本文来自微信公家号:Internet Law Review(ID:Internet-law-review),作者:张颖,原文题目:《2000万欧元!美国人脸辨认公司被法国隐私掩护机构处以最高罚款》,题图来自:视觉中国
2022年10月20日,法国数据掩护机构(Commission nationale de l'informatique et des libertés,同时是当局与国会的咨询机构,就信息立法提供咨询意见,简称CNIL)对美国公司Clearview AI 处以 2000 万欧元的罚款,来由是其违背欧盟《通用数据掩护条例》(General Data Protection Regulation,以下简称GDPR)。
CNIL于 2021 年 11 月向Clearview AI公司下达了一份正式通知,改正其被指控的违规举动。Clearview AI 原本有两个月的时间来遵循羁系要求调解其举动,但它却没有对这一正式通知做出任何回应。这显然惹怒了羁系机构,因此CNIL宣布,将根据GDPR第 83 条对Clearview AI处以最高2000 万欧元的罚款,并号令其遏制谋划勾当并删除之前网络的与 GDPR 违规相干的数据。
不外,必需指出的是,Clearview AI是一家美国公司,在法国并没有谋划场合,法国羁系机构开出的罚单更可能仅仅表达了法国当局对此的立场,现实无法兑现。
Clearview AI这家公司是谁?
1. 无不同汇集全球人脸数据
Clearview AI建立于2017年,其首创人和首席执行官 Hoan Ton-That,是一名澳大利亚籍越南裔人。他19岁移民美国旧金山,今朝具有美国和澳大利亚双重国籍。
▲ Clearview AI首席执行官 Hoan Ton-That
Clearview AI从包括社交媒体在内的很多网站网络照片——甚至可以从在线视频中提取图像,以出售给执法部分和其他机构/小我私家。简朴来说,用户只需上传一张照片,即可得到照片人物在YouTube、Facebook、Venmo、LinkedIn等社交网站上的资料,并且据一位技能专家称,只要布置恰当,该技能在99% 的环境下都是正确的。可以说,这是一款高级的“人肉搜刮”东西。
据CNIL的观察,该公司已在全球网络了凌驾200 亿张图像。显然,绝大大都人都不知道本身的照片进入其数据引擎被云云使用。
按照Clearview AI 的首席执行官Hoan Ton-That说法,“仅从互联网上的公然照片无法确定一小我私家是否具有法国公民身份,因此无法删除法国住民的数据。”由此可以推定,Clearview AI现实上正在无不同地在全球汇集人脸数据,地区规模至少包罗了已经对其建议观察或诉讼的美国、加拿大、英国、澳大利亚、瑞典、意大利、法国、奥地利、希腊、俄罗斯等。
▲图片来历:https://www.rpc.senate.gov/
2. 野心勃勃的贸易国界:执法、民用到军用
行业带领者正在对面部辨认采纳更卖力任、更稳重的要领——亚马逊、微软、IBM等大公司也停息了人脸辨认营业。比拟之下,ClearviewAI将这些大公司的审慎做法视为市场时机,乘隙追求更大范围的扩张和投资。
2020年该公司曾遭到黑客攻击并造成客户名单泄露,按照Buzzfeed(一家美国新闻聚合网站)的一份陈诉显示,Clearview AI 的客户涵盖了诸多美国当局实体——美国司法部(联邦观察局等)、美国领土宁静部(移民和海关执法局)、州级的警员局以及其他国度的执法部分等,还包罗了更多的是私营企业,好比美国银行、梅西百货和沃尔玛等。
Clearview AI公司的专利申请展示了其技能可用于约会、零售、分派社会福利以及授予或拒绝会见设施、场合或装备,而最有利可图的就是金融市场。更令人担心的是,Clearview AI想要成立一个“开辟者生态体系”,帮忙其他公司在本身的产物中使用其数据库。
别的,Clearview Al已经将其技能用于国度之间的冲突。它声称,已从俄罗斯社交媒体网站Vkontate上的大众图像中网络了凌驾 20 亿张图像,并当即用于在查抄站辨认潜在的俄罗斯士兵和奸细。截止2022年7月,7个机构和600多名军事职员正在努力使用Clearview AI平台,在4个月里举行了60000多次搜刮。
人脸辨认的法令争议
1. 欧友邦家:原则上克制人脸辨认的使用
按照GDPR第4条,生物辨认信息属于敏感信息,原则上克制处置惩罚,仅在该条所列明的破例环境下方可举行处置惩罚:信息主体明确赞成,履行法定职责,掩护天然人的重大好处,掩护大众好处,信息主体已公然的信息,基于医疗诊断或评估雇员事情能力需要等。
①法国和意大利:Clearview AI的汇集和使用人脸数据违背GDPR
CNIL 举行针对Clearview AI的观察,认定其违背 GDPR 的举动包罗:
1.不法处置惩罚小我私家数据:违背 GDPR 第 6 条,网络和使用生物特性数据是在没有法令依据的环境下举行的;
2.陵犯数据主体权力:未能以有用和令人满足的方式思量数据主体的权力,包括不为行使数据主体的会见权提供便利,以及没有有用地相应会见和删除请求(GDPR 第 12、15 和 17 条)。
