巴黎奥运会在使用智能设备和系统的情况下,如何满足欧盟严格的数据保护要求?
2024年夏季,巴黎迎来备受瞩目的奥运盛会,预计将吸引上百万游客到访。为保障这一全球性体育盛会的顺利进行,法国政府启用了一系列智能系统和设备。然而这些新兴技术的广泛应用,不可避免地也将扩大公共机关对公众个人信息的数据处理范围,给人们的隐私权带来潜在的威胁。本文将以通行证、智能摄像头、人体扫描仪和购票系统为例,观察法国政府如何在GDPR法规的约束下,在安全管理和隐私保护之间寻求平衡。
一、通行证
为保证巴黎奥运会和残奥会的安全,警局划定不同等级的安全区,实施安全检查和交通限制,如果需要进入这部分区域需要拥有通行证。该通行证将包含一个二维码,以简化可能会有大量人员聚集的入口进入流程。该通行证将在数字平台上注册后颁发,因此涉及收集个人数据收集。
(一)发放通行证场景
1.法律依据
-
2024年5月3日命令,修改2011年5月2日关于自动处理在重大活动中建立的被称为 "安全区居民档案 "的个人数据的命令(Arrêté du 3 mai 2024 modifiant l"arrêté du 2 mai 2011 relatif aux traitements automatisés de données à caractère personnel dénommés « fichiers des résidents des zones de sécurité » créés à l"occasion d"un événement majeur)
-
Directive (EU) 2016/680,Law Enforcement Directive (LED)。LED 已通过法国数据保护法第十三章纳入法国法律。
2.为什么不是GDPR?
GDPR 和 LED 都是欧洲数据保护计划的一部分。它们具有独特且互补的范围。GDPR 旨在适用于成员国公共和私营部门的所有个人数据处理,但不适用于国家安全或国防活动,以及出于 LED 目的而进行的活动。
LED 规定了主管机关为预防、调查、侦查或起诉刑事犯罪或执行刑事处罚而处理个人数据时保护自然人的规则。因此,LED 主要适用于刑事和不具体属于刑事领域但与犯罪前进行的警察活动相关的活动中进行的处理,因此,LED 包括为防止公共安全受到可能导致刑事指控的威胁而进行的预防性警察活动(示威、体育赛事、维护公共秩序等方面的警察活动)以及所进行的处理操作为了这些目的。
3.收集的信息
姓名、身份证件号码/副本、生日、出生地、居住证明、照片、联系方式、车牌号、车辆注册文件副本、访问记录等
注:照片和身份证件副本是此次奥运会修法后新增允许收集的,并且照片只是可选项,并非强制性收集,需要分场景评估(奥运会场景通过了评估)。
4.保存期限
-
一般个人数据会在活动结束后3个月删除,但身份证、驾驶执照、护照或居留证的副本将在通行证发放给用户后就会立刻删除。
-
只有在法律诉讼的情况下才能访问超过三天的个人数据。
5.告知
-
在用户提交申请前,需要在申请表单的末尾告知申请人关于其个人数据的处理情况。
-
关于个人数据处理的信息需要与其他非隐私相关的信息(如一般使用条款)进行区分,让申请人能够清楚地看到。
-
个人数据处理信息需要提供多种语言版本,以便外国非法语用户也能够理解。
6.个人行权
不能反对奥运会和残奥会期间使用的通行证系统。其他权利可以通过写信、电子邮件行使,需提供身份证明文件副本。
7.自动化决策
在审核申请时,警局工作人员会对申请表填写信息、上传的证明文件、进入理由进行核验,CNIL要求不得包含任何自动拒绝的决定。
8.安全措施
-
安全审计和渗透测试;
-
对数据导出功能进行严格管控和日志记录;
-
日志记录仅限于记录授权用户的操作行为,不记录二维码扫描或标识符查询等行为;
-
加密措施需满足Référentiel Général de Sécurité version 2.0 Annexe B1的要求。
(二)处理DSR场景
1.法律依据
Article 6 (1) e of Regulation (EU) 2016/679 of 27 April 2016 (General Data Protection Regulation – GDPR)
2.收集的数据
姓名、邮件地址、邮件的标题和正文
3.保留期限
自 2024 年奥运会和残奥会结束后,不再保留个人数据。
4.个人行权
仅提供电子邮件方式,内政部数据保护官将负责处理。
二、AI增强视频监控
1.什么是增强视频监控?
