为什么维多利亚州的隐私主管如此担心面部识别技术

维多利亚州的赌博场所越来越多地使用现成的面部识别技术来帮助识别问题赌徒,这引发了人们对敏感数据面临风险的担忧。该州信息专员本周表示,一些单位承包商没有受到严格的隐私法的约束,并承认有几起未经调查的单位机构数据泄露事件。维多利亚社区俱乐部首席执行官安德鲁·劳埃德已致函国家隐私专员,要求就面部识别问题提供协助。他警告说,将自我排除文件移交给处理和安装系统的第三方供应商是“有问题的”。

在《时代报》看到的那封信中,他提出了一种担忧,即场所和零售商正在从卖家那里购买面部识别技术,而卖家“基本上没有提供任何指导”,说明他们是否遵守了澳大利亚的数据安全和隐私准则,例如如何存储信息以及是否适当删除信息。劳埃德告诉《时代报》:“我认为面部识别系统可以是一个很好的工具,但实施和保护需要正确地嵌入使用该技术的企业中。”。

加载
“对于持牌场所,面部识别系统可以提供明确的保护,在南澳大利亚州,单位在持牌俱乐部实施了一个黄金标准系统,该系统与赌博自我排除系统相结合,效果非常好。“我很担心听到一些场馆将他们的自我排除文件交给第三方供应商来处理图像和安装这些系统。这种做法是有问题的。

“我认为隐私专员需要为零售和酒店业提供更多的教育和指导,因此运营商不会安装不合规的系统,也不了解他们需要进行哪些尽职调查来满足澳大利亚隐私原则和立法。”问题赌徒可以选择被排除在游戏场所之外,如果自我排除登记簿上的人试图进入赌场或游戏场所,其面部识别软件将提醒安全人员。在大多数情况下,在维多利亚州的自我排除登记簿上登录的人都会收到警告,他们的数据可能被用于面部识别。

但是,随着澳大利亚各州寻求加强对垃圾场所的保护并打击有组织犯罪,他们在使用面部识别技术方面遇到了挑战。新南威尔士州总检察长迈克尔·戴利本月表示,他致力于使用面部识别技术,但警告说,在如何使用它方面还有“很长的路要走”。他在议会表示:“我们必须确保这项技术有效,并确保其实施保护人们的隐私。”。“随着网络犯罪和一系列其他事情的发生,我们都担心这些系统收集的数据越多,被盗的风险就越大。”

澳大利亚隐私基金会前任主席David Vaile表示,廉价互联网连接技术的普及增加了个人信息被泄露的风险,特别是如果没有定期更新安全升级的话。加载
他说:“攻击者只需要一条细小的发丝般的裂缝就可以通过,而防守者需要做的是拥有100%完美的周边安全,这是不可能的。”。“事实证明,攻击者的商业模式非常成功,因此他们在20到30年内发展壮大。”

Vaile说,每个场馆使用不同的技术,使得人们几乎不可能在进门时判断使用的面部识别技术是否安全。国家监管机构本月发现零售商Bunnings使用面部识别技术违反了澳大利亚的隐私法,并试图对这一发现进行审查。随后,澳大利亚信息专员办公室(OAIC)发布了关于企业应如何处理这一问题的指导。该办公室表示,首先由组织证明收集是必要的,他们应该采取合理的措施来识别信息如何被使用、存储、销毁和去标识的风险。

OAIC指南称:“不应依赖首次登记税可用、方便或可取的事实来确定收集信息的必要性。”。OAIC发言人表示,“组织有责任重新评估自己的做法,并确保他们遵守我们的指导”。维多利亚州信息专员肖恩·莫里森上周在议会听证会上表示,他的办公室对潜在的违规行为表示担忧,因为单位机构在外包工作时未能执行隐私法。莫里森在听证会上表示:

“人们的期望是,当机构与提供商签订合同时,他们会将所有(隐私和安全)要求传递给这些机构——信息隐私或信息安全的访问。而且……我们不认为现在会发生这种情况。”。莫里森表示,他的办公室知道有几起数据泄露事件没有导致调查,而且由于担心会被调查,各机构没有报告泄露事件。“我们还知道还有其他几起违规行为,我们没有对其进行调查……但是,(所获取的)信息量再次远远高于应有的水平。”

维多利亚州隐私和数据保护副专员Rachel Dixon在接受The Age采访时不愿提供有关这些违规行为的进一步信息,但表示:“OVIC无法调查其对受影响的组织或信息类型没有管辖权的地方”。2022年,在州单位承包商Datatime遭受勒索软件攻击后,数万名维多利亚州人的敏感个人信息被泄露。Datatime与六个不同的州单位部门签订了数十年的多份合同。Dixon对数据泄露事件展开了调查。

今年5月发布的这份报告发现,Datatime早在2003年就拥有大量公共部门数据,包括医疗记录和家族史等敏感个人信息。Dixon在上周的议会听证会上表示:“根据合同,几个单位机构要求该组织在几个月内删除他们收集的数据。”。该报告还发现,除了其他网络安全问题外,Datatime及其在数据泄露时与之签订合同的两个部门在销毁和去识别单位数据的义务方面也不明确。

由于公司进入自愿管理,Dixon无法完成调查。根据OVIC的指导方针,单位机构应该约束所有第三方提供商遵守管理个人信息和公共部门数据处理的法律。信息监管机构目前正在咨询各机构,以制定一套新的指导方针。Dixon说,如果不对承包商执行这些隐私义务,如果发生隐私泄露,几乎没有追索权。