查看原文
其他

域外观察 | Clearview AI v. ICO案简析——GDPR的域外管辖与豁免

信通院互联网法律研究中心 CAICT互联网法律研究中心
2024-09-16

全文约2900字,预计阅读时间14分钟

文|王金钧 中国信息通信研究院互联网法律研究中心助理研究员



一、案件基本情况


2021年11月,英国信息专员办公室(ICO)与澳大利亚信息专员办公室(OAIC)就Clearview AI公司(以下简称CV)的数据抓取、人脸信息使用及存储展开了联合调查,OAIC认定该公司行为违法,并发布了数据抓取相关的指南。ICO于2022年5月对CV处罚700万英镑,要求其停止抓取并删除其数据库中英国居民的人脸数据。随后CV向英国法院提起上诉。今年10月,英国初审法院推翻了针对CV作出的处罚决定。

此次法院判决的主要争议点在于,对于一家在欧洲没有实体实体(establishment)的公司,GDPR是否有相应管辖权?主要涉及GDPR第3条2款(b)项域外管辖条款以及GDPR第2条2款(b)项管辖豁免的适用。此次判决并未涉及太多Clearview AI实质性违法的讨论,作出判决的主要理由是认为此案并不适用GDPR。



二、GDPR是否具有管辖权?


CV主要提供人脸比对服务,根据判决披露的信息,自2020年5月起,CV仅向国家执法机构和情报部门提供服务,([2023] UKFTT 819 (GRC), para. 25)其在英国和欧盟没有任何实体。(para. 22)该公司曾在2019年6月至2020年3月向英国政府及执法部门提供服务,在测试阶段总共完成721次搜索,且都发生在英国脱欧之前。(para.62)

(一)GDPR域外管辖的适用

针对数据控制者不在欧盟境内的场景,GDPR主要通过两种方式扩大其管辖权,一是境外数据控制者有意识地针对欧盟提供服务,GDPR第3条2款规定,只要数据控制者或处理者面向欧盟境内的主体提供商品或服务,或监控(monitoring)欧盟境内数据主体的行为,即便控制者在欧盟境内没有相关实体,也要受GDPR规制。二是对数据控制者及其分支机构做紧密联系,GDPR第3条1款规定,欧盟境内分支机构相关活动场景能够囊括发生在境外的数据处理,则境外真正进行数据处理的控制者也应接受欧盟管辖。从CV实际情况来看,法院主要考察其是否适用GDPR第3条2款(b)项,即“对发生在欧洲范围内的数据主体的活动进行监控”。初审法院并未直接认定CV的行为属于对英国居民的监控,而是认定其行为与监控相关(related to),从而适用这一条款。判决将这一条款的适用拆解为四个要件,(1)存在个人数据的处理,(2)处理的数据来自英国居民,(3)数据控制者或处理者在英国没有相应实体及(4)数据处理活动与监控英国居民的行为相关。初审法院认为,CV数据库中的图像及附加信息(如人物姓名、所在地、职业等信息)属于个人数据,其从网络中抓取和存储图像则属于“数据处理”行为。鉴于CV所创建数据库的规模,可以合理推论其中包含了英国居民的数据。法院审理的重点在第(4)项,即如何认定CV的数据处理与对英国居民“行为”“监控”相关。

第一,“行为”的概念需要进一步界定。法院认为,图片数据不能仅仅展示主体“活着(simply being alive)”,行为的定义需要通过语言工具来确定,如图片展示的是主体正在“做”什么,而并非仅是对主体身高、肤色、年龄等信息的描述。因此行为信息包括,(1)图片所展示主体的位置,(2)主体正在做的事情,包括他们正在说或者写的,(3)他们的人际关系,即与谁交往,(4)他们持有或携带的物品,(5)展示其宗教信仰或文化背景的穿着。(para.117&118)第二,CV的行为是否构成“监控”或与此相关。根据GDPR背景部分第24条,需要判断数据处理活动是否构成对用户的“追踪(track)”,例如为分析用户偏好、预测用户行为对用户进行画像。在CV所提供服务的场景中,这一概念包括,(1)确定用户在特定时间的位置,(2)通过重复提交特定主体的图像实现对其行为的长期监视,(3)通过单次生成的图像持续探查特定主体在不同时间段的行为,(4)将匹配结果与从其他渠道获知的信息结合。(para.120,121)初审法院认为,CV创建图像数据库的行为并不能称为监控,但CV的客户(主要是执法机构)则从三个方面构成对数据主体的监控,一是通过图像确定主体在特定时间的位置,二是通过获取主体不同时间点的图片实现对其行为的持续监视,三是执法机构还会将匹配结果与其他监控手段结合。第三,GDPR第3条2款(b)项的描述是“主体中立”的,其采用的是“特定监控(the monitoring)”而非“他们的监控(their monitoring)”,即并未说明是由谁来开展监控。如果将此条限定在数据控制者的范围,那么实践中可能会出现大量外包以逃避法律适用的情形。第四,在相关性的问题上,判决采用了Soriano案的立场,即对主体行为的监视必须和数据处理之间有明确的关系。此案中主体行为的数据被从网络中收集,其数据处理和分析的目的仅有“撰写和发布主体相关文章”一个,因此撰写文章的人的数据处理行为与其发布文章所构成的监控之间必然存在联系。同理,CV创建并运营数据库的行为也仅是为了向客户提供人脸识别服务,由此与其客户所开展的监视行动之间也存在明确的联系。(para.141-144)