增强摄像机(augmented cameras)是指将自动图像分析程序与已被授权的闭路电视摄像机相结合的设备,目的是用于检测或识别特定的物体、行为或事件。
2.谁是数据控制者?
增强摄像机的部署只能由警察和国家宪兵部门、消防和救援部门、SNCF 和 RATP 的市政警察部门和内部安全部门在各自的任务框架内实施,各自承担数据控制者的角色。
3.法律依据
2023年5月19日第2023-380号法律,关于2024年奥运会和残奥会及其他各项规定(LOI n° 2023-380 du 19 mai 2023 relative aux jeux Olympiques et Paralympiques de 2024 et portant diverses autres dispositions)
4.为什么必须要部署?
政府认为,2024年巴黎奥运会和残奥会需要加强对某些场所的安保措施。由于涉及多个地点,并且需要很高的安全级别,因此有必要优化警力部署。而只有通过对监控设备和无人机拍摄的图像进行实时算法处理,才能实现这种优化。因此,政府认为有必要使用增强摄像头来确保所有体育、娱乐和文化活动的安全。
5.部署的风险
这些摄像机就其本质而言,与传统部署的摄像机截然不同:人们不再只是被简单地拍摄,而是被自动、实时地分析,并且由于"不可见"的性质,这些视频工具可能会导致大规模的个人数据处理,而个人可能并不知情。
法国国家信息技术和自由委员会(CNIL)认为该设备本质上是侵入性的,不受控制的使用将导致公共场所的大规模监视,破坏公共领域匿名性,对个人的基本权利和自由造成重大风险。因此需要对其进行全面的道德审视,防止人们逐步习惯和普遍接受这些日益具有侵犯性的技术。2022年7月,CNIL呼吁为这类设备设定红线,并提出在某些使用情况下制定适当监管措施。CNIL于2022年12月8日对2024年奥运会和残奥会相关法案做出裁决。
6.风险缓解措施
(1)实验性部署
考虑到增强摄像头设备引发的问题,CNIL 认为进行实验有助于确定这些技术在社会中的角色。同时强调部署增强摄像头设备是实验和临时性的,不能预先决定这些系统是否最终会被永久采用。政府须在实验开始时就开始思考如何建立一个评估机制,通过严格、公开和跨学科的方式来评估自动化图像分析技术的效果,最迟在 2024年12月31日之前,政府应向议会提交一份关于试验实施情况的评估报告,最终在CNIL官网公布。
(2)开展数据保护影响评估(DPIA)
部署前开展DPIA评估,阐释该系统的好处、风险以及减少风险的措施。
(3)权限控制
使用由国家驻省代表或在巴黎由警察局长授权。授权期限不得超过一个月,并可在继续满足签发授权的条件时根据程序予以延长。授权处理时所进行的最新影响分析将提供给CNIL,CNIL可以随时暂停。
(4)限制使用的时间和空间
仅在举办活动地点附近的摄像机上以及为这些活动提供服务的运输工具和道路上使用,且将于2025年3月31日结束,在此日期之后,系统将无法再使用,只能通过一项新的法律来延长。
(5)限制使用场景
仅用于检测遗弃物、武器、人员或车辆穿越或出现在禁止或敏感区域、人或车辆未能遵循相同的交通方向、人员摔倒、火灾、人群运行方向、人员密度这八个场景。
(6)限制保存期限
收集的数据将在记录后最多保留一年(如果实验提前结束,则保留到实验结束)。警报记录也只能保留一年。
(7)目的仅针对特定目的和严重人身安全风险
只能用于确保大型活动(例如开幕式)的安全,防止特别容易遭受恐怖主义行为或人身安全严重威胁。
(8)不处理生物识别数据
法律明确排除使用面部识别技术以及其他任何生物识别技术。
(9)不与个人身份关联
增强摄像机不能使用任何生物特征数据来唯一识别一个自然人,也不能与其他任何个人数据处理活动进行关联。
(10)禁止自动化决策
算法仅用于向人们报告潜在的问题,在采取任何行动之前,必须要经过人工分析。
(11)CNIL的监督
CNIL在法国内政部招标期间支持和监督了大约十家提供算法设备的公司,帮助确保实施这些系统的运营商的合规性。同时每三个月会收集、了解系统实施的具体情况,并对其进行评估和监督。
7.是否可以行使数据权利?
