掃描身份證件進入夜店並不罕見——但您的資料安全嗎?
Rehan Warsi交出了他的駕照,並允許舉起駕照,並在他臉旁邊拍照。
他這樣做是為了在酒吧喝一杯。
“你別無選擇,如果你想進去,他們會拍照。 這有點糟糕,”這位20歲的年輕人說。
他說,為了方便,隱私被剝奪了。
他說,“你的資料無處不在——電子郵件地址、家庭住址、電話號碼,就像你沒有隱私一樣……情況一天比一天糟糕。”
Warsi先生的酒友Kurtis Langeder不那麼煩惱了。
這位23歲的年輕人說:“我有足夠的信任人們來處理資料,主要是因為他們有責任處理資料。”
兩人都表示,他們不允許拍攝護照照片,但週六晚上在墨爾本市中心的亞洲啤酒咖啡館觀看排隊,很明顯,許多人會這樣做。
顧客一再到達隊伍的最前面,交出護照,並允許保鏢在iPad上拍照。
酒吧發言人表示,它根據警方的建議安裝了第三方公司Scantek提供的系統,但沒有進一步評論。
Scantek執行長表示,掃描和拍攝身份證和客戶臉部在全國的場地越來越普遍,現在約有1000個場地使用Scantek系統或競爭對手提供的類似系統。
在許多情況下,ID掃描和攝影的吸收是由行業本身驅動的,而不是任何法律或許可要求。
一個行業在提供技術方面蓬勃發展,技術的能力也在不斷擴大。
它現在可以發現假身份證,透過生物識別將一個人的臉與他們的身份證進行匹配,以檢查這是他們的,標記麻煩製造者,並將被禁止的顧客的資訊傳播到其他場所,允許保鏢拒絕進入。
澳大利亞隱私專員表示,身份證攝影“有問題”。
一些場所表示,該系統減少了事件,並改善了顧客的安全,但澳大利亞隱私專員Carly Kind將這種做法描述為“非常令人擔憂”和“有問題”。
她說:“我理解為什麼澳大利亞社群也會覺得這令人擔憂——我對交出我的駕駛執照或護照感到不舒服,當實體拍照或影印時,我當然感到不舒服。”
“我擔心它的使用時間可能比我希望的要長,或者用於我沒有移交的目的。”
Kind女士說,由於《隱私法》是基於原則的,它“相當靈活”,“不會在任何活動周圍劃出硬線或紅線”。
它確實要求收集的任何個人資訊對實體履行職能和活動是合理必要的。
她說,鑑於該資訊的敏感或私密性,以及收集這些資訊的安全風險,這意味著收集和儲存該資料的標準相當高。
一些州確實要求某些場所收集資料,通常如果他們在特定地區或有問題的過去。
一些持牌遊戲場所可能還需要根據聯邦要求保留身份證明記錄,以打擊反洗錢或反恐,但大多數酒吧和夜總會都沒有這樣的要求。
隨著《隱私法》改革仍在進行中,Kind專員表示,未來哪些違反了隱私原則,哪些沒有違反隱私原則可能會更清楚。
她說,我們只需要回顧幾年的大規模資料洩露事件,比如Optus 和Medibank,就能看到資料洩露的廣泛性和大規模性,以及洩露的嚴重性和長期影響。
“就Optus而言,10萬份澳大利亞護照被盜。”
類似的違規行為似乎已經在酒店場所發生了。
去年5月,新南威爾士州警方指控一名46歲的男子犯有勒索罪,指控他涉嫌資料洩露,威脅要分享100多萬人的個人資訊。
新南威爾士州警察網路犯罪小隊接到一個網站的提醒,該網站釋出了使用駕駛執照在新南威爾士州各地登入的顧客的個人資訊。
被告將於4月出庭,隨著案件出庭,警方拒絕就受害者是否需要獲得新的身份證發表評論。
Scantek不是參與涉嫌資料洩露的公司,而是酒吧和夜總會使用的最大技術提供商之一。 執行長Ches Rafferty估計,該公司的技術在400多個持牌場所。
Rafferty先生說,強有力的預防措施是防止資料洩露的關鍵。
他說,Scantek使用亞馬遜安全雲伺服器,將資料儲存在岸上,並持有ISO安全資訊管理的認證。
他說,所有資料在一個月後都會自動刪除,只有場地經理可以訪問資料,顧客臉的生物識別資料沒有儲存,僅用於將它們與出示的ID相匹配。
他說,“然後我們讓獨立的安全公司定期對我們的基礎設施和技術進行滲透測試,以確保我們根本不會暴露我們的資料。”
在對夜生活場所的推銷中,Scantek的網站表示,來自ID的資料可用於“從ID和駕駛執照中收集營銷資訊,企業主可以使用這些資訊透過促銷活動針對特定的人口統計學”。
Rafferty先生說,只有在資料匿名化後才能完成,場地可能會收到細分,例如在特定時間內有多少特定性別的人進入俱樂部,或特定年齡組最受歡迎的夜晚。
他說,“場地可以使用這些資訊來建立營銷活動或促銷活動,例如在社交媒體或場地,以潛在客戶為目標,例如,如果顧客提前到達,則以特價來激勵他們,如免費入場或飲料,或在週四晚上度過30多晚。”
Rafferty先生說,Scantek沒有向其他第三方出售資料或見解。
Rafferty先生說,當顧客知道他們可以被識別時,場地報告的事件減少了,顧客能夠享受一個更安全、更舒適的夜晚。
