Amerykańska firma od rozpoznawania twarzy ma już problemy za oceanem. Czas na RODO-witych Europejczyków? I czy w ochronie naszych danych pomoże Trybunał Sprawiedliwości UE?
Clearview AI to amerykańska korporacja specjalizująca się technologii rozpoznawania twarzy. Od 2016 roku budowała bazę danych zawierającą kilka miliardów zdjęć zebranych z sieci – głównie portali społecznościowych (bez pytania o zgodę ich właścicieli). Bazę wraz z nowatorską technologią wykorzystującą sztuczną inteligencję komercyjnie udostępnia organom ścigania m.in. w USA, Kanadzie i Australii, jest też obecna na przykład w Wielkiej Brytanii. Po niedawnym wycieku listy klientów Clearview AI okazało się, że z jej usług korzystają też korporacje, m.in. amerykańska sieć sklepów Macy’s.
O ogromnych kontrowersjach związanych z pozyskiwaniem przez tę firmę danych pisaliśmy wielokrotnie. Między innymi wtedy, gdy zajęli się nią amerykańscy senatorowie i międzynarodowe organizacje związane z obroną praw człowieka. Kilka spraw przeciwko Clearview AI toczy się przed sądami w USA czy Kanadzie.
Firma twardo stoi jednak na stanowisku, że zdjęcia udostępniane przez ludzi w internecie stanowią własność publiczną. I nie tylko się nie cofa, ale idzie krok dalej, proponując stosowanie technologii do rozpoznawania już nie tylko podejrzanych, ale także zarażonych koronawirusem – by śledzić, gdzie i z kim się spotykają, w celu ograniczenia pandemii. Na to przedstawiciele amerykańskich organizacji walczących o prawo do prywatności zareagowali z wciekłością.
W Unii Europejskiej działalność Clearview AI dotąd nie budziła tyle emocji (oficjalnie firma w Unii nie funkcjonuje). Aż do teraz. Francuski start-up Jumbo Privacy zawiadomił właśnie Krajową Komisję ds. Informatyki i Wolności (CNIL) z siedzibą w Paryżu o możliwości naruszenia przez Clearview AI przepisów europejskiego rozporządzenia o ochronie danych osobowych (RODO).
Jumbo Privacy opracowuje narzędzia, które mają pomóc osobom fizycznym odzyskać kontrolę nad swoimi danymi i sposobem ich wykorzystania przez wiele aplikacji używanych na smartfonach. Chodzi głównie o dane zamieszczane w mediach społecznościowych – na Twitterze, LinkedIn, Facebooku i Instagramie. Firma właśnie poinformowała, że chce zakończyć „tajną działalność firmy Clearview AI” na terenie Europy. Stąd formalna skarga do CNIL, francuskiego organu regulacyjnego (odpowiednika naszego Urzędu Ochrony Danych Osobowych), który stoi na straży prywatności gromadzonych i przechowywanych danych.
Jumbo Privacy wezwał CNIL do wszczęcia dochodzenia w sprawie kontrowersyjnych praktyk Clearview AI.
„Odkryliśmy, że Clearview zebrał i udostępniał (z całkowitym naruszeniem prawa Unii Europejskiej) dane osobowe obywateli UE, w tym serię zdjęć Zoé Vilain, naszej dyrektor ds. prywatności i strategii oraz wiceprezesa ds. Europy” – czytamy w oświadczeniu Jumbo Privacy.
W styczniu 2020 roku Jumbo Privacy zaczęło baczniej przyglądać się działaniom Clearview na terenie Europy.
„Amerykańska firma Clearview udostępnia dane osób fizycznych bez ich uprzedniej zgody swoim klientom na całym świecie. Wśród poszkodowanych są również mieszkańcy Unii Europejskiej” – piszą Francuzi.
Zdaniem Jumbo Privacy Clearview naruszyło ogólne rozporządzenie o ochronie danych UE (bardziej znane jako RODO). Amerykańska firma nie odpowiedziała prawidłowo na wniosek prawny o dostęp do pozyskanych z internetu danych Vilain i nie usunęła ich.
„Clearview było wyjątkowo niechętne do współpracy w naszym dążeniu do skorzystania z praw Zoé. Zajęło nam to nie mniej niż cztery miesiące pracy, dziewięć wymian e-maili, przesłania dowodów, zdjęć i wielu innych danych. (…) W ostateczności wysłaliśmy oficjalne zawiadomienie pocztą i e-mailem, że Clearview nie wywiązało się ze swoich zobowiązań, aby umożliwić Zoé dostęp do przechowywanych danych i skorzystania z prawa do ich usunięcia” – informuje firma.