(二)GDPR管辖豁免的适用

虽然判决明确CV相关行为符合GDPR第3条2款(b)项中各项要件,但又依据GDPR第2条2款(a)项排除了此案适用。此项规定明确了GDPR不适用于“欧盟法(Union Law)范围之外的”行为。理解此项规定的关键在于对“欧盟法”的理解,在实践中,几乎所有的商业活动都可以落入欧盟法的范围。建立内部统一市场是欧盟最为重要的战略之一,所有与此相关的数据处理活动都应受到欧盟法的管辖。根据《欧盟运行条约》(The Treaty on the Functioning of the European Union, TFEU)第4条(2)项的规定,国家安全属于各成员国国内事务。因此,与国家安全相关的活动,如以情报工作为目的的数据处理,就被排除在欧盟法的范围之外,GDPR立法背景部分第16条重申了这一点。实际上,CV向英国执法机构提供服务适用的法律是《法律执行指令》(Law Enforcement Directive)而非GDPR,但有关ICO适用的相关法律并不在此案的讨论范围。判决认为,此案之所以不适用GDPR是因为CV向英国执法部门提供服务的日期在英国脱欧之前,即将脱欧前的数据处理行为排除在适用范围之外。而在脱欧之后的数据处理行为并不符合UK GDPR第3条(2)项中“相关处理(relevant processing)”要求,ICO也无法证明脱欧之后CV的行为属于适用UK GDPR的数据处理行为。(para. 155,156)



三、案件之外


判决主要解决的是GDPR是否适用于此案的问题。事实上,有更多判决之外的法律问题更值得讨论,如数据爬取的合法性基础(OAIC在联合执法之后还发布了有关数据爬取的声明)、公共部门与企业之间的合作类型对于法律适用产生影响等,而这些更能触及Clearview AI v. ICO案件的核心问题。ICO显然对次判决结果也并不满意,在11月17日,其开始向初审法院寻求上诉的可能。


参考文献:

[1] 李汶龙:《境外人脸爬取和识别的可罚性和管辖权:评Clearview AI v ICO案》,载“科技利维坦”公众号,2023年10月31日上传。[2] 洪延青:《“法律战”旋涡中的执法跨境调取数据:以美国、欧盟和中国为例》,载《环球法律评论》第2021年第1期。[3] UK First-tier Tribunal overturns ICO enforcement action against Clearview AI, at https://iapp.org/news/a/uk-first-tier-tribunal-overturns-ico-enforcement-action-against-clearview-ai/[4] [2023] UKFTT 819 (GRC),at https://www.bailii.org/uk/cases/UKFTT/GRC/2023/819.html[5] Information Commissioner seeks permission to appeal Clearview AI Inc ruling, at https://iapp.org/news/a/uk-first-tier-tribunal-overturns-ico-enforcement-action-against-clearview-ai/


