英国税务局下令删除数百万的非法生物识别声纹

 
在调查发现HMRC从数百万公民那里收集了生物识别数据而未获得适当的同意后，英国的数据保护监管机构已经发布了负责征税的政府部门。
自5月9日通知起，HMRC有28天的时间删除任何未获得明确同意记录和创建与个人身份相关的独特生物识别声纹的语音ID记录。
语音ID系统于2017年1月推出，HMRC指示呼叫者在帮助热线上记录短语以将其声纹用作密码。该系统很快就引起了批评，因为没有明确表示人们不必同意他们的税务局记录的生物识别数据。
总共有大约700万英国公民通过该系统录制了声纹。 HMRC现在必须删除大部分这些记录(约500万个声纹) – 只有在完全知情同意的情况下才能保留生物识别数据。
信息专员办公室(ICO)对语音ID的调查是由隐私权倡导组织Big Brother Watch提出的一项投诉引发的，该组织称，有超过160,000人在其活动之后选择退出该系统，突出了有关如何收集数据的问题。
ICO上周宣布结束调查后表示，已经发现税务局非法处理了人们的生物识别数据。
“创新的数字服务有助于我们的生活更轻松，但绝不能以牺牲人们的隐私权为代价。组织必须透明和公平，并在必要时获得人们对其信息使用方式的同意。如果不发生这种情况，ICO将采取行动保护公众，“副专员史蒂夫伍德在一份声明中说。
有关其最终执行通知的博客，监管机构今天表示，它打算进行审计，以评估HMRC对数据保护规则的更广泛遵守情况。
“随着新系统的采用，我们有责任确保履行数据保护义务，并将客户的隐私权与任何组织利益一起解决。公众必须能够相信他们的隐私是他们个人数据决策的最前沿，“伍兹写道，以公平，透明和负责任的方式提供使用生物识别数据的指导。”
根据欧洲通用数据保护条例(GDPR)，用于识别个人的生物识别数据被归类为所谓的“特殊类别”数据 – 这意味着数据控制者是否依赖同意作为收集此信息的法律依据数据主体必须提供明确的同意。
就HMRC而言，ICO发现它未能向客户提供有关其生物识别数据如何处理的充分信息，并且未能给予他们给予或拒绝同意的机会。
它还在其网站上发布特定于语音ID的隐私声明之前收集了声纹。 ICO发现它在启动系统之前没有进行适当的数据保护影响评估。
2018年10月，HMRC调整了为呼叫者提供的自动选项，以提供有关系统及其选项的更清晰信息。
修改后的语音ID系统仍在运行。在上周发给ICO的一封信中，HMRC的首席执行官Jon Thompson为其辩护 – 声称它“深受客户欢迎，是一种更安全的方式来保护客户数据，并使我们能够更快地让呼叫者通过顾问。 ”
由于监管机构的调查，HMRC回顾性地联系了700万英国人中的大约五分之一，他们收集了数据以征求同意。其中有超过995,000人同意使用他们的生物识别数据，超过260,000人拒绝使用。