前情回顾·网络安全合规执法
安全内参12月3日消息,西班牙数据监管机构已责令机场管理公司Aena暂停其基于生物识别的旅客登机系统,并处以1000万欧元(约合人民币8222万元)罚款。Aena正在对此判决提起上诉,称罚款不成比例,且其系统并不存在数据泄露风险。
按旅客数量计算,Aena是全球最大的机场运营商。作为国有公司,Aena管理西班牙6座机场和2个直升机场。
使用生物识别功能被罚,Aena称从未出现安全漏洞
根据11月上旬公布的一项决定,西班牙数据保护局(AEPD)表示,Aena提交的数据保护影响评估(DPIA)内容不完整、细节不足,从而违反《通用数据保护条例》(GDPR)。监管机构同时强调,该生物识别登机系统依赖集中式存储,在隐私和安全方面存在风险。
11月25日,Aena发表声明,表示不同意监管机构对影响评估的判断。Aena还强调,其从未出现过任何安全漏洞。
公司表示:“Aena保证从未发生任何安全漏洞,因此西班牙境内机场网络所部署的各类生物识别登机系统的用户数据,以及任何第三方数据,均未出现数据泄漏。数据主体均为享受生物识别通行自愿提供了知情同意。”
该系统最初在西班牙3座机场进行试点,包括梅诺卡岛机场、何塞普·塔拉德利亚斯巴塞罗那埃尔普拉特机场以及阿道弗·苏亚雷斯马德里巴拉哈斯机场。试点于2019年启动,合作伙伴包括Atos、Idemia、伏林航空(Vueing)和欧洲航空,共有超过6.2万名注册用户。
然而,该系统部署遭到总部位于巴塞罗那的非营利组织Fundación Éticas的批评。该组织与一名匿名个人共同向数据监管机构提交了投诉。Aena已于2024年6月暂停该生物识别项目。
监管机构认为机场未能满足GDPR要求
AEPD裁定,机场运营商未能评估使用生物识别技术的比例性,也未能证明与二维码、电子登机牌、证件扫描等侵扰性更低的替代方案相比,使用生物识别数据在提升效率和安全性方面具有必要性。
Aena采用集中式存储方式保存用于1:N旅客识别的生物识别模板。监管机构认为,这种做法不仅使数据集面临泄漏和未授权访问的风险,还会进一步削弱旅客对自身数据的控制能力。
AEPD解释称:“委员会认为,通过侵扰性更低的方式同样可以实现类似的旅客流动优化效果,而集中式生物识别数据库若发生安全漏洞,其对数据主体基本权利和自由造成的负面影响,似乎大于该处理本应带来的好处。”
监管机构指出,机场运营商未能向旅客清晰、完整地披露有关生物识别处理、数据保留和删除期限、潜在风险及撤回同意等信息。调查发现,生物识别数据的保存期限存在不明确之处。
尽管该项目为自愿参与,但判决指出,其同意机制记录不充分,旅客可能未获得足够信息以做出真正的知情同意。
Aena回应称,对已注册旅客的生物识别数据处理符合GDPR及当地《个人数据保护与数字权利保障基础法》(LOPDGDD)的要求。
公司表示:“Aena与参与项目的航空公司共同实施生物识别登机,是为了通过优化办理值机流程,为旅客提供更佳的机场体验。机场管理方将继续朝这一方向努力,以尽快重启该项目。”
参考资料:https://www.biometricupdate.com/202511/spanish-airport-operator-aena-fined-11m-over-biometric-boarding-program
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
