啊，面部识别，这个漂亮的小功能已经让仍然很新的指纹扫描仪(有点)过时了。让我们面对现实吧，任何让我们跳过一步的技术都是受欢迎的。但是，由于这些功能通常会收集和使用大量非常私人的信息，所以总是会有一个恼人的问题，就是如何使用这些信息。

今年4月，在Facebook被发现在未经用户同意的情况下使用面部数据后，正是这个问题将这家数字巨头拉上了法庭。显然，Facebook在其标签建议中使用了“脸模板”，却没有让任何人知道。

那里是谁?这是TNW2020的早到票

这场灾难对其他利用生物统计数据提供服务的公司起到了某种警示作用。例如，约会网站使用面部数据来匹配人，赌场使用它来跟踪上瘾的赌徒，面部识别也正在成为所有智能手机的标准功能，一些信用卡公司现在允许我们用笑脸支付。

随着世界各地(尤其是欧盟)的隐私法变得越来越严格，收集和使用这些数据的公司需要提高自己的水平，找到方法来遵守GDPR等法律。以下是他们如何做到这一点的快速总结……

GDPR数据隐私和安全立法是自1995年以来最大的改革，给予用户前所未有的权力。考虑到技术发展的疯狂速度，这样的措施是不可避免的。但这也让企业猜测如何才能迎头赶上。

由于面部识别技术(FRT)收集一个人的面部特征信息，它被归类为生物特征数据，被标记为“敏感个人数据”。“GDPR中生物特征数据的逐字定义是……

[生物特征数据]是指对自然人的生理、生理或行为特征进行特定技术处理而产生的个人数据，这些技术处理可以或证实自然人的独特身份，如面部图像或指镜数据。

显然，GDPR将生物特征信息分为两类……

该规则集还赋予成员国进一步的权力，在它们认为合适的情况下对敏感数据增加限制。

尽管GDPR非常严格，但也有例外，允许收集和使用敏感数据，这包括……

基于这些，你可以采取一些步骤来确保你的FRT数据政策在GDPR的权限之内。

GDPR的关键在于增加透明度，让用户知道他们的数据将如何使用。例如，如果Facebook的FRT法律套件只是弹出一条消息，告诉用户该功能，并询问用户是否愿意开启该功能，那么它完全可以避免。根据GDPR的同意是……

在GDPR的同意定义中，一个棘手的部分是，如果数据控制器和用户之间的权力不平衡，它就不会被认为是自由给予的。所以，如果你要求一个新员工加入你的FRT政策，暗示他们如果没有工作，就可能没有工作，那么这就不能算作同意。同样，如果用户不跟踪你的情况，拒绝他们的服务会给你带来麻烦。

例如，这是Facebook面向欧洲和加拿大的FRT选择页面……

这里有一个完整的GDPR同意清单，可以进行更全面的分析。

DPIA或数据保护影响评估是识别和最小化捕获和存储数据风险的一系列步骤。对于被认为对个人具有高风险的数据，如生物特征信息，DPIAs是强制性的。DPIA必须…

如果在实施了DPIA之后，您得出结论认为风险无法克服，那么您需要咨询您的监管机构，监管机构必须在8周内(可能再延长6周)给出解决方案。如果风险无法降低，你将被禁止收集和使用生物特征数据。

保护FRT数据的一种方法是完全匿名化，这样就不可能确定这些信息指向其功能之外的人。可以考虑在数据集登录到数据库之前删除它们。图像数据匿名化软件可以用来创建另一个安全层。虽然匿名化在一定程度上是可行的，但在现实世界中并非万无一失。

在匿名化不可行的情况下，可以使用假名化的数据。在GDPR中，假单化数据被定义为处理个人数据的一种方式，使其不可能在没有附加信息的情况下归属于其来源，而这些附加信息可以保存在安全的环境中。

与欧盟之前的数据保护计划不同，GDPR要求采取更严格的措施，以确保个人身份信息不会被泄露。GDPR下给出的确切文本是……

……实施适当的技术和组织措施，“考虑到”技术水平和实施成本，以及“处理的性质、范围、背景和目的，以及自然人权利和自由的不同可能性和严重程度的风险”。

你可以采取一些步骤来遵守……

有一个深思熟虑的数据丢失预防策略:DLP工具和策略非常适合帮助您克服GDPR规则集。由于允许违规行为发生的组织可能会受到GDPR的严厉处罚，因此DLP是一项理想的投资。

制定防错灾难恢复计划:《GDPR》第32条规定，企业应“有能力在发生物理或技术事故时，及时恢复个人数据的可用性和可访问性”。“市场上有很多灾难恢复软件可以帮助你。

制定符合GDPR的数据备份政策:与GDPR相比，备份是一把双刃剑，因为您不仅需要提供第20条所述的数据可移植性，而且还需要第17条所述的删除权。换句话说，您的备份需要在被请求时快速恢复信息，如果有人选择退出，您还需要从备份中删除所有数据。

考虑一个健壮的身份访问和管理控制:众所周知，IDAM有助于实施最少特权策略和限制对敏感信息的访问。

数据保护指令发布于1995年，这应该和上一次大规模的技术管制措施一样，不足为奇。从那以后，即使新技术不断发展，立法也很少改变。

技术突破的另一个结果是网络。随着黑客攻击和勒索软件攻击的数量不断上升，企业必须尽其所能，确保它们收集的数据永远不会被泄露，尤其是如果这些数据是高度个人化的，比如面部特征。

只要企业坚持最高的道德和安全标准，它们就永远不必担心任何即将出台的立法。