英国隐私权倡导者组织“大哥大观察家”（Big Brother Watch）发表了一份有关HM税收与海关（HMRC）的生物识别数据（特别是语音数据）收集做法的报告。 报告显示，英国税务总局（HMRC）为公民提供多种服务，作为其新语音识别（voice ID）政策的一部分，该局已收集了510万纳税人的声纹。 根据该报告，HMRC显然需要满足现行的《英国数据保护法》（DPA）和欧盟的《通用数据保护条例》（GDPR）概述的合法处理要求。

HMRC采用了依赖于生物识别数据的新技术

2017年1月，HMRC通过语音ID对其呼叫帮助热线进行了现代化改造，这是一种可以识别个人的独特声纹。 客户可以通过打入并说出最多五次短语来进行注册。 语音记录将被分析和存储，以用于验证客户在其后续呼叫中的身份。 HMRC表示，此过程是自愿的，任何用户都可以选择退出并仍然能够正确使用其服务。

但是，《大哥大观察》报道说，HMRC系统反复要求用户创建他们的“语音ID”，而没有给出有关如何选择退出服务的说明。 据报道，该自动系统一直在向用户请求语音ID，直到创建了该ID。 “老大哥表”还通过试用发现，对系统说“否”三次可以使呼叫者推迟语音ID的收集。 此外，隐私小组的成员试图从HMRC数据库中删除其语音ID数据，但尚不清楚是否可以擦除。 根据新的隐私法规，数据修改和删除权是用户拥有的一项基本权利。

Big Brother Watch已向英国信息专员办公室（ICO）提出正式投诉，该机构是维护信息权利的独立机构，可以对不遵守DPA的组织处以罚款。 ICO目前正在调查该问题。

GDPR和DPA的权利

《大哥大观察报》援引了HMRC尚未满足GDPR和DPA要求的某些领域。 根据英国最近采用的DPA和欧盟的GDPR，只有在满足严格要求的情况下，才允许处理和处理诸如声纹之类的生物识别数据。 组织必须为数据处理提供法律依据，确保获得用户同意并安全地存储数据。 有了这些规定，用户也被授予了对其数据的更多控制权，并确保了他们拥有更多的权利。 要求处理个人数据（尤其是生物识别数据）的组织全面检查其政策并满足法规的要求。

正如《老大哥》报道的那样，像HMRC这样的组织应该为数据收集和处理提供合法依据。 否则，他们必须获得用户的明确同意。 在这种情况下，“同意”是基于用户对收集哪些数据以及出于什么目的的理解。 用户需要了解详细信息，例如如何存储数据以及谁可以访问数据。 主动选择提供个人数据应为默认设置-无法接受同意或默认标准。 对于语音识别等生物识别数据，同意和处理的规则更加严格。

用户也具有“删除权”，这意味着他们可以请求“更正或删除个人数据或限制其处理”。 存储个人数据的组织需要提出一个简单的过程，允许用户删除其数据或限制其使用。

虽然HMRC的案件正在等待ICO的调查，但私营和公共部门的组织应及时了解与合规性相关的新闻。

有关GDPR和其他数据保护法规的更多信息，请访问我们的资源中心。 仍在努力达到合规性的公司和组织将能够找到有关如何有效浏览数据保护法规的指南，思想领导力片段和视频。