标签: 欧盟

欧盟举办超大规模网络安全演习:医疗基础设施遭全链条打击

来自欧洲各地的网络安全专家,刚刚完成了迄今为止全球规模最大的网络危机模拟之一。 在Cyber Europe 2022上,来自欧盟29个国家、欧洲自由贸易区(EFTA)以及欧盟各机构与部门的800多名网络安全专家齐聚一堂。 今年的演习场景,涉及对欧洲医疗基础设施的模拟攻击。 场景升级 第一天演习内容包括篡改实验室结果等虚假宣传活动,以及对欧洲医院网络发动攻击。 第二天演习的安全事件进一步升级为欧盟范围内。有攻击者威胁将发布个人医疗数据,而另一个团伙则在网上散布植入式医疗设备存在漏洞的谣言。 此次演习测试了各参与方的事件响应能力,以及欧盟各机构与欧洲计算机应急响应小组(CERT-EU)、欧盟网络与信息安全局(ENISA)合作提高态势感知能力的成效。此次演习中吸取的经验教训,将在ENISA发布的事后报告中正式公布。 ENISA执行理事Juhan Lepassaar在一份新闻稿中表示,“为了保护我们的卫生服务与基础设施,并最终保护全体欧盟公民的健康权益,加强网络安全弹性将是唯一可行的道路。” Cyber Europe演习通常每两年举办一次。但由于COVID-19疫情的突然爆发,2020年演习未能如期举行。 Red Goat Cyber Security合伙人、网络危机演习专家Lisa Forte表示,“这些演习对于评估和发展网络安全弹性起到了至关重要的作用。” “Cyber Europe演习表现良好,也让我们看到了欧盟整体要如何应对大规模网络攻击。根据我个人的演习经验,战略与战术团队在沟通层面永远存在可以改进的空间。通常,演习会暴露出所制定计划中的缺陷。如果不解决这些缺陷,那么无论在纸面上看起来何等完善的计划,都无法在高压力场景下发挥作用。”   转自 安全内参,原文链接:https://www.secrss.com/articles/44303 封面来源于网络,如有侵权请联系删除

争夺第三世界影响力!美欧拟向发展中国家提供网络安全援助

据参与会谈的官员说,美国和欧盟计划联合资助发展中国家的安全数字基础设施。 这标志着欧盟和美国将首次合作,资助并帮助保护其他国家的关键基础设施免受网络攻击。一位欧盟官员表示,通过网络安全方面的合作,欧盟和美国希望帮助那些原本可能急于接受中国资金的国家。 官员们指出,初步计划可能会在今年年底前,在非洲或拉丁美洲进行。他们提到,俄乌战争的爆发证明,为易受民族国家网络攻击的国家的电信网络和其他硬件提供支持很有必要。 这位欧盟官员表示,中国技术可能会引发数据安全风险。来自欧盟国家和美国的官员称,华为技术有限公司的产品含有内置安全缺陷,可用于政府间谍活动。华为公司表示不会与中国政府共享用户数据。 “这在很大程度上是一个捍卫民主与人权的问题。”这位欧盟官员补充道。 美欧对话论坛上多次推进,或以帕劳海底光缆项目为模版 关于资助外国数字基础设施的讨论始于美欧贸易和技术委员会(TTC)。这是一个去年成立的美国-欧盟对话论坛,旨在解决两大司法管辖区在多个政策领域上的争议。 该委员会在2021年9月在匹兹堡举行了第一次会议。俄乌战争的爆发加速了会议进程,促使官员们加紧对抗俄罗斯及其他威权政府施加的影响。与会者们表示,面对俄罗斯向乌克兰开战,该论坛在协调美欧两大经济体联手制裁俄罗斯方面发挥了重要作用。 在今年5月举行的委员会第二次会议中,欧盟委员会执行副主席玛格丽特·维斯塔格(Margrethe Vestager)表示,“俄乌战争的爆发,进一步强调了我们(欧盟)与美国在经济和技术问题上开展合作的重要意义。” 美国国务院一名官员表示,美国-欧盟网络计划的可行模式之一,是2020年美澳日联合援助帕劳。当时美国、澳大利亚和日本共同出资3000万美元,在太平洋帕劳岛附近建造了世界上最长的海底光缆,旨在为帕劳提供安全的通信网络。 美欧拟制定“排华”援助标准,专家建议长期合作发展安全能力 官员们表示,预计具体资助方式将遵循得到美国和欧盟认同一致的政策,如尽量避免使用政府网络安全专家警告过的技术供应商。 美国一直在极力阻止各国在国内电信网络中使用华为产品。2020年,27个欧盟国家同意采取评估措施,核查技术供应商是否会引入间谍及网络安全威胁。欧盟本身无权要求各成员国禁用技术供应商,但包括瑞典在内的几个国家已经将华为排除在其5G网络建设之外。 电信公司高管、美国及欧盟国家官员则坦言,华为提供的中国设备往往要比竞争对手爱立信和诺基亚的同等设备更便宜。 美国国务院官员提到,通过新的网络合作伙伴关系,欧盟和美国企业可以与政府合作,以竞标的方式与华为竞争,比如在外国基础设施建设项目上。 这位官员还说,欧洲官员也有兴趣与美国合作为乌克兰建设数字基础设施。 据美国国务院官员称,俄乌战争的爆发让此次基础设施资助计划变得“更加紧迫”。俄罗斯导弹时不时就会摧毁乌克兰的电信系统。今年2月24日,也就是俄乌战争爆发的第一天,一场针对卫星网络的攻击导致成千上万乌克兰及欧盟居民无法访问互联网。 德国智库Stiftung Neue Verantwortung的国际网络安全政策初级项目主管Julia Schuetze认为,部分国家,特别是那些缺乏网络安全专业人员的国家已经很难保护基础设施,因为现在设备保护必须与安全威胁保持同步。 她表示,美国和欧洲国家需要共同努力帮助其他国家发展这些能力,而非“一次性地”支付基础设施费用。“如果有漏洞没有得到修补,基础设施就不再安全了,你还能说它是值得信赖或安全的吗?”   转自 安全内参,原文链接:https://www.secrss.com/articles/43756 封面来源于网络,如有侵权请联系删除

