Είναι σημαντικό ότι η Clearview AI Inc.
όχι μόνο πρέπει να διαγράψει όλες τις εικόνες που έχει συλλέξει μέχρι στιγμής από Έλληνες κατοίκους, αλλά και τις βιομετρικές πληροφορίες που απαιτούνται για την αναγνώριση ενός συγκεκριμένου προσώπου.
Το ιστορικό της υπόθεσης είναι ότι αρκετοί οργανισμοί, συμπεριλαμβανομένων των Noyb, Privacy International (PI), Hermes Center και Homo Digitalis, υπέβαλαν καταγγελία κατά της Clearview AI Inc. τον Μάιο του 2021 σε αρχές προστασίας δεδομένων στη Γαλλία, την Αυστρία, την Ιταλία, την Ελλάδα και την Αγγλική αρχές, με αποτέλεσμα την τέταρτη κύρωση της υπηρεσίας της Clearview AI Inc.:
• Τον Δεκέμβριο του 2021, η Επιτροπή Nationale de l’Informatique et des Libertés (CNIL) διέταξε την Clearview AI Inc. να διαγράψει τη βάση δεδομένων εικόνων της και να σταματήσει τη συλλογή δεδομένων, καθώς και να διευκολύνει την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων και να συμμορφωθεί με τη διαγραφή αιτήματα (δήλωση CNIL εδώ διαθέσιμο στα γαλλικά)
• Τον Φεβρουάριο του 2022, η ιταλική αρχή προστασίας δεδομένων (GPDP) επέβαλε επίσης πρόστιμο 20 εκατομμυρίων ευρώ στην εταιρεία και την διέταξε να διαγράψει δεδομένα που συλλέγονται για Ιταλούς πολίτες καθώς και να σταματήσει την επεξεργασία βιομετρικών δεδομένων (η απόφαση εδώ διαθέσιμο στα ιταλικά)
• Τον Μάιο του 2022, η Αρχή Προστασίας Δεδομένων του Ηνωμένου Βασιλείου (ICO) επέβαλε στην εταιρεία πρόστιμο 7,5 εκατομμυρίων λιρών και της διέταξε να σταματήσει να συλλέγει και να χρησιμοποιεί προσωπικά δεδομένα που έχουν πρόσβαση στο διαδίκτυο στο κοινό των κατοίκων του Ηνωμένου Βασιλείου και να διαγράψει δεδομένα κατοίκου του Ηνωμένου Βασιλείου από τα συστήματά σας (η απόφαση εδώ διαθέσιμο στα αγγλικά).
Τι κάνει το Clearview AI;
Η Clearview AI Inc. είναι μια αμερικανική εταιρεία που αναπτύσσει λογισμικό αναγνώρισης προσώπου που βασίζεται σε τεχνητή νοημοσύνη. Σύμφωνα με το αίτημά τους
έχουν τη μεγαλύτερη γνωστή βάση δεδομένων που περιέχει δισεκατομμύρια εικόνες προσώπων,
συλλέγονται από πλατφόρμες μέσων κοινωνικής δικτύωσης και άλλες διαδικτυακές πηγές. Τα υποκείμενα των δεδομένων δεν ενημερώνονται ότι τα προσωπικά τους δεδομένα συλλέγονται και χρησιμοποιούνται με αυτόν τον τρόπο. Η Clearview AI Inc. χρησιμοποιεί ένα αυτοματοποιημένο εργαλείο που επισκέπτεται δημόσιους ιστότοπους και συλλέγει εικόνες που εντοπίζει και περιέχουν ανθρώπινα πρόσωπα. Εκτός από τις εικόνες, το αυτοματοποιημένο εργαλείο συλλέγει επίσης μεταδεδομένα που συμπληρώνουν τις εικόνες, όπως μια διεύθυνση ιστότοπου και έναν σύνδεσμο.
Οι συλλεγόμενες εικόνες προσώπου συνδυάζονται με λογισμικό αναγνώρισης προσώπου που δημιουργήθηκε από την εταιρεία για τη δημιουργία της βάσης δεδομένων. Η Clearview AI Inc. πουλά την πρόσβαση σε αυτή τη βάση δεδομένων διεθνώς σε ιδιωτικές εταιρείες και υπηρεσίες επιβολής του νόμου.
Οι πελάτες μπορούν να ανεβάσουν μια φωτογραφία του καταζητούμενου στην εφαρμογή, η οποία ελέγχει εάν υπάρχει ταυτότητα μεταξύ της φωτογραφίας που ανέβηκε και των φωτογραφιών στη βάση δεδομένων. Η εφαρμογή δημιουργεί μια λίστα εικόνων που έχουν παρόμοια χαρακτηριστικά με τη φωτογραφία που παρέχεται από τον πελάτη και παρέχει έναν σύνδεσμο προς τους ιστότοπους από τους οποίους προέρχονται οι εικόνες.
Ποιό είναι το λάθος σ’αυτό?
Στις αποφάσεις, διαπιστώθηκε ότι η διαχείριση δεδομένων δεν είχε επαρκή νομική βάση, ότι δεν ίσχυε η αρχή του περιορισμού του σκοπού και της περιορισμένης χωρητικότητας αποθήκευσης και ότι οι λειτουργίες διαχείρισης δεδομένων δεν ήταν διαφανείς. Επιπλέον, τα υποκείμενα των δεδομένων δεν είναι κατάλληλα ενημερωμένα σχετικά με τη διαχείριση δεδομένων και δεν έχουν τη δυνατότητα να ασκήσουν τα δικαιώματά τους βάσει του GDPR.
