原副标题：受多国行政处罚，那个“高阶无差别搜寻工具”还在亚洲地区收缩

本文源自微信公众号：Internet Law Review（ID：Internet-law-review），作者：郭秀，书名副标题：《2000万英镑！美国人脸识别公司被比利时个人隐私保护政府机构判处最低罚金》，宋军兵源自：听觉中国

2022年10月20日，比利时数据保护政府机构（Commission nationale de linformatique et des libertés，同时是政府与参议院的进行咨询政府机构，就信息修法提供进行咨询意见建议，全称CNIL）对美国公司Clearview AI 判处 2000 万英镑的罚金，理由是其违背欧洲联盟《通用型数据保护法规》（General Data Protection Regulation，以下全称GDPR）。

CNIL于 2021 年 11 月向Clearview AI公司呈报了这份正式宣布通告，纠偏其被控告的违法行为。Clearview AI 原先有两个月的时间来遵从市场监管要求调整其行为，但它却没有对这一正式宣布通告作出任何澄清。这或许惹恼了市场监管政府机构，因此CNIL宣布，将按照GDPR第 83 条对Clearview AI判处最低2000 万英镑的罚金，并指示其暂停经营活动并删掉之前收集的与 GDPR 违法相关的数据。

不过，必须指出的是，Clearview AI是一家美国公司，在比利时并没有门面，比利时市场监管政府机构送出的传票更可能仅仅表达了比利时政府为此的态度，实际难以落空。

Clearview AI另一家公司是谁？

1. LX1收集亚洲地区人脸识别数据

Clearview AI成立于2017年，其创办人和执行官行政官 Hoan Ton-That，是一位新西兰籍柬埔寨裔人。他19岁华工美国美国纽约，目前具备美国和新西兰国籍。

▲ Clearview AI执行官行政官 Hoan Ton-That

Clearview AI从包括社交新闻媒体其中的许多网站收集照片——甚至能从在线视频中抽取影像，以转卖给稽查部门和其他政府机构/个人。简单来说，用户只需上载两张照片，方可获得照片人物在YouTube、Facebook、Venmo、LinkedIn等社交中文网站上的数据资料，而且据一位技术专家称，只要布署得宜，该技术在99% 的情况下都是恰当的。能说，这是这款高阶的“无差别搜寻”工具。

据CNIL的调查，该公司已在亚洲地区收集了超过 200 千张影像。或许，大多数人都不知道自己的照片进入其数据发动机被如此使用。

根据Clearview AI 的执行官行政官Hoan Ton-That讲法，“仅从互联网上的公开照片难以确定一个人是否具备比利时国民身分，因此难以删掉比利时居民的数据。”继而能确证，Clearview AI实际上正在LX1地在亚洲地区收集人脸识别数据，地域范围至少包含了已经对其发起调查或诉讼的美国、加拿大、英国、新西兰、瑞典、意大利、比利时、奥地利、希腊、俄罗斯等。

▲ 图片来源：https://www.rpc.senate.gov/

2. 野心勃勃的商业版图：稽查、民用到军用

行业领导者正在对面部识别采取更负责任、更慎重的方法——亚马逊、微软、IBM等大公司也暂停了人脸识别业务。相比之下，Clearview AI 将这些大公司的谨慎做法视为市场机会，趁机寻求更大规模的收缩和投资。

2020年该公司曾遭到黑客攻击并造成客户名单泄露，根据Buzzfeed（一家美国新闻聚合中文网站）的这份报告显示，Clearview AI 的客户涵盖了诸多美国政府实体——美国司法部（联邦调查局等）、美国国土安全部（华工和海关稽查局）、州级的警察局以及其他国家的稽查部门等，还包含了更多的是私营企业，比如美国银行、梅西百货和沃尔玛等。

Clearview AI公司的专利申请展示了其技术可用于约会、零售、分配社会福利以及授予或拒绝访问设施、场所或设备，而最有利可图的就是金融市场。更令人担忧的是，Clearview AI想要建立一个“开发者生态系统”，帮助其他公司在自己的产品中使用其数据库。

此外，Clearview Al已经将其技术用于国家之间的冲突。它声称，已从俄罗斯社交新闻媒体中文网站Vkontate上的公共影像中收集了超过 20 千张影像，并立即用于在检查站识别潜在的俄罗斯士兵和特工。截止2022年7月，7个政府机构和600多名军事人员正在积极使用Clearview AI平台，在4个月里进行了60000多次搜寻。

人脸识别的法律争议

1. 欧洲联盟国家：原则上禁止人脸识别的使用

根据GDPR第4条，生物识别信息属于敏感信息，原则上禁止处理，仅在该条所列明的例外情况下方可进行处理：信息主体明确同意，履行法定职责，保护自然人的重大利益，保护公共利益，信息主体已公开的信息，基于医疗诊断或评估雇员工作能力需要等。