继美国之后,欧盟推出关键领域网络安全新立法

近日,欧盟已就新的立法达成政治协议,将对关键行业组织实施共同的网络安全标准。 新指令将取代欧盟关于网络和信息系统安全的现有规定(NIS指令)。“因为社会的数字化和互联程度不断提高,全球网络恶意活动的数量不断增加”,原来的指令需要更新。 NIS2指令将涵盖在关键领域运营的大中型组织, 其中包括公共电子通信服务、数字服务、废水和废物管理、关键产品制造、邮政和快递服务、医疗保健和公共管理的供应商。 新立法要求有关部门在24小时内报告网络安全事件、修补软件漏洞和准备风险管理措施。 它还旨在制定更严格的执法要求,并协调成员国之间的制裁制度。如果不遵守规定,基础服务运营商将面临高达年营业额2%的罚款,而对于重要服务提供商,最高罚款将为1.4%。 这些措施最初是由欧盟委员会于2020年12月提出的,该政治协议需要得到欧盟成员国和欧洲议会的正式批准,一旦通过,成员国将需要在21个月内将新要求转化为国家法律。 欧洲数字时代组织(a Europe Fit for the Digital Age)执行副总裁玛格丽特·维斯塔格(Margrethe Vestager)在评论该公告时说:“我们一直在为社会的数字化转型而努力。在过去的几个月里,我们已经建立了一些基石,如《数字市场法》和《数字服务法》。今天,成员国和欧洲议会还就NIS 2达成了协议,这是欧洲数字战略的又一重要突破,这次是为了确保公民和企业受到保护并信任基本服务。” 欧盟委员会副主席希纳斯马加里蒂斯·希纳斯(Margaritis Schinas)表示:“网络安全对于保护经济和社会免受网络威胁始终至关重要,随着我们在数字化转型中不断前进,这一点变得越来越重要。当前的地缘政治环境使得欧盟确保其法律框架符合目的变得更加紧迫。我们正在履行提高欧盟网络安全标准的承诺。欧盟也已表明其决心,以提高防范和恢复针对经济、民主与和平的网络威胁的能力。” 该公告是在政府机构就网络安全采取一系列重大举措之后发布的,其中包括美国总统拜登的行政命令种对联邦机构的零信任要求、美国对关键基础设施组织施加报告义务的新立法以及英国的产品安全和电信基础设施(PSTI)法案,该法案将对互联网连接设备的制造商、进口商和分销商提出新的网络安全标准。 去年,欧盟制定了建立联合网络部门的计划,以提高应对成员国不断增加的网络攻击的能力。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/OlhWd2GJ8IsoguXTsc2Xdg 封面来源于网络,如有侵权请联系删除

