未披露的私人公司正在分析NHS应用程序的面部数据

据《卫报》报道,一些未披露的公司目前正在分析NHS应用程序上所收集到的面部数据,这引发了人们对将该服务外包给私营企业新的担忧。NHS应用程序目前有超过1600多万英国公民使用。

数据安全专家此前曾批评iProov与NHS签订的合同缺乏透明度,该公司的面部验证软件被用来对注册NHS应用程序的人进行线上身份核查服务。

《卫报》现在了解到,因工作条件而在英国招致批评的法国公司Teleperformance,其利用一个不透明的分包商链,根据两份价值3500万英镑的合同执行类似的工作。

NHS应用程序独立于Covid-19应用程序,它可以被用于从预约全科医生到重复开处方药的任何事情。但自今年5月旅行限制解除以来,有一项功能推动其快速普及:这款应用程序是获取NHS证书来证明个人Covid-19疫苗接种状况的最简单方式。

这款应用程序要求用户通过身份验证流程才能使用这些服务,有些人会被引导到由iProov 软件提供支持的自动化流程。

但当这一过程失败或无法使用时,NHS应用程序将会依靠人工来进行核查,即用户将录制一段简短的视频,自己读出一组4个数字,并上传一份身份证件。

随后,视频将被发送给身份核查小组,他们将用户的身份证件照片与视频中的用户面部进行比较。

NHS的一位发言人表示,这些员工都是由内政部培训的,其总部都在英格兰。其中有些人则直接为NHS Digital工作。

但NHS后来承认,负责大部分工作的Teleperformance公司被允许把用户ID处理转包给其他的公司。

该机构表示,这些公司都受到了“严格”的检查,身份核查人员必须完成专业的培训,通过服务质量考核、审计和监督检查,所有这些工作都由NHS Digital管理。

但NHS Digital和Teleperformance都拒绝提供分包商的名单。

英国国家医疗服务体系(NHS)公布了与Teleperformance签订的一份合同的部分修订版本,该合同价值700万英镑,涵盖今年4月至6月,但其没有公布一份规模更大的、从2021年6月至2022年3月的合同,价值2800万英镑。

NHS也没有发布数据保护影响评估(DPIA),这是一份管理如何使用、收集和存储注册NHS应用程序用户的个人数据文件。

据悉,NHS正在考虑公布第二份合同和DPIA的修订版本。记者多次要求Teleperformance就其如何处理和保护其手动核查员收到的数据发表评论,但telperformance没有回复。

公民自由运动组织Big Brother Watch表示,“完全没有理由”不公布有关涉及公司及其程序的合同和支持性信息。

“人们甚至不知道哪些公司参与处理了这些身份信息数据,以及这些数据是基于哪里,或者有哪些隐私的保护措施。对于这种奇怪的技术设置,我们迫切地需要透明度,”斯基卡罗(Silkie Carlo)说。

这些担忧与人们本周早些时候对iProov合同的担忧相呼应。同时这份合同的细节也没有公布,而且由同一个DPIA管理。政府表示,出于安全原因,这些文件尚未公布。

即将出版的《技术伦理》(Technology Ethics)一书的作者斯蒂芬妮•黑尔(Stephanie Hare)博士说: “最好的做法是尽可能多地提升透明度,尤其是在政府的合同当中,这对于建立和维护信任非常重要。安全问题是相关的,所以有些方面的合同细节不能公布,因为政府不想它的系统遭到破坏。”

“但公众应该能够知道这是如何运作的,这项工作的公司记录,数据的处理情况,谁可以访问这些数据,以及如何访问。”

NHS Digital的一位发言人表示:“NHS应用程序正在帮助数百万人快速、轻松地访问他们的NHS Covid通行证,并通过允许人们在线预约和订购重复的处方药,这可以为全科医生腾出时间。

“我们向应用程序的用户清楚地解释了NHS的登录身份验证过程,这意味着使用NHS应用程序的人可以相信他们的数据是安全的。”

Teleperformance是一家呼叫中心专家,其客户包括英国政府的卫生和教育部门、NHS Ditital、学生贷款公司、英国皇家空军和皇家海军。其私人客户包括沃达丰(Vodafone)、eBay、英杰华(Aviva)、大众(Volkswagen)和《卫报》(Guardian)。

该公司一直是被反复指责的目标,称其员工受到恶劣的对待,并受到监视。

当时,该公司表示,它“遵守所有当地、国家和国际的法律、法规和标准,包括有关安全、隐私和合规的法规。”

发表评论

%d 博主赞过: