Dana 20. listopada 2022. francusko tijelo za zaštitu podataka (CNIL) najavilo je kaznu od 20 milijuna eura protiv Clearview AI Inc. (Clearview) zbog obrade slika lica pojedinaca koji žive u Francuskoj.
CNIL je također naredio Clearview-u da prekine skeniranje i korištenje slika, te da u roku od dva mjeseca izbriše sve podatke prikupljene do tog trenutka. Uz napomenu da ako to ne učine, biti će izrečene dodatne kazne od 100.000 eura dnevno.
Što je Clearview napravio?
Clearviewov-a aktivnost se sastoji od izvlačenja “lica” s javno dostupnih web stranica i platformi društvenih medija (tj. scraping), uključujući videozapise, i sastavljanje baze podataka biometrijskih profila. Nakon što sastavi bazu, on nudi bazu podataka svojim klijentima (uključujući policiju), koji mogu pretraživati osobu na temelju fotografije pomoću Clearview-ovog alata za prepoznavanje lica. Osim "samo" fotografija, klijenti mogu pristupiti informacijama povezanim sa fotografijama, kao što su geolokacijski metapodaci uključeni u fotografiju ili izvorne web stranice. Clearview algoritam spaja (prema vlastitom PR-u) lica s bazom podataka s više od 20 milijardi fotografija.
CNIL je utvrdio da poslovni model krši Opću uredbu o zaštiti podataka (GDPR) i identificira sljedeće glavne povrede:
Clearview nije (i vjerojatno nije mogao) dobio potrebne privole od pojedinaca (niti je identificirao bilo koju drugu relevantnu pravnu osnovu). Stoga je CNIL smatrao da ne postoji odgovarajuća pravna osnova za obradu. CNIL diskvalificira svaki pokušaj oslanjanja na legitimni interes (čak i prije procjene obrađuje li Clearview posebne kategorije podataka). CNIL je istaknuo "nametljivu i masivnu prirodu procesa" i činjenicu da korisnici "ne očekuju razumno da će njihove slike obraditi tvrtka za isporuku sustava za prepoznavanje lica".
Prava ispitanika, posebice pravo na pristup i brisanje, nisu poštovana u smislu da Clearview nije ispunio zahtjeve za pristup i brisanje koje je primio, jer je odgovarano djelomično i selektivno.
Clearview također nije surađivao s CNIL-om tijekom cijelog postupka, posebno zbog zanemarivanja službene obavijesti CNIL-a izdane 2021.
2022. godina je bila teška za Clearview jer je kazna koju je izdao CNIL samo još jedan od mnogih pravnih izazova protiv tvrtke. Podsjetimo, Clearview je prethodno kažnjen zbog svojih aktivnosti u Velikoj Britaniji, Italiji i, nedavno, u Grčkoj, a čeka se još jedna odluka u Austriji. Njegov poslovni model također je doveden u pitanje u SAD-u, gdje se Clearview pristao nagoditi i prestati prodavati svoju bazu podataka privatnim tvrtkama i pojedincima. Popis zemalja se nastavlja, s Kanadom, Australijom i njemačkom pokrajinom Hamburgom koje su označile kršenje zakona o privatnosti, dok su Švedska i Belgija osudile svoje vlastite policijske vlasti za korištenje tehnologije Clearview.
Clearview nema koristi od mehanizma "one-stop shop" u EU-u (bez poslovnog nastana u EU-u), tako da su druge sankcije nadzornih tijela još uvijek na čekanju.
Budućnost prepoznavanja lica
Ono što se dogodilo Clearview- u nije jedinstveno; prepoznavanje lica u komercijalne svrhe ili kada je povezano s tijelima za provedbu nije baš nešto što je uobičajeno i poželjno, činjenica je da biometrijski predlošci sadržavaju u sebi sve izazove (privatnosti) upotrebe AI tehnologija.
Prema GDPR-u, biometrijski podaci obično se smatraju "posebnom kategorijom podataka". Pruža im se posebna zaštita i mogu se obraditi samo u vrlo ograničenim slučajevima. Kada je riječ o predlošcima za biometrijsko prepoznavanje lica, postoje samo dvije potencijalno dostupne pravne osnove: izričit pristanak (koji je vrlo teško dobiti) ili značajan javni interes temeljen na zakonu država članica (koji teško da može obuhvaćati komercijalne prakse). Tehnologije za poboljšanje privatnosti i implementacija dizajna privatnosti pomažu, ali se ne mogu uvijek uspješno implementirati.
Okvir Vijeća Europe pravi jasniju razliku između biometrijske obrade u javnom i privatnom sektoru. U svojim Smjernicama o prepoznavanju lica predviđa da se obrada od strane javnih tijela mora temeljiti na zakonu, dok je na zakonodavcima da daju jasne parametre i osiguraju nužnost, proporcionalnost i odgovarajuće zaštitne mjere. U tom smislu, Vijeće Europe smatra da obrada biometrijskih podataka može biti prihvatljiva za potrebe provedbe zakona, dok se druge sigurnosne svrhe (npr. u školama i javnim zgradama) ne bi trebale smatrati opravdanima. Za privatni sektor, Vijeće Europe je stava da je čvrsta izričita privola jedina moguća pravna osnova.
Pritisak na prepoznavanje lica raste s obzirom na nadolazeći okvir EU-a o umjetnoj inteligenciji – Zakon o umjetnoj inteligenciji (AI Act). Predloženi Zakon o umjetnoj inteligenciji predviđa pristup temeljen na riziku, potpunu zabranu nekih slučajeva upotrebe i podvrgavanje drugim (označenih kao "visoki rizik") strogim kontrolnim mehanizmima prije i nakon plasmana na tržište.
Prema nacrtu Zakona o umjetnoj inteligenciji, mnogi sustavi za prepoznavanje lica bili bi ili zabranjeni ili bi se smatrali sustavima "visokog rizika". Na primjer, u jednom od najnovijih nacrta, zabranjena je uporaba biometrijskih identifikacijskih sustava u stvarnom vremenu u javnim prostorima u svrhu provođenja zakona. Ova bi se zabrana mogla samo iznimno ukinuti iz važnih razloga javne sigurnosti, putem odgovarajućih sudskih ili upravnih ovlaštenja. Što se tiče drugih sustava za prepoznavanje lica, većina njih bila bi "visokog rizika" (izostavljajući samo sustave verifikacije i autentifikacije). Mnoge političke skupine u Europskom parlamentu još uvijek pozivaju na potpunu zabranu biometrijskih sustava prepoznavanja, kako u javnim tako i u privatnim prostorima, bilo u stvarnom vremenu ili ne.
Uz institucije EU-a koje se još uvijek ne slažu oko pristupa, ostaje neizvjesno što će novi okvir u konačnici značiti za biometrijske identifikacijske sustave. Međutim, jedno je sigurno: trendovi provedbe i razvoj zakonodavstva ukazuju na jasan pogled prema većem nadzoru nad biometrijskim nadzorom u EU.
