从Clearview AI制裁案看人脸识别合规风险

文｜罗为 李心蕊（ICMA智联出行研究院）

Clearview AI公司是一家美国的人脸识别公司，一直以来，其面部识别技术应用所涉及的隐私问题受到广泛关注。

据公开信息显示，Clearview AI从互联网上搜集自拍，积累了约100亿张脸的数据库；而根据该公司公布的2020年的一份专利申请显示，Clearview AI已提议将其技术应用于警务、零售、约会等各个领域。此外，Clearview AI积极向加拿大执法机构推销其服务，其用户涉及全国的执法部门，包括皇家骑警部门在内持有账户达48个。

2022年3月10日，意大利数据保护机构认定Clearview AI公司违反欧盟有关数据保护的规定，并作出相应处罚。

事实认定

意大利数据保护机构经调查认定：

1. Clearview AI涉嫌非法处理个人数据，包括生物识别和地理定位数据（其收集世界各地人脸信息并通过人工智能将从图像中提取的生物特征数据与照片的标题、地理位置、发布网页等其他信息相关联）。

根据GDPR第6条，个人数据的处理应当是合法的，并且至少满足该条中列出的一个条件。在本案中，Clearview AI并未取得利害关系人同意，且排除存在履行合同必要、履行法定义务所需、为保护数据主体核心利益所必要、基于公共利益等情形。

在对Clearview AI公司的数据处理行为是否存在所有者的合法利益（legitimate interests）的分析中，意大利数据保护机构，将其与谷歌搜索进行类比，认为这不属于“对重复使用和进一步处理个人数据的普遍授权”，至多只能将其作为利益平衡中的评估要素。

在本案中，意大利数据保护机构认为，Clearview AI公司所主张的合法利益包括对用户私人领域具有特殊侵入性的处理时的营利目的，尤其是其本质上是照片数据的集合，这些数据还会经过生物识别处理，同时也会涉及未成年人图像的收集。考虑到上述要素，监管机构认为Clearview AI公司提出的合法利益会损害权利人的权利，特别是对隐私权造成严重危害，违反自动化决策和个人数据处理中固有的非歧视原则。总之，Clearview 没有任何有效的法律依据来作为个人数据处理合法性的基础。

2. Clearview AI公司的收集和处理行为违反GDPR透明度义务、目的限制和存储限制。GDPR第39条明确规定，收集、使用、查阅或以其他方式处理与他们有关的个人数据的方式应当透明，即与处理此类个人数据有关的信息和通信易于访问和理解，并且使用简单明了的语言。在本案中，相关方与公司没有联系，无法直接获知公司开展的活动，即使通过咨询 Clearview 网站，他们也不是任何信息的接收者。

3. Clearview AI公司未能提供GDPR第13、14条规定的信息，即针对从数据主体处收集个人信息时应提供的信息与非从数据主体处获取个人信息时应提供的信息，未能在适当的时间内提供有关根据第15条提出请求采取行动的信息即处理的目的、数据类型、期限及接收方等，并未指定欧盟代表。Clearview AI的活动违反了数据主体的自由，包括保护机密性和不被歧视的权利。

处罚结果

1、对Clearview AI处 2000万欧元的罚款。

2、禁止通过网络抓取技术进一步收集意大利境内人员的图像和相关元数据，并禁止进一步处理公司通过其面部识别系统收集的意大利境内人员的生物特征数据。

3、删除其面部识别系统处理的有关意大利境内人员的数据，包括生物特征数据，且须及时响应权利主体依据条例第15至22条规定行使权利的请求，即数据主体的访问权、更正与删除权、限制处理权、携带权、反对权及反对自动化决策权。

4、责令公司在欧盟境内指定一名代表。

公司回应

Clearview CEO Hoan Ton-That针对此次制裁发表声明称，Clearview AI在意大利或欧盟没有客户和营业场所，也没有从事任何受GDPR约束的活动。公司只从开放的互联网上收集公共数据，并遵守所有的隐私和法律标准。

借鉴意义

本次执法是欧洲隐私监督机构最强有力的执法行动，英国ICO在去年11月对Clearview发出罚款警告，并命令Clearview停止处理数据。去年12月，法国的CNIL也命令Clearview停止处理公民的数据，并给其两个月的时间来删除所持有的数据，但都没有进行经济制裁。从监管趋势来看，国外，尤其是欧洲，对人脸识别涉及的数据收集和处理问题愈发敏感。

从相关政策来看，欧盟GDPR确立了对于生物数据（包括面部图像）的严格的使用限制规则。因此，对于商业企业来说，处理生物数据的合法性基础（legal basis）的选择尤为重要。目前来看，对于并非直接服务于数据主体的企业而言，论证其合法性基础为数据控制者（data controller）履行责任及行使权利所必需的难度较大，因此若企业无法避免收集、处理生物数据，则企业同时考虑将征求数据主体同意作为合法性基础的可能性。需要指出的是，在征求同意这一点上，GDPR对明确同意的要求是“自由、明确、具体”的，数据主体的任何被动同意均不符合 GDPR 的规定。此外，数据主体可主张删除权、变更权、反对自动化决策权等避免人脸识别带来的歧视、错误风险。

对于国内公司而言，如其业务涉及在境外收集、处理人脸信息的业务，则需对GDPR的规定及近期监管动态多加关注，严格规范公司在收集和处理相关数据的行为。鉴于国内数据合规的要求不断向国际高标准靠拢，且已经走在严监管行列，ICMA智联出行研究院建议有关企业关注此次意大利对Clearview的制裁对国内执法所可能产生的影响，及时做好相关应对方案。