Голландское управление по защите данных (Dutch DPA) наложило на Clearview AI штраф в размере 30,5 млн евро и предписало выплатить компенсацию за несоблюдение требований в размере более 5 млн евро. Clearview – американская компания, предлагающая услуги по распознаванию лиц. Среди прочего, компания создала нелегальную базу данных с миллиардами фотографий лиц, в том числе голландцев. Голландское DPA предупреждает, что пользоваться услугами Clearview также запрещено.
Clearview – это коммерческое предприятие, которое предлагает услуги распознавания лиц разведывательным и следственным службам. Клиенты компании могут предоставлять изображения с камер, чтобы выяснить личность людей, изображённых на снимках. Для этого у Clearview есть база данных с более чем 30 миллиардами фотографий людей. Компания автоматически берёт эти фотографии из Интернета, а затем преобразует их в уникальный биометрический код каждого лица. При этом сами люди не знают об этом и не дают на это согласия.
Больше никакой анонимности
«Распознавание лиц – это очень сложная технология, которую нельзя просто так взять и внедрить в жизнь каждого человека в мире», – говорит председатель голландского DPA Алейд Вольфсен. Если в Интернете есть ваша фотография – а разве это не относится ко всем нам? – то вы можете попасть в базу данных Clearview и оказаться под наблюдением».
Clearview утверждает, что предоставляет услуги только разведывательным и следственным органам за пределами Европейского союза (ЕС).
Вольфсен признаёт важность обеспечения безопасности и обнаружения преступников официальными властями. Он также признаёт, что такие технологии, как распознавание лиц, могут внести свой вклад в это дело.
«...но, конечно же, не коммерческие предприятия. А компетентные органы — только в исключительных случаях. Полиция, например, должна сама управлять программным обеспечением и базой данных в этом случае, соблюдая строгие условия и находясь под пристальным вниманием голландского DPA и других контролирующих органов».
Нарушения со стороны Clearview
Clearview серьёзно нарушила закон о защите персональных данных General Data Protection Regulation (GDPR) по нескольким пунктам: компания не должна была создавать базу данных и сама по себе недостаточно прозрачна.
Clearview не должна была создавать базу данных с фотографиями, уникальными биометрическими кодами и другой информацией, связанной с ними. Особенно это касается кодов – как и отпечатки пальцев, это биометрические данные. Их сбор и использование запрещены. Существуют некоторые законодательные исключения из этого запрета, но Clearview не может на них полагаться.
Кроме того, компания недостаточно информирует людей, находящихся в базе данных, о том, что использует их фото и биометрию. Люди, находящиеся в базе, также имеют право на доступ к своим данным. Это означает, что Clearview должна показать людям, какие данные о них есть у компании, если они попросят об этом. Но Clearview не удовлетворяет просьбы о доступе.
Clearview не прекратила нарушения после расследования, проведенного DPA Нидерландов. Поэтому голландский регулятор обязал компанию прекратить нарушения. Если Clearview не сделает этого, то, помимо штрафа, должна будет выплатить пени за несоблюдение требований в общей максимальной сумме 5,1 миллиона евро.
Американская компания
Clearview – американская компания, не имеющая представительства в Европе. Другие органы по защите данных уже неоднократно штрафовали Clearview, но компания, похоже, не собирается менять свое поведение. Поэтому голландский DPA ищет способы сделать так, чтобы Clearview прекратила нарушения. В частности, выясняется, можно ли привлечь директоров предприятия к персональной ответственности за нарушения.
Компания Clearview не опротестовала это решение и поэтому не может обжаловать штраф.
Ещё по теме: