文｜羅為 李心蕊（ICMA智聯(lián)出行研究院）

Clearview AI公司是一家美國的人臉識別公司，一直以來，其面部識別技術(shù)應(yīng)用所涉及的隱私問題受到廣泛關(guān)注。

據(jù)公開信息顯示，Clearview AI從互聯(lián)網(wǎng)上搜集自拍，積累了約100億張臉的數(shù)據(jù)庫；而根據(jù)該公司公布的2020年的一份專利申請顯示，Clearview AI已提議將其技術(shù)應(yīng)用于警務(wù)、零售、約會等各個領(lǐng)域。此外，Clearview AI積極向加拿大執(zhí)法機構(gòu)推銷其服務(wù)，其用戶涉及全國的執(zhí)法部門，包括皇家騎警部門在內(nèi)持有賬戶達48個。

2022年3月10日，意大利數(shù)據(jù)保護機構(gòu)認(rèn)定Clearview AI公司違反歐盟有關(guān)數(shù)據(jù)保護的規(guī)定，并作出相應(yīng)處罰。

事實認(rèn)定

意大利數(shù)據(jù)保護機構(gòu)經(jīng)調(diào)查認(rèn)定：

1. Clearview AI涉嫌非法處理個人數(shù)據(jù)，包括生物識別和地理定位數(shù)據(jù)（其收集世界各地人臉信息并通過人工智能將從圖像中提取的生物特征數(shù)據(jù)與照片的標(biāo)題、地理位置、發(fā)布網(wǎng)頁等其他信息相關(guān)聯(lián)）。

根據(jù)GDPR第6條，個人數(shù)據(jù)的處理應(yīng)當(dāng)是合法的，并且至少滿足該條中列出的一個條件。在本案中，Clearview AI并未取得利害關(guān)系人同意，且排除存在履行合同必要、履行法定義務(wù)所需、為保護數(shù)據(jù)主體核心利益所必要、基于公共利益等情形。

在對Clearview AI公司的數(shù)據(jù)處理行為是否存在所有者的合法利益（legitimate interests）的分析中，意大利數(shù)據(jù)保護機構(gòu)，將其與谷歌搜索進行類比，認(rèn)為這不屬于“對重復(fù)使用和進一步處理個人數(shù)據(jù)的普遍授權(quán)”，至多只能將其作為利益平衡中的評估要素。

在本案中，意大利數(shù)據(jù)保護機構(gòu)認(rèn)為，Clearview AI公司所主張的合法利益包括對用戶私人領(lǐng)域具有特殊侵入性的處理時的營利目的，尤其是其本質(zhì)上是照片數(shù)據(jù)的集合，這些數(shù)據(jù)還會經(jīng)過生物識別處理，同時也會涉及未成年人圖像的收集。考慮到上述要素，監(jiān)管機構(gòu)認(rèn)為Clearview AI公司提出的合法利益會損害權(quán)利人的權(quán)利，特別是對隱私權(quán)造成嚴(yán)重危害，違反自動化決策和個人數(shù)據(jù)處理中固有的非歧視原則?？傊?，Clearview 沒有任何有效的法律依據(jù)來作為個人數(shù)據(jù)處理合法性的基礎(chǔ)。

2. Clearview AI公司的收集和處理行為違反GDPR透明度義務(wù)、目的限制和存儲限制。GDPR第39條明確規(guī)定，收集、使用、查閱或以其他方式處理與他們有關(guān)的個人數(shù)據(jù)的方式應(yīng)當(dāng)透明，即與處理此類個人數(shù)據(jù)有關(guān)的信息和通信易于訪問和理解，并且使用簡單明了的語言。在本案中，相關(guān)方與公司沒有聯(lián)系，無法直接獲知公司開展的活動，即使通過咨詢 Clearview 網(wǎng)站，他們也不是任何信息的接收者。

3. Clearview AI公司未能提供GDPR第13、14條規(guī)定的信息，即針對從數(shù)據(jù)主體處收集個人信息時應(yīng)提供的信息與非從數(shù)據(jù)主體處獲取個人信息時應(yīng)提供的信息，未能在適當(dāng)?shù)臅r間內(nèi)提供有關(guān)根據(jù)第15條提出請求采取行動的信息即處理的目的、數(shù)據(jù)類型、期限及接收方等，并未指定歐盟代表。Clearview AI的活動違反了數(shù)據(jù)主體的自由，包括保護機密性和不被歧視的權(quán)利。

處罰結(jié)果

1、對Clearview AI處 2000萬歐元的罰款。

2、禁止通過網(wǎng)絡(luò)抓取技術(shù)進一步收集意大利境內(nèi)人員的圖像和相關(guān)元數(shù)據(jù)，并禁止進一步處理公司通過其面部識別系統(tǒng)收集的意大利境內(nèi)人員的生物特征數(shù)據(jù)。

3、刪除其面部識別系統(tǒng)處理的有關(guān)意大利境內(nèi)人員的數(shù)據(jù)，包括生物特征數(shù)據(jù)，且須及時響應(yīng)權(quán)利主體依據(jù)條例第15至22條規(guī)定行使權(quán)利的請求，即數(shù)據(jù)主體的訪問權(quán)、更正與刪除權(quán)、限制處理權(quán)、攜帶權(quán)、反對權(quán)及反對自動化決策權(quán)。

4、責(zé)令公司在歐盟境內(nèi)指定一名代表。

公司回應(yīng)

Clearview CEO Hoan Ton-That針對此次制裁發(fā)表聲明稱，Clearview AI在意大利或歐盟沒有客戶和營業(yè)場所，也沒有從事任何受GDPR約束的活動。公司只從開放的互聯(lián)網(wǎng)上收集公共數(shù)據(jù)，并遵守所有的隱私和法律標(biāo)準(zhǔn)。

借鑒意義

本次執(zhí)法是歐洲隱私監(jiān)督機構(gòu)最強有力的執(zhí)法行動，英國ICO在去年11月對Clearview發(fā)出罰款警告，并命令Clearview停止處理數(shù)據(jù)。去年12月，法國的CNIL也命令Clearview停止處理公民的數(shù)據(jù)，并給其兩個月的時間來刪除所持有的數(shù)據(jù)，但都沒有進行經(jīng)濟制裁。從監(jiān)管趨勢來看，國外，尤其是歐洲，對人臉識別涉及的數(shù)據(jù)收集和處理問題愈發(fā)敏感。

從相關(guān)政策來看，歐盟GDPR確立了對于生物數(shù)據(jù)（包括面部圖像）的嚴(yán)格的使用限制規(guī)則。因此，對于商業(yè)企業(yè)來說，處理生物數(shù)據(jù)的合法性基礎(chǔ)（legal basis）的選擇尤為重要。目前來看，對于并非直接服務(wù)于數(shù)據(jù)主體的企業(yè)而言，論證其合法性基礎(chǔ)為數(shù)據(jù)控制者（data controller）履行責(zé)任及行使權(quán)利所必需的難度較大，因此若企業(yè)無法避免收集、處理生物數(shù)據(jù)，則企業(yè)同時考慮將征求數(shù)據(jù)主體同意作為合法性基礎(chǔ)的可能性。需要指出的是，在征求同意這一點上，GDPR對明確同意的要求是“自由、明確、具體”的，數(shù)據(jù)主體的任何被動同意均不符合 GDPR 的規(guī)定。此外，數(shù)據(jù)主體可主張刪除權(quán)、變更權(quán)、反對自動化決策權(quán)等避免人臉識別帶來的歧視、錯誤風(fēng)險。

對于國內(nèi)公司而言，如其業(yè)務(wù)涉及在境外收集、處理人臉信息的業(yè)務(wù)，則需對GDPR的規(guī)定及近期監(jiān)管動態(tài)多加關(guān)注，嚴(yán)格規(guī)范公司在收集和處理相關(guān)數(shù)據(jù)的行為。鑒于國內(nèi)數(shù)據(jù)合規(guī)的要求不斷向國際高標(biāo)準(zhǔn)靠攏，且已經(jīng)走在嚴(yán)監(jiān)管行列，ICMA智聯(lián)出行研究院建議有關(guān)企業(yè)關(guān)注此次意大利對Clearview的制裁對國內(nèi)執(zhí)法所可能產(chǎn)生的影響，及時做好相關(guān)應(yīng)對方案。