有争议的面部识别公司Clearview AI通过从互联网上搜罗自拍照片,积累了一个约100亿张图片的数据库,以便向执法部门出售身份匹配服务,今天,该公司再次被勒令删除人们的数据。法国的隐私监督机构CNIL今天说,这是因为Clearview违反了欧洲的《通用数据保护条例》(GDPR)。
在一份关于违规调查结果的公告中,CNIL还向Clearview发出正式通知,要求其停止"非法处理",并称其必须在两个月内删除用户数据。
该监督机构是根据2020年5月以来收到的对Clearview的投诉采取行动的。
这家美国公司在欧盟没有建立分公司,这意味着它的业务可以在欧盟范围内被任何成员国的数据保护监督机构采取监管行动。因此,虽然CNIL的命令只适用于它所持有的来自法国领土的人的数据--CNIL估计这涵盖了少数的互联网用户--但其他欧盟机构可能会发出更多这样的命令。
CNIL指出,它已经寻求与其他机构合作,分享其调查结果--这表明Clearview可能会面临其他欧盟成员国和欧洲经济区国家当局的进一步命令,停止处理数据,这些国家已将GDPR纳入国家法律(总共约30个国家)。
今年,Clearview的服务已经被裁定违反了加拿大、澳大利亚和英国的隐私规则(英国在英国脱欧后位于欧盟之外,但目前在国家法律中保留了GDPR)--它在那里同样面临着潜在的罚款,并在上个月被命令删除用户数据。
法国CNIL发现,Clearview有两项违反GDPR的行为--在没有法律依据的情况下收集和使用生物识别数据,违反了第6条(处理的合法性);以及违反了第12、15和17条规定的各种数据访问权利。
违反第6条是因为Clearview没有获得人们的同意来使用他们的面部生物识别技术,也不能依靠合法利益的法律依据来收集和使用这些数据--鉴于CNIL所描述的大规模和"特别侵入性"的处理。
CNIL写道:"这些人的照片或视频可以在各种网站和社交网络上看到,他们不会合理地期望他们的图像被[Clearview AI]处理,以提供一个可以被国家使用的面部识别系统,[例如用于]警察目的……"。监管机构还收到了来自个人的投诉,说他们在试图获得GDPR数据访问权时遇到了一些"困难"。
在这里,CNIL发现Clearview在很多方面都违反了规定--比如在"没有理由"的情况下,将个人的数据访问权限制在一年两次;或者将其限制在过去12个月内收集的数据;或者在"同一人提出过多的请求"后才对某些请求作出回应。
Clearview AI已被勒令确保其保护数据主体的权利,包括遵守删除人们数据的请求。
如果该公司不遵守法国的命令,CNIL警告说,它可能会面临进一步的监管行动--这将包括高额罚款的可能性。根据GDPR,监管机构可以发出高达2000万欧元的罚款,或高达公司全球年收入的4%,以较高者为准。然而,对没有欧盟公司的跨国企业如何执行罚款确实是一个监管挑战。