Kysymys:
GDPR: pidetäänkö kasvoja aina tunnistettavissa olevina tietoina?
4Oh4
2018-05-10 17:34:15 UTC
view on stackexchange narkive permalink

Kasvojentunnistuksen ja käsittelyn (esim. tunteiden havaitseminen) koneoppimisessa käytetään usein aineistoja, jotka sisältävät suuren määrän kasvokuvia. Nämä ovat yleensä nimettömiä, joten ainoa muu sisältämä tieto on tiedostonimi (t), kuten 00001.jpg . Miten GDPR vaikuttaa tällaisten tietojen tallentamiseen, käsittelyyn ja jakamiseen?

Väitteiden vuoksi ja tilanteen selventämiseksi haluan jättää sivuun GDPR: n säännökset, joissa säädetään tietojen käsittelystä tieteellinen tutkimus. Työskentelen myös olettaen, että muita metatietoja ei ole, kuten laskentataulukko, joka linkittää kuvan tiedostonimet kuvattuun henkilöön.

GDPR tekee selväksi ( johdanto-osan 26 kappale), että anonyymit tiedot eivät kuulu asetusten soveltamisalaan:

"... Tietosuojaperiaatteiden tulisi [ Siksi] ei sovelleta nimettömiin tietoihin, nimittäin tietoihin, jotka eivät liity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, tai henkilöihin, jotka on tehty nimettömiksi siten, että rekisteröityä ei voida tunnistaa tai ei enää voida tunnistaa. "

Tietosuojanäkökohdat vähenisivät merkittävästi, jos näitä aineistoja pidettäisiin GDPR: n ulkopuolella. Onko mahdollista, että kasvokuvaa voidaan pitää erillään? Se olisi aina mahdollista linkittää todelliseen ihmiseen, koska useimmat ihmiset pystyvät tunnistamaan kasvot. Kuvan ja joukossa seisovan henkilön kanssa on todennäköistä, että tavallinen katsoja pystyy tunnistamaan kuvatun henkilön.

Missä tutkimuksesi perustuu? Jos EU: n ulkopuolella on, riittää, että tyytymme vain EU: n ulkopuolella asuvien ihmisten kasvoihin, jotta sivuutetaan GDPR.
Se on totta. Olen ensisijaisesti kiinnostunut siitä, miten GDPR vaikuttaa tutkijoihin, jotka perustuvat EU: n sisäisiin tietoihin ja käyttävät niitä
Neljä vastused:
Tardis
2018-05-24 13:24:20 UTC
view on stackexchange narkive permalink

Tietosi eivät ole nimettömiä, koska henkilö voidaan tunnistaa kasvokuvasta.

Olisi tuntematon, jos kasvot olisivat sumentuneet ja muut mahdolliset tunnistettavat tiedot poistettaisiin. Tietysti se voittaisi tarkoituksesi. Huomaa, että anonymisointitekniikat ovat joka tapauksessa itsessään eräänlainen henkilötietojen käsittely, joka vaatii oikeudellista perustaa, ja todellisen nimettömyyden saavuttaminen ei ole triviaali asia (ks. 29 artiklan mukaisen työryhmän lausunto 0829/14 / FI WP216 aiheesta).

1.

Henkilön kasvot sisältävät biometrisiä tietoja, jotka on määritelty 4 artiklassa (14 ) muun tyyppisten henkilötietojen joukossa, joita GDPR säätelee: "Henkilötiedot, jotka ovat peräisin luonnollisen henkilön fyysisiin, fysiologisiin tai käyttäytymisominaisuuksiin liittyvästä erityisestä teknisestä käsittelystä, jotka mahdollistavat tai vahvistavat kyseisen luonnollisen henkilön yksilöllisen tunnistamisen, kuten kasvokuvat tai sormenjälkitiedot ".

Kasvojentunnistusohjelmiston tarkoituksena on täsmälleen suorittaa tietty kasvojen piirteisiin perustuva tekninen käsittely, saavuttaa yksilöllinen henkilöllisyys perustuu näihin biometrisiin ominaisuuksiin.

T artiklan 9 artikla Hän GDPR sisältää biometriset tiedot kielletyn käsittelyn joukkoon, ellei sovelleta jotakin 2 §: n poikkeuksista .

Poikkeuksia on kymmenen tyyppiä: henkilön suostumus, työsuhde, henkilön julkistamat henkilötiedot, tieteellinen tai historiallinen tutkimus ... (kullakin poikkeuksella on omat ehdot).

Tarkista, että noudatat yhtä näistä 9 artiklassa mainituista poikkeuksista § 2, jos hakemuksessasi on kyse kasvokuvien käyttämisestä henkilön yksilölliseen tunnistamiseen näiden biometristen ominaisuuksien perusteella.

2.

Jos puolestasi ei ole kyse henkilön yksilöllisestä tunnistamisesta näiden biometristen ominaisuuksien perusteella, vaan vain tunteiden tunnistamisesta (jonka mainitsit lyhyesti viestisi alussa), sen voidaan katsoa kuulumattomaksi 9 artiklan vaatimukset.

