5月23日,英国信息委员会(ICO)对Clearview AI处以750万英镑的罚款,原因是其违反了当地隐私法,从网络和社交媒体上收集人们的图像,并创建了一个全球数据库。此外,ICO还发布了一份执行通知,命令Clearview AI停止获取、使用在互联网上公开的英国居民个人数据,并从系统中删除英国居民的信息。英国信息专员约翰•爱德华兹(John Edwards)在发布的执法声明中表示,Clearview AI抓取网民信息,并创建了一个包含超过200亿张照片的数据库。“该公司不仅能识别这些人,还能有效地监控他们的行为,”他表示,“这是不可接受的。”此外,他还呼吁其他国家对于Clearview AI这种跨国公司进行国际执法,“无论人们的数据在哪里被使用,他们的个人信息都应得到尊重。这就是为什么跨国公司需要国际执法。”他提到,在此次对Clearview AI的处罚中,英国与澳大利亚隐私监管机构进行了合作;此外,他本周还会在布鲁塞尔会见欧洲的监管机构,以期与他们达成合作。
Clearview AI所涉及的“个人生物信息”收集问题已经演变为可观察到的全球性问题。早在2021年2月,加拿大隐私专员办公室便发布公告,称调查显示Clearview AI通过互联网收集数十亿张人像照片的行为,等于在进行大规模监控,该公告中提到,Clearview AI的技术使执法机构和商业组织能够将未知人物的照片与其数据库中超过30亿张人像(包括加拿大成人和儿童的图像)进行匹配。调查人员认为,这给个人带来了重大安全隐患,其中绝大多数人从未而且在未来也不会涉足犯罪。调查发现,Clearview AI在未经个人知情同意的情况下,收集了高度敏感的生物特征信息,还以不适当的目的使用和公开了加拿大人的个人信息——如未经个人同意,这样的行为并不合规。调查还指出,对于被Clearview AI收集了图像的个人来说,还面临被错误地识别和数据泄露的风险。因此,加拿大隐私权机构建议Clearview AI停止向加拿大客户提供人脸识别服务,同时停止收集并删除之前所收集到的加拿大公民个人图像。
此外,2021年2月,瑞典隐私保护局(IMY)发布决定,对瑞典警察局罚款250万瑞典克朗(约合25万欧元),原因是其在使用Clearview AI识别个人身份时,处理个人数据的行为违反了《刑事数据法》。该决定特别指出,IMY在媒体报道瑞典警察局使用Clearview AI应用程序进行面部识别的消息后,启动了调查。决定还指出,警方曾多次使用Clearview AI,据警方称,一些雇员未经事先授权就使用该应用程序。决定认为,警方在使用Clearview AI方面,有多项没有履行其作为资料控制者的责任,例如:没有实施足够的组织措施,以确保和证明个人数据的处理符合法案的规定。非法处理生物识别数据;没有进行处理生物识别数据所需的数据保护影响评估。最后,警方已被命令通知受影响的数据主体,并删除转移给Clearview AI的任何个人数据。
此次英国ICO对于Clearview AI的处罚更进一步收紧了人脸识别技术的商业合法使用边界。结合欧盟对于个人生物识别信息的谨慎态度,可以预见,未来以“人脸识别”为代表的个人生物识别信息将迎来更为严格的监管(甚至不排除极端的全面禁用的可能),并可能形成区域性的国际共识。
从上述各监管机构的主张中,可知企业在人脸识别技术的商用过程中需要特别注意以下合规要素:一是提高透明度,收集生物识别信息时,应告知用户并取得同意;使用人脸识别技术判断用户身份时应以醒目的方式告知用户,使用户了解其正在使用此类服务,在用户进入此类场所或使用带有人脸识别技术的在线服务时,需要征求其同意。二是引入数据影响评估制度,事前进行使用人脸识别技术的合法性和相关风险评估并及时更新,且接受持续审查。三是预防人脸识别偏见,保障公平。(冯潇洒)
信息来源 / Source of Information
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2022/05/ico-fines-facial-recognition-database-company-clearview-ai-inc/
声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