Ποιο είναι το μάθημα της υπόθεσης;
Η Clearview AI Inc. είχε προηγουμένως υπερασπιστεί τον εαυτό της λέγοντας ότι δεν εδρεύει στην ΕΕ, δεν έχει πελάτες στην ΕΕ και δεν διεξάγει καμία επιχείρηση που διαφορετικά θα εμπίπτει στο πεδίο εφαρμογής του GDPR. . Ωστόσο, ο GDPR έχει εξωεδαφική ισχύ, πράγμα που σημαίνει ότι καλύπτει επίσης περιπτώσεις όπου ένα άτομο που βρίσκεται σε τρίτη χώρα χειρίζεται προσωπικά δεδομένα πολιτών της ΕΕ, δηλαδή επειδή η Clearview AI Inc. (επίσης) συλλέγει δεδομένα για πολίτες της ΕΕ, καλύπτεται από το πεδίο εφαρμογής του GDPR ανεξάρτητα από το αν η εταιρεία εδρεύει στις Ηνωμένες Πολιτείες.
Η επιβολή των κυρώσεων, ιδίως ελλείψει τοπικής εκπροσώπησης, μπορεί να οδηγήσει σε πρακτικές δυσκολίες. Για παράδειγμα, οι αρχές προστασίας δεδομένων έχουν τη δυνατότητα να ξεκινήσουν έρευνα σε πελάτες της εταιρείας, όπως έκανε η σουηδική αρχή προστασίας δεδομένων πέρυσι, επιβάλλοντας πρόστιμο στην τοπική αστυνομία για παράνομη χρήση του λογισμικού αναγνώρισης προσώπου της Clearview AI Inc. (η απόφαση είναι στα σουηδικά εδώ διαθέσιμος).
Η περίπτωση της Clearview AI Inc. είναι ένα άλλο παράδειγμα ότι οι εταιρείες που χρησιμοποιούν τεχνητή νοημοσύνη υπόκεινται όλο και περισσότερο στον έλεγχο των αρχών προστασίας δεδομένων και εάν οι πρακτικές διαχείρισης δεδομένων τους δεν πληρούν πλήρως τις απαιτήσεις του GDPR, ενδέχεται να αντιμετωπίσουν σημαντικά πρόστιμα. .
“Είναι σημαντικό να παρέχονται επαρκείς πληροφορίες, από αυτή την άποψη, αξίζει να αναφερθεί το σχέδιο κανονισμού της ΕΕ για την τεχνητή νοημοσύνη. Όσον αφορά τα συστήματα τεχνητής νοημοσύνης υψηλού κινδύνου (όπως το σύστημα IA για “πραγματικό χρόνο” και “μη σε πραγματικό χρόνο» απομακρυσμένη βιομετρική ταυτοποίηση φυσικών προσώπων), είναι αυστηρή: μεταξύ άλλων, θεσπίζει υποχρεώσεις ενημέρωσης, η παράβαση των οποίων είναι υψηλή, σε περίπτωση προσφυγής σε απαγορευμένες πρακτικές, επιβάλλεται πρόστιμο έως 30 εκατ. Είναι αναμενόμενο.Ένα σημαντικό μάθημα που πρέπει να αντληθεί από τις υποθέσεις που παρουσιάστηκαν είναι ότι μεμονωμένες εθνικές αρχές προστασίας δεδομένων μπορούν να επιβάλλουν πρόστιμα προστασίας δεδομένων ανεξάρτητα η μία από την άλλη, τα οποία μπορεί επομένως να είναι πολλαπλάσια του μέγιστου προστίμου που καθορίζεται στον GDPR». λέει ο Δρ Albert Lili, νομικός εμπειρογνώμονας στην ομάδα Τεχνολογίας και Προστασίας Δεδομένων της Deloitte Legal.
«Με τις υπηρεσίες που βασίζονται σε προσωπικά δεδομένα, υπάρχει αυξημένος κίνδυνος οι αρχές προστασίας δεδομένων να απαγορεύσουν τη συνέχιση ενός σοβαρά παράνομου επιχειρηματικού μοντέλου, σύμφωνα με το οποίο η δραστηριότητα που διεξάγεται μέχρι τότε καθίσταται μη βιώσιμη. Στην παρούσα περίπτωση, είναι δύσκολο να φανταστεί κανείς πώς η υπηρεσία θα μπορούσε να συμμορφωθεί με τον GDPR, ειδικά επειδή υποβλήθηκαν επίσης σε επεξεργασία ποινικά και ειδικά προσωπικά δεδομένα, και οι δραστηριότητες της εταιρείας εγείρουν ζητήματα σχετικά με τη νομοθεσία περί απορρήτου και εάν ο επικείμενος κανονισμός MI ήταν ήδη εφαρμοστέος, τότε θα προέκυπτε επίσης η πιθανότητα διπλού προστίμου σε αυτό περίπτωση, πράγμα που σημαίνει συνολικά πολύ υψηλή έκθεση σε σύγκριση με παρόμοιες υπηρεσίες», πρόσθεσε ο Δρ. Zsombor Orbán, Ανώτερος Σύμβουλος στην Ομάδα Τεχνολογίας και Προστασίας Δεδομένων της Deloitte Legal.
Η εικονογράφηση εικόνας εξωφύλλου μας (Shutterstock)
“Τυπικός τηλεοπτικός νίντζα. Λάτρης της ποπ κουλτούρας. Ειδικός στο Διαδίκτυο. Λάτρης του αλκοόλ. Καταθλιπτικός αναλυτής. Γενικός λάτρης του μπέικον.”