瑞典数据保护局发布了第一份GDPR罚款 - 罚款200,000瑞典克朗（约20,000美元） - 用于非法使用面部识别技术监控学生在瑞典当地一所高中的出勤率。瑞典监管机构认为，当地学校董事会在几个方面违反了GDPR。首先，考虑到监控学生出勤率的目的，发现面部识别技术的使用过于干扰，违反了GDPR第5条第（1）款（c）项，该条规定了“数据最小化”原则。

其次，根据GDPR第9条，面部识别数据包括“特殊类别的数据”，而这些数据又只能根据公认的此类数据的法律依据进行处理。处理面部识别数据的允许基础之一是数据主体的明确同意。学校董事会试图依靠这个基础，争辩说所有学生和他们的父母都同意了。然而，瑞典监管机构认为，在这种情况下，学生的许可不符合GDPR要求的同意，因为考虑到权力的不平衡和依赖性，学生不是自愿给予和自由选择的决定。学生和学校。

最后，学校发现违反了GDPR第35条，该条款要求在进行数据处理之前进行文件化的数据保护影响评估（DPIA），这需要提高数据保护风险，例如面部识别监控。

由于两种缓解情况，瑞典监管机构证明相对适度的罚款是合理的：学校面部识别项目的相对短暂的持续时间 - 仅仅三周 - 而受监控的学生数量相对较少 - 仅为22。

英国GDPR下的人工智能评论。英国的隐私监督机构，信息专员办公室（ICO）继续发布关于人工智能（AI）技术，特别是机器学习（ML）系统和GDPR之间相互作用的评论。本月，ICO发布了有关ML系统中数据最小化和隐私保护技术的说明，以及ML系统中的全自动决策。

第5条第（1）款（c）项中规定的GDPR数据最小化原则要求数据处理“充分，相关并限于与处理目的相关的必要条件”。ICO的评论指出了ML系统学习阶段的几种隐私保护技术。首先，修改培训数据，以减少可追溯到特定个人的程度，同时保留其用于培训表现良好的模型的效用。其次，一种称为联合学习的技术允许不同的ML方在其数据上训练模型，然后将这些模型已识别的一些模式组合成单个更准确的“全局”模型，而无需共享任何训练数据。在ML系统的推理阶段，

GDPR要求组织在处理个人数据时实施适当的保护措施，以制定对个人具有合法或类似重大影响的自动化决策。保护措施包括数据主体有权接收有意义的信息，解释自动决策的逻辑，表达自己的个人观点，对决策提出质疑，并寻求人为审查决策。评论指出，复杂的ML系统会影响组织为数据主体提供有意义的解释的能力。此外，如果ML系统过于复杂而无法解释，则可能过于复杂而无法进行有意义的竞争，干预，审查或提出替代观点。

点击此处，查看《全球：通用数据保护法规（GDPR）合规性要求》

为更好的服务中国客户走出国门，揽阁信息专门整理全球各国各地区的信息安全合规性要求。

欢迎您与揽阁信息联系并沟通，获取更多满足合规要求的信息安全产品与解决方案。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Luna HSM v7.8.4 和 Luna HSM Universal Client v10.7 现已推出

• 不断变化的数据保护法规表明为什么企业必须将隐私置于核心位置

• 如何遵守不断变化的数据保护法规

• 揭示PKI动态：全球各地区技术趋势和监管见解

• 数据脱敏和数据加密一样吗？