不能反对奥运会和残奥会期间使用增强摄像机对您的图像进行的分析。
对于在设计阶段收集和使用的数据(即用于开发、配置或改进工具的数据)以及设备运行实施过程中收集和使用的数据,可以通过联系相关控制者行使访问、更正、限制、删除权利。
三、人体扫描仪
在奥运会和残奥会期间进入某些场馆时,需要检查入场人员是否携带违禁物品,以保障场馆的安全。
1.法律依据
个人同意:使用扫描仪之前都必须获得明确同意,如果拒绝,则提供替代的检查方式,如手动检查。
2.人体扫描仪的PbD设计
-
人脸自动模糊。
-
被检查者的身份和扫描仪生成的图像不会在系统中关联。
-
像将使用通用人体形状(generic human body shape),而不是被扫描者自己的形状。
-
扫描仪图像不会被存储。
四、购票系统
负责处理购票的网站和应用程序共同使用同一份隐私政策,该隐私政策包括九个部分:
1.数据控制者
-
巴黎奥组委:票务网站及应用程序的控制者
-
国际奥委会:(1)单一身份验证系统相关处理活动的联合控制者,具体涉及账户创建、访问管理和身份验证处理活动。(2)发送营销通讯和其他商业目的(如个性化推荐)场景下的单独控制者
-
第三方(律师、法警、会计师等):部分个人数据可能全部或部分地传送给第三方,这些第三方作为数据控制者,可以独立使用这些数据,以满足其特定需要。
2.法律依据
-
履行合同所必须:适用于账号创建和管理、抽奖、捐赠、与购票、转票相关的活动、客户服务场景。
-
法定义务:适用于DSR管理、同意管理、财务对账场景。
-
合法利益:适用于维护网站和APP安全、开发网站和APP、打击欺诈、管理争议或诉讼、发送奥运会相关的资讯、满意度调查、个性化体验场景。
-
明确同意:适用于营销通讯、Cookie场景。
3.数据收集
主要参考展现的格式,以及学习如何满足可收集字段的最小必要(仅摘录,完整版请访问隐私政策)。
4.保存期限
营销类(如抽奖、营销通讯、个性化设置):用户最后一次互动后最多3年,抽奖记录会继续存档2年
销售管理:销售后7年(欧洲惯例)
退款管理:售出后5年(欧洲惯例),比赛期间的出席确认信息(门票扫描的位置、日期和时间)可在比赛结束后保留6年,以便在适用时用于退款目的
税务:财务对账结束,或者捐赠后最长10年
财务:购买门票后6年内(网站上3年,存档3年)
DSR管理:6个月
聊天机器(Chatbot):立即删除
5.Cookie管理
Cookie Policy包含五个部分:定义、类型、具体使用的清单、到期时间、管理方式
Cookie Banner默认勾选必要类别,且Accept all高亮展示。(是否有暗黑模式的嫌疑?)
6.用户权利响应
退订营销通讯的方式:
-
创建账户过程中不勾选;
-
票务平台提供统一管理界面;
-
邮件内退订链接。
联系渠道:
-
DPO邮箱,可能会要求提供身份证明文件;
-
单独的DSR页面:不同的请求行权事由,配置了不同的填写表单,需要填写的信息存在差异。
(在上面的DSR页面中被告知我的DSR记录将被保存一年,但是隐私政策中说的是6个月,疑似出现矛盾,现已发邮件咨询。并且在浏览英文版隐私政策的时候,发现了多处标题序号错乱,以至于上面的内容部分是基于法语版总结的。这种细节上的纰漏很容易让人对组委会的隐私保护工作的重视程度产生怀疑。)
最后,我们可以学到什么?
-
GDPR不是唯一的数据处理依据;
-
处理DSR是一种单独的处理活动,需要在RoPA中单独列明;
-
开展隐私保护工作时,具有场景思维很重要,风险需要根据具体的场景评估;
-
数据最小化(收集数量/保留期限)、与人有关的图像模糊化对于缓解隐私风险很重要;
-
身份证件、行踪数据的敏感程度较高,需要更高级别的保护,并且处理此类DSR需要加强身份验证;
-
需要谨慎评估是否使用自动化决策,并且自动化程序做出的决策需要有人工核验或干预;
-
对于给人们的自由造成重大风险的技术,在使用前需要开展DPIA,使用时遵守必要性和最小化原则;
-
谨慎使用带有自动分析功能视频监控设备;
-
禁止大规模使用生物识别技术;
-
第三方审计、律所可以构成单独的数据控制者;
-
账号互通场景,需要根据具体的功能区分是单独控制还是共同控制;
-
个性化体验功能可以走合法利益这一法律基础;
-
票务网站的数据收集和保存期限可以供其他公司参考。