欧盟将公布新法律 迫使大型科技公司对非法内容进行监管

欧盟准备在周五公布一项具有里程碑意义的法律,该法律将迫使大型科技公司更积极地监管其平台的非法内容,这是监管机构遏制大型科技集团权力的最新举措。 据四位知情人士透露,《数字服务法》(DSA)将禁止根据用户的宗教信仰、性别或性取向对用户进行分类和内容定位。DSA是一个立法方案,首次为大型科技公司如何保证用户的网络安全制定了规则。它是在欧盟通过《数字市场法》一个月后出台的,因为欧盟正在推进20多年来对管理世界上最大技术公司的法律进行最大改革。 根据《数字市场法》,导致人们不情愿地点击互联网上的内容的操纵性技术,即所谓的黑暗模式,也将面临禁止。欧盟负责数字政策的执行副主席玛格丽特-维斯塔格说,她希望在周五取得突破。她补充说,DSA将使监管机构能够采取行动,使用户能够”安全上网,购买产品和表达自我”。 作为成员国、欧盟委员会和欧洲议会在布鲁塞尔达成的协议的一部分,儿童将受到新的保障措施的约束,这意味着YouTube或TikTok等在线平台将需要以未成年人能够理解的方式解释其条款和条件。根据新规则,Facebook母公司Meta等公司将不能以未成年人为目标进行广告宣传。 DSA表明,网络平台不能为所欲为,它们不能单方面设定用户可以或不能看到的条款。监管机构还将包括一个紧急机制,迫使平台披露他们在Covid-19和乌克兰战争中采取了哪些措施来处理错误信息或宣传。 中型平台可能会有一个宽限期,直到它们能够完全遵守新规则,而Google和亚马逊等大型平台将在规则颁布后必须遵守。大型平台的定义是在集团内至少有4500万用户,每年将支付2000万至3000万欧元的监督费用。那些违反规则的公司将面临高达6%全球营业额的罚金。 搜索引擎也将受到新规则的约束,这意味着当涉及到用户在其搜索平台上传播虚假信息时,Google等公司将不得不评估和减少风险。虽然监管机构预计将在周五达成协议,但一些人警告说,最终协议可能在最后一刻发生变化。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1261067.htm 封面来源于网络,如有侵权请联系删除

脸书被欧盟罚款 1.2 亿:大规模数据泄露

Facebook母公司Meta被欧盟罚款1700万欧元(约合1900万美元),原因是它未能阻止Facebook平台在2018年发生的一系列数据泄露事件,违反了欧盟的隐私规则。 Meta在欧盟的主要隐私监管机构爱尔兰数据保护委员会表示,他们发现Facebook“未能采取适当的技术和组织措施”。 2018年,Facebook成为欧盟《通用数据保护条例》颁布后的首个重大考验。当时,爱尔兰监管机构宣布对一起影响多达5000万个账户的漏洞事件展开调查。与周二处罚相关的调查是在当年12月开始的,调查的对象是Facebook发出的12条漏洞通知,其中一些是由一个软件漏洞引起的,导致外部开发者获得了数百万用户的照片。   转自 凤凰网科技 ,原文链接:https://tech.ifeng.com/c/8EQ0Ts7nbTO 封面来源于网络,如有侵权请联系删除

欧洲立法者对欧盟国家使用 Pegasus 间谍软件展开调查

欧洲议会周四投票决定成立一个新的 “调查委员会”,调查针对欧洲成员国获取和使用Pegasus(飞马)手机间谍软件的指控。议员们基本上投票赞成设立该委员会,该委员会将调查欧盟27个成员国使用Pegasus和其他监控间谍软件的情况。 调查委员会允许立法者调查可能违反欧洲法律的行为。欧洲议会在一份声明中说,该委员会将调查监管监控方面现有国家法律,以及PegASUS间谍软件是否被用于政治目的,例如针对记者、政治家和律师。 Pegasus是以色列公司NSO集团开发的一种强大的移动间谍软件,可以近乎完全访问目标设备上的数据。NSO是更广泛的监控领域中更多产和知名的间谍软件制造商之一,允许政府和执法部门通过利用设备软件的安全缺陷和弱点来获取设备数据。研究人员一直发现,民间社会成员,记者、活动家和人权捍卫者已经成为政府使用飞马间谍软件的目标,尽管政府保证只针对严重的罪犯和恐怖分子。 在该委员会成立前不到一个月,欧洲数据保护监督员呼吁在整个集团范围内禁止使用Pegasus和其他移动间谍软件,担心会出现”前所未有的侵扰程度”,并引用了有关间谍软件在两个欧盟成员国匈牙利和波兰部署的报告。 1月,公民实验室的研究人员发现有证据表明,波兰执政党的批评者,包括反对派立法者Krzysztof Brejza,成为间谍软件的目标。从Krzysztof Brejza手机中窃取的短信随后被泄露、篡改并在国家控制的电视台上播出,之后他以微弱的劣势在选举中败北。此后,Krzysztof Brejza指责波兰政府干扰了选举。研究人员还报告了法国、德国和西班牙的Pegasus使用情况。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1245991.htm 封面来源于网络,如有侵权请联系删除

