歐盟的一般資料保護規範(簡稱 GDPR)自從去年 5 月正式生效後,不少歐美的大機構都曾經因為違反規例而受到處罰。瑞典日前爆出首宗因為違反 GDPR 而受到當地數據保護部門(DPA)懲處的個案,被罰款的並非科技公司或網站,而是瑞典北部的一間高中。
瑞典傳媒報導指位於 Skellefteå 的一間高中,去年秋季推出一個先導計劃,測試以普通視像鏡頭配合人面辨識技術去計算出席率。學校邀請了 22 名學生參加為期 3 星期的測試,以人面辨識取代傳統的點名簽到制度。瑞典數據保護部門 DPA 認為學校未有在開展計劃前先徵詢意見,又未有就事件影響進行評估,以違反了歐盟 GDPR 的多個條款而起訴校方。
校方非法處理學生的敏感生物識別數據屬於嚴重罪行,以歐盟的罰則來說,最高可罰款達 100 萬歐元(約 870 萬港元),不過瑞典 DPA 最後只向校方罰款 20 萬瑞典克朗(約 16.2 萬港元)。今次亦成為了瑞典首宗與 GDPR 相關而被判罰的個案,就連當地教育部門亦對判罰有異議。校長對此感到驚訝,強調他們在試驗前取得了學生的同意,又表示電腦被鎖在一個箱內,而且未有連接網絡。不過 DPA 則認為校方欠缺法理依據,而且數據擁有者和管控者之間存在明顯的不平衡。
來源:edpb
