法執行機関などに販売する AI を利用した身元照合サービスに提供するために同意なしにインターネットからセルフィーやその他の個人データをスクレイピングする物議を醸している顔認識会社 Clearview AI は、ヨーロッパで別の罰金を科されました。
これは、昨年、フランスのプライバシー監視機関である CNIL から、フランス国民の情報の違法な処理を停止し、データを削除するようにという命令に応じなかった後に発生しました。
Clearview は、規制当局をゴースティングすることで、その命令に対応しました。これにより、以前の集計に 3 回目の GDPR 違反 (規制当局との非協力) が追加されました。
Clearview の侵害に関する CNIL の要約は次のとおりです。
- 個人データの不正処理(GDPR第6条違反)
- 個人の権利が尊重されない (GDPR 第 12 条、第 15 条、および第 17 条)
- CNIL との協力の欠如 (RGPD の第 31 条)
「Clearview AI には、正式な通知で作成された差し止め命令を順守し、CNIL に正当化するために 2 か月の猶予がありました。 しかし、それはしませんでした この正式な通知に対する応答を提供する」とCNILは書いています プレスリリース 今日、制裁を発表 [emphasis its].
「したがって、CNILの議長は、制裁の発行を担当する制限委員会に問題を付託することを決定しました。 注目を集めた情報に基づいて、制限付き委員会は最大の金銭的ペナルティを課すことを決定しました。 2,000万ユーロ、GDPR の第 83 条によると [General Data Protection Regulation]」
EU の GDPR では、最も重大な違反に対して、企業の全世界の年間収益の最大 4%、または 2,000 万ユーロのいずれか高い方の罰則が認められています。 しかし、CNIL のプレス リリースは、ここで可能な最大量を課していることを明らかにしています。
しかし、フランスが Clearview からこのお金を受け取るかどうかは未解決の問題です。
米国を拠点とするプライバシーストリッパーは、ここ数か月でヨーロッパ中の他のデータ保護機関から多くの罰則を科されました。これには、イタリアとギリシャからの 2,000 万ユーロの罰金が含まれます。 英国のペナルティが小さくなります。 しかし、これらの当局のいずれかに資金が渡されたかどうかは明らかではありません。また、Clearview を自国の国境外で支払いを求めようとするリソース (および法的手段) は限られています。
したがって、GDPR の罰則は、ヨーロッパに近づかないようにという警告のように見えます。
Clearview の PR エージェンシーである LakPR Group は、CNIL の制裁を受けて次の声明を送りました。
ある人がフランスの市民権を持っているかどうかを、インターネットの公開写真だけから判断する方法はないため、フランスの居住者からデータを削除することは不可能です。 Clearview AI は、Google、Bing、DuckDuckGo などの他の検索エンジンと同様に、公開されている情報のみをインターネットから収集します。
声明はさらに、Clearview がフランスや EU に事業所を持っておらず、「そうでなければ GDPR の対象となることを意味する」ような活動を行っていないという以前の Clearview の主張を繰り返し、次のように付け加えています。 「公開されている画像の Clearview AI のデータベースは、Google のような他の検索エンジンと同様に、合法的に収集されます。」
(NB: 紙面上では、GDPR は治外法権を持っているため、以前の主張は無意味ですが、GDPR の対象となるようなことを何もしていないという主張は、世界中で 200 億を超える画像のデータベースが蓄積されていることを考えると、ばかげているように見えます。 、惑星地球の一部…)
Ton-That の声明はまた、Clearview の公式声明で、同社のビジネスが引き付けている規制制裁の流れに対応して、「コミュニティをより安全にし、法執行機関が凶悪な問題を解決するのを支援する目的で、顔認識技術を作成した」という主張を繰り返しています。子供、高齢者、およびその他の悪徳行為の被害者に対する犯罪」 – 人々のプライバシーを違法に搾取することによって利益を得ないこと – いずれにせよ、「純粋な」動機を持つことは、ヨーロッパの法律の下で、そもそも人々のデータを処理するための有効な法的根拠。
「私たちはオープンなインターネットからのみ公開データを収集し、プライバシーと法律のすべての基準を遵守しています。 私たちが事業を行っていないフランスで、Clearview AI の技術が社会に対して誤って解釈されていることに心を痛めています。 私と私の会社の意図は、コミュニティとその人々がより良く、より安全な生活を送れるように支援することでした」とClearviewのPRは締めくくっています。
国際的な規制当局から制裁を受けるたびに、同じことを行っています。違反を犯したことを否定し、外国の団体がその事業に対する管轄権を持っていることに反論しました。米国外の規制当局との非協力。
明らかに、これが機能するのは、経営幹部や上級職員が、ビジネスが制裁を受けている地域に決して足を踏み入れず、認可されたサービスを海外の顧客に販売するという考えを放棄しないように計画している場合のみです. (昨年、スウェーデンのデータ保護監視機関は、Clearview の違法な使用に対して地元の警察当局に罰金を科しました。そのため、欧州の規制当局は、必要に応じて地元の要求を取り締まることができます。)
本拠地では、Clearview は最近、ついにいくつかの法的なレッド ラインに立ち向かわなければなりませんでした。
同社は今年初め、同意なしに個人の生体認証データを使用することを禁止するイリノイ州法に違反したとして訴えられた訴訟に和解することに合意した. 和解案には、Clearview が自社のソフトウェアをほとんどの米国企業に販売する能力を制限することに同意することが含まれていましたが、それでも結果を「大きな勝利」として宣伝しました。そのデータベース) — 米国の民間企業に
規制当局が違法に処理されたデータで訓練されたアルゴリズムの削除 (または市場からの撤退) を命令できるように権限を与える必要性は、AI によるディストピアを回避するために、規制当局のツールボックスの重要なアップグレードのように見えます。
そして、提案された枠組みの法的分析によると、EU の次期 AI 法には、そのような権限が含まれている可能性があります。
ブロックは最近、より広範な AI 法への準拠を促進したい AI 責任指令の計画を提示しました。これは、コンプライアンスを、AI モデルの作成者、展開者、ユーザーなどが、その製品が訴訟を起こした場合に成功裏に訴えられるリスクの軽減に結び付けることによって行われます。人々のプライバシーを含むさまざまな害。