END


往期精彩回顾


域外观察 | 欧洲议会发布元宇宙研究报告
域外观察 | 美国参议员提出《2023年人工智能研究、创新和责任法案》域外观察 | OECD发布《数据本地化措施的性质、演变和潜在影响》报告动态观察 | 域外人工智能政策立法跟踪与产业发展动态(11月1日-15日)域外观察 | 美国CSIS发布《构建创新体系-美国产业政策的新时代》报告域外观察 | 泰国针对个人数据跨境流动做出更完善规定域外观察 | Meta案简析——基于行为广告的数据收集何以在欧洲被禁?域外观察 | 韩国发布《量子科学技术和量子振兴产业法》中心研究 | 数据法案例(三)—White Castle指纹识别案(侵权损害赔偿请求权的发生和赔偿金的计算)域外观察 | DFRLab发布《关键基础设施和云:新兴风险策略报告》域外观察 | 澳大利亚及英国等11家数据保护机构发布数据抓取联合声明动态观察 | 全球AI监管动态周报2023.9.1月度热点 | 国际ICT立法跟踪8月热点域外观察 | 2023年是生成式人工智能的突破年域外观察 | 印度《2023年数字个人数据保护法案》(DPDP)变动解析域外观察 | 美国在能源矿产供应链方面强化竞争域外观察 | 新西兰发布《客户和产品数据法案》草案拟确立消费者数据权动态观察 | 欧盟成员国GDPR重点执法案例汇编(2023.07)域外观察 | 欧洲议会工业、研究和能源委员会通过《网络弹性法案》草案域外观察 | 美国FCC破获史上最大电话诈骗案,开出3亿天价罚单月度热点 | 国际ICT立法跟踪7月热点域外观察 | 《评估欧盟在数据保护领域的作用和有效性》报告发布域外观察 | 美国战略与国际研究中心发布《欧盟数据法案:欧洲技术监管的长臂管辖仍在继续》报告动态观察 | 主要国家和地区AIGC监管动态汇总(5-6月)
月度热点 | 国际ICT立法跟踪6月热点域外观察 | 美国FTC发布生物识别信息政策声明(全文翻译)域外观察 | 美国国会研究处发布《生成式人工智能和数据隐私:初探》报告
域外观察 | 美国微软公司发布《人工智能治理:未来蓝图》报告中心会议 | 第四届数据治理研讨会在海南陵水顺利召开域外观察 | 美国CSET和CNAS联合发布《控制中国通过云服务访问先进计算》报告域外观察 | 美参议员重提《2023 保护美国人数据免受外国监视法案》 拟阻止TikTok向中国发送数据域外观察 | 美国加州参议院通过“数据经纪人”相关修订条款 聚焦消费者集中行使删除权域外观察 | 赢得未来的7项关键技术中心会议 | 《数据安全法》出台两周年研讨会在京顺利召开域外观察 | 日本修订《个人信息保护法》,呈现六大亮点域外观察 | GDPR赋予了数据主体算法解释权吗?月度热点 | 国际ICT立法跟踪5月热点域外观察 | 新西兰信息专员办公室发布《生成式人工智能指南》要求AI企业遵守《隐私法》域外观察 | 欧盟委员会根据《数字服务法》指定第一批超大型在线平台和搜索引擎域外观察 | OECD发布《人工智能语言模型》报告域外观察 | 欧洲议会关于“通用人工智能”的观察动态观察 | 欧盟成员国GDPR重点执法案例汇编(2023.04)动态观察 | 主要国家和地区AIGC监管动态汇总月度热点 | 国际ICT立法跟踪4月热点中心活动 | 网络空间治理“三人谈”:“吃瓜”要有度 底线不能丢域外观察 | FCC垃圾短信和骚扰电话治理规则简析中心研究 | 数据法案例(一)—Meta爱尔兰案(个性化广告的合法性基础之辩)域外观察 | 美国智库发布《全球云竞争概述》认为中国全球云竞争存在优势域外观察 | 欧盟稳步推进《媒体自由法》,将强化对媒体自由的保护域外观察 | 美-荷-日半导体出口管制协议“可窥一斑”中心研究|从最高检发布的典型案例看如何保护生物识别信息域外观察|美国发布《促进数据共享与分析中的隐私保护国家战略》域外观察|欧盟委员会发布2023-2024年数字欧洲工作计划动态观察|欧盟成员国GDPR重点执法案例汇编(2023.03)月度热点 | 国际ICT立法跟踪3月热点域外观察|ChatGPT遭遇数据泄露,人工智能安全如何保证?域外观察|国外隐私增强技术监管和实践域外观察 | 欧洲数字身份提案最新进展专家解读|推进依法行政 护航数字经济高质量发展域外观察|美国商会发布《人工智能委员会报告》专家解读|新时代网络法治建设稳步推进 制度体系持续完善专家解读|《新时代的中国网络法治建设》彰显网络法治建设是全面依法治国的题中应有之义月度热点|国际ICT立法跟踪2月热点
动态观察|欧盟成员国GDPR重点执法案例汇编(2023.02)动态观察|欧盟成员国GDPR重点执法案例汇编(2023.01)域外观察|美国CSIS发布《投资于联邦网络弹性》报告域外观察|美智库研究认为两类网络安全问题值得关注
中心研究|《个人信息出境标准合同办法》出台,具体场景适用可参考欧盟成熟经验中心研究|欧盟发布《医疗数据空间条例》,为重点行业数据共享提供经验域外观察|联合国发布《隐私增强技术指南》中心研究|我国主要立法中数据处理者相关评估义务规定研究域外观察|瑞典发布一份欧盟《数据法案》妥协方案域外观察|ITIF发布《不损害人工智能创新发展的十项监管原则》报告域外观察|美国NIST发布《人工智能风险管理框架》年度观察|2022年网络法治盘点与回顾(一):数据治理篇年度观察|2022年网络法治盘点与回顾(二):数字平台篇
年度观察|2022年网络法治盘点与回顾(三):数字内容篇
年度观察|2022年网络法治盘点与回顾(四):数字安全篇
中心会议│第六届互联网法律研讨会在京顺利召开中心研究 | 美欧之间能否再次顺利签署跨大西洋数据流动协议?中心研究|2022年美国ICT领域重要立法进展
中心研究|印尼《个人数据保护法》能否为全球数据跨境流动探索出替代数据本地化的新路径?
中心研究|《数字市场法》案例梳理系列—(一)谷歌购物案
中心研究 | 《个人信息保护法》实施一周年观察之数据保护带来的成本究竟几何中心研究 | 我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》,加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察 | 欧盟《网络弹性法案》研究报告
继续滑动看下一个
CAICT互联网法律研究中心
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存