有爭議的面部識別公司Clearview AI通過從互聯(lián)網(wǎng)上搜羅自拍照片���,積累了一個約100億張圖片的數(shù)據(jù)庫��,以便向執(zhí)法部門出售身份匹配服務(wù)�����,今天�,該公司再次被勒令刪除人們的數(shù)據(jù)���。法國的隱私監(jiān)督機構(gòu)CNIL今天說����,這是因為Clearview違反了歐洲的《通用數(shù)據(jù)保護條例》(GDPR)��。
在一份關(guān)于違規(guī)調(diào)查結(jié)果的公告中����,CNIL還向Clearview發(fā)出正式通知�����,要求其停止"非法處理",并稱其必須在兩個月內(nèi)刪除用戶數(shù)據(jù)�����。
該監(jiān)督機構(gòu)是根據(jù)2020年5月以來收到的對Clearview的投訴采取行動的���。
這家美國公司在歐盟沒有建立分公司���,這意味著它的業(yè)務(wù)可以在歐盟范圍內(nèi)被任何成員國的數(shù)據(jù)保護監(jiān)督機構(gòu)采取監(jiān)管行動。因此�,雖然CNIL的命令只適用于它所持有的來自法國領(lǐng)土的人的數(shù)據(jù)--CNIL估計這涵蓋了少數(shù)的互聯(lián)網(wǎng)用戶--但其他歐盟機構(gòu)可能會發(fā)出更多這樣的命令。
CNIL指出��,它已經(jīng)尋求與其他機構(gòu)合作��,分享其調(diào)查結(jié)果--這表明Clearview可能會面臨其他歐盟成員國和歐洲經(jīng)濟區(qū)國家當局的進一步命令��,停止處理數(shù)據(jù)����,這些國家已將GDPR納入國家法律(總共約30個國家)。
今年�,Clearview的服務(wù)已經(jīng)被裁定違反了加拿大�、澳大利亞和英國的隱私規(guī)則(英國在英國脫歐后位于歐盟之外�����,但目前在國家法律中保留了GDPR)--它在那里同樣面臨著潛在的罰款��,并在上個月被命令刪除用戶數(shù)據(jù)��。
法國CNIL發(fā)現(xiàn)���,Clearview有兩項違反GDPR的行為--在沒有法律依據(jù)的情況下收集和使用生物識別數(shù)據(jù)�����,違反了第6條(處理的合法性)����;以及違反了第12���、15和17條規(guī)定的各種數(shù)據(jù)訪問權(quán)利��。
違反第6條是因為Clearview沒有獲得人們的同意來使用他們的面部生物識別技術(shù)��,也不能依靠合法利益的法律依據(jù)來收集和使用這些數(shù)據(jù)--鑒于CNIL所描述的大規(guī)模和"特別侵入性"的處理�。
CNIL寫道:"這些人的照片或視頻可以在各種網(wǎng)站和社交網(wǎng)絡(luò)上看到�,他們不會合理地期望他們的圖像被[Clearview AI]處理,以提供一個可以被國家使用的面部識別系統(tǒng)�����,[例如用于]警察目的……"�。監(jiān)管機構(gòu)還收到了來自個人的投訴,說他們在試圖獲得GDPR數(shù)據(jù)訪問權(quán)時遇到了一些"困難"�。
在這里,CNIL發(fā)現(xiàn)Clearview在很多方面都違反了規(guī)定--比如在"沒有理由"的情況下���,將個人的數(shù)據(jù)訪問權(quán)限制在一年兩次�;或者將其限制在過去12個月內(nèi)收集的數(shù)據(jù)��;或者在"同一人提出過多的請求"后才對某些請求作出回應(yīng)����。
Clearview AI已被勒令確保其保護數(shù)據(jù)主體的權(quán)利,包括遵守刪除人們數(shù)據(jù)的請求����。
如果該公司不遵守法國的命令,CNIL警告說�,它可能會面臨進一步的監(jiān)管行動--這將包括高額罰款的可能性���。根據(jù)GDPR,監(jiān)管機構(gòu)可以發(fā)出高達2000萬歐元的罰款�����,或高達公司全球年收入的4%�,以較高者為準。然而����,對沒有歐盟公司的跨國企業(yè)如何執(zhí)行罰款確實是一個監(jiān)管挑戰(zhàn)。