欧盟就德国大选前的 “Ghostwriter” 黑客行为向俄罗斯发出警告

据外媒TechCrunch报道,欧盟警告说,其可能就俄罗斯参与针对几个欧盟成员国的“恶意网络活动”采取行动。根据欧洲理事会周五的一份新闻稿,“Ghostwriter”活动针对的是“欧盟的许多议会成员、政府官员、政治家以及新闻界和民间社会的成员”,并且是通过“访问计算机系统和个人账户以及窃取数据”来进行的。 根据声明,欧盟正在考虑“采取进一步措施”,但没有详细说明将采取什么行动。 欧洲理事会发言人Nabila Massrali告诉TechCrunch:“今天的声明是关于强烈谴责恶意的网络活动的,这些活动被指定为Ghostwriter,一些成员国已经观察到并与俄罗斯国家有关。这些活动是不可接受的,所有参与者必须立即停止这些活动。这种活动试图威胁我们的完整和安全、民主价值和原则,并试图破坏我们的民主机构和进程。我们敦促俄罗斯联邦在网络空间遵守负责任的国家行为准则。” 新闻稿中没有提到具体事件。但该发言人补充说,这一警告是鉴于即将于9月26日举行的德国选举。 本月早些时候,德国政府表示,与俄罗斯有关的 “Ghostwriter”活动一直在“将常规网络攻击与虚假信息和影响行动相结合”,试图在即将举行的选举前传播虚假信息。当时,德国政府表示,它有 “可靠的信息”,可证实最近的网络攻击(涉及黑客使用钓鱼邮件,试图掌握立法者的个人登录信息)可归因于俄罗斯的行为者,”特别是俄罗斯军事情报机构GRU”。 根据FireEye公司2020年的一份报告,“Ghostwriter”活动自2017年以来一直在进行,并参与了整个欧洲的反北约假情报活动、网络间谍活动和具有政治破坏性的黑客和泄密行动。在今年4月发布的一份后续报告中,FireEye将“Ghostwriter”活动与UNC1151联系起来,UNC1151是一个被认为得到克里姆林宫支持的威胁行为者。 此后,专门从事入侵监测和网络对手情报的网络安全初创公司Prevailion发现,与UNC1151有关的基础设施比以前记录的要大三倍,其恶意网络活动比原来怀疑的更广泛和更有侵略性。 Prevailion公司的首席执行官Karim Hijazi本月早些时候说,UNC1151“被定位为更广泛的行动,包括在欧洲和潜在的其他地区”。   (消息及封面来源:cnBeta)

