Regulator Prancis memberi tahu Clearview AI untuk menghapus data pengenalan wajahnya

Regulator Prancis memberi tahu Clearview AI untuk menghapus data pengenalan wajahnya

cyberindre – Regulator privasi terkemuka Prancis telah memerintahkan Clearview AI untuk menghapus semua datanya yang berkaitan dengan warga negara Prancis, seperti yang pertama kali dilaporkan oleh TechCrunch .

Regulator Prancis memberi tahu Clearview AI untuk menghapus data pengenalan wajahnya – Dalam pengumumannya , agensi Prancis CNIL berpendapat bahwa Clearview telah melanggar GDPR dalam pengumpulan data dan melanggar berbagai hak akses data lainnya dalam pemrosesan dan penyimpanannya. Akibatnya, CNIL meminta Clearview untuk membersihkan data dari sistemnya atau menghadapi denda yang meningkat seperti yang ditetapkan oleh undang-undang privasi Eropa.

Regulator Prancis memberi tahu Clearview AI untuk menghapus data pengenalan wajahnya

Regulator Prancis memberi tahu Clearview AI untuk menghapus data pengenalan wajahnya

Clearview menjadi terkenal pada tahun 2020 setelah sebuah New York Times penyelidikan menyoroti upaya pengumpulan data besar perusahaan. Secara khusus, perusahaan menawarkan kemampuan unik untuk mengidentifikasi subjek berdasarkan nama, berdasarkan data yang diambil dari jejaring sosial yang terbuka untuk umum. Pelaporan selanjutnya menunjukkan hubungan mendalam perusahaan dengan aktivisme politik sayap kanan dan penggunaan luas dalam penegakan hukum AS .

Mosi CNIL mirip dengan perintah yang baru-baru ini dikeluarkan di Australia, dan sepertinya itu bukan perintah terakhir yang keluar dari UE. (Clearview telah menentang perintah tersebut.) Sementara CNIL hanya memiliki yurisdiksi atas pelanggaran hak-hak warga negara Prancis, regulator Eropa lainnya pasti akan mengikuti jika kasusnya berhasil. Keluhan serupa telah diajukan oleh Privacy International di Yunani, Italia, dan Austria. Tahun lalu, ACLU meluncurkan kasus serupa di pengadilan federal AS .

Dalam sebuah pernyataan kepada TechCrunch , CEO Hoan Ton-That bersikeras bahwa data perusahaan dikumpulkan secara legal. “Kami hanya mengumpulkan data publik dari internet terbuka dan mematuhi semua standar privasi dan hukum,” tulis Ton-That. “Niat saya dan perusahaan saya selalu membantu masyarakat dan orang-orang mereka untuk menjalani kehidupan yang lebih baik dan lebih aman.”

Prancis terbaru menampar Clearview AI dengan perintah untuk menghapus data

Perusahaan pengenalan wajah kontroversial, Clearview AI, yang telah mengumpulkan database sekitar 10 miliar gambar dengan menghapus selfie dari Internet sehingga dapat menjual layanan pencocokan identitas kepada penegak hukum, telah dipukul dengan perintah lain untuk menghapus data orang. Pengawas privasi Prancis hari ini mengatakan bahwa Clearview telah melanggar Peraturan Perlindungan Data Umum Eropa (GDPR).

Dalam pengumuman temuan pelanggaran, CNIL juga memberikan pemberitahuan resmi kepada Clearview untuk menghentikan “pemrosesan yang melanggar hukum” dan mengatakan harus menghapus data pengguna dalam waktu dua bulan. Pengawas bertindak atas keluhan terhadap Clearview yang diterima sejak Mei 2020.

Perusahaan AS tidak memiliki basis yang mapan di UE — artinya bisnisnya terbuka untuk tindakan regulasi di seluruh UE, oleh pengawas perlindungan data blok mana pun. Jadi, sementara perintah CNIL hanya berlaku untuk data yang dipegangnya pada orang-orang dari wilayah Prancis — yang menurut perkiraan CNIL mencakup “beberapa” puluhan juta pengguna Internet — lebih banyak pesanan seperti itu kemungkinan berasal dari badan-badan Uni Eropa lainnya.