Se olisi edelleen henkilötietojen käsittelyä, mutta se kuuluisi tavallisten 6 artiklan vaatimusten soveltamisalaan.

29 artiklan mukaisen työryhmän lausunto on arvovaltaisin asiakirja, jonka olen tähän mennessä nähnyt. Ehdotan, että 4 artikla ei tarkoita, että kaikki kasvovalokuvat oletusarvoisesti olisivat biometrisiä tietoja, ja että se riippuu niiden käsittelystä. GDPR: n johdanto-osan 51 kappaleessa käsitellään tätä: 'Valokuvien käsittelyä ei pitäisi järjestelmällisesti pitää erityisten henkilötietoluokkien käsittelynä, koska ne kuuluvat biometristen tietojen määritelmän piiriin vain, kun niitä käsitellään erityisillä teknisillä keinoilla, jotka mahdollistavat henkilötietojen yksilöllisen tunnistamisen tai todentamisen. luonnollinen henkilö. '
@4Oh4 toteamus siitä, että valokuva ei ole * biometrinen * data, ei tarkoita sitä, että se ei ole * henkilökohtaista * dataa.
@4Oh4, kiitos, että havaitsit katkenneen linkin WP29: n lausuntoon (korjasin sen todelliseen europa.eu-lähteeseen, jonka aioin lähettää). Olen samaa mieltä siitä, että voidaan väittää, etteivät kaikki "kasvovalokuvat", jotka esimerkiksi fotobootti on tallentanut, eivät ole "biometrisiä tietoja". GDPR puhuu "kasvokuvista", jotka johtuvat teknisestä prosessista. Kasvovalokuvat sisältävät pikemminkin biometrisiä tietoja (jotka _ ovat _ arkaluonteisia henkilökohtaisia ​​tietoja tai "erityisiä henkilötietoluokkia", kuten GDPR sanoo), jotka voidaan poimia ja käyttää kasvojentunnistusohjelmistojen kanssa ja edustaa "kasvokuvana".
Onko GDPR: ssä jotain, joka viittaa siihen, että "tunnistettavissa" tarkoitetun tunnistamisprosessin on oltava algoritminen? Jos henkilö voi tarkastella joitain tietoja (esim. Valokuvaa) ja tunnistaa niistä toisen henkilön, kyseiset tiedot ovat asetuksen mukaan henkilötietoja, ainakin kunnes tuomioistuin katsoo toisin.
@phoog, todellakin, valokuva henkilöstä on mielestäni henkilökohtainen tieto GDPR: n mukaan, ja aiempi EU-direktiivi ja sen kerääminen ja käsittely edellyttävät GDPR: n 6 artiklaan perustuvaa oikeusperustaa. Se, että kasvokuvaa voidaan käyttää biometristen tietojen keräämiseksi asianmukaisilla teknisillä prosesseilla, johtaa siihen, että "kasvokuva" kuuluu "erityiseen" tietoluokkaan (biometriset tiedot), jonka kerääminen ja käsittely on periaatteessa kielletty, ellei kuulut johonkin GDPR: n 9 artiklan 2 kohdassa määräämistä poikkeuksista ...
... Koska OP: n kysymys koskee tällaista sovellusta, tämä oli asiani täällä. Jos OP: n prosessointi ei puolestaan ​​tarkoita henkilön yksilöllistä tunnistamista näiden biometristen ominaisuuksien perusteella, vaan vain tunteiden tunnistamista, sen voidaan katsoa käsittelemättä biometrisiä tietoja yksilöllisen henkilöllisyyden tunnistamiseksi, ja se kuuluisi normaaliin artikkeliin 6 vaatimusta. Päivitän vastaustani tällä lisäominaisuudella.
Päivityksen jälkeen mielestäni tämä vastaus on oikea. Valitettavasti palkkakauden lopussa kumpikaan vastaus ei näyttänyt oikealta, mutta se myönnettiin automaattisesti yllä olevalle vastaukselle
wimh
2018-05-22 22:59:13 UTC
view on stackexchange narkive permalink

Joku on henkilötietoja, jos on organisaatio, joka voi linkittää nämä tiedot luonnolliseen henkilöön, vaikka et voi vain pyytää näitä organisaatioita tekemään niin puolestasi. Esimerkiksi IP-osoite on henkilötietoja, koska Internet-palveluntarjoaja voi yhdistää IP-osoitteen kotitalouteen.

Tietojeni mukaan sekä Google että Facebook pystyvät tunnistamaan kuvan muiden tietojen perusteella. kuvia samasta henkilöstä. Joten tämä tekee kuvan kasvojen henkilökohtaisista tiedoista, vaikka ne olisivat täysin nimettömiä.

