新加坡官方模板 | 公共场合摄像头人脸识别合规评估
联系微信:heguilvshi 领取优惠券,加入DPOHUB会员!
2022年5月,新加坡数据保护机构PDPC发布了一份《关于在安全应用中负责任使用生物识别信息的指引》(Guide on Responsible Use of Biometric Data in Security Applications)。
| S/N | 第1步:确定收集、使用和/或披露的背景/目的 | ||
| 1 | 依靠合法利益例外来收集、使用或披露个人数据的目的是什么? | 描述该组织或其他人的合法利益,并解释收集、使用或披露个人数据的目标或目的是什么。 [公司名称]依靠合法利益例外来收集、使用和披露个人数据,这是安全面部识别系统的运作所需要的。安全面部识别系统将检测和防止对[公司的场所或安全面部识别系统将被用于的场所][如恐怖主义和犯罪预防(“安全目的”)]的人身安全和安保的威胁。 | |
| 2 | 请列出以下类型的将被收集、使用的个人数据将被收集、使用和/或披露的个人数据类型。 | 通过从[场所]闭路电视录像和闭路电视记录中获得的嫌疑人的面部图像,该嫌疑人在财产上的活动。 嫌疑人指:
如果[公司]能够获得嫌疑人的面部图像,这些面部图像将被储存在安全面部识别系统的数据库中。 | |
| 3 | 说明将如何收集、使用和/或披露个人数据。 | 当财产上有一个嫌疑人时,保安人员[和/或任何其他相关方]将得到提醒(包括通过使用安全面部识别系统)。安保人员将手动抓拍嫌疑人的正面面部特征的截图。嫌疑人正面面部特征的截图、嫌疑人的闭路电视录像和嫌疑人的活动将被归档并存储在安全面部识别系统中,供保安使用。如果安保人员通过捕捉到的信息确定该参与机构存在安全风险,例如与恐怖主义有关,他们可以向当局[和/或任何其他方——在相关情况下列出](例如警察)报告该参与机构,与当局[和/或任何其他方——在相关情况下列出]分享收集到的关于该参与机构的信息,和/或采取进一步措施确定该参与机构的动机。如果嫌疑人的行为也需要进一步监测,那么,如果嫌疑人回到该物业,安全面部识别系统将利用捕捉到的面部特征,用于未来的检测目的。 | |
| 4 | 收集、使用或披露是一次性的还是持续性的? | 如果是连续的,请说明发生情况。 安全面部识别系统将持续检测财产上的嫌疑人。 | |
| S/N | 第2步:确定收集、使用和/或披露的收益 | ||
| 5 | 合法利益如何有利于组织或他人? | 这应着重于组织或他人的合法利益所带来的直接利益。这也可能包括在合法利益无法实现的情况下对组织/个人/个人群体的负面影响。 保持[场所]的安全不受恐怖主义和犯罪影响,对[公司]、[公司]的员工、访客、客人和公众都有好处。这将保护公司的生存能力和其员工的工作。确保[场所]不受恐怖分子的攻击,将保护员工、访客和客人的生命。也请参考第1段。 | |
| 6 | 这对谁有收益? | 受益者可能包括更广泛的公众或部分公众或组织,如客户、雇员、经济部门或行业。 这一合法利益的受益者是[场所]的雇员、访客和客人以及新加坡公众。的雇员、访客和客人,以及新加坡公众。此外,对[场所]的成功攻击将对[旅游业或任何其他相关部门]行业造成严重的对新加坡的[旅游业或任何其他相关部门]行业造成严重损害并会影响人们对新加坡是一个多么安全和有保障的国家的看法。 | |
| S/N | 第3步:评估是否对个人有任何可能的不利影响 | ||
| 个人数据的敏感程度 | |||
| 7 | 正在收集、使用或披露的个人数据(如步骤1中所列)是否具有敏感性? | 不,我们的闭路电视记录中的参与机构的个人数据在性质上并不敏感,因为被监测的财产上的参与机构的活动是在公众可进入的区域,因此可以被其他游客或甚至在[场所]内的保安人员观察。我们只是利用监控摄像技术来提高我们检测财产上的主要机构的能力。 | |
| 收集、使用和/或披露个人数据的目的的合理性 | |||
| 8 | 数据收集的范围有多大? | 请说明是否有任何大规模的数据收集,考虑到收集的数据量和收集的数据字段类型的数量。 只有嫌疑人的活动,一旦被保安部门确定为危及安全目的,就会被安全面部识别系统长期监控,以检测任何模式并收集这些嫌疑人的活动录像。其他顾客的活动不受监控。 | |
| 9 | 收集、使用和/或披露个人数据的目的有多合理? | 从安全目的来看是合理的。在这种情况下尤其如此,因为无法获得个人的同意,而且这样做会违背检测那些有动机进行非法活动或恐怖行为的个人而不提醒他们的目的。 | |
| 对个人可能产生的不利影响 | |||
| 10 | 有哪些合理的、可预见的对个人的不利影响(例如:财务、社会、身体、心理。身体、心理影响)? | 如果个人发现,根据他们的访问请求,[场所]正在使用面部识别技术长期监测他们在财产上的活动,他们可能会感到震惊或痛苦。然而,我们认为,一个合理的人,如果得到解释,说明该技术只是为了监测主要景点,以及这样做的理由,就不会遭受任何心理上的困扰。这种监测不会造成不利的经济、社会或身体影响。 如果其他顾客站在嫌疑人旁边,那么这些顾客的图像可能会被不经意地捕捉到嫌疑人上的闭路电视录像中。 | |