Rafferty先生說,Scantek收集的影象也是警方的重要資源,身份證影印件有助於調查和起訴襲擊和強姦。
美國廣播公司詢問全國各地的警察部門,他們是否使用酒吧和夜總會的身份證掃描器的資訊。
一些人承認他們這樣做了,而其他人則拒絕對調查方法發表評論。
Rafferty先生說,他支援改革,以使《隱私法》更清晰。
他說,我認為《隱私法》可以更有力,因為《隱私法》中的許多內容都是原則,而且是非常高階的術語。
網路安全公司警告說,所有儲存的資料都可能被洩露
國內最大的網路安全公司之一與隱私專員對掃描或拍攝身份證的做法表示擔憂。
CyberCX零售和娛樂主管Alex Hoffmann表示,沒有一項技術是100%安全的,這是企業需要仔細權衡的事實。
“他們需要問自己的事情是——捕獲或儲存這些資料對我們的業務運營至關重要嗎? 如果這個問題的答案是否定的,那麼風險幾乎不可避免地會大於好處,”霍夫曼先生說。
“無論你儲存什麼,都有被洩露或被拿走的可能。”
他說,場所應該意識到他們承擔了聲譽風險,即使他們使用的是第三方技術。
他說,“如果出了問題,是他們在頭版,是他們的客戶丟失了資訊,儘管從技術上講這不是他們的錯。”
他說,新南威爾士州的漏洞唯一值得注意的是它受到的媒體關注。
他說,類似的事件“每個月,甚至可能每週”在各個行業發生。
酒店和旅遊業“中間”的漏洞
澳大利亞資訊專員辦公室(OIAC)將酒店和旅遊業分組在一起,其資料顯示,這些行業處於資料洩露的中間部分。
OIAC記錄了2023/24年該部門內32起登記的違規事件,一位發言人表示,這導致“數萬”人的個人資訊被洩露。
最新的ABS資料估計,在2022/23年期間,有199,100名澳大利亞人是身份盜竊的受害者,其中三分之一的案例中,這些資訊被用來從銀行賬戶、退休金或股票等投資中獲取資金。
ACCC在2022年記錄了1,070萬澳元的身份欺詐損失,當可能因被盜個人資訊而助長的犯罪被追查時,成本則高出一個數量級。
澳大利亞犯罪學研究所最近的一份報告還發現,18-35歲的人比其他年齡組更有可能遭受身份盜竊或濫用。
隱私倡導者表示,公司應該“只收集需要的東西”
身份證件的掃描在昆士蘭州最為常見,該州的15個安全夜間分局通常需要掃描。
昆士蘭州公民自由委員會副主席安格斯·默裡表示,在《隱私法》改革繼續進行期間,身份掃描的擴大應該停止。
他說,“對我來說,在審查進行時擴大個人資訊的收集沒有意義。”
Murray先生說,澳大利亞過於關注技術作為解決問題的方法,首先應該更加強調收集較少資料的企業。
與《基本權利憲章》和《通用資料保護條例》(GDPR)嚴格保護公民隱私的歐洲相比,Murray先生表示,澳大利亞的立法很薄弱。
他說,GDPR的一個很深的部分是資料最小化原則,即[本質上]只收集需要收集的內容。
“如果我將它與身份驗證場所聯絡起來,如果目的是證明這個人已超過18歲,那麼只需要收集出生日期。
“當你開始包括臉、地址、出生日期、駕駛執照號碼和生物識別資訊時,從該互動中保留的資訊量會大大增加。”
Murray先生表示,在公司採用生物識別技術之前,應該更廣泛地討論使用生物識別技術來匹配人臉和身份證。
Murray先生表示,個人資訊的隱私權是一項“基本人權”,任何形式的商業化都需要仔細考慮。
他說,一個人的身份資訊,性別是這些潛在識別符號之一,具有免費飲料的價值,這種想法是進入社會的一個非常危險的規範。
Murray先生說,與歐洲等地相比,他覺得澳大利亞在隱私保護方面採取了一種“不成熟”的方法,在歐洲等地,在斯塔西警察監視東德等時代,人權受到了侵蝕。
“我確實認為這種規範正在改變。 我認為我們正在向一個比過去更謹慎、更有意識的社群轉變,”他說。
政府表示,更多的改革可能正在進行中
《隱私法》的第一批改革於去年年底完成。
12月10日,2024年《隱私和其他立法修正案》引入了對線上兒童的額外保護,提高了受自動決策影響的個人的透明度,並在發生違規時簡化了資訊共享。
它還為資訊專員引入了更強的權力,並對doxing(惡意釋出資訊)進行刑事處罰。
如果澳大利亞人是嚴重侵犯隱私的受害者,他們也有權起訴損害賠償。
未來的改革可能會進一步限制企業可以合法收取的內容,並在違反這些限制時實施新的處罰。
Murray先生說,政府尚未根據聯邦總檢察長部門審查的兩項建議採取行動——更準確地定義什麼是個人資訊,並在各州法律中統一該定義。
隱私倡導者還呼籲取消一項條款,該條款免除年營業額在300萬美元或以下的小企業需要保護個人資訊。
總檢察長發言人表示,該立法只是阿爾巴尼亞政府承諾加強個人對其個人資訊控制的第一階段,磋商正在進行中。
