Megbüntették az arcfelismerő szoftveres céget, ami az ukránoknak is segített halott katonák azonosításában

20 millió eurós bírságot szabott ki a görög adatvédelmi hatóság az amerikai Clearview AI mesterséges intelligenciával és arcfelismeréses szoftverrel foglalkozó cégre – áll a Deloitte közleményében. A Clearview AI-nak a bírságon túl az összes, görög lakosokról gyűjtött képet is törölnie kell, valamint azokat a biometrikus információkat, amik egy arc azonosításához szükségesek.

A Clearview AI idén többek között azzal került be a hírekbe, hogy arcfelismerő szoftverükkel segítettek az ukrán kormánynak a halott orosz katonák azonosításában. Ezenfelül februárban Olaszországban kaptak szintén 20 millió eurós büntetést, az Egyesült Királyságban májusban 7,5 millió font bírságot szabtak ki rájuk, 2021 decemberében pedig a francia adatvédelmi hatóság szólította fel a céget, hogy törölje képadatbázisát, és hagyjon fel az adatgyűjtéssel.

A cég megítélése igencsak ellentmondásos. Saját állításuk szerint övék a legnagyobb ismert adatbázis, amiben több milliárd arcképet tárolnak. Ezeket mindenféle online forrásokból szedték össze, többek között a közösségi oldalakról. Az érintetteknek nem szólnak, hogy tárolják a képüket, ahogy arról sem, hogy azt hogyan használják fel. Automatizált eszközeik a nyilvános oldalakat fésülik át, és a tárolt képeket metaadatokkal is kiegészítik, például linkkel a kép forrásához.

Az adatbázishoz árulnak hozzáférést, többnyire magáncégeknek és bűnüldöző szerveknek. Az ügyfél feltölt egy képet arról, akit keres, a mesterséges intelligenciás (MI) arcfelismerő pedig visszaküld megfelelően hasonló képeket, amiknél a forrást is megjelöli, hogy az ügyfél tovább nyomozhasson.

A görög hatóság júliusi döntése szerint ezzel az a baj, hogy az adatkezelésnek nincs megfelelő jogalapja, nem érvényesült a célhoz kötöttség és a korlátozott tárolhatóság elve, és az adatkezelési művelet nem volt eléggé átlátható. Ezenfelül azt is kifogásolták, hogy nem tájékoztatták az érintetteket, így azok nem tudtak élni a GDPR adta jogaikkal.

A cég, ahogy korábban, most is azzal védekezett, hogy nincs EU-s székhelyük vagy ügyfelük, és nem végeznek a GDPR hatálya alá tartozó tevékenységet. A GDPR azonban nemcsak az unióban, hanem azon kívüli országokban dolgozó szereplőkre is érvényes, amennyiben azok EU-s állampolgárok személyes adatait (például képmását) kezelik.

A bírságok behajtása már bonyolultabb, pont amiatt, hogy nincs európai székhelyük. Az adatvédelmi hatóságok például indíthatnak vizsgálatot a Clearview AI ügyfeleinél; a svéd adatvédelmi hatóság tavaly így bírságolta meg a rendőrséget, mert jogellenesen használták a Clearview AI szoftverét.