| 11 | 你是否会使用其他数据集的其他信息来进行预测或决策? | 是/否 | 如果是,请描述用于合并的数据集,以及个人是否知道你们掌握了该数据集。还请描述将利用这些数据做出的决定/预测的类型。 否 |
| 12 | 预测或决定是否会排斥、歧视、诽谤或伤害个人? | 是/否 | 请说明利用这些数据做出的预测或决定的类型。并说明为什么这些预测或决定可能或可能不准确。是准确的。 否 |
| 13 | 对个人的任何潜在影响的可能性和严重性是什么? | 你应该相对于现行的社会规范来考虑这个问题。有关考虑因素的清单,请参考《咨询准则》正文第12.69段。 如果安全面部识别系统检测到一个嫌疑人,保安人员将确认该嫌疑人的身份是正确的,并采取措施与该嫌疑人交谈,以确定其行为的动机,然后确定是否有必要将该嫌疑人报告给当局进行进一步调查。如果嫌疑人员没有采取积极措施破坏财产或伤害他人,则安保人员不会妨碍嫌疑人员在财产上的行动。因此,对个人的潜在影响是有限的,因为对其行为的任何调查都必须由当局根据新加坡法律进行。 | |
| 14 | 你是如何提供可以向个人提供有关收集、使用或披露个人数据的更多细节的联系人的详细资料的? | 请描述如何提供详细信息。 [公司]的数据保护官的联系方式已经在公开的隐私声明中列出,供观众联系。在公开的《隐私通知》中,读者可以用来联系数据保护官,以协助查询。的联络方式,以协助查询。[提供网站链接以提供网站链接,以访问隐私通知]。 | |
| 应对措施 | |||
| 15 | 你能否采取任何措施来减轻、消除或减少不利影响的可能性? | 是/否 | 如果是,请描述这些措施,并说明这些措施如何能够缓解或减少不利影响的可能性。 如果不是,请说明原因。 如果在财产上发现了一个嫌疑人,安全面部识别系统将提醒保安。当发出警报时,保安部将核实所识别的人与记录中的嫌疑人图像相符。然后,安全部将应用一套标准(载于我们公司的SOP)来评估是否需要将嫌疑人活动的闭路电视录像存档(保留期限载于我们公司的数据政策),以减少对个人的过度监控和/或对个人录像的过度储存。只有获得授权的保安人员才能接触到参与机构的闭路电视录像。闭路电视录像将仅由这些保安人员用于评估该参与点是否对[场所]构成安全风险,以及用于向当局[和/或任何其他方——在相关情况下列出]报告,不会用于任何其他目的。 |
| S/N | 第4步:评估可能的剩余不利影响 | ||
| 16 | 在采取了缓解上述不利影响的措施后,对个人可能产生的剩余不利影响是什么? | 唯一可能对个人产生不利影响的情况是,该人实际上没有安全风险,但其行为恰好导致他或她被归类为主要目标,因此被安全面部识别系统监控。这也会导致他或她的录像被安全面部识别系统储存。然而,这些录像可能不会被用于任何目的,但会被保存起来,以便系统能够根据其程序检测出该人在一段时间内的类似行为模式。 | |
| 平衡测试 | |||
| 17 | 确定的合法利益是否超过了剩余的不利影响? | 是/否 | 如果是,请解释并说明理由。 是的,上文第5段中确定的保护[前提]的合法利益及其对新加坡和公众的保护意义超过了上文第16段中描述的剩余不利影响。 |
| 18 | 你能否依靠合法利益的例外情况来收集、使用和/或披露个人数据以达到这一目的? | 是/否 | 如果是,请解释并说明理由。 见上文。 |
| 19 | 是否有任何进一步的行动要采取? | 是/否 | 如果是,请说明。 保安部将使用人脸识别实时检测我们的实时闭路电视记录中的嫌疑人,以方便保安部监控这些嫌疑人。如有需要,保安部将对嫌疑人活动的闭路电视录像进行存档。 嫌疑人的闭路电视录像存档后存储在现有的[场所]监控系统中,该系统具有[相关部门,如信息技术和网络安全]建议的既定控制协议。只有在[运营场所]工作、处理事件和/或按照[特定权限,如安保主管]的指示,经授权的安保人员才可访问嫌疑人的CCTV录像。如果经过合理的时间或进行某些调查后,评估认为该人不构成安全风险,安全部将清除嫌疑人数据。 如果评估认为存在安全风险,保安部门可能会将该嫌疑人报告给当局[和/或任何其他方-在相关情况下列出]。所有来访者都将通过网站上可公开访问的隐私通知和物业入口处的实体通知被告知:“[输入标牌的措辞]”。我们的公司网站也将通知,为这些目的,正在依靠合法利益的例外。 |
| 20 | 成果日期 | <评估日期> | |
| 21 | 完成时间 | <评估日期> | |
| 22 | 批准者 | <官员的姓名和职务> <DPO官员的姓名和职务> | |
| 23 | 同意 | 根据责任制原则,评估应该由具有足够权限的适当管理层成员进行审查。 <职位名称,如安全主管> <DPO权限和指定的名称> | |
每天两块钱,实时获取全球数据合规风险预警
👇
招募讲师:欢迎加入DPOHUB课程平台
平台介绍:数据合规权威平台之一,数据法盟和数据保护官的专业粉丝超过10万,学员超过2万。 讲师收益:权威平台的免费宣传,塑造讲师个人职业品牌及影响力;收益共享权。 申请条件:只要在数据隐私、安全及治理等方面具有落地经验或理论积累,都可以申请加入。 授课方式:既可以是体系性课程(每讲20-30分钟),也可以是一次在线讲座(60-90分钟)。 申请方式:请将“简历、课程名称及大纲”发送到微信:heguilvshi 或邮箱:[email protected]
微信扫码关注该文公众号作者