد – گفت که پلیس اسپانیا به آن دستور داده است “فرایندهای دقیق” برای شرکت کنندگان در غربالگری هویت.

همچنین به نظر می‌رسد شرکت‌کنندگان را ملزم کرده است که با پردازش بیومتریک داده‌های چهره خود به عنوان بخشی از فرآیند بارگذاری شناسه موافقت کنند، با AEPD اطلاعات رضایت ارائه‌شده در BREEZZ که از فرد درخواست رضایت خود را با استفاده از «داده‌های بیومتریک به‌دست‌آمده از عکس‌ها» می‌کند. برای اهداف تأیید هویت در زمینه ثبت نام آنلاین و MWC Barcelona برای اهداف دسترسی به محل برگزاری ارائه شده است.

این مهم است زیرا GDPR یک نوار واضح برای رضایت تعیین می‌کند تا یک مبنای قانونی معتبر باشد – که مستلزم آن است که آگاهانه، مشخص (یعنی همراه نشده) و آزادانه ارائه شود. بنابراین شما نمی توانید به زور رضایت دهید. (در حالی که رضایت برای پردازش داده های حساس مانند بیومتریک صورت دارای نوار رضایت صریح بالاتری برای پردازش قانونی است.)

فقدان انتخاب آزاد برای شرکت کنندگان در کنفرانس در مورد آپلود داده های حساس بیومتریک بود که منجر به شکایتی علیه پردازش داده های GSMA توسط دکتر آناستازیا ددیوخینا، یک سخنران سلامت دیجیتال که برای سخنرانی در پانل در AEPD ارائه شده بود، شد. MWC 2021. این شکایت او بود که – چند سال بعد – منجر به تحریم GSMA شد.

او در اواخر هفته گذشته، هنگامی که شکایت خود را عمومی کرد، در یکی از پست های لینکدین توضیح داد: «من نتوانستم توجیه معقولی برای آن پیدا کنم. وب‌سایت آنها پیشنهاد کرد که می‌توانم شناسنامه/گذرنامه‌ام را نیز برای تأیید حضوری بیاورم، که برایم مهم نبود. با این حال، برگزارکنندگان اصرار داشتند که تا زمانی که مشخصات پاسپورت خود را آپلود نکنم، نمی‌توانم در رویداد زنده شرکت کنم و باید به صورت مجازی شرکت کنم، که در نهایت این کار را انجام دادم.»

آدام لئون اسمیت، فن‌شناس، که یکی از نویسندگان شکایت او بود، نیز در پستی در لینکدین در مورد آن نوشت – که در آن هشدار داد: «تشخیص چهره فضاهای عمومی بسیار حساس است و اگر واقعاً نیاز به استفاده از آن دارید، از یک وکیل عالی استفاده کنید و تیم فناوری.”

اسمیت در توضیح نگرانی‌های مطرح‌شده در شکایت خود به TechCrunch گفت: «اول، ما متوجه شدیم که خط‌مشی حفظ حریم خصوصی می‌گوید که برای شناسایی چهره برای اهداف هویت بر اساس رضایت، شناسایی ارائه می‌کنیم. با این حال مشخص شد که در واقع امکان انصراف وجود ندارد. ثانیاً، شرکت مدیریت فناوری در بلاروس، خارج از اتحادیه اروپا بود. این اطلاعاتی بود که در زمان ارائه شکایات می توانستیم به طور عمومی پیدا کنیم. من ScanViz را می بینم، شرکتی که این فناوری را ارائه می دهد، اکنون آدرس هنگ کنگ را در وب سایت خود فهرست می کند.

AEPD توانست اسناد ارزیابی حریم خصوصی داخلی را از MWC درخواست کند و متوجه شود که قدیمی و ناکافی است. تصمیم AEPD بیشتر بر آن متمرکز است.» او همچنین گفت. هیچ راه حل خاصی وجود نداشت، اگرچه من فکر می کنم که MWC باید آن ارزیابی ریسک و تاثیر را با دقت انجام دهد.

در حالی که قطعنامه تنظیم‌کننده حفاظت از داده‌های اسپانیایی به معتبر بودن یا نبودن مبنای قانونی GSMA برای پردازش بیومتریک اهمیت نمی‌دهد، اسمیت پیشنهاد می‌کند که این ممکن است فقط یک نتیجه متوالی از ناکافی بودن DPIA باشد – یعنی ممکن است تصمیم به ارزیابی فنی کامل‌تری گرفته باشد. ارزش ندارد

او در مورد GSMA پیشنهاد کرد: “من تعجب نمی کنم اگر آنها استفاده از فناوری تشخیص چهره را کنار بگذارند.” این نوع کاربرد فناوری در آخرین پیش‌نویس‌ها در رده پرخطر قرار می‌گیرد [EU] قانون هوش مصنوعی، این بدان معناست که آنها به نوعی ارزیابی انطباق توسط یک طرف مستقل نیاز دارند.”

برای اظهار نظر در مورد پنالتی AEPD با GSMA تماس گرفته شد، اما در زمان نوشتن این مقاله پاسخی نداده بود.

شایان ذکر است که در حالی که روند اداری AEPD در مورد این شکایت با این قطعنامه به پایان می رسد، GSMA می تواند از طریق یک شکایت قانونی به Audiencia Nacional (دادگاه عالی ملی اسپانیا) نتیجه را به چالش بکشد.

همانطور که اسمیت اشاره می‌کند، با کوچک‌نمایی، قانون هوش مصنوعی در سراسر اتحادیه اروپا قرار است چارچوبی مبتنی بر ریسک را برای تنظیم برنامه‌های کاربردی هوش مصنوعی در سال‌های آینده معرفی کند.

نسخه پیش‌نویس این قانون که در سال 2021 توسط کمیسیون پیشنهاد شد، شامل ممنوعیت استفاده از بیومتریک از راه دور، مانند تشخیص چهره، در مکان‌های عمومی است که – اگر وارد نسخه نهایی شود – مطمئناً خطر نظارتی پیرامون اجرای آن را افزایش می‌دهد. بررسی های تأیید خودکار در آینده (به آن اضافه کنید، نمایندگان مجلس برای تشدید بیشتر ممنوعیت بیومتریک از راه دور تلاش کرده اند.) و این در راس خطرات GDPR موجود برای هر پردازشگر داده ای است که رویکردی نامرتب برای بررسی ریسک (یا در واقع الزام سخت برای داشتن یک قانون معتبر قانونی است). مبنایی برای چنین پردازش داده های حساس).

به نوبه خود، GSMA به ارائه یک گزینه بررسی هویت خودکار مبتنی بر بیومتریک صورت برای شرکت کنندگان در MWC (هم امسال و هم در سال گذشته) ادامه داده است – و همچنین به درخواست بارگذاری اسناد شناسایی برای ثبت نام برای حضور حضوری ادامه داده است. بنابراین جالب است که ببینیم آیا افشای حریم خصوصی خود را اصلاح می کند و/یا تغییراتی در روند ثبت نام برای MWC 2024 با توجه به تحریم GDPR ایجاد می کند. (و اگر در آینده به ارائه گزینه بررسی شناسه خودکار مبتنی بر بیومتریک در نمایشگاه ادامه دهد، ممکن است به خوبی توصیه شود که تامین کننده فناوری آن کاملاً در داخل اتحادیه اروپا قرار دارد.)