本文来自微信公众号:Internet Law Review(ID:Internet-law-review),作者:张颖,原文标题:《2000万欧元!美国人脸识别公司被法国隐私保护机构处以最高罚款》,题图来自:视觉中国
2022年10月20日,法国数据保护机构(Commission nationale de l'informatique et des libertés,同时是政府与国会的咨询机构,就信息立法提供咨询意见,简称CNIL)对美国公司Clearview AI 处以 2000 万欧元的罚款,理由是其违反欧盟《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR)。
CNIL于 2021 年 11 月向Clearview AI公司下达了一份正式通知,纠正其被指控的违规行为。Clearview AI 原本有两个月的时间来遵照监管要求调整其行为,但它却没有对这一正式通知做出任何回应。这显然惹怒了监管机构,因此CNIL宣布,将按照GDPR第 83 条对Clearview AI处以最高2000 万欧元的罚款,并命令其停止经营活动并删除之前收集的与 GDPR 违规相关的数据。
不过,必须指出的是,Clearview AI是一家美国公司,在法国并没有经营场所,法国监管机构开出的罚单更可能仅仅表达了法国政府对此的态度,实际无法兑现。
Clearview AI这家公司是谁?
1. 无差别搜集全球人脸数据
Clearview AI成立于2017年,其创始人和首席执行官 Hoan Ton-That,是一名澳大利亚籍越南裔人。他19岁移民美国旧金山,目前具有美国和澳大利亚双重国籍。
▲ Clearview AI首席执行官 Hoan Ton-That
Clearview AI从包括社交媒体在内的许多网站收集照片——甚至可以从在线视频中提取图像,以出售给执法部门和其他机构/个人。简单来说,用户只需上传一张照片,即可获得照片人物在YouTube、Facebook、Venmo、LinkedIn等社交网站上的资料,而且据一位技术专家称,只要部署得当,该技术在99% 的情况下都是正确的。可以说,这是一款高级的“人肉搜索”工具。
据CNIL的调查,该公司已在全球收集了超过 200 亿张图像。显然,绝大多数人都不知道自己的照片进入其数据引擎被如此使用。
根据Clearview AI 的首席执行官Hoan Ton-That说法,“仅从互联网上的公开照片无法确定一个人是否具有法国公民身份,因此无法删除法国居民的数据。”由此可以推定,Clearview AI实际上正在无差别地在全球搜集人脸数据,地域范围至少包含了已经对其发起调查或诉讼的美国、加拿大、英国、澳大利亚、瑞典、意大利、法国、奥地利、希腊、俄罗斯等。
▲ 图片来源:网页链接
2. 野心勃勃的商业版图:执法、民用到军用
行业领导者正在对面部识别采取更负责任、更慎重的方法——亚马逊、微软、IBM等大公司也暂停了人脸识别业务。相比之下,Clearview AI 将这些大公司的谨慎做法视为市场机会,趁机寻求更大规模的扩张和投资。
2020年该公司曾遭到黑客攻击并造成客户名单泄露,根据Buzzfeed(一家美国新闻聚合网站)的一份报告显示,Clearview AI 的客户涵盖了诸多美国政府实体——美国司法部(联邦调查局等)、美国国土安全部(移民和海关执法局)、州级的警察局以及其他国家的执法部门等,还包含了更多的是私营企业,比如美国银行、梅西百货和沃尔玛等。
Clearview AI公司的专利申请展示了其技术可用于约会、零售、分配社会福利以及授予或拒绝访问设施、场所或设备,而最有利可图的就是金融市场。更令人担忧的是,Clearview AI想要建立一个“开发者生态系统”,帮助其他公司在自己的产品中使用其数据库。
此外,Clearview Al已经将其技术用于国家之间的冲突。它声称,已从俄罗斯社交媒体网站Vkontate上的公共图像中收集了超过 20 亿张图像,并立即用于在检查站识别潜在的俄罗斯士兵和特工。截止2022年7月,7个机构和600多名军事人员正在积极使用Clearview AI平台,在4个月里进行了60000多次搜索。
人脸识别的法律争议
1. 欧盟国家:原则上禁止人脸识别的使用