Koska kasvot paljastavat rodun ja etnisen alkuperän, sovelletaan GDPR: n 9 artiklaa;

  1. Henkilötietojen käsittely, joka paljastaa rodun tai etnisen alkuperän, poliittiset mielipiteet, uskonnolliset tai filosofiset vakaumukset tai ammattiliittoon kuulumisen, sekä geneettisten tietojen, biometristen tietojen käsittely luonnollisen henkilön yksilöllisen tunnistamisen, terveyttä koskevien tietojen tai luonnollisen henkilön sukupuolielämä tai sukupuolinen suuntautuminen on kielletty.

Mutta on olemassa poikkeuksia;

  1. 1 kohtaa ei sovelleta, jos jokin seuraavista seuraava pätee:

    a) rekisteröity on antanut nimenomaisen suostumuksen kyseisten henkilötietojen käsittelyyn yhtä tai useampaa tiettyä tarkoitusta varten, paitsi jos unionin tai jäsenvaltion lainsäädännössä säädetään, että 1 kohdassa tarkoitettu kielto rekisteröity ei voi nostaa sitä;

    [...]

Tätä suostumusta ei tietenkään voi tallentaa kuvan kanssa, koska se deanonymisoi sen, mikä voittaisi sen tarkoituksen.

Ehkä riittää, jos luotettava kolmas osapuoli, kuten valokuvaaja, voi vahvistaa, että rekisteröity on antanut suostumuksensa tiettyyn käyttöön. Sinun on varmistettava, että kuvaa ei käytetä millään muulla tavalla, koska suostumuksen on oltava hyvin tarkka.

Muussa tapauksessa sinun on tarkasteltava muita artiklan 9.2 poikkeuksia. Jos mikään ei päde, se ei ole mahdollista.

Hyviä puolia. 9 artiklan osalta se liittyy kuitenkin '' henkilötietojen erityisryhmien käsittelyyn '', ja johdanto-osan 51 kappaleessa todetaan selvästi, että '' valokuvien käsittelyä ei pitäisi järjestelmällisesti katsoa erityisten henkilötietoryhmien käsittelyksi, koska ne kuuluvat biometristen tietojen määritelmä vain, kun niitä käsitellään erityisillä teknisillä keinoilla, jotka mahdollistavat luonnollisen henkilön yksilöllisen tunnistamisen tai todentamisen. ''
"erityisten henkilötietoluokkien käsittely" eroaa "henkilötietojen käsittelystä".
Miksi yksikön, joka pystyy tunnistamaan henkilön joistakin tiedoista, on oltava organisaatio? Sisältyykö sitä mihinkään asetukseen? Jos jonkun äiti voi tunnistaa hänet valokuvassa, eikö se tee henkilöstä "tunnistettavissa" valokuvasta?
@phoog Jos jonkun äiti tunnistaa hänet valokuvassa, jonkun toisen on ensin löydettävä äiti. Kun mainitsen organistionin, tarkoitan jotakin * tunnettua * keskeistä paikkaa, johon voi ottaa yhteyttä, mahdollisesti käyttämällä tuomioistuimen päätöstä.
@4Oh4 Lukemalla johdanto-osan 51 kappaletta näyttää olevan oikeassa.
"jonkun toisen on ensin löydettävä äiti": Entä jos joku muu on jo äiti? "Tunnistettavissa" ei tarkoita "kaikki"; pikemminkin se tarkoittaa "kenenkään", ellei soveltamisalaa kavenneta asetuksessa tarkoitetulla erityisellä määritelmällä; "tunnistettavissa olevan" määritelmää ei ole.
Dale M
2018-05-11 02:02:54 UTC
view on stackexchange narkive permalink

Kasvosi on melkein the perustavanlaatuinen tunniste ihmisessä. Paitsi että ihmiset voivat tiedostamattomasti tunnistaa tuntemansa kasvot, algoritmit ovat yhä parempia, ja jos ne on sidottu tietokantaan, he tuntevat enemmän ihmisiä kuin kukaan muu.

Vaikka emme vielä tiedä, miten tuomioistuimet käsittelevät sitä mielestäni on naiivista uskoa, että GDPR ei ota valokuvia henkilöistä.

phoog
2018-05-24 18:07:31 UTC
view on stackexchange narkive permalink

Vaikka tuomioistuin voisi supistaa "tunnistettavissa olevan" soveltamista, varovainen henkilö tulkitsisi tässä varhaisessa vaiheessa termiä laajasti. "Nimetön tieto" on

tiedot, jotka eivät liity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön tai anonyymiksi tehtyihin henkilötietoihin siten, että rekisteröityä ei voida tunnistaa tai ei enää voida tunnistaa.

Ellei kuvaa muuteta niin, että sen kuvaama henkilö ei ole enää tunnistettavissa, kuva ei ole "anonyymi tieto".

Toisessa vastauksessa väitetään, että "tunnistettavissa" tarkoittaa " organisaatio, "mutta en näe perustetta sille asetuksessa.



Tämä Q & A käännettiin automaattisesti englanniksi.Alkuperäinen sisältö on saatavilla stackexchange-palvelussa, jota kiitämme cc by-sa 4.0-lisenssistä, jolla sitä jaetaan.
Loading...