丹麦情报机构被曝秘密协助美国 NSA 监视德国总理和其他欧盟官员

外媒援引《德国之声》的报道称,周日公布的一项欧洲媒体调查表明 —— 丹麦情报机构曾秘密协助美国国家安全局(NSA)对身居高位的欧盟政客实施了大规模的监听,其中就包括了德国总理安吉拉·默克尔和总统弗兰克-瓦尔特·施泰因迈尔。其实早在 2013 年,美国对其盟友开展间谍活动的爆料就已经首次浮出水面。但直到现在,才有记者披露了丹麦国防情报局(FE)为美国打下手的消息。 据悉,包括丹麦、瑞典和挪威广播公司(DR、SVT、NRK),法国《世界报》、德国《南德意志报》、以及德国公共广播公司(NDR、WDR)在内的许多媒体,都拿到了这份让人震惊的报告。 报告还指出,当时德国中左翼政党 (SPD) 总理候选人皮尔·史坦布律克(Peer Steinbrueck)也成为了被“亲密盟友”NSA(FE)监听的目标。 在得知此事后,史坦布律克认为这绝对是个丑闻。一方面,他承认西方国家需要“正常运作”的情报部门。但另一方面,丹麦当局的监视事实表明他们更愿意亲自下场。 至于丹麦在其中扮演了什么角色,外媒披露政府最迟从 2015 年就知道该国情报部门卷入了 NSA 丑闻。 NDR 报道称,在前 NSA 雇员爱德华·斯诺登曝光后,他们开始在 2012 至 2014 年的秘密报告中收集有关 FE 和 NSA 合作的信息。 后续获得的证据表明,FE 曾协助 NSA 监事过瑞典、挪威、荷兰、法国、以及德国的高级政客。 此外丹麦情报部门还协助美国间谍机构追踪了该国的外交部、财政部、一家丹麦军火制造商,甚至合作开展过针对美国政府的窃听行动。 当丹麦政府发现两国情报机构之间的合作有些“越界”之时,最终在 2020 年下令撤掉 FE 的整个领导层。   (消息及封面来源:cnBeta)

明年开始欧盟的微软客户将能够在当地存储他们的所有数据

微软宣布了一项名为 “微软云的欧盟数据边界”的新举措,通过这一做法,微软旨在使欧盟客户在2022年前将其所有数据存储在该地区。该计划适用于该公司的所有核心云服务,即Microsoft 365、Dynamics 365和Azure,这将为那些希望满足本地数据存储要求和实现本地化承诺的客户带来更大的安心。 微软将继续与这些组织以及监管机构合作,确保在2022年底前完成实施这一变化的工程工作。 现在,微软大部分在线服务允许用户选择数据存储的地理位置,但在未来几个月,它将进一步加强这些服务,以减少欧盟以外的数据传输,然而,客户仍将有能力利用增强的服务,利用位于欧盟以外的资源。 微软强调,新的欧盟客户不需要等待,其使用到的云服务就已经遵循欧盟执行的准则,使客户能够遵守GDPR,即使没有这个额外的承诺,在欧盟边界内存储和处理数据时,微软也在Schrems II决定后实施了补充措施,以进一步支持数据传输的合规性,这些措施满足并超越了Schrems II决定的要求。与此同时,微软正在进行这些额外的投资,以便在2022年底前在欧盟处理和存储数据。这表明其对欧洲客户的持续承诺,并通过最大限度地减少欧盟边界以外的数据传输来简化后Schrems II的合规性。 欧盟标准合同条款(SCC)用于服务提供商(如微软)和他们的客户之间的协议,以确保任何离开欧洲经济区(EEA)的个人数据将按照欧盟数据保护法进行转移,并满足欧盟数据保护指令95/46/EC的要求。 微软将执行欧盟委员会修订的SCC,并继续为客户提供围绕微软服务范围内个人数据转移的具体保证。这确保了微软的客户可以通过微软云将数据从欧洲经济区自由转移到世界其他地区。如果客户对自家部署的SCC的适用性有具体疑问,应该咨询他们的法律顾问。 该公司已明确表示,它不会让美国政府或任何其他政府访问欧洲数据,并将把所有此类请求转给客户。在可能的情况下,它将把此事送进法庭,并通知客户,除非法律禁止它这样做。同样,如果任何客户数据的披露违反了GDPR,该公司将对受影响的客户进行经济赔偿。 尽管微软从其角度评估了实施这些变化所需的工程和技术努力,但公司表示,它将继续与客户和监管机构协商在特殊情况下可能需要的潜在调整。   (消息及封面来源:cnBeta)