根据GDPR第4条,生物识别信息属于敏感信息,原则上禁止处理,仅在该条所列明的例外情况下方可进行处理:信息主体明确同意,履行法定职责,保护自然人的重大利益,保护公共利益,信息主体已公开的信息,基于医疗诊断或评估雇员工作能力需要等。
①法国和意大利:Clearview AI的搜集和使用人脸数据违反GDPR
CNIL 进行针对Clearview AI的调查,认定其违反 GDPR 的行为包含:
1. 非法处理个人数据:违反 GDPR 第 6 条,收集和使用生物特征数据是在没有法律依据的情况下进行的;
2. 侵害数据主体权利:未能以有效和令人满意的方式考虑数据主体的权利,包括不为行使数据主体的访问权提供便利,以及没有有效地响应访问和删除请求(GDPR 第 12、15 和 17 条)。
在法国,有些机构申请试用人脸识别技术,因此CNIL对此设定了三个条件:
1. 遵守欧盟GDPR条例和“警察—司法指令”。
2. 将人的尊重和保护置于这一体系的中心地位。
3. 对于人脸识别的试用必须设定时间与空间上的明确限制,并具有明确的可识别的目标,且有绩效评估模式。
而在2022年3月,意大利数据保护机构宣布对违反欧盟法律的行为处以2000万欧元的罚款,并命令这家有争议的公司删除其持有的任何意大利人数据,并禁止其对公民的面部生物特征进行任何进一步处理。
但Clearview AI的回复前后一致,宣布公司不受GDPR管辖,而且拒绝删除数据。
②瑞典:违反《刑事数据法》,执法部门也不得使用
相比之下,似乎瑞典数据保护机构的行动更加聪明,选择了本国机构作为执法对象。
2021年2月,瑞典数据保护机构 IMY 因违反该国的《刑事数据法》——非法使用有争议的面部识别软件Clearview AI,而对当地警察局处以 25 万欧元的罚款。
除罚款外,IMY 还进行了一系列补偿和预防措施:
补偿:警方必须通知已向 Clearview AI 披露其数据的数据主体,这样至少他们会知道他们的隐私受到侵犯。如果受试者下令从 Clearview AI 中删除他们的个人数据,警方将必须确保这些数据确实被删除。
预防:IMY要求警方对员工进行额外的培训和教育课程,以防止未来发生类似的未经授权的数据访问和处理事件。
2. 美国:部分城市和州立法限制,但Clearview的使用在增长
美国各执法机构都在使用面部识别技术打击犯罪,但立法者承认,这其中普遍缺乏透明度、问责制和对其使用的严格限制。当地警察已经使用该技术来识别合法的和平抗议者。执法部门也经常使用这种侵入性的、有时是有缺陷的技术来调查轻微犯罪。
特别是2021年1月6日美国国会大厦骚乱之后,执法人员和业余侦探都开始大量使用面部识别来识别叛乱分子。Clearview AI 的搜索量在骚乱后的第二天增加了26% ,佛罗里达州和阿拉巴马州的警察部门都使用它来帮助识别通缉犯。
①美国部分城市和州针对面部识别技术的法律在增多
在美国,率先就人脸识别问题作出法律规定的是一些州的城市。2019年5月,加利福尼亚州旧金山市成为美国最先以立法禁止政府机构使用人脸识别技术的城市。之后,马萨诸塞州的萨默维尔市、波士顿、伊斯特汉普顿以及密苏里州的斯普林菲尔德等城市也相继通过了类似禁令。纽约市的法令更为宽松,列举了不可以使用人脸识别的商业场所——娱乐场所、零售店、食品与饮料商店,但不禁止一般商业机构使用。
就州层面立法而言,美国一些州对生物识别信息作出了法律规定,例如德州、伊利诺伊州、华盛顿州、阿拉巴马州、马里兰州,这些州法律要求企业收集和使用生物识别信息必须尽到事先告知和知情同意义务。
②在美国被限制使用,但Clearview AI声称是“巨大胜利”
2022年5月,经过长达两年的诉讼纠纷,Clearview AI接受伊利诺伊州法院提供的和解方案,同意不再对大多数私企或者个人提供免费或者付费的数据库服务,并在五年内停止对伊利诺伊州的政府机构提供数据库,仅对美国联邦政府以及除伊利诺伊州以外的政府提供服务。
然而,Clearview AI将和解称为公司的“巨大胜利”——该公司计划通过向美国私营公司出售其算法而不是访问其数据库来遵守该州的《生物特征信息隐私法》(BIPA)。
人脸识别的大势所趋
1. 技术使用受到大力支持
从2020年至今,Clearview AI已经遭到意大利、英国、澳大利亚、加拿大、法国、瑞典等多国的调查和处罚,但似乎他们都无力阻止其继续扩张的脚步。
