受到多国处罚这个“高级人肉搜索工具”还在全球扩张

2022-11-04 06:21:59上一篇:江湖路 结束语与感言 |下一篇:不油腻、没腥味助降脂瘦身女人要常吃能滋补血气、强身壮体

  受到多国处罚这个“高级人肉搜索工具”还在全球扩张,作者:张颖,原文标题:《2000 万欧元!美国人脸识别公司被法国隐私保护机构处以*高罚款》,题图来自:视觉中国

  CNIL 于 2021 年 11 月向 Clearview AI 公司下达了一份正式通知,纠正其被指控的违规行为。Clearview AI 原本有两个月的时间来遵照监管要求调整其行为,但它却没有对这一正式通知做出任何回应。这显然惹怒了监管机构,因此 CNIL 宣布,将按照 GDPR 第 83 条对 Clearview AI 处以*高 2000 万欧元的罚款,并命令其停止经营活动并删除之前收集的与 GDPR 违规相关的数据。

  不过,必须指出的是,Clearview AI 是一家美国公司,在法国并没有经营场所,法国监管机构开出的罚单更可能仅仅表达了法国政府对此的态度,实际无法兑现。

  Clearview AI 成立于 2017 年,其创始人和首席执行官 Hoan Ton-That,是一名澳大利亚籍越南裔人。他 19 岁移民美国旧金山,目前具有美国和澳大利亚双重国籍。

  Clearview AI 从包括社交媒体在内的许多网站收集照片——甚至可以从在线视频中提取图像,以出售给执法部门和其他机构 / 个人。简单来说,用户只需上传一张照片,即可获得照片人物在 YouTube、Facebook、Venmo、LinkedIn 等社交网站上的资料,而且据一位技术专家称,只要部署得当,该技术在 99% 的情况下都是正确的。可以说,这是一款高级的 人肉搜索 工具。

  据 CNIL 的调查,该公司已在全球收集了超过   200 亿张图像。显然,绝大多数人都不知道自己的照片进入其数据引擎被如此使用。

  根据 Clearview AI 的首席执行官 Hoan Ton-That 说法, 仅从互联网上的公开照片无法确定一个人是否具有法国公民身份,因此无法删除法国居民的数据。 由此可以推定,Clearview AI实际上正在无差别地在全球搜集人脸数据,地域范围至少包含了已经对其发起调查或诉讼的美国、加拿大、英国、澳大利亚、瑞典、意大利、法国、奥地利、希腊、俄罗斯等。

  行业领导者正在对面部识别采取更负责任、更慎重的方法——亚马逊、微软、IBM 等大公司也暂停了人脸识别业务。相比之下,Clearview   AI   将这些大公司的谨慎做法视为市场机会,趁机寻求更大规模的扩张和投资。

  2020 年该公司曾遭到黑客攻击并造成客户名单泄露,根据 Buzzfeed(一家美国新闻聚合网站)的一份报告显示,Clearview AI 的客户涵盖了诸多美国政府实体——美国司法部(联邦调查局等)、美国国土安全部(移民和海关执法局)、州级的警察局以及其他国家的执法部门等,还包含了更多的是私营企业,比如美国银行、梅西百货和沃尔玛等。

  Clearview AI 公司的专利申请展示了其技术可用于约会、零售、分配社会福利以及授予或拒绝访问设施、场所或设备,而*有利可图的就是金融市场。更令人担忧的是,Clearview AI 想要建立一个 开发者生态系统 ,帮助其他公司在自己的产品中使用其数据库。

  此外,Clearview Al 已经将其技术用于国家之间的冲突。它声称,已从俄罗斯社交媒体网站 Vkontate 上的公共图像中收集了超过 20 亿张图像,并立即用于在检查站识别潜在的俄罗斯士兵和特工。截止 2022 年 7 月,7 个机构和 600 多名军事人员正在积极使用 Clearview AI 平台,在 4 个月里进行了 60000 多次搜索。

  根据 GDPR 第 4 条,生物识别信息属于敏感信息,原则上禁止处理,仅在该条所列明的例外情况下方可进行处理:信息主体明确同意,履行法定职责,保护自然人的重大利益,保护公共利益,信息主体已公开的信息,基于医疗诊断或评估雇员工作能力需要等。

  ①法国和意大利:Clearview AI 的搜集和使用人脸数据违反 GDPR

  1.   非法处理个人数据:违反 GDPR 第 6 条,收集和使用生物特征数据是在没有法律依据的情况下进行的;

  2.   侵害数据主体权利:未能以有效和令人满意的方式考虑数据主体的权利,包括不为行使数据主体的访问权提供便利,以及没有有效地响应访问和删除请求(GDPR 第 12、15 和 17 条)。

  在法国,有些机构申请试用人脸识别技术,因此 CNIL 对此设定了三个条件:

  3. 对于人脸识别的试用必须设定时间与空间上的明确限制,并具有明确的可识别的目标,且有绩效评估模式。

  而在 2022 年 3 月,意大利数据保护机构宣布对违反欧盟法律的行为处以 2000 万欧元的罚款,并命令这家有争议的公司删除其持有的任何意大利人数据,并禁止其对公民的面部生物特征进行任何进一步处理。

  但 Clearview AI 的回复前后一致,宣布公司不受 GDPR 管辖,而且拒绝删除数据。

  相比之下,似乎瑞典数据保护机构的行动更加聪明,选择了本国机构作为执法对象。

  2021 年 2 月,瑞典数据保护机构 IMY 因违反该国的《刑事数据法》——非法使用有争议的面部识别软件 Clearview AI,而对当地警察局处以 25 万欧元的罚款。