Jumbo opisuje, że „Clearview odpowiedziało na to wezwanie, przesyłając dokument PDF zawierający obraz szybkiego wyszukiwania, porównujący trzy zdjęcia z obrazem przesłanym przez Zoé Vilain. Jedno zdjęcie przedstawiało zupełnie inną osobę. Jeśli chodzi o dodatkowe informacje dotyczące tego, komu udostępniono te informacje, i podstawy prawnej gromadzenia danych, Clearview ograniczyło się do przesłania linku do jednostronicowej polityki prywatności bez odpowiednich informacji”. Efekt? Skarga Jumbo Privacy do CNIL, która „ma na celu położenie kresu nielegalnym praktykom Clearview”.
„Zwracamy się do Urzędu o pilne podjęcie wszelkich niezbędnych środków w celu zakończenia tajnej działalności firmy, której działalność związana z rozpoznawaniem twarzy jest obecnie przedmiotem kilku dochodzeń wszczętych w ostatnich tygodniach w Kanadzie, Australii i Wielkiej Brytanii” – konkluduje we wniosku Jumbo Privacy.
Czy CNIL podejmie się tego wyzwania?
Dane pod ochroną
Trybunał Sprawiedliwości UE (TSUE) w Luksemburgu w wyroku z 16 lipca uchylił „Tarczę prywatności” – instrument ułatwiający przesyłanie danych z Unii do USA, Równolegle zwiększył kontrolę organów ochrony danych osobowych nad transferami danych opartych na tzw. standardowych klauzulach umownych (SKU). Skutek może być taki, że Stany Zjednoczone będą musiały zmienić swoje przepisy dotyczące masowej inwigilacji, jeśli amerykańskie firmy będą chciały wciąż odgrywać dotychczasową rolę na europejskim rynku.
Przypomnijmy, że w 2015 roku TSUE uchylił decyzję w sprawie programu Safe Harbor (Bezpieczna przystań). Program ten umożliwiał „eksport” danych osobowych obywateli Unii do amerykańskich firm. Safe Harbor przez wiele lat wzbudzał krytykę. Rok później po negocjacjach i sporach na linii Bruksela – Waszyngton przyjęta została jako następczyni Safe Harbor tzw. „Tarcza prywatności” („Privacy Shield”), umożliwiająca transfer danych Europejczyków za ocean. Z porozumienia zadowolony był biznes, natomiast instytucje i organizacje walczące o prawo do prywatności podtrzymywały liczne zastrzeżenia.
Max Shrems z organizacji NYOB wniósł skargę do TSUE w związku z opieszałością irlandzkiego organu ochrony danych w sprawie Facebooka (austriacki prawnik dowodził, że FB transferuje dane z Europy do USA nielegalnie). Udało mu się dopiąć swego.
Wyrok TSUE może zmienić podejście instytucji unijnych do kwestii bezpieczeństwa danych Europejczyków poza granicami UE (krytycy twierdzą, że problem był dotąd bagatelizowany). Zwiększy też kompetencje i obowiązki krajowych organów ochrony danych i zwiększy presję na państwa spoza UE, by dostosowywały się do europejskich standardów. W praktyce wyrok wymusi na firmach np. powierzających przetwarzanie danych amerykańskim firmom weryfikację, czy dane przechowywane są w Europie, czy poza nią. W tym drugim wypadku konieczne może się okazać wstrzymanie takiego transferu danych i przechowywanie ich w Unii. Z perspektywy obywateli oznacza to zwiększenie nie tylko bezpieczeństwa ich danych, ale także możliwości łatwiejszego dochodzenia swoich praw.
RODO przyjęte w 2018 roku upoważnia organy regulacyjne do nakładania kar w wysokości nawet 4 procent rocznych przychodów firmy za najpoważniejsze naruszenia. Największą jak dotąd grzywną była kara w wysokości 50 milionów euro (54,5 miliona dolarów) dla Google’a, nałożona przez francuski organ nadzorujący CNIL.
Komentarz eksperta
Informacja ma dwie twarze
Wojciech Klicki, prawnik i aktywista związany z Helsińską Fundacją Praw Człowieka, od 2012 roku w Fundacji Panoptykon
Praktyka funkcjonowania takich firm jak Clearview budzi szereg wątpliwości. Z perspektyw prawnej to, że moje zdjęcie jest udostępnione np. na Facebooku, nie oznacza, że firma trzecia może je pobrać i przetwarzać w zupełnie innym celu, zwłaszcza nie informując mnie o tym.
Dodatkowo model biznesowy Clearview (i podobnych firm działających w UE) powoduje istotną zmianę społeczną: na co dzień występujemy w różnych „maskach” – zawodowych, społecznych, rodzinnych. Uporządkowana informacja np. o tym, jak wyglądamy i wyglądaliśmy lata temu – po pracy (np. na imprezie) i w weekendy (np. na demonstracji) – może być atrakcyjna dla pracodawców czy ubezpieczycieli, ale wykorzystana wbrew naszej woli utrudnia funkcjonowanie w różnych kontekstach społecznych i w ten sposób narusza nie tylko prywatność, ale i wolność.