人脸识别 60 年:欧盟通用数据保护条例真的算“史上最严”吗

2018年5月,欧盟《通用数据保护条例》(GDPR)正式生效。此后,法国对Google开出了高达5千万欧元的罚单,认为其服务条款不够透明,违背了取得用户“有效同意”的原则。瑞典数据监管机构也依据该条例对一所高中开出罚单,认为使用人脸识别记录出勤违背了“必要性原则”。 据统计,截至2020年1月,欧盟各国数据监管机构接到的违规举报超过16万件,而各国开出的罚单总金额达1.14亿欧元。 GDPR被誉为“史上最严格数据保护法”,也影响了其后多国的数据立法,包括中国刚刚出台的《个人信息保护法(草案)》。但面对更为敏感的生物识别数据,比如人脸数据,GDPR仍存在局限性。比如,它未能覆盖“数据生命全周期”,原始数据采集过程中的风险性就被大大低估了。 本文节选自纽约大学AI Now研究中心报告“Regulating Biometrics:Global Approaches and Urgent Questions”(生物识别技术监管:全球举措及关键问题)的第四章。为便于理解,我们对原文进行了必要的补充和修改。 2004年,欧盟颁布了一项法律,要求各成员国在公民的护照和旅行文件中存储面部图像和指纹信息。大约同时,欧盟建立了一个大型数据库,涵盖申根地区所有寻求庇护者和申请签证者的生物识别数据。 不久,生物识别的应用在公共部门和私人企业得到了进一步扩张,用于控制人流、公司的电子门禁,以及校园监控。技术的优越性得到了欧洲委员会的承认,但后者提醒,生物识别数据应被视为“敏感”信息,它包含个人的健康状况、种族等敏感信息,能识别人的身份,能轻易与其他信息扣连,且不可更改。 面对上述风险,法律层面的监管一度“缺位”,无论是一般意义上的数据保护法,还是大多数国家的立法,都未有专门针对生物识别数据使用和处理的具体规定。技术开发和应用的同时,法律相对滞后。 为弥补其间差距,一些国家的数据保护监管机构开始制定生物识别数据的使用框架。比如,强调数据的敏感性、数据库维护的风险性,以及 “功能潜变”(编者注:function creep,即出于某一特定目的采集的数据被用于其他目的)的可能性,还包括使用目的和手段之间是否相称(编者注:proportionality,相称性原则,即需考察为达成某一目的,是否有必要采用生物识别技术)。然而,这些法案在实际操作时留下了诸多不确定空间。 2016年,欧盟推出了《通用数据保护条例》(General Data Protection Regulation,下文简称GDPR),适用于各成员国,涵盖了生物识别数据在公共和私人领域的应用。此外,欧盟还通过了《数据保护执法指令》(Data Protection Law Enforcement Directive,下文简称DP LED),专门针对执法部门,当执法者需为预防、监控、调查或起诉犯罪行为使用个人数据时,需遵守该指令。 DLA Piper律师事务所统计了2018年5月至2020年1月期间,各国数据监管机构依据GDPR所做出的判罚,其中,荷兰、德国、英国位列数据泄露案件数的前三位。图片来源:DLA Piper统计报告。 欧盟如何监管生物识别数据? GDPR和DP LED首次对生物识别数据作出定义:“与自然人的身体、生理或行为特征相关、经特定技术处理而产生的个人数据,这些个人数据可用于确认该自然人的独特身份,如面部图像或皮肤(指纹)数据。” 值得注意的是,对“特定技术处理”(specific technical processing)的强调排除了那些存储和保留在数据库中的“原始”数据,如视频监控拍到的人脸或录音,以及用户发布在网站、社交媒体上的原始信息。 此外,GDPR提及,“照片处理不应被系统地视为处理特殊类别的个人数据……”私人的视频片段也不被视作生物识别数据,除非它经过特殊技术处理,可以识别出个人。 虽然GDPR规定,禁止“以唯一识别为目的进行生物特征数据处理”,但这项禁令仍存在许多例外。比如数据“明显公开”,或“出于重大公共利益的目的”。这些“例外情况”大量存在,模糊不清,实际上,GDPR允许了很多场景下生物识别数据的处理和技术应用。作为一个基础性框架,GDPR也提及,各个成员国可以引入进一步的法规或禁令。 而DP LED则对执法机关使用生物识别数据提出了限制,只有在以下三种情况下执法机关可以使用生物识别数据:获得了法律授权、保护关键利益,或处理已被数据主体公开的数据。 当新技术的应用“可能导致高风险”时,或大规模处理特定类型的个人数据时, GDPR和DP LED要求启动“数据保护影响评估”(Data Protection Impact Assessments, DPIA)。