Kolejna kara w wysokości 20 milionów euro została nałożona na amerykańską firmę Clearview AI. Tym razem grecki urząd ochrony danych osobowych skorzystał ze swoich kompetencji nadzorczych i uznał przetwarzanie danych osobowych za pomocą wyszukiwarki biometrycznej za całkowicie niezgodne z prawem, i tym samym ukarał firmę stosunkowo wysoką karą administracyjną. Poprzednio w grudniu 2021 r. decyzję w sprawie Clearview AI wydał francuski organ nadzoru CNIL, aczkolwiek nie wspomniała o sankcji finansowej to niemniej jednak nakazał Clearview zaprzestanie przetwarzania danych obywateli francuskich i dał jej dwa miesiące na usunięcie wszelkich posiadanych danych w rzeczonym zakresie. W jego ślady w marcu 2022 r. poszedł włoski organ nadzoru, ale tym razem nie obeszło się bez kary administracyjnej w wysokości 20 milionów euro. Trzeba tutaj zaznaczyć, że spodziewana jest następna decyzja, tym razem austriackiego organu nadzoru.
Specyfika działalności firmy Clearview AI polega na tym, że umożliwia szerokiej gamie odbiorców, wśród których znajdują się m.in. organy ścigania ale i uniwersytety, korzystanie ze stworzonego przez siebie oprogramowania do rozpoznawania twarzy. Oprogramowanie wykorzystuje specjalnie stworzony algorytm, który z kolei bazując na ogromnej bazie danych zdjęć zgromadzonych z ogólnie dostępnych źródeł zdeponowanych w Internecie, co istotne także w serwisach społecznościowych, potrafi w niezwykle skuteczny sposób dokonać identyfikacji osoby, która była wcześniej nieidentyfikowalna. W sumie określa się wielkość bazy danych firmy Clearview AI na około 20 miliardów obrazów, co stanowi dość pokaźną ilość i być może jest największą tego typu bazą danych na świecie. To wszystko udało się osiągnąć rzeczonej firmie w zaledwie pięć lat, gdyż działa dopiero od roku 2017 r. Jak widać amerykańskie startupy umieją działać z rozmachem, choć nie zawsze w zgodzie z przyjętymi regulacjami.
Prezes firmy Hoan Ton-That już przy okazji decyzji włoskiego organu nadzoru tłumaczył się, że Clearview AI nie ma siedziby we Włoszech ani w UE, nie ma klientów we Włoszech ani w UE i nie podejmuje żadnych działań, które oznaczałyby, że podlega RODO: „Zbieramy tylko dane publiczne z otwartego Internetu i przestrzegamy wszystkich standardów prywatności i prawa. Jestem załamany błędną interpretacją technologii Clearview AI przez niektórych we Włoszech, gdzie nie prowadzimy działalności. Moje intencje i intencje mojej firmy zawsze polegały na pomaganiu społecznościom i ich ludziom w lepszym, bezpieczniejszym życiu.” (Por.https://techcrunch.com/2022/03/09/clearview-italy-gdpr/) Niemniej jednak kolejna decyzja, tym razem greckiego organu wskazuje na coś kompletnie innego, a mianowicie, że RODO ma zastosowanie, ponieważ Clearview AI wykorzystuje swoje oprogramowanie do monitorowania zachowań osób w Grecji, mimo że firma ma siedzibę w USA i nie oferuje swoich usług w Grecji ani w UE. Clearview w związku z tym powinno usunąć wszystkie dotychczas zebrane zdjęcia już nie tylko obywateli Włoch ale również Grecji. Grecki urząd nakazał także Clearview AI wyznaczenie przedstawiciela w UE, aby obywatele UE mogli łatwiej dochodzić swoich praw. Jak widać działanie w sieci i na bazie zgromadzonych tam zasobów może przynosić z jednej strony zyski, ale z drugiej wymaga gruntownego przemyślenia. Zbieranie obrazów w tym zdjęć osób z Internetu nie oznacza działania w próżni, co zdaje się chcą nam powiedzieć wydając kolejne decyzje organy nadzorcze poszczególnych krajów europejskich i wydaje się, że mają w tym sporo racji, gdyż obywatele poszczególnych krajów europejskich deponując np. swoje zdjęcia w Internecie nie przestają być obywatelami tych krajów, a tym samym w opisywanym przypadku również Unii Europejskiej, która posiada swoje regulacje prawne także w obszarze ochrony danych osobowych. Wniosek jaki się nasuwa sam z siebie, wskazuje, że Internet i jego zasoby to nie anarchia i działanie zgodne z zasadą tzw. „wolnej amerykanki” (choć w tym przypadku zdaje się, że to porównanie nie jest bezpodstawne), ale jednak postępowanie według określonych reguł. Zdaje się, że nas wszystkich, a przynajmniej obywateli krajów tzw. szeroko rozumianej cywilizacji zachodu jakieś zasady ,także w zakresie ochrony danych osobowych ,obowiązują.
