荷兰情报监察机构Autoriteit Persoonsgegevens(美联社)——对恩斯赫德市处以60万欧元的罚款,原因是该市未经许可就跟踪其公民的活动。这是美联社首次对荷兰政府机构处以罚款。美联社在收到有关跟踪的投诉后展开了调查。

荷兰监管机构Autoriteit Peroonsgegevens受权密切关注荷兰公司和政府如何处理个人身份信息(PII)。换句话说,它保护隐私敏感信息以及如何处理这些信息。

恩斯赫德做错了什么?

恩斯赫德市雇佣了一家公司来跟踪其市中心的拥挤程度。他们雇佣的公司使用wi - fi跟踪来测量同一时间有多少人在场。Wi-Fi追踪系统为每一部启用了Wi-Fi的手机分配了一个唯一的ID(基于每一部手机的唯一ID)mac地址),这样它就可以计算出这些手机的数量。这让他们对人数有了相当准确的了解。

然而,由于这种方法测量使用一段多年(2017 - 2020)重叠的时期,欧盟的总体数据保护监管(GDPR)生效,美联社判定的方法用于计数,变成了可以用于跟踪的东西。

美联社在裁决中提到,由于mac地址是设备的唯一标识符,而且手机和平板电脑等移动设备大多是个人物品,所以它们可以用来识别一个人。在恩斯赫德使用的系统pseudonymization对于MAC地址,但AP认为这还不足以使数据真正匿名,因为它们仍然可以与其他数据合并。

美联社裁定,该城市的常客和居民的隐私受到了侵犯,因为他们可以在没有真正必要的情况下被跟踪。这并不是他们的本意,但wifi长期跟踪使得这成为可能,这就足以成为高额罚款的理由。

美联社在裁决中坚持统计和跟踪之间的区别,并强调公民不应该被跟踪的重要性,无论有意或无意。

跟踪数据可以转换为PII

如果你经常找到同一部手机,那么用于计数的数据就可以转化为适合跟踪的数据。如果你投入足够的精力,有足够的数据点,你就可以建立可以用来识别一个人的模式(当这种方法被有意且合法地使用时,它被称为“大数据”,这是有充分理由的)。例如,如果同一部手机在早上9点签到,下午5点左右离开,你可以假设该手机的所有者可能在该位置或附近工作。

即使没有一家收集或访问这些数据的公司打算将其用于该目的,他们或任何购买或窃取数据的人,可以

AP对使用Wi-Fi和蓝牙跟踪有严格的规定,并明确表示在大多数情况下是禁止的。它描述了通过这种跟踪可以收集的大量数据点为“间接可识别数据”,因为虽然它是假名的,但它可以用于跟踪人,并可以与其他数据结合,以揭露个人和呈现PII。例如,将wi - fi跟踪与闭路电视镜头或支付数据相结合。

谁能访问这些数据?

该市和参与测量的两家公司可以获得原始数据。其中一家公司执行来自城市的命令,另一家公司维护硬件并处理数据。美联社认为市政府应该负责,因为它是委托方。首尔市对这一判决提出了上诉,因为他们不认为这些数据是PII,他们的唯一目标是计数,而不是跟踪。

100年其他城市

在恩斯赫德运营传感器的公司还有100个其他城市和乡镇的客户。但是,当被问及这一问题时,该公司表示,通过wi - fi追踪收集的数据保存时间不再超过24小时。考虑到收集数据的原始目标,这是非常有意义的。