人脸识别案 | 法国CNIL对美国公司处以2000万欧元罚款

每天两块钱，实时获取全球数据合规风险预警

👇

来源：CNIL

整理：何渊，DPOHUB主理人

在正式通知仍未得到处理的情况下，CNIL对CLEARVIEW AI处以2000万欧元的罚款，并命令CLEARVIEW AI停止收集和使用没有法律依据的法国个人数据，并删除已经收集的数据。

CLEARVIEW AI的人脸识别服务是如何运作的？

CLEARVIEW AI从许多网站收集照片，包括社交媒体。它收集所有可在这些网络上直接访问的照片（即无需登录账户即可查看的照片）。图片也从所有平台上的在线视频中提取。

因此，该公司已经在全球范围内收集了超过200亿张图片。

由于这种收集，该公司在市场上以搜索引擎的形式访问其图像数据库，在其中可以用照片搜索一个人。该公司向各国执法当局提供这项服务，以确定犯罪者或受害者。

人脸识别技术被用来查询搜索引擎，并根据照片找到一个人。为了做到这一点，该公司建立了一个 "生物识别模板"，即一个人的身体特征（在这种情况下是面部）的数字表示。这些生物识别数据非常敏感，特别是因为它们与我们的身体身份（我们是什么）有关，使我们能够以独特的方式识别自己。

绝大多数图像被收集到搜索引擎的人都不知道这个特征。

CNIL的调查和决定

截至2020年5月，CNIL收到个人对Clearview AI的人脸识别软件的投诉，并展开调查。2021年5月，隐私国际协会也就这一问题向CNIL发出警告。

在此过程中，CNIL与欧洲的相应机构合作，以分享调查结果，由于CLEARVIEW AI在欧洲没有设立机构，因此每个机构都有权在自己的领土上采取行动。

CNIL进行的调查显示，有几个违反RGPD的行为：

• 非法处理个人数据（违反GDPR第6条），因为生物识别数据的收集和使用没有法律依据。

• 未能以有效和令人满意的方式考虑到个人的权利，特别是对其数据的访问请求（GDPR第12、15和17条）。

2021年11月26日，CNIL主席决定向CLEARVIEW AI发出正式通知：

• 在没有法律依据的情况下，停止收集和使用法国境内人员的数据。

• 为个人权利的行使提供便利，并满足删除的要求。

CLEARVIEW AI有两个月的时间来遵守正式通知中制定的禁令，并向CNIL说明其理由。然而，它并没有对这份正式通知作出任何回应。因此，CNIL主席决定将该事项提交给负责发布制裁的限制性委员会。

根据提请其注意的信息，限制委员会决定根据GDPR第83条，对其进行最高2000万欧元的经济处罚。

鉴于该公司进行的处理对数据主体的基本权利造成了非常严重的风险，限制委员会决定命令CLEARVIEW AI在没有法律依据的情况下停止收集和处理居住在法国的个人数据，并在两个月内删除其已经收集的这些人的数据。在这一禁令的基础上，限制委员会还规定，超过这两个月的时间，每拖延一天，将被罚款100,000欧元。

已确定的违规行为的细节

个人数据的非法处理（违反GDPR第6条的规定）

为了合法，个人数据的处理必须基于GDPR第6条中提到的法律依据之一。因此，Clearview AI的人脸识别软件，不符合这一规则，是不合法的。

事实上，这家公司并没有获得相关人员的同意，收集和使用他们的照片来提供其软件。

Clearview AI在收集和使用这些数据方面也没有正当利益（legitimate interest），特别是考虑到这一过程的侵入性和大规模性，使其有可能检索到法国数百万互联网用户的互联网上存在的图像。这些人的照片或视频可以在包括社交媒体在内的各种网站上看到，他们没有理由期望他们的图像被该公司处理，以提供一个可被国家用于执法的人脸识别系统。

这一违反行为的严重性导致CNIL限制委员会命令Clearview AI在缺乏法律依据的情况下，停止在其销售的人脸识别软件的运作中收集和使用法国领土上人们的数据。

个人权利没有得到尊重（《GDPR》第12、15和17条）

CNIL收到的投诉显示，投诉人在向Clearview AI行使其权利时遇到了困难。

一方面，该公司不为行使数据主体的访问权提供便利。

• 将这一权利的行使限制在请求前的12个月内收集的数据。

• 在没有正当理由的情况下，将这一权利的行使限制在每年两次。

• 在同一人提出过多的请求后才对某些请求作出回应。

另一方面，该公司没有对访问和删除的请求作出有效回应。它仅提供部分回应或根本不回应请求。

因此，该公司违反了GDPR，CNIL命令如下：

• 为行使数据主体的权利提供便利。

• 批准删除的请求。

与CNIL缺乏合作（《RGPD》第31条）

在整个程序中，CLEARVIEW AI未能与CNIL合作。事实上，该公司只对发给它的调查表作了非常有限的答复，对CNIL主席于2021年11月26日发出的正式通知没有作出任何回应。

因此，限制性委员会认为，CLEARVIEW违反了与CNIL服务合作的义务。

权益1：一年内畅听DPOHUB数据合规研究院全站几乎所有的录播课、直播课（除了超级会员专享的DPOHUB线上线下沙龙以及CDPO认证专用培训课程），权益期内新增的在线课程同样免费听。

权益2：一年的鹅圈子“数据合规俱乐部”，第一时间获取或下载全球最前沿数据法资讯、案例、报告、论文、指南以及全球数据合规头条、中国数据合规周刊。