تعرضت شركة Clearview AI، وهي شركة ناشئة مثيرة للجدل للتعرف على الوجه ومقرها الولايات المتحدة والتي قامت ببناء قاعدة بيانات قابلة للبحث تضم 30 مليون صورة تم ملؤها عن طريق مسح الإنترنت للحصول على صور شخصية للأشخاص دون موافقتهم، لأكبر غرامة خصوصية حتى الآن في أوروبا.
قالت هيئة حماية البيانات الهولندية، Autoriteit Persoonsgegevens (AP)، يوم الثلاثاء إنها فرضت غرامة قدرها 30.5 مليون يورو – حوالي 33.7 مليون دولار بأسعار الصرف الحالية – على Clearview AI بسبب مجموعة كبيرة من انتهاكات حماية البيانات العامة للاتحاد الأوروبي. اللائحة (GDPR) بعد التأكد من أن قاعدة البيانات تحتوي على صور للمواطنين الهولنديين.
هذه الغرامة أكبر من العقوبات المنفصلة التي فرضتها اللائحة العامة لحماية البيانات التي فرضتها سلطات حماية البيانات في فرنسا وإيطاليا واليونان والمملكة المتحدة في عام 2022.
في بيان صحفي، حذرت وكالة أسوشييتد برس من أنها أمرت بفرض عقوبة إضافية تصل إلى 5.1 مليون يورو سيتم فرضها على استمرار عدم الامتثال، قائلة إن Clearview فشلت في وقف انتهاكات اللائحة العامة لحماية البيانات بعد انتهاء التحقيق، ولهذا السبب اتخذت القرار طلب إضافي. قد يصل إجمالي الغرامة إلى 35.6 مليون يورو إذا استمرت شركة Clearview AI في تجاهل الجهة التنظيمية الهولندية.
بدأت هيئة حماية البيانات الهولندية التحقيق في Clearview AI في مارس 2023 بعد أن تلقت شكاوى من ثلاثة أفراد تتعلق بفشل الشركة في الامتثال لطلبات الوصول إلى البيانات. يمنح القانون العام لحماية البيانات (GDPR) سكان الاتحاد الأوروبي مجموعة من الحقوق المتعلقة ببياناتهم الشخصية، والتي تتضمن الحق في طلب نسخة من بياناتهم أو حذفها. لم تمتثل Clearview AI لمثل هذه الطلبات.
انتهاكات أخرى للقانون العام لحماية البيانات (GDPR) تفرض وكالة أسوشيتد برس عقوبات على Clearview AI لتضمين انتهاك بارز وهو بناء قاعدة بيانات من خلال جمع البيانات البيومترية للأشخاص دون أساس قانوني صالح. كما يتم فرض عقوبات عليها بسبب إخفاقات الشفافية في القانون العام لحماية البيانات.
وكتبت وكالة أسوشيتد برس: “لم يكن على Clearview أبدًا إنشاء قاعدة بيانات تحتوي على صور ورموز بيومترية فريدة ومعلومات أخرى مرتبطة بها”. “وهذا ينطبق بشكل خاص على [face-derived unique biometric] رموز. مثل بصمات الأصابع، هذه بيانات بيومترية. جمعها واستخدامها محظور. هناك بعض الاستثناءات القانونية لهذا الحظر، لكن Clearview لا يمكنها الاعتماد عليها.
كما فشلت الشركة أيضًا في إبلاغ الأفراد الذين قامت بحذف بياناتهم الشخصية وإضافتها إلى قاعدة بياناتها، وفقًا للقرار.
تم الوصول إلى ممثل Clearview، ليزا ليندن، من شركة العلاقات العامة Resilere Partners ومقرها واشنطن العاصمة، للتعليق، ولم ترد على الأسئلة ولكنها أرسلت عبر البريد الإلكتروني إلى TechCrunch بيانًا منسوبًا إلى كبير المسؤولين القانونيين في Clearview، جاك مولكير.
كتب مولكير: “ليس لدى Clearview AI مكان عمل في هولندا أو الاتحاد الأوروبي، وليس لديها أي عملاء في هولندا أو الاتحاد الأوروبي، ولا تقوم بأي أنشطة قد تعني أنها تخضع للقانون العام لحماية البيانات”. وأضاف: “هذا القرار غير قانوني ويخلو من الإجراءات القانونية الواجبة وغير قابل للتنفيذ”.