Zgodnie z lutowymi doniesieniami gazety The Washington Post firma Clearview AI informowała swoich inwestorów, że jest na dobrej drodze do osiągnięcia w przeciągu następnego roku celu jakim jest zwiększenia objętości swojej bazy danych do 100 miliardów zdjęć twarzy, co pozwoliłoby na zidentyfikowanie prawie każdej osoby na świecie. Jak widać właściciele i zarządzający firmą Clearview AI idą na razie w przeciwnym kierunku niż chciałyby organy nadzorcze. Co ciekawe, jeżeli ziściłyby się zapowiedzi Clearview AI, to oznaczałoby, że posiadałaby ona w swoich zasobach średnio około 14 zdjęć każdego z 7 miliardów mieszkańców Ziemi. Z jednej strony fascynujące, ale z drugiej lekko przerażające, zwłaszcza gdy weźmie się pod uwagę, że Clearview chce rozszerzyć zakres swoich usług o identyfikowanie osób na podstawie tego jak dana osoba się porusza, wykrywanie lokalizacji osoby na podstawie analizy zdjęcia z jej udziałem albo o skanowanie odcisków palców z oddali. Zwłaszcza to ostatnie brzmi co najmniej zagadkowo. Ambicje firmy sięgają daleko, gdyż chce się ona stać wiodącym światowym graczem w zakresie sprzedaży systemów inwigilacji. Firma chwaląc się przed potencjalnymi inwestorami wskazywała, że jej produkt jest jeszcze bardziej efektywniejszy niż systemy używane przez władze Chin. Przewaga narzędzia firmy Clearview AI polega na tym, że jego baza danych rozpoznawania twarzy jest połączona z metadanymi źródeł publicznych i mediów społecznościowych, co jak się wydaje przyczynia się do jej nieustannego rozrostu. W samych Stanach Zjednoczonych Clearview AI powołuje się na pierwszą poprawkę do konstytucji USA i ją uznaje za podstawę do gromadzenia danych. Jednak sposób w jaki firma gromadzi dane zaniepokoiło także szereg osób w samym USA, w tym członków Kongresu, którzy zaniepokojeni wpływem na prywatność obywateli USA zaczęli naciskać na agencje federalne do zaprzestania współpracy z firmą. Pojawił się także w tle spór z Facebookiem, jako sporym źródłem danych dla bazy Clearview AI.
Sprawa Clearview AI jak widać jest rozwojowa i nic nie wskazuje na to, że organy nadzorcze krajów EOG pozostawią ją samą sobie. Firma będzie, jak się zdaje musiała albo zmodyfikować swój model biznesowy, uzupełniając go o kwestie wynikające z RODO, albo pozostać narażona na dalsze sankcje w tym obszarze, mimo zasłaniania się, że nie działa na obszarze objętym jurysdykcją RODO. To drugie rozwiązanie może w ostatecznym rozrachunku negatywnie wpływać na wizerunek firmy, co bezsprzecznie może się przełożyć na jej zyski. Łatka nieprzestrzegających prawa ochrony danych osobowych z pewnością nie będzie pomagać w robieniu business as usual. Jak to się mówi, pieniądze lubią ciszę.
Autor: Radosław Aniszczyk