①比利时和意大利：Clearview AI的收集和使用人脸识别数据违背GDPR

CNIL 进行针对Clearview AI的调查，认定其违背 GDPR 的行为包含：

1. 非法处理个人数据：违背 GDPR 第 6 条，收集和使用生物特征数据是在没有法律依据的情况下进行的；

2. 侵害数据主体权利：未能以有效和令人满意的方式考虑数据主体的权利，包括不为行使数据主体的访问权提供便利，以及没有有效地响应访问和删掉请求（GDPR 第 12、15 和 17 条）。

在比利时，有些政府机构申请试用人脸识别技术，因此CNIL为此设定了三个条件：

1. 遵守欧洲联盟GDPR法规和“警察—司法指令”。

2. 将人的尊重和保护置于这一体系的中心地位。

3. 对于人脸识别的试用必须设定时间与空间上的明确限制，并具备明确的可识别的目标，且有绩效评估模式。

而在2022年3月，意大利数据保护政府机构宣布对违背欧洲联盟法律的行为判处2000万英镑的罚金，并指示另一家有争议的公司删掉其持有的任何意大利人数据，并禁止其对国民的面部生物特征进行任何进一步处理。

但Clearview AI的回复前后一致，宣布公司不受GDPR管辖，而且拒绝删掉数据。

②瑞典：违背《刑事数据法》，稽查部门也不得使用

相比之下，似乎瑞典数据保护政府机构的行动更加聪明，选择了本国政府机构作为稽查对象。

2021年2月，瑞典数据保护政府机构 IMY 因违背该国的《刑事数据法》——非法使用有争议的面部识别软件Clearview AI，而对当地警察局判处 25 万英镑的罚金。

除罚金外，IMY 还进行了一系列补偿和预防措施：

补偿：警方必须通告已向 Clearview AI 披露其数据的数据主体，这样至少他们会知道他们的个人隐私受侵犯。如果受试者下令从 Clearview AI 中删掉他们的个人数据，警方将必须确保这些数据确实被删掉。

预防：IMY要求警方对员工进行额外的培训和教育课程，以防止未来发生类似的未经授权的数据访问和处理事件。

2. 美国：部分城市和州修法限制，但Clearview的使用在增长

美国各稽查政府机构都在使用面部识别技术打击犯罪，但修法者承认，这其中普遍缺乏透明度、问责制和对其使用的严格限制。当地警察已经使用该技术来识别合法的和平抗议者。稽查部门也经常使用这种侵入性的、有时是有缺陷的技术来调查轻微犯罪。

特别是2021年1月6日美国参议院大厦骚乱之后，稽查人员和业余侦探都开始大量使用面部识别来识别叛乱分子。Clearview AI 的搜寻量在骚乱后的第二天增加了26% ，佛罗里达州和阿拉巴马州的警察部门都使用它来帮助识别通缉犯。

①美国部分城市和州针对面部识别技术的法律在增多

在美国，率先就人脸识别问题作出法律规定的是一些州的城市。2019年5月，加利福尼亚州美国纽约市成为美国最先以修法禁止政府政府机构使用人脸识别技术的城市。之后，马萨诸塞州的萨默维尔市、波士顿、伊斯特汉普顿以及密苏里州的斯普林菲尔德等城市也相继通过了类似禁令。纽约市的法令更为宽松，列举了不能使用人脸识别的商业场所——娱乐场所、零售店、食品与饮料商店，但不禁止一般商业政府机构使用。

就州层面修法而言，美国一些州对生物识别信息作出了法律规定，例如德州、伊利诺伊州、华盛顿州、阿拉巴马州、马里兰州，这些州法律要求企业收集和使用生物识别信息必须尽到事先告知和知情同意义务。

②在美国被限制使用，但Clearview AI声称是“巨大胜利”

2022年5月，经过长达两年的诉讼纠纷，Clearview AI接受伊利诺伊州法院提供的和解方案，同意不再对大多数私企或者个人提供免费或者付费的数据库服务，并在五年内暂停对伊利诺伊州的政府政府机构提供数据库，仅对美国联邦政府以及除伊利诺伊州以外的政府提供服务。

然而，Clearview AI将和解称为公司的“巨大胜利”——该公司计划通过向美国私营公司转卖其算法而不是访问其数据库来遵守该州的《生物特征信息个人隐私法》（BIPA）。

人脸识别的大势所趋

1. 技术使用受大力支持

从2020年至今，Clearview AI已经遭到意大利、英国、新西兰、加拿大、比利时、瑞典等多国的调查和行政处罚，但似乎他们都无力阻止其继续收缩的脚步。

究其原因，根本在于，在亚洲地区范围内，“面部识别技术”得到了众多政府政府机构特别是稽查机关和科技公司的大力支持——稽查部门用来识别嫌疑人，在边境和机场为旅客提供方便，以及商业场景中的便利和安全。而这一技术的好处，正是通过侵犯所有人的个人隐私才能得到实现，即数据库足够庞大，所有的“脸纹”被录入，稽查目标才可能被准确标记和锁定。

只要Clearview AI被某国政府认为合法，即使受某些用途的限制，它就能够难以差别的收集和使用亚洲地区的“人脸识别”数据。目前，Clearview AI已经拒绝了多国要求其“删掉本国居民人脸识别数据”的指示，且在其个人隐私政策中也设置了个人删掉数据请求的障碍：首先将个人影像从社交新闻媒体数据资料中删掉，然后通过提供头像和政府签发的身分证来证明您的身分，再提出申请。

