学校的人脸识别导致瑞典吃到第一张GDPR罚单

瑞典数据保护监管局（DPA）对瑞典北部的一个城市开出了该国的第一张GDPR罚单：金额相当于19000欧元（约 15 万人民币），原因是该市使用人脸识别技术来监控在校学生的出勤情况。

据《Computer Sweden》报道，去年秋天，谢莱夫特奥（Skellefteå）的一所高中开展了一个试点项目，借助人脸识别技术而不是老式的点名方法，在一段为期三周的时间内考核22名学生的出勤情况。

不出所料，瑞典DPA裁定该项目违反了《通用数据保护条例》（GDPR）的几项条款，GDP是欧盟新出台的严格的隐私法规。学校在启动项目之前没有向瑞典DPA报备，也没有进行合理的影响评估。

这是一起很严重的违法行为，因为该学校非法处理了学生敏感的生物特征识别数据，但考虑到最高罚款可能达到近100万欧元，处罚结果似乎“偏轻”了。

学校坚持认为它得到了学生的同意，但DPA发现没有合法的法律依据，因为“数据主体与数据控制方之间存在明显的失衡关系。”

虽然瑞典DPA的裁定与其他GDPR罚款相比数额并不大，但这是个明显的讯号：2019年GDPR的实施力度在整个欧洲有所加强，正如预期的那样。这个例子也表明欧洲民众清醒地认识到人脸识别技术使用力度加大带来的问题，据报道欧盟正在想方设法对这项技术实施比GDPR更严格的限制。