技術(shù)
導(dǎo)讀:在一份關(guān)于違規(guī)調(diào)查結(jié)果的公告中,CNIL還向Clearview發(fā)出正式通知,要求其停止"非法處理",并稱其必須在兩個(gè)月內(nèi)刪除用戶數(shù)據(jù)。
有爭(zhēng)議的面部識(shí)別公司Clearview AI通過(guò)從互聯(lián)網(wǎng)上搜羅自拍照片,積累了一個(gè)約100億張圖片的數(shù)據(jù)庫(kù),以便向執(zhí)法部門出售身份匹配服務(wù),今天,該公司再次被勒令刪除人們的數(shù)據(jù)。法國(guó)的隱私監(jiān)督機(jī)構(gòu)CNIL今天說(shuō),這是因?yàn)镃learview違反了歐洲的《通用數(shù)據(jù)保護(hù)條例》(GDPR)。
在一份關(guān)于違規(guī)調(diào)查結(jié)果的公告中,CNIL還向Clearview發(fā)出正式通知,要求其停止"非法處理",并稱其必須在兩個(gè)月內(nèi)刪除用戶數(shù)據(jù)。
該監(jiān)督機(jī)構(gòu)是根據(jù)2020年5月以來(lái)收到的對(duì)Clearview的投訴采取行動(dòng)的。
這家美國(guó)公司在歐盟沒(méi)有建立分公司,這意味著它的業(yè)務(wù)可以在歐盟范圍內(nèi)被任何成員國(guó)的數(shù)據(jù)保護(hù)監(jiān)督機(jī)構(gòu)采取監(jiān)管行動(dòng)。因此,雖然CNIL的命令只適用于它所持有的來(lái)自法國(guó)領(lǐng)土的人的數(shù)據(jù)--CNIL估計(jì)這涵蓋了少數(shù)的互聯(lián)網(wǎng)用戶--但其他歐盟機(jī)構(gòu)可能會(huì)發(fā)出更多這樣的命令。
CNIL指出,它已經(jīng)尋求與其他機(jī)構(gòu)合作,分享其調(diào)查結(jié)果--這表明Clearview可能會(huì)面臨其他歐盟成員國(guó)和歐洲經(jīng)濟(jì)區(qū)國(guó)家當(dāng)局的進(jìn)一步命令,停止處理數(shù)據(jù),這些國(guó)家已將GDPR納入國(guó)家法律(總共約30個(gè)國(guó)家)。
今年,Clearview的服務(wù)已經(jīng)被裁定違反了加拿大、澳大利亞和英國(guó)的隱私規(guī)則(英國(guó)在英國(guó)脫歐后位于歐盟之外,但目前在國(guó)家法律中保留了GDPR)--它在那里同樣面臨著潛在的罰款,并在上個(gè)月被命令刪除用戶數(shù)據(jù)。
法國(guó)CNIL發(fā)現(xiàn),Clearview有兩項(xiàng)違反GDPR的行為--在沒(méi)有法律依據(jù)的情況下收集和使用生物識(shí)別數(shù)據(jù),違反了第6條(處理的合法性);以及違反了第12、15和17條規(guī)定的各種數(shù)據(jù)訪問(wèn)權(quán)利。
違反第6條是因?yàn)镃learview沒(méi)有獲得人們的同意來(lái)使用他們的面部生物識(shí)別技術(shù),也不能依靠合法利益的法律依據(jù)來(lái)收集和使用這些數(shù)據(jù)--鑒于CNIL所描述的大規(guī)模和"特別侵入性"的處理。
CNIL寫(xiě)道:"這些人的照片或視頻可以在各種網(wǎng)站和社交網(wǎng)絡(luò)上看到,他們不會(huì)合理地期望他們的圖像被[Clearview AI]處理,以提供一個(gè)可以被國(guó)家使用的面部識(shí)別系統(tǒng),[例如用于]警察目的……"。監(jiān)管機(jī)構(gòu)還收到了來(lái)自個(gè)人的投訴,說(shuō)他們?cè)谠噲D獲得GDPR數(shù)據(jù)訪問(wèn)權(quán)時(shí)遇到了一些"困難"。
在這里,CNIL發(fā)現(xiàn)Clearview在很多方面都違反了規(guī)定--比如在"沒(méi)有理由"的情況下,將個(gè)人的數(shù)據(jù)訪問(wèn)權(quán)限制在一年兩次;或者將其限制在過(guò)去12個(gè)月內(nèi)收集的數(shù)據(jù);或者在"同一人提出過(guò)多的請(qǐng)求"后才對(duì)某些請(qǐng)求作出回應(yīng)。
Clearview AI已被勒令確保其保護(hù)數(shù)據(jù)主體的權(quán)利,包括遵守刪除人們數(shù)據(jù)的請(qǐng)求。
如果該公司不遵守法國(guó)的命令,CNIL警告說(shuō),它可能會(huì)面臨進(jìn)一步的監(jiān)管行動(dòng)--這將包括高額罰款的可能性。根據(jù)GDPR,監(jiān)管機(jī)構(gòu)可以發(fā)出高達(dá)2000萬(wàn)歐元的罰款,或高達(dá)公司全球年收入的4%,以較高者為準(zhǔn)。然而,對(duì)沒(méi)有歐盟公司的跨國(guó)企業(yè)如何執(zhí)行罰款確實(shí)是一個(gè)監(jiān)管挑戰(zhàn)。