• facebook

過去以來，如果被要求按指紋，通常都沒好事。但現今這個年代，指紋可以做好多事情，可以替自己的電話解鎖、忘了帶提款卡也可以到提款機提款、縱使沒帶鑰匙也不怕被鎖在家門外、甚至可以讓雇主作為考勤記錄之用。

前面提及的這些指紋的用途，原則上都是大家自己心甘情願地「利用」自己指紋，但是按指紋代替傳統的打卡，這可能就有問題了。試圖導入指紋打卡設備的企業用指紋打卡鐘看似非常高科技，但有沒有想過這樣的作法可能會替自己以及員工增加多少風險？

就在上個月，荷蘭個資保護主管機關最近就對一家公司開罰，而且一下就罰了725,000歐元，因為該公司被主管機關認定為非法處理員工的生物辨識資訊 (biometric data)。生物辨識資訊係指任何得以用於辨識特定個人的生物特徵資訊，目前市場上較常見的利用包含臉部辨識、虹膜辨識、及指紋辨識。

在2018年，該公司因為懷疑員工沒有依照規定使用公司原本發的門禁卡，決定安裝指紋辨識門禁與出勤管制系統。為了使用該系統，公司必須採集員工的指紋樣本。因為沒有指紋的樣本，就無法進行辨識。或許因為擔心員工反彈，該公司在安裝了新的指紋辨識門禁系統，仍保留原有系統，讓公司員工可以選擇要使用哪個系統進出公司。結果一位公司員工就向荷蘭的個資保護主管機關抗議，最後導致該公司遭到主管機關調查。

依照GDPR的規定，生物辨識資訊屬敏感個資之一，其收集與處理僅得在有GDPR第九條所載的收集處理依據時，才能進行。在荷蘭這個案例裡，被罰的公司要收集處理員工的指紋，可能可以利用的依據有二：

1) 取得員工出於自主意願的明示同意; 或 2)基於辨識或安全所需（荷蘭為將GDPR導入為內國法的法規中所載）。若是台灣的企業，肯定是馬上要求所有員工簽屬同意書，但這樣的同意，在GDPR之下，基本上不具任何說服力。

經過一段時間的調查後，荷蘭個資保護主管機關認為，該公司並沒有任何收集與處理員工指紋的合法依據，原因如下：

(1)該公司無法提供任何證據，證明員工出於自主意願且明確表示其同意公司掃描其指紋做出辨識樣本。在GDPR之下，考量到雇主與員工之間不平等的協商能力，員工的同意一般是不會被視為出於自主意願的同意。而荷蘭個資保護主管機關調查結果顯示，很多員工覺得必須同意公司使用其指紋。

(2)此外，荷蘭個資保護主管機關認為，縱然公司必須確保門禁安全，但考量到該公司的營業活動類型，為達到此目的，生物辨識資訊的使用並非必須。

(3)針對該公司將如何使用所取得的員工生物辨識資訊並沒有足夠的說明。

(4)過度保存離職員工的生物辨識資訊樣本，雖然有機制讓該樣本無法從存取，但並未自公司的資料儲存系統中移除。

現在市面上我們可以看到各式各樣的機器設備讓生物辨識技術可以被更普遍的利用。不過，企業在利用這樣的技術前，應該要注意，任何辨識需要的是樣本資料庫的建置。只要有資料庫的需求，就表示會有資料必須要儲存。而只要有儲存，就有遺失、遭竊或被濫用的風險。因此，建議企業在試圖利用任何生物特徵辨識技術前一定要想清楚，這樣的技術是否確實有其必要。如果企業只是為了讓外界覺得自己很高科技，那就真的要再仔細評估法遵成本和效益才是。

(原文撰寫於2020年5月18日)