米国の新興企業Clearview AIは、インターネットから自撮り写真をかき集め、人々のデータを使用して法執行機関などに売り込んだ顔認識ツールを構築した後、大規模なプライバシー侵害で近年悪名を集めているが、フランスで新たな罰金刑に処せられた。データ保護規制当局との非協力について。
フランスの規制当局であるCNILは、地域のプライバシー規則に違反したとして昨年同社に課した2,000万ユーロの制裁に加えて、520万ユーロの延滞違約金の支払いを命じた。
欧州連合の一般データ保護規則 (GDPR) は、個人データを合法的に処理するための条件を定めています。 Clearview は、フランスの CNIL および英国、イタリア、ギリシャの当局を含む他のいくつかの地域データ保護当局によって、法律で定められた多くの要件に違反したことが判明し、これまでに総額数千万ドルの罰金を課せられています。
米国に本拠を置く同社はEUの規制当局と協力していないため、クリアビューがこれらの罰金を支払うかどうかは未解決のままだ。
で プレスリリース 本日CNILは、Clearviewが昨年10月に出した命令、つまりGDPRの3種類の違反に対して可能な最大額(2000万ユーロ)の罰金を課した命令に従わなかったと発表した。
2022年のこの命令は、2021年12月に苦情を調査した結果、Clearviewが数千万人の国民データを違法に処理することでGDPRに違反したとCNILが判断した以前の発見に続くものだった。 そして地元住民にデータアクセス権を与えていない。
ClearviewがCNILの2021年12月の命令に従わなかったため、2022年10月、フランスの監視機関は3番目の違反事実を集計に追加し、規制当局との協力の欠如により、GDPRに基づいて考えられる最大の罰金を課した。 。 (この規制では、世界の年間売上高の 4% または 2,000 万ユーロのいずれか高い方までの罰金が認められています。)
CNILの命令はまた、適切な法的根拠なしにフランス在住の個人に関するデータを収集および処理しないようClearviewに指示した。 未処理のデータアクセス要求を満たした後、その情報が不法に処理された個人のデータを削除すること。
当時、制裁発動を担当するCNIL委員会はクリアビューに対し、命令に従うための2か月の期限を与え、従わない場合にはさらなる罰金(期限を過ぎた1日あたり10万ユーロの費用)を課すと脅した。
明らかに非協力的な米国企業がまたもや失敗したと言って間違いない。したがって、最新のCNIL罰金は、52日間の違反に対してClearviewに請求しているようだ。
「Clearview AI は、この命令を遵守し、CNIL への遵守を正当化するために 2 か月の猶予を与えられました。 しかし、同社はこの期限内に遵守の証拠を何ら送付しなかった」と規制当局は書いている。 「2023年4月13日、制限委員会は同社が命令に従わなかったとみなし、その結果Clearview AIに対して520万ユーロの延滞違約金の支払いを課した。」
私たちはCNILに質問をしました。
Clearview にも返答を求められました。 同社のPR代理店であるLAKPRグループは、EU法が自社の事業に適用されることを(現在は)慣例的に否定している。
Clearview AI はフランスまたは EU に事業所を持たず、フランスまたは EU に顧客を持たず、GDPR の対象となるような活動は行っていません。
(注: GDPR は EU 国民の個人データに適用されるため、EU のデータ保護法が適用されないためには、Clearview が地元住民の自撮り写真をインターネットから削除したことがない必要があります。また、注目すべきことに、同社の声明には、ヨーロッパ人の個人データを処理したことがないとは記載されていません) ‘ データ。)
Clearviewの声明は、「当社が事業を行っていないフランスの一部による、Clearview AIの技術に対する社会に対する誤解」と称する内容について、同社CEOのHoan Ton-That氏によるものであるとされている。 その中で彼は続けて、自分が顔認識技術を開発したのは「地域社会をより安全にし、子供、高齢者、その他の悪質な行為の被害者に対する凶悪な犯罪を解決する法執行機関を支援する目的」だけのために開発された、という主張を繰り返している。 さらに、「私たちはオープンなインターネットから公開データのみを収集し、プライバシーと法律のすべての基準を遵守します。」
フランスのCNILはClearview社が負っている数百万ドルを内部告発しなければならないかもしれないが、今回の罰金発表は、このAI企業がフランスに店を構えるのを実質的に阻止する効果がある――つまり、CNILの債権回収者が電話をかけてきたときに支払う意思がない限り。
それに加えて、そしておそらくもっと重要なことは、これらすべての GDPR 罰則は、地域内の他の組織が Clearview のサービスを使用することに対する抑止力として機能することです。2021 年にスウェーデンの警察当局が Clearview の違法使用で摘発されたように、彼ら自身が罰金を科せられるリスクがあるためです。例えば。
そのため、EU国民のデータは依然としてClearviewのようなプライバシーに敵対的なAI企業による悪用処理から保護されていないが、GDPRは域内でのビジネスを事実上不可能にすることで少なくとも被害を抑えることに貢献している可能性がある。 この物語が、国境を越えた大規模なデータフローの時代に、非協力的な外国企業に対して地域のルールブックを強制するという課題を強調しているのは間違いありません。
AIに関するさらなるEU規制も予定されており、EUの議員らはAI法の最終詳細を詰めるのに大忙しだ。これは2021年に欧州委員会が提案した人工知能の使用に関する規制だ。このリスクベースの草案版は、この枠組みには、公共の場所での遠隔生体認証の使用の禁止が含まれており、Clearview がそのきっかけとなった可能性があります。