从Clearview v. ICO案看全球对人脸识别和数据保护的域外监管扩张
从Clearview v. ICO案看全球对人脸识别和数据保护的域外监管扩张
一、从Clearview遭遇全球监管说起
Clearview AI Inc.(“Clearview")成立于2017年,是一家美国知名人脸识别应用服务公司,据称维持着全球最大的人脸数据库,数据涵盖从Facebook、Twitter和YouTube等诸多社交媒体平台上抓取的照片。截至2023年4月,其人脸数据量已超过 300亿张。[1]报道称,只需上传一张人像照片,Clearview的 AI 技术即可在全网范围进行识别,并反馈数据库中匹配到的所有类似图像,包括照片人物在各社交网站上的资料及链接,帮助客户锁定照片中的个人身份信息。Clearview主要面向美国警方等执法机构以及国家情报部门提供面部识别服务,用以抓捕罪犯。在2020年前,Clearview的服务还面向私人企业。
2020年Clearview遭到黑客攻击,平台上超过2000家客户数据泄露,其中包括美国移民局、司法部、联邦调查局(FBI)等重要执法机构。由于绝大多数人都不知道自己的照片被Clearview采集并使用,此事迅速引起全球范围内对人脸识别技术的安全性和监管、及隐私保护的热议。
同年以来,美国、加拿大、英国、澳大利亚、瑞典、意大利、法国等多国的监管机构先后就Clearview无差别收集用户人脸信息的行为是否侵犯用户隐私权及违反法律发起调查或诉讼,并最终对Clearview处以了共计数千万欧元的罚款,同时要求其删除本国公民人脸数据。
这其中较引人瞩目的处罚事件是,2020年7月,英国信息专员办公室(“ICO")与澳大利亚信息专员办公室(“OAIC")对Clearview展开的联合调查,结果如下:
二、从Clearview v. ICO案判决看欧盟及英国GDPR的域外管辖规则及其适用
就英国ICO所作两项通知,2022年6月29日,Clearview向英国初审法庭(First-tier Tribunal)提起上诉,主张Clearview是一家外国公司、向“外国客户、使用外国IP地址、为了支持外国政府和政府机构的(尤其是与其国家安全和刑事执法职能相关的)公共利益行动"提供服务,故ICO对其无管辖权。
2023年10月17日,英国初审法庭支持了Clearview的上诉,判决ICO作出两项通知缺乏管辖权基础。[3]英国初审法庭认为:
欧盟和英国GDPR的域外管辖权涵盖Clearview被处罚的数据处理行为,尽管Clearview是一家在美国设立的公司,在英国和欧盟不设有实体(establishment)、同时在英国和欧盟也不设有服务器;但是
Clearview的数据处理服务仅提供给非英国/欧盟刑事执法和国家安全机构及其承包商、用于履行刑事执法和国家安全职能。该等行为作为外国政府机构执法活动的一部分,根据欧盟GDPR第2(2)(a)条和英国GDPR第3(2A)和2(1)(a)条,被排除在欧盟和英国GDPR的实体适用范围之外。[4]
虽然Clearview在与英国ICO的对抗中胜诉了,但是英国初审法庭关于欧盟和英国GDPR对Clearview具有域外管辖权的宽泛解释应当引起从事相关业务的外国公司(包括中资企业)的重视。而且该等解释很可能被采纳类似规定的其他国家和地区的司法和执法实践沿用,进一步增加外国公司开展相关涉欧盟/英国数据处理业务的合规风险。
(一)欧盟和英国GDPR域外管辖权规定
由于Clearview在英国境内不设有实体,其数据处理行为能受到欧盟和英国GDPR约束的唯一基础是欧盟和英国GDPR第3(2)条的域外管辖条款(具体见下,不同之处以下划线标记):
(二)英国初审法庭对欧盟和英国GDPR域外管辖权适用范围的解释
本案涉及的是欧盟和英国GDPR第3(2)(b)条规定的情形——“对数据主体在欧盟/英国境内的行为进行监控"。为认定Clearview的数据处理行为落入该条的适用范围,英国初审法庭认为需要满足四要素:
(1)须有对个人数据的处理行为(processing);
(2)须是英国数据主体的个人数据;
(3)处理行为须由不设立在英国的控制者或处理者进行;以及
(4)处理行为与对英国境内数据主体行为的监控“相关",只要其行为发生在英国境内。
如下详述,初审法庭就第(4)点进行了重点分析。根据其说理,被调查对象的行为只要与监控“相关"、而无需实际采取监控行为,也可触发第3(2)(b)条的适用。这意味着向英国控制者提供服务的境外处理者也会受到第3(2)(b)条的规制。
1. 对个人数据的处理行为(processing)
根据ICO的执行通知和初审法庭的认定,Clearview被初审法庭认定的数据处理行为横跨了英国脱欧过渡期开始(2020年1月31日)前后,具体可分为两类:
2. 英国数据主体的个人数据
初审法庭认同,Clearview 的数据库包含英国数据主体的个人数据,而且根据英国居民人脸图像获得的矢量作为生物识别数据也属于个人数据。
作为佐证,2019年6月到2020年3月期间,Clearview曾在英国通过开展测试并主动开展培训的方式,向伦敦等多地在内的警方以及英国国家犯罪局在内的英国执法及政府组织提供过面部识别服务。
3. 不设立在英国的“控制者"或“处理者"
根据欧盟GDPR第4(7)条对“控制者"的定义,数据控制者应是决定个人数据处理的目的和方式的主体。
对于Clearview的两项行为,初审法庭认为:
Clearview是“行为1"(创建、开发和维护个人数据库以及索引其中图像的个人数据处理)的控制者;
Clearview与其客户是“行为2"(将客户提交的图像与数据库中的图像进行匹配,并将搜索结果提供给客户的个人数据处理)的共同控制者。
具体而言,Clearview确定了处理行为的目的,即通过服务条款禁止客户将其服务用于执法或国家安全以外的目的;而Clearview与其客户均确定了处理行为的方式,即客户上传搜索图片、Clearview进行匹配并反馈搜索结果和关联信息。但初审法庭也强调,即使Clearview与其客户不被认定为是共同控制者,欧盟和英国GDPR也不排除某一控制者处理数据与另一不同的控制者的对行为的监控相关。
此外,Clearview也是两项行为的处理者(但初审法庭未就此作进一步解释说明)。
4. 处理行为与对英国境内数据主体行为的监控相关
对“行为(behaviour)"的认定:
初审法庭认为,“行为"是关于一个人在做某事,而不仅仅是他们的特征。仅仅识别一个人的姓名、头发颜色、年龄、姓名或出生日期等并不等同于“行为";相反,行为可能包括一个人在哪里、在做什么、与他人的关系、所携带的东西、所穿的服饰等;但具体行为要依据个案判断。
本案中,初审法庭认为,从Clearview反馈给客户的图像搜索结果中,可以显示或推断出一个人的关系状况、父母身份、关联关系、地点或住所、社交媒体使用情况、个人习惯、职业或消遣、驾驶能力、活动及其合法性、该人是否被捕等行为方面。
对“监控(monitoring)"的认定:
结合欧盟GDPR序言第(24)段,初审法庭认为“监控"需要确定是否通过某种网络或技术追踪自然人,包括随后可能使用特定数据处理技术,这些技术包括对自然人进行剖析以对其作出决定、预测或分析其行为等。而且,监控行为可以是仅一次性的行为。
本案中,初审法庭认为,Clearview的“行为1"和“行为2"都不构成实施监控行为,因为从图像中收集人脸矢量信息并依据其相似性对图像进行索引的过程,并未揭示任何有关个人行为的信息,而只是一种自动化的数学运算。
然而,Clearview的客户构成利用Clearview的服务实施监控行为。Clearview的客户使用其服务对个人的监控行为可以包括:确定一个人在某一时刻的位置、通过重复提交已知人员的同一图像来随时间推移观察该数据主体、使用Clearview反馈的匹配图像对不同时间的图像中的人物进行描述、将这些结果与从其他形式的监控中获得的信息相结合等。该等行为不仅是为了查明某人的身份,也是为了对其做出决定、预测或分析其行为,以便逮捕他们或收集他们所做行为的证据或防止非法活动。
