域外观察 | Clearview AI v. ICO案简析——GDPR的域外管辖与豁免

2021年11月，英国信息专员办公室（ICO）与澳大利亚信息专员办公室（OAIC）就Clearview AI公司（以下简称CV）的数据抓取、人脸信息使用及存储展开了联合调查，OAIC认定该公司行为违法，并发布了数据抓取相关的指南。ICO于2022年5月对CV处罚700万英镑，要求其停止抓取并删除其数据库中英国居民的人脸数据。随后CV向英国法院提起上诉。今年10月，英国初审法院推翻了针对CV作出的处罚决定。

此次法院判决的主要争议点在于，对于一家在欧洲没有实体实体（establishment）的公司，GDPR是否有相应管辖权？主要涉及GDPR第3条2款（b）项域外管辖条款以及GDPR第2条2款（b）项管辖豁免的适用。此次判决并未涉及太多Clearview AI实质性违法的讨论，作出判决的主要理由是认为此案并不适用GDPR。

CV主要提供人脸比对服务，根据判决披露的信息，自2020年5月起，CV仅向国家执法机构和情报部门提供服务，（[2023] UKFTT 819 (GRC), para. 25）其在英国和欧盟没有任何实体。（para. 22）该公司曾在2019年6月至2020年3月向英国政府及执法部门提供服务，在测试阶段总共完成721次搜索，且都发生在英国脱欧之前。（para.62）

针对数据控制者不在欧盟境内的场景，GDPR主要通过两种方式扩大其管辖权，一是境外数据控制者有意识地针对欧盟提供服务，GDPR第3条2款规定，只要数据控制者或处理者面向欧盟境内的主体提供商品或服务，或监控（monitoring）欧盟境内数据主体的行为，即便控制者在欧盟境内没有相关实体，也要受GDPR规制。二是对数据控制者及其分支机构做紧密联系，GDPR第3条1款规定，欧盟境内分支机构相关活动场景能够囊括发生在境外的数据处理，则境外真正进行数据处理的控制者也应接受欧盟管辖。从CV实际情况来看，法院主要考察其是否适用GDPR第3条2款（b）项，即“对发生在欧洲范围内的数据主体的活动进行监控”。初审法院并未直接认定CV的行为属于对英国居民的监控，而是认定其行为与监控相关（related to），从而适用这一条款。判决将这一条款的适用拆解为四个要件，（1）存在个人数据的处理，（2）处理的数据来自英国居民，（3）数据控制者或处理者在英国没有相应实体及（4）数据处理活动与监控英国居民的行为相关。初审法院认为，CV数据库中的图像及附加信息（如人物姓名、所在地、职业等信息）属于个人数据，其从网络中抓取和存储图像则属于“数据处理”行为。鉴于CV所创建数据库的规模，可以合理推论其中包含了英国居民的数据。法院审理的重点在第（4）项，即如何认定CV的数据处理与对英国居民“行为”的“监控”相关。

第一，“行为”的概念需要进一步界定。法院认为，图片数据不能仅仅展示主体“活着（simply being alive）”，行为的定义需要通过语言工具来确定，如图片展示的是主体正在“做”什么，而并非仅是对主体身高、肤色、年龄等信息的描述。因此行为信息包括，（1）图片所展示主体的位置，（2）主体正在做的事情，包括他们正在说或者写的，（3）他们的人际关系，即与谁交往，（4）他们持有或携带的物品，（5）展示其宗教信仰或文化背景的穿着。（para.117&118）第二，CV的行为是否构成“监控”或与此相关。根据GDPR背景部分第24条，需要判断数据处理活动是否构成对用户的“追踪（track）”，例如为分析用户偏好、预测用户行为对用户进行画像。在CV所提供服务的场景中，这一概念包括，（1）确定用户在特定时间的位置，（2）通过重复提交特定主体的图像实现对其行为的长期监视，（3）通过单次生成的图像持续探查特定主体在不同时间段的行为，（4）将匹配结果与从其他渠道获知的信息结合。（para.120,121）初审法院认为，CV创建图像数据库的行为并不能称为监控，但CV的客户（主要是执法机构）则从三个方面构成对数据主体的监控，一是通过图像确定主体在特定时间的位置，二是通过获取主体不同时间点的图片实现对其行为的持续监视，三是执法机构还会将匹配结果与其他监控手段结合。第三，GDPR第3条2款（b）项的描述是“主体中立”的，其采用的是“特定监控（the monitoring）”而非“他们的监控（their monitoring）”，即并未说明是由谁来开展监控。如果将此条限定在数据控制者的范围，那么实践中可能会出现大量外包以逃避法律适用的情形。第四，在相关性的问题上，判决采用了Soriano案的立场，即对主体行为的监视必须和数据处理之间有明确的关系。此案中主体行为的数据被从网络中收集，其数据处理和分析的目的仅有“撰写和发布主体相关文章”一个，因此撰写文章的人的数据处理行为与其发布文章所构成的监控之间必然存在联系。同理，CV创建并运营数据库的行为也仅是为了向客户提供人脸识别服务，由此与其客户所开展的监视行动之间也存在明确的联系。（para.141-144）

虽然判决明确CV相关行为符合GDPR第3条2款（b）项中各项要件，但又依据GDPR第2条2款（a）项排除了此案适用。此项规定明确了GDPR不适用于“欧盟法（Union Law）范围之外的”行为。理解此项规定的关键在于对“欧盟法”的理解，在实践中，几乎所有的商业活动都可以落入欧盟法的范围。建立内部统一市场是欧盟最为重要的战略之一，所有与此相关的数据处理活动都应受到欧盟法的管辖。根据《欧盟运行条约》（The Treaty on the Functioning of the European Union, TFEU）第4条（2）项的规定，国家安全属于各成员国国内事务。因此，与国家安全相关的活动，如以情报工作为目的的数据处理，就被排除在欧盟法的范围之外，GDPR立法背景部分第16条重申了这一点。实际上，CV向英国执法机构提供服务适用的法律是《法律执行指令》（Law Enforcement Directive）而非GDPR，但有关ICO适用的相关法律并不在此案的讨论范围。判决认为，此案之所以不适用GDPR是因为CV向英国执法部门提供服务的日期在英国脱欧之前，即将脱欧前的数据处理行为排除在适用范围之外。而在脱欧之后的数据处理行为并不符合UK GDPR第3条（2）项中“相关处理（relevant processing）”要求，ICO也无法证明脱欧之后CV的行为属于适用UK GDPR的数据处理行为。（para. 155,156）

判决主要解决的是GDPR是否适用于此案的问题。事实上，有更多判决之外的法律问题更值得讨论，如数据爬取的合法性基础（OAIC在联合执法之后还发布了有关数据爬取的声明）、公共部门与企业之间的合作类型对于法律适用产生影响等，而这些更能触及Clearview AI v. ICO案件的核心问题。ICO显然对次判决结果也并不满意，在11月17日，其开始向初审法院寻求上诉的可能。