其他
数据监管|意大利数据保护机关就面部识别处罚美国Clearview公司2000万欧元
意大利数据保护机关就面部识别违法处罚美国Clearview AI公司2000万欧元
编译|
吴垚 北京师范大学研究助理
背景资料
最终决定日期:2022年2月10日跨境案例或国内案例:国内案例,适用第3条第(2)款控制者:Clearview AI公司法律参考:与个人数据处理有关的原则(第5条第(1)款(a)项(b)项(e)项); 处理的合法性(第6条);特殊类别个人数据的处理(第9条); 数据主体权利的透明信息、通信和行使方式(第12条); 从数据主体收集个人数据时应提供的信息(第13条); 未从数据主体获得个人数据时应提供的信息(第14条); 数据主体的访问权(第15条);未在本联盟内设立控制者的代表(第27条)。决定:意大利数据保护机关处以2000万欧元的罚款,禁止进一步收集和处理,下令删除公司面部识别系统处理的有关意大利境内人员的数据,包括生物识别数据,并指定在欧盟境内的代表。关键词:网络抓取,图像数据库,面部识别,生物识别数据,人工智能系统,地理位置,欧盟法律管辖,欧盟代表。决定摘要
案件起源
意大利数据保护机关在新闻报道了与Clearview AI公司提供的面部识别产品相关的几个问题之后,依职权启动了调查程序。此外,意大利数据保护机关(Garante)在2021年期间收到了两个组织的四起投诉和两份举报,这两家公司活跃在保护隐私和个人基本权利领域,反对Clearview公司。主要发现
意大利数据保护机关通过调查和评估,发现了Clearview AI公司的几项侵权行为。该公司持有的个人数据,包括生物识别和地理位置信息,在没有适当法律依据的情况下被非法处理——因为这家美国公司的合法利益不符合条件。此外,该公司违反了GDPR的几项基本原则,例如透明度、目的限制和存储限制;它未能提供第13-14条规定的信息,未能提供关于在适当时限内对根据第15条提出的请求所采取行动的信息,也未能在欧盟指定一名业务代表。决定
意大利数据保护机关处以2000万欧元的罚款此外,意大利数据保护机关还规定:1.禁止通过网络抓取技术进一步收集关于意大利境内人员的图像和相关元数据,禁止进一步处理该公司通过面部识别系统处理的关于意大利境内人员的标准和生物数据;2.下令删除其面部识别系统处理中关于意大利境内人员的数据,包括生物特征数据,但有义务及时答复根据《条例》第12条第(3)款可能从数据主体处收到的行使GDPR第15至22条规定的权利的请求;3.命令该公司在欧洲联盟境内指定一名业务代表。— END —
数字治理全球洞察 | 全球数字治理前沿系列:重磅|欧盟《数据法案》(Data Act)草案(中译本)重磅|欧盟《数据法案》(Data Act)草案全文
高端视野|吴沈括 Deuse Clément:欧盟数字主权与《数据法案》立法进程高端视野 | 吴沈括 S. Boutillier:网络空间国际规则与《巴黎倡议》高端视野|吴沈括 L. Valenti:数据跨境调取与布达佩斯公约第二补充议定书高端视野|吴沈括 H. MANZOOR:数字安全与联合国打击网络犯罪公约高端视野|吴沈括 Elena Scarpelli:欧盟数据主权与《电子证据条例》立法高端视野|吴沈括 Andrea Fusi:欧盟数字转型与《数字权利和原则宣言》高端视野 | 欧盟委员会《欧洲数据治理条例》提案研究数字治理全球洞察 | 跨境数据治理前沿系列:
高端视野|吴沈括 蔡佩原:欧盟《数据法案》(草案)的非个人数据跨境制度高端视野 | 吴沈括 邓立山:WTO框架下的数据跨境规则研究高端视野 | 吴沈括 邓立山:OECD框架下的数据跨境规则研究高端视野 | 吴沈括 邓立山:DEPA框架下的数据跨境规则研究
高端视野 | 吴沈括 邓立山:G20框架下的数据跨境规则研究
高端视野|吴沈括 邓立山:CPTPP框架下的数据跨境规则研究
高端视野|吴沈括 邓立山:RCEP框架下的数据跨境规则研究
高端视野 | 吴沈括 邓立山:APEC框架下的数据跨境规则研究高端视野|吴沈括 邓立山:APEC框架下关于数据跨境的CBPR规则研究
图文编辑:北京师范大学 张道中