Clearview AI是一家备受争议的美国面部识别初创企业,擅自在互联网上搜集人们的自拍照片,建立了一个包含300亿张图片的可搜索数据库,而这些照片均未经过被拍摄者的同意。最近,Clearview AI在欧洲遭到了有史以来最高的隐私罚款。
荷兰数据保护监管机构Autoriteit Persoonsgegevens(AP)周二表示,已对Clearview AI处以了3050万欧元的罚款 — 据当前汇率约合3370万美元 — 这是因为确认了该数据库中包含荷兰公民的照片。
这笔罚款超过了2022年法国、意大利、希腊和英国数据保护机构分别对其处以的GDPR制裁。
AP在一份新闻发布中警告称,根据调查结果,他们已下令对Clearview AI作出高达510万欧元的额外罚款,以惩处其持续的违规行为。AP表示,Clearview未能在调查结束后停止GDPR违规行为,这也是他们作出额外命令的原因。如果Clearview AI继续无视荷兰监管机构的要求,总罚款可能将达到3560万欧元。
2023年3月,荷兰数据保护机构开始调查Clearview AI,原因是收到了三名个人关于公司未能遵守数据访问请求的投诉。GDPR赋予欧盟居民一系列与其个人数据相关的权利,其中包括请求拷贝自己的数据或要求删除数据的权利。Clearview AI未能遵守此类请求。
AP对Clearview AI的其他GDPR违规行为包括未经有效合法依据搜集人们生物特征数据来建立数据库,以及在GDPR透明度方面的不足。
AP写道:“Clearview不应该建立带有照片、独特生物特征编码以及其他与之相关的信息的数据库。”“这尤其适用于[由面部派生的独特生物特征]编码。与指纹一样,这些都是生物特征数据。搜集和使用它们是被禁止的。虽然有一些法定例外情况可以允许搜集,但Clearview不能依赖于这些例外。”
该公司还未通知其擅自搜集并添加到数据库的个人数据的相关个人。
在被联系请求评论时,Clearview代表Lisa Linden,华盛顿特区的公关公司Resilere Partners的代表,未回答问题,而是通过电子邮件向TechCrunch发送了一份据称清晰视觉首席法律官杰克·莫克拉的声明。
他在声明中写道:“Clearview AI在荷兰或欧盟都没有办事处,在荷兰或欧盟没有任何客户,并且也未进行任何意味着受GDPR管辖的活动。”,他补充道:“这一决定是非法的,没有经过正当程序,也是不可执行的。”
根据荷兰监管机构,该公司无法对罚款提出上诉,因为其未对该决定提出异议。
值得注意的是,GDPR的适用范围是超领域性的,无论数据处理发生在何处,只要涉及欧盟人的个人数据,都必须遵守该法规。
总部位于美国的Clearview利用人们擅自搜集的数据向客户销售身份匹配服务,客户包括政府机构、执法部门和其他安全服务。然而,其客户越来越不太可能来自欧盟,因为使用这种侵犯隐私的技术可能会引发监管制裁 — 正如2021年瑞典警方一样。
AP警告称,他们将严厉制裁任何试图使用Clearview AI的荷兰实体。“Clearview违法,这意味着使用Clearview的服务也是违法的。使用Clearview的荷兰组织可能会面临荷兰数据保护局的巨额罚款,”荷兰数据保护局主席Aleid Wolfsen写道。
AP的决定的英文版本可以通过此链接访问。
个人责任?
近年来,Clearview AI面临了一系列GDPR罚款(从表面上看,它在欧盟的隐私罚款总额约为1亿欧元),但地区数据保护机构显然没有很成功地收取这些罚款。这家总部位于美国的公司依然不配合,也未在欧盟指定法律代表。
更重要的是,Clearview AI并未改变其违反GDPR的行为 — 由于总部不在欧洲,他们似乎可以继续无视欧洲的隐私法律。
荷兰数据保护监管机构对此感到担忧,称正在探讨确保Clearview停止违法的方法。监管机构正在调查公司的董事是否可以因为违规行为而承担个人责任。
Wolfsen写道:“这样的公司不能继续侵犯欧洲人的权利而逍遥法外。尤其是在如此严重和大规模的情况下。我们现在将调查是否可以追究公司管理人员的个人责任,并对他们进行罚款,因为他们指导了这些违规行为。”“如果董事们知道GDPR正在被违反,有权制止却选择不这样做,这样地意识接受违规行为,那么这种责任已经存在。”
考虑到刚刚看到消息应用Telegram创始人保罗·杜罗夫因在其平台传播非法内容的指控在法国被拘留,值得思考对Clearview管理人员进行制裁是否更有可能驱动他们遵守规定 — 毕竟他们可能希望自由地在欧盟内外旅行。