08/09/2022 05:00
Το ιστορικό της υπόθεσης είναι ότι αρκετοί οργανισμοί, συμπεριλαμβανομένων των Noyb, Privacy International (PI), Hermes Center και Homo Digitalis, υπέβαλαν καταγγελία κατά της Clearview AI Inc. τον Μάιο του 2021 στις αρχές προστασίας δεδομένων στη Γαλλία, την Αυστρία, την Ιταλία, την Ελλάδα και την Αγγλία. ενώπιον των αρχών, μετά την οποία είναι η τέταρτη φορά που επιβάλλονται κυρώσεις κατά της υπηρεσίας της Clearview AI Inc.:
-Τον Δεκέμβριο του 2021, η γαλλική αρχή προστασίας δεδομένων (CNIL) διέταξε την Clearview AI Inc. να διαγράψει τη βάση δεδομένων εικόνων της και να σταματήσει τη συλλογή δεδομένων, καθώς και να διευκολύνει την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων και να συμμορφωθεί με τα αιτήματα διαγραφής (το CNIL η δήλωση είναι διαθέσιμη εδώ στα γαλλικά)
-Τον Φεβρουάριο του 2022, η Ιταλική Αρχή Προστασίας Δεδομένων (GPDP) επέβαλε επίσης στην εταιρεία πρόστιμο 20 εκατομμυρίων ευρώ και της διέταξε να διαγράψει τα δεδομένα που συλλέγονται για Ιταλούς πολίτες και να σταματήσει την επεξεργασία βιομετρικών δεδομένων (η απόφαση είναι διαθέσιμη εδώ στα ιταλικά)
-Τον Μάιο του 2022, η Αρχή Προστασίας Δεδομένων του Ηνωμένου Βασιλείου (ICO) επέβαλε στην εταιρεία πρόστιμο 7,5 εκατομμυρίων λιρών και διέταξε την εταιρεία να σταματήσει να συλλέγει και να χρησιμοποιεί προσωπικά δεδομένα που έχουν πρόσβαση σε κατοίκους του Ηνωμένου Βασιλείου και να αφαιρέσει τα δεδομένα των κατοίκων του Ηνωμένου Βασιλείου από τα συστήματά της (η απόφαση είναι διαθέσιμη εδώ ).
Τι κάνει η Clearview AI Inc.;
Η Clearview AI Inc. είναι μια αμερικανική εταιρεία που αναπτύσσει λογισμικό αναγνώρισης προσώπου που βασίζεται σε τεχνητή νοημοσύνη. Ισχυρίζονται ότι έχουν «τη μεγαλύτερη γνωστή βάση δεδομένων δισεκατομμυρίων εικόνων προσώπων» που συλλέγονται από πλατφόρμες μέσων κοινωνικής δικτύωσης και άλλες διαδικτυακές πηγές. Τα υποκείμενα των δεδομένων δεν ενημερώνονται ότι τα προσωπικά τους δεδομένα συλλέγονται και χρησιμοποιούνται με αυτόν τον τρόπο. Η Clearview AI Inc. χρησιμοποιεί ένα αυτοματοποιημένο εργαλείο που επισκέπτεται δημόσιους ιστότοπους και συλλέγει εικόνες που εντοπίζει και περιέχουν ανθρώπινα πρόσωπα. Εκτός από τις εικόνες, το αυτοματοποιημένο εργαλείο συλλέγει επίσης μεταδεδομένα που συμπληρώνουν τις εικόνες, όπως μια διεύθυνση ιστότοπου και έναν σύνδεσμο. Οι συλλεγόμενες εικόνες προσώπου συνδυάζονται με λογισμικό αναγνώρισης προσώπου που δημιουργήθηκε από την εταιρεία για τη δημιουργία της βάσης δεδομένων. Η Clearview AI Inc. πουλά την πρόσβαση σε αυτή τη βάση δεδομένων διεθνώς σε ιδιωτικές εταιρείες και υπηρεσίες επιβολής του νόμου. Οι πελάτες μπορούν να ανεβάσουν μια φωτογραφία του καταζητούμενου στην εφαρμογή, η οποία ελέγχει εάν υπάρχει ταυτότητα μεταξύ της φωτογραφίας που ανέβηκε και των φωτογραφιών στη βάση δεδομένων. Η εφαρμογή δημιουργεί μια λίστα εικόνων που έχουν παρόμοια χαρακτηριστικά με τη φωτογραφία που παρέχεται από τον πελάτη και παρέχει έναν σύνδεσμο προς τους ιστότοπους από τους οποίους προέρχονται οι εικόνες.
Ποιό είναι το λάθος σ’αυτό?
Στις αποφάσεις, διαπιστώθηκε ότι η διαχείριση δεδομένων δεν είχε επαρκή νομική βάση, ότι δεν ίσχυε η αρχή του σκοπού και η περιορισμένη χωρητικότητα αποθήκευσης και ότι οι λειτουργίες διαχείρισης δεδομένων δεν ήταν διαφανείς. Επιπλέον, τα υποκείμενα των δεδομένων δεν είναι κατάλληλα ενημερωμένα σχετικά με τη διαχείριση δεδομένων και δεν έχουν τη δυνατότητα να ασκήσουν τα δικαιώματά τους βάσει του GDPR.