此外,当公共部门系统性监控某个可公开进入的区域时,同样需要启用这种评估。 “数据保护影响评估”是一个综合性评估,包括数据处理的风险性、必要性,以及目的与手段是否相符。某些情况下,当私人机构或公共部门想要使用生物识别技术时,他们需要事先向当地或本国的数据监管部门咨询,获得许可。 英国信息委员会办公室(Information Commission Office)列出的“数据保护影响评估”的基本步骤,其中包括向有关部门咨询、评估必要性、评估手段与目的是否相符、风险评估、考虑降低风险的手段等。ICO表示,该评估应先于技术的应用。图片来源:ICO官网 此外,生物识别数据的处理和技术应用需尊重公民的基本人权和自由,当隐私权或个人数据保护权受到侵害时,与人权相关的法律框架也会被启用。 以下各节概述从这些监管尝试中获得的主要经验教训,讨论了它们的有效性,并重点介绍了未来监管应吸取的经验。 模糊的定义:原始数据在采集阶段的风险性被大大低估 GDPR和DP LED中,生物识别数据被定义为“经过特定技术处理”的数据,(编者注:由于过多强调数据的处理环节)。在采集和存储环节,除了获得用户同意、满足必要性等原则之外,相较于其他一般意义上的个人数据,生物识别数据并不享有更高级别的保护。 正因如此,生物识别数据在采集环节的风险性被大大低估了。一些理应受到保护的敏感数据由于尚未被处理编者注:即尚不符合GDPR对生物识别数据的定义),而无法被保护。这一点尤为关键,特别在执法部门使用时,透明度受限,数据可能在不通知有关个人或公众的情况下使用。这是GDPR和DP LED法律文本中的漏洞,公司和政府可以收集大型图像数据库,这些数据以后可能用于执法目的。 2020年,Clearview AI公司引发了巨大争议,通过一张人脸信息就可以识别出其身份和电子足迹,这也让更多人意识到现有法律框架的局限。图片来源:Clearview AI官网。 这也与欧洲人权法院的判例法相违背,后者一再强调,从数据库中捕获、收集和储存人类特征信息的做法妨碍了个人私生活被尊重的权利。此前,英国人Gaughran就将英国政府告上欧洲人权法庭,(编者注:2008年Gaughran因酒驾被捕,在警局留下了照片、指纹和DNA信息。其DNA样本在2015年被销毁,但其DNA资料、指纹信息和照片仍被无限期保留在警方记录中。Gaughran将英国告上法庭,要求警方销毁个人数据或退还给自己。)欧洲人权法院将人脸识别和面部特征比对等技术考虑在内,最终判决“保留申请人的DNA档案、指纹和照片等构成了对他私生活的干扰。” 更恰当的定义应能为人类特征数据提供法律保护,这些数据可用于身份识别目的,或可供自动化识别过程, 法规还应对数据的存储提出限制 。我们尝试提出另一种生物识别数据的定义:所有满足以下条件的个人数据:(a)直接或间接与人类独特的生物或行为特征有关的数据;(b)可使用或可通过自动化手段使用的数据;(c)可用于身份识别、身份验证或验证自然人主张的数据。” 生物识别“禁令”的模糊性 现有的法律未能对不同的生物识别系统进行区分,也未能对不同的数据处理方式设置针对性规范。例如,虽然GDPR的第9.1条列出了一些禁止使用和处理的规定,但它并没有区分“一对一” 的“验证”(编者注:1:1,比如通过电子门禁时,确认进入者身份)和“一对多”的“识别”。 目前,欧洲委员会和许多国家的数据监管部门表示,验证比识别的风险性小,因为验证不需要数据库。 一对多的身份识别存在额外的风险,包括在数据库中大规模收集和存储生物识别信息、基于概率的匹配(这引起了人们对准确性和误报的担忧),以及对隐私监视的担忧。但GDPR和DP LED并未区分这两种功能,这也造成了技术开发者的顾虑,对于希望投资生物识别验证技术和隐私增强方法的公司来说,这些操作存在法律上的不确定性。 恰当的监管应该更积极地区分不同处理方式的风险性差异,禁止那些构成真正风险的技术,鼓励那些有可能提供真正隐私和安全保护的功能。 什么是“例外情况”? 最后,法律中含糊的“例外情况”也存在漏洞,为一些高风险的技术使用方式打开了大门。 GDPR对“例外”的定义极为宽泛,允许基于“重大公共利益”进行生物识别数据处理(编者注:由于未对“重大公共利益”进行具体界定,它会成为一个宽泛的“筐”)。 由于对“例外”情况的界定笼统宽泛,目前尚不清楚其是否可作为授权公共部门或私人机构部署人脸识别技术的法律依据(例如,在大型体育场活动中)。GDPR和DP LED无法回答这些问题的,还需要制定更针对性的法律。         (消息来源:cnBeta;封面来自网络)