据此,初审法庭认为,Clearview的客户获取或试图获取所搜索图像中的人士的相关事实(如其位置及与他人的联系等)的行为构成对其“行为的监控"。
对“有关(related to)"的认定:
最后,初审法庭认定Clearview的两项处理行为都与其客户的监控“有关",原因是Clearview数据库的创建、维护和运行与客户的监控行为之间存在密切联系,Clearview 的数据处理行为即是为了让其客户能够进行监控。
5. 结论
基于对欧盟和英国GDPR域外管辖适用范围的宽泛解释,英国初审法庭得出结论:虽然Clearview本身的两项数据处理行为不构成 Clearview 对英国数据主体行为的监控,但Clearview的客户使用从Clearview服务获得的图像和其他信息来监控英国数据主体的行为,而Clearview的两项处理行为又都与该等监控相关,因此同时落入了英国和欧盟GDPR的域外管辖权的适用范围。
三、Clearview v. ICO案判决对中企的意义
Clearview v. ICO案判决中关于英国和欧盟GDPR的域外效力的认定对于从事跨境人脸识别技术和数据应用的中国或中资企业具有多重意义。
(一)欧盟和英国GDPR的域外管辖
毋庸置疑,Clearview v. ICO案判决对于在欧盟/英国没有设立实体、但其经营活动中涉及处理欧盟/英国数据主体个人数据的中资企业起到警示作用。如果企业的数据处理商业行为涉及与监控欧盟/英国数据主体相关的行为,即很可能受到欧盟/英国GDPR的监管。而且需要特别注意的是,企业作为人脸识别技术或其他数据处理服务提供者,同样可能因其客户的数据处理行为而承担欧盟/英国GDPR下的责任。
毕竟能够适用国家安全和执法例外抵御欧盟/英国GDPR域外管辖权的属于极少数情形。因此,对于大部分中国企业来说,只要参与创建包含欧盟/英国个人信息的数据库,存在对表明某人的行为的互联网数据库、搜索引擎、图像的扫描,即应充分了解和考虑其本身及其客户使用企业技术用于处理的数据及其处理目的,以确认是否可能落入欧盟/英国GDPR的域外适用范围。如果有落入的风险,履行适当的告知义务及征得数据主体的明确同意则更为重要。
(二)其他国家和地区立法的域外管辖趋势
Clearview v. ICO案判决事实上是各国对于人脸识别技术和相关数据传输日益严格监管的一个缩影。除欧盟和英国GDPR外,其他常见技术出海涉及的国家和地区的立法在域外管辖效力方面亦呈现出扩大趋势,同样需要引起中企足够重视。
1. 澳大利亚
如上所述,澳大利亚OAIC在与英国ICO对Clearview发起的联合调查中也依据国内《隐私法》对Clearview进行了处罚。但Clearview向澳大利亚行政上诉法庭(Administrative Appeals Tribunal)提出的上诉则没有获得支持。[5]
澳大利亚行政上诉法庭经审理,肯定了《隐私法》的域外管辖效力,并认为Clearview的行为具备该法行使域外效力需满足的“澳大利亚联系"(Australian link)前提、且Clearview违反了该法。行政上诉法庭的理由是:Clearview从澳大利亚境内服务器上反复多次收集个人信息,满足有“澳大利亚联系"的两个必要要求:(1)在澳大利亚境内经营业务,以及(2)在澳大利亚境内收集信息。Clearview在澳大利亚没有实体、也未从任何在澳大利亚的商业经营获得收益并不影响前述认定。
值得关注的是,2022年12月13日,澳大利亚新修订的《隐私法》生效,删除了上述“澳大利亚联系"两个要求中的第二项。也即在此之后,境外公司只要满足“在澳大利亚经营业务",而无论是否在澳大利亚境内收集信息,即可触发澳大利亚《隐私法》对其行使域外管辖权。