在法国,有些机构申请试用人脸辨认技能,因此CNIL对此设定了三个前提:
1. 遵守欧盟GDPR条例和“警员—司法指令”。
2. 将人的尊敬和掩护置于这一系统的中间职位。
3. 对于人脸辨认的试用必需设按时间与空间上的明确限定,并具有明确的可辨认的方针,且有绩效评估模式。
而在2022年3月,意大利数据掩护机构宣布对违背欧盟法令的举动处以2000万欧元的罚款,并号令这家有争议的公司删除其持有的任何意大利人数据,并克制其对公民的面部生物特性举行任何进一步处置惩罚。
但Clearview AI的答复前后一致,宣布公司不受GDPR统领,并且拒绝删除数据。
②瑞典:违背《刑事数据法》,执法部分也不得使用
比拟之下,似乎瑞典数据掩护机构的动作越发智慧,选择了本国机构作为执法对象。
2021年2月,瑞典数据掩护机构 IMY 因违背该国的《刑事数据法》——不法使用有争议的面部辨认软件Clearview AI,而对本地警员局处以 25 万欧元的罚款。
除罚款外,IMY 还举行了一系列赔偿和防备办法:
赔偿:警方必需通知已向 Clearview AI 披露其数据的数据主体,如许至少他们会知道他们的隐私受到加害。假如受试者下令从 Clearview AI 中删除他们的小我私家数据,警方将必需确保这些数据确实被删除。
防备:IMY要求警方对员工举行分外的培训和教诲课程,以防止将来产生雷同的未经授权的数据会见和处置惩罚事务。
2. 美国:部门都会和州立法限定,但Clearview的使用在增加
美国各执法机构都在使用面部辨认技能冲击犯法,但立法者认可,这个中普遍缺乏透明度、问责制和对其使用的严酷限定。本地警员已经使用该技能来辨认正当的和平抗议者。执法部分也常常使用这种侵入性的、有时是有缺陷的技能来观察稍微犯法。
出格是2021年1月6日美国国会大厦骚乱之后,执法职员和业余侦察都最先大量使用面部辨认来辨认兵变分子。Clearview AI 的搜刮量在骚乱后的第二天增长了26%,佛罗里达州和阿拉巴马州的警员部分都使用它来帮忙辨认通缉犯。
①美国部门都会和州针对面部辨认技能的法令在增多
在美国,率先就人脸辨认问题作出法令划定的是一些州的都会。2019年5月,加利福尼亚州旧金山市成为美国开始以立法克制当局机构使用人脸辨认技能的都会。之后,马萨诸塞州的萨默维尔市、波士顿、伊斯特汉普顿以及密苏里州的斯普林菲尔德等都会也相继通过了雷同禁令。纽约市的法律更为宽松,枚举了不行以使用人脸辨认的贸易场合——娱乐场合、零售店、食物与饮料市肆,但不克制一般贸易机构使用。
就州层面立法而言,美国一些州对生物辨认信息作出了法令划定,比方德州、伊利诺伊州、华盛顿州、阿拉巴马州、马里兰州,这些州法令要求企业网络和使用生物辨认信息必需尽到事先奉告和知情赞成义务。
②在美国被限定使用,但Clearview AI声称是“伟大胜利”
2022年5月,颠末长达两年的诉讼纠纷,Clearview AI接管伊利诺伊州法院提供的息争方案,赞成不再对大大都私企或者小我私家提供免费或者付费的数据库办事,并在五年内遏制对伊利诺伊州的当局机构提供数据库,仅对美国联邦当局以及除伊利诺伊州以外的当局提供办事。
然而,Clearview AI将息争称为公司的“伟大胜利”——该公司打算通过向美国私营公司出售其算法而不是会见其数据库来遵守该州的《生物特性信息隐私法》(BIPA)。
人脸辨认的局势所趋
1. 技能使用受到鼎力大举支撑
从2020年至今,Clearview AI已经遭到意大利、英国、澳大利亚、加拿大、法国、瑞典等多国的观察和惩罚,但似乎他们都无力阻止其继续扩张的脚步。
究其缘故原由,底子在于,在全球规模内,“面部辨认技能”获得了浩瀚当局机构出格是执法构造和科技公司的鼎力大举支撑——执法部分用来辨认怀疑人,在疆域和机场为游客提供利便,以及贸易场景中的便利和宁静。而这一技能的利益,正是通过加害全部人的隐私才能获得实现,即数据库足够复杂,全部的“脸纹”被录入,执法方针才可能被精确标志和锁定。
只要Clearview AI被某国当局认为正当,纵然受到某些用途的限定,它就可以或许无法不同的汇集和使用全球的“人脸”数据。今朝,Clearview AI已经拒绝了多国要求其“删除本国住民人脸数据”的号令,且在其隐私政策中也配置了小我私家删除数据请求的停滞:起首将小我私家图像从社交媒体资料中删除,然后通过提供头像和当局签发的身份证来证实您的身份,再提出申请。
2. 法令上限定但依然正当
欧盟正在思量大幅收紧欧盟对面部辨认技能使用的法例和限定。欧盟委员会2021年提出的《人工智能法案》提供了一个框架,将“生物特性辨认”列为高风险体系,属于被严酷羁系的种别,但并不被周全克制。一些欧盟机构明确呼吁对长途生物辨认举行更充实的克制,但这个发起并没有被表现在法案中。
欧盟2022年9月还提出了一项AI责任指令打算。在罪责方面,立法草案的规模比早期的人工智能法案提案(针对“高风险”人工智能体系)更遍及,由于它不局限于要求出产者的责任,而是将整个供给链纳入追责领域——AI体系的制造商、开辟职员或用户。