Ποιο είναι το μάθημα της υπόθεσης;
Η Clearview AI Inc. είχε προηγουμένως υπερασπιστεί τον εαυτό της λέγοντας ότι δεν εδρεύει στην ΕΕ, δεν έχει πελάτες στην ΕΕ και δεν διεξάγει καμία επιχείρηση που διαφορετικά θα εμπίπτει στο πεδίο εφαρμογής του GDPR. . Ωστόσο, ο GDPR έχει εξωεδαφική ισχύ, πράγμα που σημαίνει ότι καλύπτει επίσης περιπτώσεις όπου ένα άτομο που βρίσκεται σε τρίτη χώρα χειρίζεται προσωπικά δεδομένα πολιτών της ΕΕ, δηλαδή επειδή η Clearview AI Inc. (επίσης) συλλέγει δεδομένα για πολίτες της ΕΕ, καλύπτεται από το πεδίο εφαρμογής του GDPR ανεξάρτητα από το αν η εταιρεία εδρεύει στις Ηνωμένες Πολιτείες. Η επιβολή των κυρώσεων, ιδίως ελλείψει τοπικής εκπροσώπησης, μπορεί να οδηγήσει σε πρακτικές δυσκολίες. Οι αρχές προστασίας δεδομένων μπορούν, για παράδειγμα, να ξεκινήσουν έρευνα για τους πελάτες της εταιρείας, όπως έκανε η σουηδική αρχή προστασίας δεδομένων πέρυσι, επιβάλλοντας πρόστιμο στην τοπική αστυνομία για την παράνομη χρήση λογισμικού αναγνώρισης προσώπου από την Clearview AI Inc. (η απόφαση είναι διαθέσιμη στα σουηδικά εδώ).
Η περίπτωση της Clearview AI Inc. είναι ένα άλλο παράδειγμα ότι οι εταιρείες που χρησιμοποιούν τεχνητή νοημοσύνη υπόκεινται όλο και περισσότερο στον έλεγχο των αρχών προστασίας δεδομένων και εάν οι πρακτικές διαχείρισης δεδομένων τους δεν πληρούν πλήρως τις απαιτήσεις του GDPR, ενδέχεται να αντιμετωπίσουν σημαντικά πρόστιμα. . “Είναι σημαντικό να παρέχονται επαρκείς πληροφορίες, από αυτή την άποψη, αξίζει να αναφερθεί το σχέδιο κανονισμού της ΕΕ για την τεχνητή νοημοσύνη. Όσον αφορά τα συστήματα τεχνητής νοημοσύνης υψηλού κινδύνου (όπως το σύστημα IA για “πραγματικό χρόνο” και “μη σε πραγματικό χρόνο» απομακρυσμένη βιομετρική ταυτοποίηση φυσικών προσώπων), είναι αυστηρή: μεταξύ άλλων, θεσπίζει υποχρεώσεις ενημέρωσης, η παράβαση των οποίων είναι υψηλή, σε περίπτωση προσφυγής σε απαγορευμένες πρακτικές επιβάλλεται πρόστιμο έως 30 εκατ. Είναι αναμενόμενο.Ένα σημαντικό μάθημα που πρέπει να αντληθεί από τις υποθέσεις που παρουσιάστηκαν είναι ότι μεμονωμένες εθνικές αρχές προστασίας δεδομένων μπορούν να επιβάλλουν πρόστιμα προστασίας δεδομένων ανεξάρτητα η μία από την άλλη, τα οποία μπορεί επομένως να είναι πολλαπλάσια του μέγιστου προστίμου που καθορίζεται στον GDPR». λέει ο Δρ Albert Lili, νομικός εμπειρογνώμονας στην ομάδα Τεχνολογίας και Προστασίας Δεδομένων της Deloitte Legal.
«Με τις υπηρεσίες που βασίζονται σε προσωπικά δεδομένα, υπάρχει αυξημένος κίνδυνος οι αρχές προστασίας δεδομένων να απαγορεύσουν τη συνέχιση ενός σοβαρά παράνομου επιχειρηματικού μοντέλου, σύμφωνα με το οποίο η δραστηριότητα που διεξάγεται μέχρι τότε καθίσταται μη βιώσιμη. Στην παρούσα περίπτωση, είναι δύσκολο να φανταστεί κανείς πώς η υπηρεσία θα μπορούσε να συμμορφωθεί με τον GDPR, ειδικά επειδή υποβλήθηκαν επίσης σε επεξεργασία ποινικά και ειδικά προσωπικά δεδομένα και οι δραστηριότητες της εταιρείας εγείρουν ζητήματα δικαίου περί απορρήτου και εάν ο επικείμενος κανονισμός MI ήταν ήδη εφαρμοστέος, τότε θα προέκυπτε επίσης η πιθανότητα διπλού προστίμου παρούσα περίπτωση, που συνολικά σημαίνει πολύ υψηλή έκθεση σε σύγκριση με παρόμοιες υπηρεσίες», πρόσθεσε ο Δρ. Zsombor Orbán, Ανώτερος Σύμβουλος στην Ομάδα Τεχνολογίας και Προστασίας Δεδομένων της Deloitte Legal.
“Τυπικός τηλεοπτικός νίντζα. Λάτρης της ποπ κουλτούρας. Ειδικός στο Διαδίκτυο. Λάτρης του αλκοόλ. Καταθλιπτικός αναλυτής. Γενικός λάτρης του μπέικον.”