近日,西班牙数据保护局 (AEPD) 对卡斯蒂利亚-拉曼恰自治区政府发布了一项制裁决议(编号 EXP202406805),再次将人们的注意力集中在一个反复出现的问题上: 公务员的身份证信息出现在电子签名和已签署的文件中是否正确?
下面,我们将解释该决议的法律要点和实际影响,以及 T-CAT 等数字证书的现状。
AEPD解决了哪些问题?
该决议分析了公务员以电子方式签署的文件中包含诸如以下数据是否符合GDPR的规定: 签字人的姓名、姓氏和身份证号码可供第三方访问。
根据AEPD的说法:
- DNI是一段数据 极高的灵敏度因为它允许直接、明确地识别一个人,并且存在身份盗窃等高风险。
- 它包含在签名或可见标记中可能代表着 过度数据处理.
它们可能遭到违反:
- el 数据最小化原则 (GDPR 第 5.1.c 条)
- 以及开始 默认数据保护 (GDPR 第 25 条)
因此,AEPD认为有必要 避免在已签署文件的可见信息中包含DNI(国家身份识别号码)。选择侵入性较小的身份识别机制。
这并非一个新争论。
AEPD 在第 0088/2020 号报告中已经表达了类似的观点,该报告指出:
有必要调整相关法规并推广其他替代方案,例如:
换句话说,AEPD本身也指出,解决方案在于…… 对数字认证体系的监管修改.
这个具体案例中发生了什么?
以卡斯蒂利亚-拉曼查为例,AEPD 宣布存在侵权行为,但并未施加处罚(因为它是公共行政部门)。
相反,它需要:
根本问题是什么?
关键在于: 数据保护法规与数字认证法规之间存在冲突。.
- 2020年11月11日颁布的第6/2020号法律,对电子信任服务的某些方面进行了规范,规定信任服务提供商必须在数字证书中包含DNI(英国国家身份证号码)。
- 此外,国家总局的证书规范要求在证书的多个字段中显示国民身份证号码(例如: 通用名)
- 此数据是证书的结构组成部分,对其至关重要。 验证和互操作性
因此,像AOC这样的贷款机构才会如此青睐AOC。 不能单方面更改 在不违反现行法规的前提下,确保证书内容的准确性。AEPD自身也承认,该解决方案需要…… 立法修正案这不是贷款方的技术性决定。
那么,那些使用化名颁发的证书呢?
尽管相关规定允许使用专业标识符或化名颁发证书,但这些:
- 只能在以下情况下签发 非常具体的案例 (公共安全、机密信息等)
公共行政部门有哪些切实可行的解决方案?
在相关法规修改之前,行政部门可以采取措施 降低身份证的可见度:
1. 请勿在签名图片中显示身份证件。
签名程序允许您配置显示哪些数据。 不会从证书中移除 DNI。但会阻止它在文档中可见地显示出来。了解详情 避免使用签名图像 ID
2. 生成正版电子副本
它们允许:
如果这些副本附有组织机构的印章,则具有法律效力。了解详情 生成一个 còpia 真实可靠,并隐藏图像和可见属性中的 ID:
3. 使用其他机制
例如电子印章和安全验证码(CSV)
结论
- AEPD认为在签署的文件中显示DNI可能违反GDPR。
- 像AOC这样的可信服务提供商 他们无法从证书中移除DNI信息。.
- 与此同时,各级政府必须采取措施…… 数据可视化和访问的最小化.