究其原因,根本在于,在全球范围内,“面部识别技术”得到了众多政府机构特别是执法机关和科技公司的大力支持——执法部门用来识别嫌疑人,在边境和机场为旅客提供方便,以及商业场景中的便利和安全。而这一技术的好处,正是通过侵犯所有人的隐私才能得到实现,即数据库足够庞大,所有的“脸纹”被录入,执法目标才可能被准确标记和锁定。
只要Clearview AI被某国政府认为合法,即使受到某些用途的限制,它就能够无法差别的搜集和使用全球的“人脸”数据。目前,Clearview AI已经拒绝了多国要求其“删除本国居民人脸数据”的命令,且在其隐私政策中也设置了个人删除数据请求的障碍:首先将个人图像从社交媒体资料中删除,然后通过提供头像和政府签发的身份证来证明您的身份,再提出申请。
2. 法律上限制但依然合法
欧盟正在考虑大幅收紧欧盟对面部识别技术使用的法规和限制。欧盟委员会2021年提出的《人工智能法案》提供了一个框架,将“生物特征识别”列为高风险系统,属于被严格监管的类别,但并不被全面禁止。一些欧盟机构明确呼吁对远程生物识别进行更充分的禁止,但这个建议并没有被体现在法案中。
欧盟2022年9月还提出了一项AI责任指令计划。在罪责方面,立法草案的范围比早期的人工智能法案提案(针对“高风险”人工智能系统)更广泛,因为它不局限于要求生产者的责任,而是将整个供应链纳入追责范畴——AI系统的制造商、开发人员或用户。
在美国联邦层面,面部识别的立法一直在讨论,却迟迟不能落地,包括 2019 年的《商业面部识别隐私法》(Commercial Facial Recognition Privacy Act)、2020 年的《面部识别的道德使用法案》(Ethical Use Of Facial Recognition Act)和《2020 年面部识别和生物识别技术法案》(Facial Recognition and Biometric Technology Act of 2020)、《乔治•弗洛伊德治安法》(George Floyd Justice In Policing Act)、《推进面部识别法》(Advancing Facial Recognition Act),都没有获得通过。
就在最近,2022年9月30日,美国众议员Ted Lieu又提出了 2022 年的《面部识别法案》。该法案包含了规范公共和私营部门使用面部识别技术的规定。它还提出,执法部门对面部识别的使用情况的要进行透明度审查,出具年度评估和报告。
总体上,面部识别技术目前在全球属于合法,限制使用的规定只是增加了合规的成本。
3. 非政府组织在倡导“禁止”面部识别
由于个人一般无从知道自己的脸部信息被使用,所以上述多数针对“面部识别”的诉讼和调查,最初都是由隐私保护的社会组织发起。
2020 年 10 月 15 日,由 Access Now、欧洲数字权利(EDRi)和隐私国际等 44 个民间社会组织支持的泛欧运动“夺回你的脸:禁止生物识别大规模监视”的组织者向委员会发送了 ECI 请求。该民间社会倡议呼吁欧盟委员会“严格规范生物识别技术的使用,以避免对基本权利的不当干涉”,并要求“委员会在法律和实践中禁止不分青红皂白或任意针对生物识别技术的使用,这可能导致非法的大规模监视”。
除了强调他们希望禁止生物识别大规模监控技术之外,这封信的签署者详细说明了他们希望在下一个欧盟关于人工智能的立法提案中看到的内容:
“明确禁止在公共或公众可进入的空间不分青红皂白或任意有针对性地使用生物识别技术,这可能导致大规模监视”
“违反基本权利”的人工智能“使用的法律限制或立法红线”
“在欧盟人工智能立法和政策的发展中明确纳入边缘化和受影响的社区”
2021年1月下旬,国际特赦组织发起了“禁止扫描”(Ban the Scan)倡议,呼吁警方和政府机构“全面禁止使用、开发、生产和销售面部识别技术”。国际特赦组织将其举措重点放在纽约市,并后来开始在全球扩展其倡议。
资料来源
本文来自微信公众号:Internet Law Review(ID:Internet-law-review),作者:张颖
本内容为作者独立观点,不代表虎嗅立场。未经允许不得转载,授权事宜请联系 hezuo@huxiu.com
正在改变与想要改变世界的人,都在虎嗅APP