法國隱私監管機構向Clearview AI下達刪除數據的命令

在一份關于違規調查結果的公告中，CNIL還向Clearview發出正式通知，要求其停止"非法處理"，并稱其必須在兩個月內刪除用戶數據。

該監督機構是根據2020年5月以來收到的對Clearview的投訴采取行動的。

這家美國公司在歐盟沒有建立分公司，這意味著它的業務可以在歐盟范圍內被任何成員國的數據保護監督機構采取監管行動。因此，雖然CNIL的命令只適用于它所持有的來自法國領土的人的數據--CNIL估計這涵蓋了少數的互聯網用戶--但其他歐盟機構可能會發出更多這樣的命令。

CNIL指出，它已經尋求與其他機構合作，分享其調查結果--這表明Clearview可能會面臨其他歐盟成員國和歐洲經濟區國家當局的進一步命令，停止處理數據，這些國家已將GDPR納入國家法律（總共約30個國家）。

今年，Clearview的服務已經被裁定違反了加拿大、澳大利亞和英國的隱私規則（英國在英國脫歐后位于歐盟之外，但目前在國家法律中保留了GDPR）--它在那里同樣面臨著潛在的罰款，并在上個月被命令刪除用戶數據。

法國CNIL發現，Clearview有兩項違反GDPR的行為--在沒有法律依據的情況下收集和使用生物識別數據，違反了第6條（處理的合法性）；以及違反了第12、15和17條規定的各種數據訪問權利。

違反第6條是因為Clearview沒有獲得人們的同意來使用他們的面部生物識別技術，也不能依靠合法利益的法律依據來收集和使用這些數據--鑒于CNIL所描述的大規模和"特別侵入性"的處理。

CNIL寫道："這些人的照片或視頻可以在各種網站和社交網絡上看到，他們不會合理地期望他們的圖像被[Clearview AI]處理，以提供一個可以被國家使用的面部識別系統，[例如用于]警察目的……"。監管機構還收到了來自個人的投訴，說他們在試圖獲得GDPR數據訪問權時遇到了一些"困難"。

在這里，CNIL發現Clearview在很多方面都違反了規定--比如在"沒有理由"的情況下，將個人的數據訪問權限制在一年兩次；或者將其限制在過去12個月內收集的數據；或者在"同一人提出過多的請求"后才對某些請求作出回應。

Clearview AI已被勒令確保其保護數據主體的權利，包括遵守刪除人們數據的請求。

如果該公司不遵守法國的命令，CNIL警告說，它可能會面臨進一步的監管行動--這將包括高額罰款的可能性。根據GDPR，監管機構可以發出高達2000萬歐元的罰款，或高達公司全球年收入的4%，以較高者為準。然而，對沒有歐盟公司的跨國企業如何執行罰款確實是一個監管挑戰。