Pengawas privasi Eropa lainnya telah memberikan sanksi kepada perusahaan pengenalan wajah yang kontroversial, Clearview AI, yang menghapus selfie dari Internet untuk mengumpulkan database sekitar 10 miliar wajah untuk mendukung layanan pencocokan identitas yang dijualnya kepada penegak hukum.
Badan perlindungan data Italia hari ini mengumumkan denda €20 juta untuk pelanggaran hukum UE — serta memerintahkan perusahaan kontroversial untuk menghapus data apa pun tentang orang Italia yang dipegangnya dan melarangnya memproses lebih lanjut biometrik wajah warga negara.
Investigasinya dilakukan setelah “keluhan dan laporan”, katanya, mencatat bahwa selain pelanggaran undang-undang privasi, perusahaan itu menemukan bahwa perusahaan tersebut telah melacak warga negara Italia dan orang-orang yang berlokasi di Italia.
“Temuan mengungkapkan bahwa data pribadi yang dipegang oleh perusahaan, termasuk data biometrik dan geolokasi, diproses secara ilegal, tanpa dasar hukum yang memadai, yang tentunya tidak dapat menjadi kepentingan sah perusahaan Amerika tersebut,” kata Garante dalam siaran pers.
Pelanggaran Peraturan Perlindungan Data Umum (GDPR) lainnya yang diidentifikasi termasuk kewajiban transparansi (karena Clearview tidak memberi informasi yang memadai kepada pengguna tentang apa yang dilakukannya dengan selfie mereka); pelanggaran batasan tujuan dan telah menggunakan data pengguna untuk tujuan selain yang dipublikasikan secara online; dan juga pelanggaran aturan penyimpanan data tanpa batas penyimpanan.
“Oleh karena itu, aktivitas Clearview AI melanggar kebebasan subjek data, termasuk perlindungan kerahasiaan dan hak untuk tidak didiskriminasi,” kata pihak berwenang juga.
Clearview dihubungi untuk mengomentari sanksi GDPR terbaru. Memperbarui: Dalam sebuah pernyataan yang dikaitkan dengan CEO, Hoan Ton-That, Clearview mengatakan:
Pandangan jelas AI tidak memiliki tempat usaha di Italia atau UE, tidak memiliki pelanggan di Italia atau UE, dan tidak melakukan aktivitas apa pun yang berarti tunduk pada GDPR.
Dalam sambutan lebih lanjut Ton-Itu mengklaim:
Kami hanya mengumpulkan data publik dari internet terbuka dan mematuhi semua standar privasi dan hukum. Saya patah hati dengan salah tafsir oleh beberapa orang di Italia, di mana kami tidak melakukan bisnis apa pun Pandangan jelas teknologi AI kepada masyarakat. Niat saya dan perusahaan saya selalu membantu masyarakat dan orang-orang mereka untuk hidup lebih baik, kehidupan yang lebih aman.
Ini adalah penegakan terkuat dari pengawas privasi Eropa, dengan peringatan ICO Inggris pada bulan November tentang kemungkinan denda ketika Clearview juga memerintahkan untuk berhenti memproses data.
Pada bulan Desember, CNIL Prancis juga memerintahkan Clearview untuk menghentikan pemrosesan data warga negara dan memberikan waktu dua bulan untuk menghapus semua data yang dimilikinya tetapi tidak menyebutkan sanksi keuangan.
Namun, apakah Italia akan dapat mengumpulkan penalti €20 juta dari Clearview, sebuah entitas yang berbasis di AS, adalah salah satu pertanyaan yang agak menonjol.
“Keputusan tersebut telah diberitahukan kepada perusahaan kemarin, dan perusahaan harus memberi tahu Otoritas tentang langkah-langkah yang diambil untuk mematuhi keputusan tersebut atau untuk menantangnya — termasuk penerapan GDPR dan langkah-langkah yang relevan,” kata juru bicara DPA kepada kami.
Dalam siaran pers yang mengumumkan sanksi, Garante juga mencatat bahwa Clearvew telah memerintahkan Clearvew untuk menunjuk perwakilan di UE “untuk memfasilitasi pelaksanaan hak subjek data” – persyaratan hukum lain di bawah undang-undang UE yang menurutnya belum dipenuhi oleh perusahaan. Tetapi kurangnya entitas Clearview yang berbasis di UE mempersulit Italia untuk memungut denda.
Sementara GDPR UE — di atas kertas — memiliki jangkauan ekstrateritorial, yang berarti itu berlaku di luar blok untuk siapa pun yang memproses data orang UE, penegakan terhadap entitas asing yang tidak memiliki perusahaan atau eksekutif lokal untuk memberikan sanksi dapat membuat batasan praktis yang sulit pada jangkauan hukum.
Meskipun demikian, DPA selalu dapat mengejar entitas lokal mana pun yang cukup bodoh untuk menjadi pelanggan entitas yang terkena sanksi – seperti yang dilakukan pengawas Swedia tahun lalu, mendenda kepolisian setempat atas apa yang dikatakannya sebagai penggunaan perangkat lunak pengenalan wajah Clearview yang melanggar hukum.
Jadi setiap larangan yang dilakukan Clearview di pasar UE menyusutkan basis pelanggan potensialnya. Tentu saja di sisi sektor publik — dan penegakan hukum tetap menjadi target utama teknologi pencocokan ID-nya. (Meskipun laporan baru-baru ini di The Washington Post menyarankan agar investor melakukan ekspansi besar-besaran bisnisnya yang dapat mencakup penjualan layanan pencocokan ID ke sektor swasta, seperti dengan menargetkan layanan keuangan atau platform gig economy.)
Meskipun dilaporkan berbicara bullish kepada investornya sendiri tentang ekspansi internasional, perusahaan pengenalan wajah yang kontroversial telah terkena sanksi privasi di seluruh dunia – dari Kanada hingga Australia.
Jadi batasan kemampuan Clearview untuk menskalakan secara internasional terus meluas, bahkan ketika (beberapa) lembaga penegak hukum yang berbasis di AS terus menyadap. Di tempat lain di AS, beberapa negara bagian telah mengesahkan undang-undang yang membatasi penggunaan biometrik yang berarti bahwa bahkan di negara asal Clearview sedang menghadapi tantangan hukum untuk meningkatkan penggunaan teknologi anti-privasinya.
Laporan ini telah diperbarui dengan komentar tambahan
