日期: 2019年8月14日
公署回应有关屋苑的保安公司建议具人工智能面部识别功能的大厦保安智能门禁系统
谢谢你的查询,有关屋苑的保安公司建议采用具人工智能面部识别功能的大厦保安智能门禁系统,公署现就
个人资料私隐范畴综合回复如下:
答1 :生物辨识资料(如面部图像、声音数据等)往往是与生俱来和独一无二,可直接或间接辨识个别人士的身份,因此生物辨识资料亦会被视为《个人资料(私隐)条例》(《私隐条例》)下的个人资料。一般而言,具人面识别功能的大厦保安智能门禁系统由于涉及收集个人资料,故受《私隐条例》的规管。机构在收集相关资料前必须确定他们是有特定的目的和实际需要,而又没有其他私隐侵犯程度较低的替代方法可达致相同目的,同时亦应提高保安措施。
答2 :《私隐条例》的资料保安原则规定,机构作为资料使用者在采取保安措施时,须考虑个人资料的种类,以及假如这些资料未获授权或意外地被查阅、处理、删除、丧失或使用(包括转移及披露)时会做成的损害,以有效保障个人资料安全。若屋苑及保安服务承办商计划(作为资料使用者及/或资料处理者)引入具人面识别功能的门禁系统作大厦保安之用并向住户收集相关的个人资料时,必须按《私隐条例》及相关的保障资料原则规定,收集及妥善处理住户的个人资料,其中:
-
须首先考虑有关收集生物辨识资料是否必需的,因此私隐专员鼓励有关机构进行私隐影响评估,以评估建议的做法对个人资料私隐的影响;
-
在可行情况下提供私隐侵犯程度较低的其他替代方法,例如密码或门卡;
-
只能为了直接与其职能及服务有关的合法目的而收集个人资料,而所收集的资料要有实际需要但不超乎适度(如用作核实出入的住户身份及保安用途等);
-
应在合理地切实可行的情况下实施有效的保安措施,防止生物辨识资料库受破坏及盗用,如在储存或传送生物辨识资料时,把资料加密;
-
对于一些已不再需要用于原来收集目的的生物辨识资料,应定期并经常将这些资料安全地销毁;
-
定期进行私隐循规评估及检讨,确保有关行动及做法符合条例的规定。负责收集及管理生物辨识资料的僱员必须得到适当的培训、指导及督导。
私隐专员早前刊发《
收集及使用生物辨识资料指引》,当中提供多项建议,以协助机构负责任地收集及使用生物辨识资料,减低相关的私隐风险。
答3: 不论公私营机构,都必须按《私隐条例》的规定采取有效的保安措施,妥善保障其住户的个人资料不会未经准许或意外地被查阅、处理、删除、丧失或使用,否则便有可能违反《私隐条例》下的资料保安原则。
若不幸发生资料外洩事故,私隐专员鼓励任何肇事机构向公署通报资料外洩事故。通报资料外洩事故有利于公署与相关机构携手,减低因事件对所涉住户可能构成的潜在损害,并寻求改善方案有效防止事件再次发生。公署刊发《
资料外洩事故的处理及通报指引》,旨在协助机构处理资料外洩事故及减低对肇事人士所造成的损失及损害。