在美国联邦层面,面部辨认的立法一直在接头,却迟迟不能落地,包括 2019 年的《贸易面部辨认隐私法》(Commercial Facial Recognition Privacy Act)、2020 年的《面部辨认的道德使用法案》(Ethical Use Of Facial Recognition Act)和《2020 年面部辨认和生物辨认技能法案》(Facial Recognition and Biometric Technology Act of 2020)、《乔治•弗洛伊德治安法》(George Floyd Justice In Policing Act)、《推进面部辨认法》(Advancing Facial Recognition Act),都没有得到通过。
就在最近,2022年9月30日,美国众议员Ted Lieu又提出了 2022 年的《面部辨认法案》。该法案包罗了规范大众和私营部分使用面部辨认技能的划定。它还提出,执法部分对面部辨认的使用环境的要举行透明度审查,出具年度评估和陈诉。
总体上,面部辨认技能今朝在全球属于正当,限定使用的划定只是增长了合规的成本。
3. 非当局组织在提倡“克制”面部辨认
因为小我私家一般无从知道本身的脸部信息被使用,以是上述大都针对“面部辨认”的诉讼和观察,最初都是由隐私掩护的社会组织建议。
2020 年 10 月 15 日,由 Access Now、欧洲数字权力(EDRi)和隐私国际等 44 个民间社会组织支撑的泛欧运动“夺回你的脸:克制生物辨认大范围监督”的组织者向委员会发送了 ECI 请求。该民间社会倡议呼吁欧盟委员会“严酷规范生物辨认技能的使用,以制止对根基权力的不妥干预干与”,并要求“委员会在法令和实践中克制不分是非黑白或随便针对生物辨认技能的使用,这可能导致不法的大范围监督”。
除了夸大他们但愿克制生物辨认大范围监控技能之外,这封信的签订者具体申明了他们但愿在下一个欧盟关于人工智能的立法提案中看到的内容:
“明确克制在大众或公家可进入的空间不分是非黑白或随便有针对性地使用生物辨认技能,这可能导致大范围监督”
“违背根基权力”的人工智能“使用的法令限定或立法红线”
“在欧盟人工智能立法和政策的成长中明确纳入边沿化和受影响的社区”
2021年1月下旬,国际特赦组织建议了“克制扫描”(Ban the Scan)倡议,呼吁警方和当局机构“周全克制使用、开辟、出产和贩卖面部辨认技能”。国际特赦组织将其举措重点放在纽约市,并厥后最先在全球扩展其倡议。
资料来历
https://www.cnil.fr/en/facial-recognition-20-million-euros-penalty-against-clearview-ai
https://techcrunch.com/2021/11/03/clearview-ai-australia-privacy-breach/
https://www.forbes.com/sites/kateoflahertyuk/2020/02/28/the-clearview-ai-nightmare-just-got-worse-heres-why-it-matters-and-what-must-come-next/?sh=6ba362c42afd
https://www.webpronews.com/more-surveillance-than-china-clearview-ais-business-plan/
https://www.imy.se/nyheter/datainspektionen-inleder-tillsyn-med-anledning-av-clearview-ai/
https://www.forbes.com/sites/roberthart/2022/05/23/clearview-ai-fined-94-million-in-uk-for-illegal-facial-recognition-database/?sh=5177f9051963
https://lieu.house.gov/sites/lieu.house.gov/files/FRT%20One%20Pager%20FINAL%20.pdf
https://baijiahao.baidu.com/s?id=1726182061752534352&wfr=spider&for=pc
https://techcrunch.com/2022/05/09/clearview-settlement-bipa/
https://ai-regulation.com/civil-societys-call-to-the-european-commission-for-a-ban-on-biometric-mass-surveillance-and-introduction-of-red-lines-on-ai/
https://ai-regulation.com/lqdn-challenges-fr-before-cnil/
本文来自微信公家号:Internet Law Review(ID:Internet-law-review),作者:张颖