2. 法律上限制但依然合法

欧洲联盟正在考虑大幅收紧欧洲联盟对面部识别技术使用的法规和限制。欧洲联盟委员会2021年提出的《人工智能法案》提供了一个框架，将“生物特征识别”列为高风险系统，属于被严格市场监管的类别，但并不被全面禁止。一些欧洲联盟政府机构明确呼吁对远程生物识别进行更充分的禁止，但那个建议并没有被体现在法案中。

欧洲联盟2022年9月还提出了一项AI责任指令计划。在罪责方面，修法草案的范围比早期的人工智能法案提案（针对“高风险”人工智能系统）更广泛，因为它不局限于要求生产者的责任，而是将整个供应链纳入追责范畴——AI系统的制造商、开发人员或用户。

在美国联邦层面，面部识别的修法一直在讨论，却迟迟不能落地，包括 2019 年的《商业面部识别个人隐私法》（Commercial Facial Recognition Privacy Act）、2020 年的《面部识别的道德使用法案》（Ethical Use Of Facial Recognition Act）和《2020 年面部识别和生物识别技术法案》（Facial Recognition and Biometric Technology Act of 2020）、《乔治•弗洛伊德治安法》（George Floyd Justice In Policing Act）、《推进面部识别法》（Advancing Facial Recognition Act），都没有获得通过。

就在最近，2022年9月30日，美国众议员Ted Lieu又提出了 2022 年的《面部识别法案》。该法案包含了规范公共和私营部门使用面部识别技术的规定。它还提出，稽查部门对面部识别的使用情况的要进行透明度审查，出具年度评估和报告。

总体上，面部识别技术目前在亚洲地区属于合法，限制使用的规定只是增加了合规的成本。

3. 非政府组织在倡导“禁止”面部识别

由于个人一般无从知道自己的脸部信息被使用，所以上述多数针对“面部识别”的诉讼和调查，最初都是由个人隐私保护的社会组织发起。

2020 年 10 月 15 日，由 Access Now、欧洲数字权利（EDRi）和个人隐私国际等 44 个民间社会组织支持的泛欧运动“夺回你的脸：禁止生物识别大规模监视”的组织者向委员会发送了 ECI 请求。该民间社会倡议呼吁欧洲联盟委员会“严格规范生物识别技术的使用，以避免对基本权利的不当干涉”，并要求“委员会在法律和实践中禁止不分青红皂白或任意针对生物识别技术的使用，这可能导致非法的大规模监视”。

除了强调他们希望禁止生物识别大规模监控技术之外，这封信的签署者详细说明了他们希望在下一个欧洲联盟关于人工智能的修法提案中看到的内容：

“明确禁止在公共或公众可进入的空间不分青红皂白或任意有针对性地使用生物识别技术，这可能导致大规模监视” “违背基本权利”的人工智能“使用的法律限制或修法红线” “在欧洲联盟人工智能修法和政策的发展中明确纳入边缘化和受影响的社区”

2021年1月下旬，国际特赦组织发起了“禁止扫描”（Ban the Scan）倡议，呼吁警方和政府政府机构“全面禁止使用、开发、生产和销售面部识别技术”。国际特赦组织将其举措重点放在纽约市，并后来开始在亚洲地区扩展其倡议。

数据资料来源

https://www.cnil.fr/en/facial-recognition-20-million-euros-penalty-against-clearview-ai

https://techcrunch.com/2021/11/03/clearview-ai-australia-privacy-breach/

https://www.forbes.com/sites/kateoflahertyuk/2020/02/28/the-clearview-ai-nightmare-just-got-worse-heres-why-it-matters-and-what-must-come-next/?sh=6ba362c42afd

https://www.webpronews.com/more-surveillance-than-china-clearview-ais-business-plan/

https://www.imy.se/nyheter/datainspektionen-inleder-tillsyn-med-anledning-av-clearview-ai/

https://www.forbes.com/sites/roberthart/2022/05/23/clearview-ai-fined-94-million-in-uk-for-illegal-facial-recognition-database/?sh=5177f9051963

https://lieu.house.gov/sites/lieu.house.gov/files/FRT%20One%20Pager%20FINAL%20.pdf

https://baijiahao.baidu.com/s?id=1726182061752534352&wfr=spider&for=pc

https://techcrunch.com/2022/05/09/clearview-settlement-bipa/

https://ai-regulation.com/civil-societys-call-to-the-european-commission-for-a-ban-on-biometric-mass-surveillance-and-introduction-of-red-lines-on-ai/

https://ai-regulation.com/lqdn-challenges-fr-before-cnil/

本文源自微信公众号：Internet Law Review（ID：Internet-law-review），作者：郭秀

本内容为作者独立观点，不代表虎嗅立场。未经允许不得转载，授权事宜请联系 hezuo@huxiu.com

正在改变与想要改变世界的人，都在虎嗅APP

责任编辑：