美国初创公司明视人工智能(Clearview AI)近年来因大规模侵犯隐私而臭名昭著,该公司从互联网上删除了自拍照,并利用人们的数据构建了一种面部识别工具,并将其投放给执法部门和其他人。该公司在法国又因不与数据保护监管机构合作而被罚款。
法国监管机构——法国国家信息委员会(CNIL)开出了这笔逾期支付520万欧元的罚单。去年,该机构曾以违反地区隐私规定为由,对该公司处以2000万欧元的罚款。
欧盟的通用数据保护条例(GDPR)规定了合法处理个人数据的条件。Clearview被发现违反了法国国家数据保护委员会(CNIL)和其他几个地区数据保护机构(包括法国和英国)制定的一系列法律要求,迄今为止已被处以数千万美元的罚款。
明视是否会支付这些罚款仍是一个悬而未决的问题,因为这家总部位于美国的公司一直没有与欧盟监管机构合作。
在今天的一份声明中,CNIL表示明视未能遵守其发布的命令,当时它对三种违反GDPR的行为施加了可能的最高罚款(2000万欧元)。
2022年的这一命令是在此前的一项裁决之后做出的,当时,在调查投诉后,CNIL认定明视非法处理数千万公民数据违反了GDPR;也没有向当地人提供数据访问权。
正是明视未能遵守CNIL 2021年12月的命令,导致法国监管机构在2022年10月又发现了第三项违规行为——缺乏与监管机构的合作——并开出了根据GDPR可能开出的最大罚单。(该规定允许罚款高达全球年营业额的4%或2000万欧元,以较高者为准。)
CNIL的命令还指示Clearview在没有适当法律依据的情况下,不得收集和处理位于法国的个人数据;并在完成任何未完成的数据访问请求后,删除其非法处理信息的个人数据。
当时,负责发布制裁的CNIL委员会给Clearview下达了两个月的最后期限,要求其遵守该命令,并威胁称,如果不这样做,将面临进一步罚款(每逾期一天罚款10万欧元)。
可以肯定地说,这家明显不合作的美国公司又一次没有合作——因此,CNIL最近对明视处以了52天的罚款。
“Clearview AI有两个月的时间来遵守命令,并证明遵守CNIL的合理性。然而,该公司没有在这一时限内提交任何合规证明。”“2023年4月13日,限制委员会认为该公司没有遵守命令,因此对Clearview AI处以520万欧元的逾期罚款。”
我们已经联系了CNIL,问了一些问题。
记者也联系了Clearview寻求回应。它的公关机构,LAKPR集团,以其(现在)惯常的否认欧盟法律适用于其业务的回应:
(注:《通用数据保护条例》适用于欧盟人民的个人数据,因此明视公司需要从未从互联网上删除当地人的自拍,才能使欧盟的数据保护法不适用,值得注意的是,该公司的声明没有说它从未处理过欧洲人的数据。)
明视的声明称,“法国一些人对明视人工智能技术的社会误解,我们在法国没有业务往来”,这要归功于该公司首席执行官Hoan Ton-That。他在信中继续重申,他创造面部识别技术只是为了“帮助社区更安全,协助执法部门解决针对儿童、老年人和其他肆无忌惮行为受害者的令人发指的犯罪”;他补充说:“我们只从开放的互联网上收集公共数据,并遵守所有隐私和法律标准。”
虽然法国的CNIL可能不得不为Clearview欠下的数百万美元而鸣笛,但罚款公告确实起到了阻止这家人工智能公司在法国开设商店的作用——也就是说,除非它愿意在CNIL的债务催收人打来电话时还清债务。
除此之外,或许更重要的是,所有这些GDPR处罚都起到了威慑作用,阻止该地区的其他实体使用Clearview的服务——因为它们自己也有被罚款的风险,就像瑞典警方被发现非法使用Clearview一样。
因此,尽管欧盟民众的数据仍然没有受到明视(Clearview)等对隐私怀有敌意的人工智能公司的滥用处理的保护,但GDPR可能至少有助于限制损害,因为它实际上不可能在该地区开展业务。尽管毫无疑问,这一事件突显出,在跨境数据大流动的时代,对不合作的外国实体执行区域性规则手册所面临的挑战。
欧盟也将出台更多针对人工智能的法规,欧盟立法者正忙着敲定《人工智能法案》的最终细节:欧盟委员会提出的一项关于人工智能使用的法规。这个基于风险的框架草案包括禁止在公共场所使用远程生物识别技术——Clearview可能在这方面起到了推动作用。