ووفقا للهيئة التنظيمية الهولندية، لا تستطيع الشركة استئناف العقوبة لأنها فشلت في الاعتراض على القرار.
تجدر الإشارة أيضًا إلى أن اللائحة العامة لحماية البيانات (GDPR) تتجاوز الحدود الإقليمية من حيث النطاق، مما يعني أنها تنطبق على معالجة البيانات الشخصية لمواطني الاتحاد الأوروبي أينما تتم تلك المعالجة.
وتستخدم شركة Clearview، ومقرها الولايات المتحدة، بيانات الأشخاص المستخرجة لبيع خدمة مطابقة الهوية للعملاء الذين يمكن أن يشملوا الوكالات الحكومية وجهات إنفاذ القانون وغيرها من الخدمات الأمنية. ومع ذلك، من غير المرجح بشكل متزايد أن ينحدر عملاؤها من الاتحاد الأوروبي، حيث يهدد استخدام تقنية الخصوصية التي تنتهك قانون الخصوصية بفرض عقوبات تنظيمية – وهو ما حدث لسلطة الشرطة السويدية في عام 2021.
وحذرت وكالة أسوشييتد برس من أنها ستفرض عقوبات صارمة على أي كيانات هولندية تسعى إلى استخدام Clearview AI. “إن Clearview تنتهك القانون، وهذا يجعل استخدام خدمات Clearview غير قانوني. وكتب رئيس هيئة حماية البيانات الهولندية، أليد ولفسن، أن المنظمات الهولندية التي تستخدم Clearview قد تتوقع غرامات باهظة من هيئة حماية البيانات الهولندية.
يمكن الوصول إلى نسخة باللغة الإنجليزية من قرار AP عبر هذا الرابط.
المسؤولية الشخصية؟
واجهت شركة Clearview AI مجموعة كبيرة من عقوبات اللائحة العامة لحماية البيانات (GDPR) على مدى السنوات العديدة الماضية (على الورق، جمعت ما مجموعه حوالي 100 مليون يورو من غرامات الخصوصية في الاتحاد الأوروبي)، ولكن يبدو أن سلطات حماية البيانات الإقليمية لم تكن ناجحة جدًا في جمع أي منها. هذه الغرامات. تظل الشركة التي يقع مقرها في الولايات المتحدة غير متعاونة ولم تعين ممثلًا قانونيًا لها في الاتحاد الأوروبي.
والأهم من ذلك، أن شركة Clearview AI لم تغير سلوكها الذي ينتهك اللائحة العامة لحماية البيانات – فقد استمرت في انتهاك قوانين الخصوصية الأوروبية مع إفلات واضح من العقاب التشغيلي بسبب وجودها في مكان آخر.
تشعر وكالة الأسوشييتد برس الهولندية بالقلق إزاء هذا الأمر، قائلة إنها تستكشف طرقًا لضمان توقف Clearview عن خرق القانون. تبحث الهيئة التنظيمية فيما إذا كان من الممكن تحميل مديري الشركة المسؤولية الشخصية عن الانتهاكات.
وأضاف: “مثل هذه الشركة لا يمكنها الاستمرار في انتهاك حقوق الأوروبيين والإفلات من العقاب. بالتأكيد ليس بهذه الطريقة الجادة وعلى هذا النطاق الهائل. كتب ولفسن: “سنقوم الآن بالتحقيق فيما إذا كان بإمكاننا تحميل إدارة الشركة المسؤولية الشخصية وتغريمهم لتوجيه تلك الانتهاكات”. “توجد هذه المسؤولية بالفعل إذا علم المديرون أن اللائحة العامة لحماية البيانات يتم انتهاكها، وكان لديهم السلطة لوقف ذلك، لكنهم أغفلوا القيام بذلك، وبهذه الطريقة يقبلون تلك الانتهاكات بوعي”.
نظرًا لأننا رأينا للتو مؤسس تطبيق المراسلة Telegram، Pavel Durov، الذي تم اعتقاله على الأراضي الفرنسية بسبب مزاعم حول انتشار محتوى غير قانوني على منصته، فمن المثير للاهتمام التفكير فيما إذا كانت معاقبة الأشخاص الذين يديرون Clearview قد يكون لها فرصة أكبر لتحفيز الامتثال – فقد يرغبون في السفر بحرية إلى الاتحاد الأوروبي وما حوله.
اكتشاف المزيد من موقع شعاع للمعلوماتية
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.
