日期: 2019年8月14日
公署回應有關屋苑的保安公司建議具人工智能面部識別功能的大廈保安智能門禁系統
謝謝你的查詢,有關屋苑的保安公司建議採用具人工智能面部識別功能的大廈保安智能門禁系統,公署現就
個人資料私隱範疇綜合回覆如下:
答1 :生物辨識資料(如面部圖像、聲音數據等)往往是與生俱來和獨一無二,可直接或間接辨識個別人士的身份,因此生物辨識資料亦會被視為《個人資料(私隱)條例》(《私隱條例》)下的個人資料。一般而言,具人面識別功能的大廈保安智能門禁系統由於涉及收集個人資料,故受《私隱條例》的規管。機構在收集相關資料前必須確定他們是有特定的目的和實際需要,而又沒有其他私隱侵犯程度較低的替代方法可達致相同目的,同時亦應提高保安措施。
答2 :《私隱條例》的資料保安原則規定,機構作為資料使用者在採取保安措施時,須考慮個人資料的種類,以及假如這些資料未獲授權或意外地被查閱、處理、刪除、喪失或使用(包括轉移及披露)時會做成的損害,以有效保障個人資料安全。若屋苑及保安服務承辦商計劃(作為資料使用者及/或資料處理者)引入具人面識別功能的門禁系統作大廈保安之用並向住戶收集相關的個人資料時,必須按《私隱條例》及相關的保障資料原則規定,收集及妥善處理住戶的個人資料,其中:
-
須首先考慮有關收集生物辨識資料是否必需的,因此私隱專員鼓勵有關機構進行私隱影響評估,以評估建議的做法對個人資料私隱的影響;
-
在可行情況下提供私隱侵犯程度較低的其他替代方法,例如密碼或門卡;
-
只能為了直接與其職能及服務有關的合法目的而收集個人資料,而所收集的資料要有實際需要但不超乎適度(如用作核實出入的住戶身份及保安用途等);
-
應在合理地切實可行的情況下實施有效的保安措施,防止生物辨識資料庫受破壞及盜用,如在儲存或傳送生物辨識資料時,把資料加密;
-
對於一些已不再需要用於原來收集目的的生物辨識資料,應定期並經常將這些資料安全地銷毀;
-
定期進行私隱循規評估及檢討,確保有關行動及做法符合條例的規定。負責收集及管理生物辨識資料的僱員必須得到適當的培訓、指導及督導。
私隱專員早前刊發《
收集及使用生物辨識資料指引》,當中提供多項建議,以協助機構負責任地收集及使用生物辨識資料,減低相關的私隱風險。
答3: 不論公私營機構,都必須按《私隱條例》的規定採取有效的保安措施,妥善保障其住戶的個人資料不會未經准許或意外地被查閱、處理、刪除、喪失或使用,否則便有可能違反《私隱條例》下的資料保安原則。
若不幸發生資料外洩事故,私隱專員鼓勵任何肇事機構向公署通報資料外洩事故。通報資料外洩事故有利於公署與相關機構攜手,減低因事件對所涉住戶可能構成的潛在損害,並尋求改善方案有效防止事件再次發生。公署刊發《
資料外洩事故的處理及通報指引》,旨在協助機構處理資料外洩事故及減低對肇事人士所造成的損失及損害。