導(dǎo)讀:在一份關(guān)于違規(guī)調(diào)查結(jié)果的公告中,CNIL還向Clearview發(fā)出正式通知,要求其停止"非法處理",并稱其必須在兩個月內(nèi)刪除用戶數(shù)據(jù)。
有爭議的面部識別公司Clearview AI通過從互聯(lián)網(wǎng)上搜羅自拍照片,積累了一個約100億張圖片的數(shù)據(jù)庫,以便向執(zhí)法部門出售身份匹配服務(wù),今天,該公司再次被勒令刪除人們的數(shù)據(jù)。法國的隱私監(jiān)督機構(gòu)CNIL今天說,這是因為Clearview違反了歐洲的《通用數(shù)據(jù)保護條例》(GDPR)。
在一份關(guān)于違規(guī)調(diào)查結(jié)果的公告中,CNIL還向Clearview發(fā)出正式通知,要求其停止"非法處理",并稱其必須在兩個月內(nèi)刪除用戶數(shù)據(jù)。
該監(jiān)督機構(gòu)是根據(jù)2020年5月以來收到的對Clearview的投訴采取行動的。
這家美國公司在歐盟沒有建立分公司,這意味著它的業(yè)務(wù)可以在歐盟范圍內(nèi)被任何成員國的數(shù)據(jù)保護監(jiān)督機構(gòu)采取監(jiān)管行動。因此,雖然CNIL的命令只適用于它所持有的來自法國領(lǐng)土的人的數(shù)據(jù)--CNIL估計這涵蓋了少數(shù)的互聯(lián)網(wǎng)用戶--但其他歐盟機構(gòu)可能會發(fā)出更多這樣的命令。
CNIL指出,它已經(jīng)尋求與其他機構(gòu)合作,分享其調(diào)查結(jié)果--這表明Clearview可能會面臨其他歐盟成員國和歐洲經(jīng)濟區(qū)國家當(dāng)局的進一步命令,停止處理數(shù)據(jù),這些國家已將GDPR納入國家法律(總共約30個國家)。
今年,Clearview的服務(wù)已經(jīng)被裁定違反了加拿大、澳大利亞和英國的隱私規(guī)則(英國在英國脫歐后位于歐盟之外,但目前在國家法律中保留了GDPR)--它在那里同樣面臨著潛在的罰款,并在上個月被命令刪除用戶數(shù)據(jù)。
法國CNIL發(fā)現(xiàn),Clearview有兩項違反GDPR的行為--在沒有法律依據(jù)的情況下收集和使用生物識別數(shù)據(jù),違反了第6條(處理的合法性);以及違反了第12、15和17條規(guī)定的各種數(shù)據(jù)訪問權(quán)利。
違反第6條是因為Clearview沒有獲得人們的同意來使用他們的面部生物識別技術(shù),也不能依靠合法利益的法律依據(jù)來收集和使用這些數(shù)據(jù)--鑒于CNIL所描述的大規(guī)模和"特別侵入性"的處理。
CNIL寫道:"這些人的照片或視頻可以在各種網(wǎng)站和社交網(wǎng)絡(luò)上看到,他們不會合理地期望他們的圖像被[Clearview AI]處理,以提供一個可以被國家使用的面部識別系統(tǒng),[例如用于]警察目的……"。監(jiān)管機構(gòu)還收到了來自個人的投訴,說他們在試圖獲得GDPR數(shù)據(jù)訪問權(quán)時遇到了一些"困難"。
在這里,CNIL發(fā)現(xiàn)Clearview在很多方面都違反了規(guī)定--比如在"沒有理由"的情況下,將個人的數(shù)據(jù)訪問權(quán)限制在一年兩次;或者將其限制在過去12個月內(nèi)收集的數(shù)據(jù);或者在"同一人提出過多的請求"后才對某些請求作出回應(yīng)。
Clearview AI已被勒令確保其保護數(shù)據(jù)主體的權(quán)利,包括遵守刪除人們數(shù)據(jù)的請求。
如果該公司不遵守法國的命令,CNIL警告說,它可能會面臨進一步的監(jiān)管行動--這將包括高額罰款的可能性。根據(jù)GDPR,監(jiān)管機構(gòu)可以發(fā)出高達2000萬歐元的罰款,或高達公司全球年收入的4%,以較高者為準。然而,對沒有歐盟公司的跨國企業(yè)如何執(zhí)行罰款確實是一個監(jiān)管挑戰(zhàn)。