Baca Juga : Pemilu Prancis Semakin Panas

CNIL mencatat bahwa mereka telah berusaha untuk bekerja dengan sesama otoritas dengan membagikan hasil investigasinya — yang menunjukkan bahwa Clearview kemungkinan akan menghadapi perintah lebih lanjut untuk menghentikan pemrosesan data dari otoritas di Negara Anggota Uni Eropa lainnya dan negara-negara EEA yang telah mengubah GDPR menjadi nasional hukum (seluruhnya sekitar 30 negara).

Tahun ini, layanan Clearview telah dianggap melanggar aturan privasi di Kanada , Australia , dan Inggris (yang, pasca-Brexit, berada di luar UE tetapi mempertahankan GDPR dalam hukum nasional untuk saat ini ) — di mana ia menghadapi kemungkinan denda dan juga memerintahkan untuk menghapus data pengguna bulan lalu .

Dua pelanggaran GDPR

CNIL Prancis menemukan bahwa Clearview melakukan dua pelanggaran GDPR — melanggar Pasal 6 (keabsahan pemrosesan) dengan mengumpulkan dan menggunakan data biometrik tanpa dasar hukum; dan melanggar berbagai hak akses data yang diatur dalam Pasal 12, 15 dan 17.

Pelanggaran Pasal 6 adalah karena Clearview tidak mendapatkan persetujuan dari orang-orang untuk menggunakan biometrik wajah mereka, juga tidak dapat mengandalkan dasar hukum kepentingan yang sah untuk mengumpulkan dan menggunakan data ini — mengingat apa yang CNIL gambarkan sebagai skala besar dan “sangat mengganggu” sifat pemrosesan yang dilakukan.

“Orang-orang ini, yang foto atau videonya dapat diakses di berbagai situs web dan jejaring sosial, tidak akan secara wajar mengharapkan gambar mereka diproses oleh [Clearview AI] untuk memberi makan sistem pengenalan wajah yang dapat digunakan oleh negara [seperti untuk] tujuan polisi. ,” tulis CNIL (diterjemahkan dari bahasa Prancis). Itu juga menerima keluhan dari individu atas sejumlah “kesulitan” yang dihadapi dalam mencoba mendapatkan hak akses data GDPR mereka.

Di sini CNIL menemukan Clearview melanggar peraturan dalam beberapa cara — seperti dengan membatasi hak akses data individu menjadi dua kali setahun “tanpa alasan”; atau membatasinya pada data yang dikumpulkan selama 12 bulan sebelumnya; atau hanya menanggapi permintaan tertentu setelah “jumlah permintaan yang berlebihan dari orang yang sama”. Clearview telah diperintahkan untuk memastikannya memfasilitasi hak subjek data dengan benar, termasuk mematuhi permintaan untuk menghapus data orang.

Jika perusahaan tidak mematuhi perintah Prancis, CNIL memperingatkan bahwa mereka dapat menghadapi tindakan pengaturan lebih lanjut – yang akan mencakup kemungkinan denda. Di bawah GDPR, DPA dapat mengeluarkan denda setinggi €20 juta atau hingga 4% dari pendapatan global tahunan perusahaan, mana yang lebih tinggi. Menegakkan denda pada perusahaan tanpa basis UE memang menghadirkan tantangan regulasi. Clearview telah dihubungi untuk mengomentari pesanan CNIL.

Pembaruan: Dalam sebuah pernyataan yang dikaitkan dengan CEO dan pendiri Hoan Ton-That, Clearview berusaha untuk menyarankan agar perusahaan tidak tunduk pada GDPR — meskipun peraturan tersebut berada dalam ruang lingkup ekstrateritorial, yang berarti dapat diterapkan dan (setidaknya secara teori) dapat ditegakkan di luar Perbatasan UE dalam kasus ketika data orang UE telah diproses dengan melanggar aturan.