  补偿:警方必须通知已向 Clearview AI 披露其数据的数据主体,这样至少他们会知道他们的隐私受到侵犯。如果受试者下令从 Clearview AI 中删除他们的个人数据,警方将必须确保这些数据确实被删除。

  预防:IMY 要求警方对员工进行额外的培训和教育课程,以防止未来发生类似的未经授权的数据访问和处理事件。

  美国各执法机构都在使用面部识别技术打击犯罪,但立法者承认,这其中普遍缺乏透明度、问责制和对其使用的严格限制。当地警察已经使用该技术来识别合法的和平抗议者。执法部门也经常使用这种侵入性的、有时是有缺陷的技术来调查轻微犯罪。

  特别是 2021 年 1 月 6 日美国国会大厦骚乱之后,执法人员和业余侦探都开始大量使用面部识别来识别叛乱分子。Clearview AI 的搜索量在骚乱后的第二天增加了 26%  ,佛罗里达州和阿拉巴马州的警察部门都使用它来帮助识别通缉犯。

  在美国,率先就人脸识别问题作出法律规定的是一些州的城市。2019 年 5 月,加利福尼亚州旧金山市成为美国*先以立法禁止政府机构使用人脸识别技术的城市。之后,马萨诸塞州的萨默维尔市、波士顿、伊斯特汉普顿以及密苏里州的斯普林菲尔德等城市也相继通过了类似禁令。纽约市的法令更为宽松,列举了不可以使用人脸识别的商业场所——娱乐场所、零售店、食品与饮料商店,但不禁止一般商业机构使用。

  就州层面立法而言,美国一些州对生物识别信息作出了法律规定,例如德州、伊利诺伊州、华盛顿州、阿拉巴马州、马里兰州,这些州法律要求企业收集和使用生物识别信息必须尽到事先告知和知情同意义务。

  2022 年 5 月,经过长达两年的诉讼纠纷,Clearview AI 接受伊利诺伊州法院提供的和解方案,同意不再对大多数私企或者个人提供免费或者付费的数据库服务,并在五年内停止对伊利诺伊州的政府机构提供数据库,仅对美国联邦政府以及除伊利诺伊州以外的政府提供服务。

  然而,Clearview AI 将和解称为公司的 巨大胜利 ——该公司计划通过向美国私营公司出售其算法而不是访问其数据库来遵守该州的《生物特征信息隐私法》(BIPA)。

  从 2020 年至今,Clearview AI 已经遭到意大利、英国、澳大利亚、加拿大、法国、瑞典等多国的调查和处罚,但似乎他们都无力阻止其继续扩张的脚步。

  究其原因,根本在于,在全球范围内, 面部识别技术 得到了众多政府机构特别是执法机关和科技公司的大力支持——执法部门用来识别嫌疑人,在边境和机场为旅客提供方便,以及商业场景中的便利和安全。而这一技术的好处,正是通过侵犯所有人的隐私才能得到实现,即数据库足够庞大,所有的 脸纹 被录入,执法目标才可能被准确标记和锁定。

  只要 Clearview AI 被某国政府认为合法,即使受到某些用途的限制,它就能够无法差别的搜集和使用全球的 人脸 数据。目前,Clearview AI 已经拒绝了多国要求其 删除本国居民人脸数据 的命令,且在其隐私政策中也设置了个人删除数据请求的障碍:首先将个人图像从社交媒体资料中删除,然后通过提供头像和政府签发的身份证来证明您的身份,再提出申请。

  欧盟正在考虑大幅收紧欧盟对面部识别技术使用的法规和限制。欧盟委员会 2021 年提出的《人工智能法案》提供了一个框架,将 生物特征识别 列为高风险系统,属于被严格监管的类别,但并不被全面禁止。一些欧盟机构明确呼吁对远程生物识别进行更充分的禁止,但这个建议并没有被体现在法案中。

  欧盟 2022 年 9 月还提出了一项 AI 责任指。在罪责方面,立法草案的范围比早期的人工智能法案提案(针对 高风险 人工智能系统)更广泛,因为它不局限于要求生产者的责任,而是将整个供应链纳入追责范畴—— AI 系统的制造商、开发人员或用户。

  就在*近,2022 年 9 月 30 日,美国众议员 Ted Lieu 又提出了 2022 年的《面部识别法案》。该法案包含了规范公共和私营部门使用面部识别技术的规定。它还提出,执法部门对面部识别的使用情况的要进行透明度审查,出具年度评估和报告。

  总体上,面部识别技术目前在全球属于合法,限制使用的规定只是增加了合规的成本。

  由于个人一般无从知道自己的脸部信息被使用,所以上述多数针对 面部识别 的诉讼和调查,*初都是由隐私保护的社会组织发起。

  2020 年 10 月 15 日,由 Access Now、欧洲数字权利(EDRi)和隐私国际等 44 个民间社会组织支持的泛欧运动 夺回你的脸:禁止生物识别大规模监视 的组织者向委员会发送了 ECI 请求。该民间社会倡议呼吁欧盟委员会严格规范生物识别技术的使用,以避免对基本权利的不当干涉 ,并要求 委员会在法律和实践中禁止不分青红皂白或任意针对生物识别技术的使用,这可能导致非法的大规模监视 。

  除了强调他们希望禁止生物识别大规模监控技术之外,这封信的签署者详细说明了他们希望在下一个欧盟关于人工智能的立法提案中看到的内容:

  明确禁止在公共或公众可进入的空间不分青红皂白或任意有针对性地使用生物识别技术,这可能导致大规模监视

  2021 年 1 月下旬,国际特赦组织发起了 禁止扫描 (Ban the Scan)倡议,呼吁警方和政府机构 全面禁止使用、开发、生产和销售面部识别技术 。国际特赦组织将其举措重点放在纽约市,并后来开始在全球扩展其倡议。