2. 欧盟
2024年3月13日,欧洲议会表决通过《人工智能法案》(Artificial Intelligence Act), 这是世界上第一部人工智能全面监管的法律。该法案将人工智能系统按不可接受风险、高风险、有限风险、以及低风险实行四级分级监管。人脸识别所涉实时远程生物识别技术属于其中被严格禁止或监管事项:
在实施分级监管的同时,《人工智能法案》明确其具备域外管辖效力。法案第2条规定,《人工智能法案》的规制及于:
无论是欧盟境内还是境外的实体,只要其在欧盟境内将人工智能系统或通用人工智能模型投入市场或投入使用;以及
场所位于欧盟境外的人工智能系统提供者和使用者,如其系统产生的产出(output)在欧盟境内使用。但是对于“产出"是指什么,《人工智能法案》未有定义,尚有待执法机构和司法实践进一步明确。
3. 美国
关于人脸识别技术的监管,目前美国联邦层面没有制定统一的法律法规,而是由各州根据本地情况制定相应的法律框架。现已有加利福尼亚州、华盛顿州等多个州对人脸识别技术的应用作出规定,在推动人脸识别技术监管方面比联邦政府更为积极。
但是,美国作为联邦制国家,各州的法律通常只适用于本州范围内,不具有域外效力。尽管如此,当涉及跨国公司或者美国政府在全球范围内推行其法规时,美国的某些法律和政策仍可能对全球产生影响。例如,美国对外国企业与美国企业进行交易时的数据保护要求,可能对中国企业产生间接的域外效力。此外,欧盟《人工智能法案》的域外管辖效力的出台实施,也可能促使美国重新评估其现行立法模式、并作出立法调整。例如,2024年4月,美国就发布了《隐私权法案》草案;但该法案最终是否会就域外管辖效力问题作出明确规定、是否最终得以通过,尚待观察。
4. 中国
最后回到国内,我国自2021年以来也发布了一系列涉及对人脸识别技术进行监管的法律法规,这些法律法规同样具有一定的域外效力:
根据以上,中国或中资企业在境外开展业务时,如果涉及到使用人脸识别技术处理中国境内个人的信息、或者向中国境内提供服务,也务必关注是否需要遵守中国的法律法规。
结语
毫无疑问,随着各国普遍对人脸识别和数据应用技术的域外监管边界不断扩张,从事跨境或出海业务的中国或中资企业很可能需要同时受制于不同国家和地区的多重监管要求。在此大环境下,充分了解和把握相关国家和地区立法的域外管辖效力和边界的最新立法和司法实践,对于中国或中资企业统筹优化其数据合规、降低因数据处理合规问题被海外执法机构监管处罚及导致业务受阻的风险有很大助益。另一方面,各国和地区日益扩张的域外管辖监管也不可避免会增加企业与监管国政府之间发生争议的几率。对此,我们也将持续关注,以期为中国或中资企业参与全球技术市场保驾护航。
[注]
[1] 参见Clearview官方网站,2023年4月18日,我们是如何存储和搜索300亿张面孔的(How We Store and Search 30 Billion Faces),地址:https://www.clearview.ai/post/how-we-store-and-search-30-billion-faces。
[2] 在英国脱欧后,欧盟GDPR不再适用于英国,但其修订版本继续适用于英国,即“英国GDPR"。英国GDPR基本继承了欧盟GDPR的所有内容,只是由欧盟法律变成了英国国内法律;但是由于希望与欧盟法脱钩,英国GDPR在条文内容表述和结构安排上与欧盟GDPR存在一些差别。
[3] Clearview AI Inc v. The Information Commissioner, [2023] UKFTT 00819 (GRC).
[4] 英国GDPR将欧盟GDPR第2(2)(a)条规定的实体适用范围的例外情形规定为其行使地域管辖权的条件之一。
[5] Clearview AI Inc v. Australian Information Commissioner, [2023] AATA 1069.