فازت أداة Clearview AI لصور السيلفي بالاستئناف ضد عقوبة الخصوصية في المملكة المتحدة

فازت شركة Clearview AI الأمريكية المثيرة للجدل للتعرف على الوجه، باستئناف ضد عقوبة الخصوصية التي أصدرتها المملكة المتحدة العام الماضي.

في مايو 2022، أصدر مكتب مفوض المعلومات (ICO) إشعارًا تنفيذيًا رسميًا بشأن Clearview – والذي تضمن غرامة قدرها حوالي 7.5 مليون جنيه إسترليني (~ 10 ملايين دولار أمريكي) – بعد أن خلص إلى أن شركة الذكاء الاصطناعي التي تقوم بالتجريف الذاتي قد ارتكبت سلسلة من الانتهاكات للقواعد المحلية. قوانين الخصوصية. كما أمرت الشركة، التي تستخدم البيانات الشخصية المسروقة لبيع خدمة مطابقة الهوية لهيئات إنفاذ القانون والأمن القومي، بحذف المعلومات التي تحتفظ بها عن مواطني المملكة المتحدة.

قدمت Clearview استئنافًا ضد القرار. وفي حكم صدر بالأمس، ساد الطعن القانوني الذي قدمته ضد ICO لأسباب تتعلق بالاختصاص القضائي بعد أن قضت المحكمة بأن أنشطة الشركة تقع خارج نطاق اختصاص قانون حماية البيانات في المملكة المتحدة بسبب الإعفاء المتعلق بإنفاذ القانون الأجنبي.

على الرغم من أن المحكمة وافقت على حجة ICO بأن معالجة Clearview كانت مرتبطة بمراقبة سلوك أصحاب البيانات التي يقوم بها عملاؤها. كما وجدت أن الشركة هي المراقب المشترك للمعالجة. لكن قضية ICO لم تتوصل إلى الاختصاص القانوني.

تنص اللائحة العامة لحماية البيانات (GDPR) في المملكة المتحدة على أن معالجة البيانات الشخصية من قبل السلطات المختصة لأغراض إنفاذ القانون هي خارج نطاقها – وتخضع بدلاً من ذلك للقواعد الواردة في الجزء 3 من قانون حماية البيانات لعام 2018 (الذي جلب سلطات إنفاذ القانون في الاتحاد الأوروبي) التوجيه EU2016/680 في قانون المملكة المتحدة، بعد خروج بريطانيا من الاتحاد الأوروبي).

وبموجب الحكم، قالت Clearview إنها شركة أجنبية تقدم خدماتها إلى “عملاء أجانب، باستخدام عناوين IP أجنبية، ودعم أنشطة المصلحة العامة للحكومات الأجنبية والوكالات الحكومية، لا سيما فيما يتعلق بأمنها القومي وإنفاذ القانون الجنائي”. المهام”.

قبلت المحكمة مطالبتها بتقديم الخدمة حصريًا لهيئات إنفاذ القانون أو هيئات الأمن القومي خارج المملكة المتحدة والاتحاد الأوروبي والمتعاقدين معها (وأن جميع هؤلاء المتعاقدين ينفذون أيضًا وظائف إنفاذ القانون الجنائي و/أو الأمن القومي فقط) – مما أدى إلى إلغاء قرار الإنفاذ الصادر عن ICO العثور على سلسلة من الانتهاكات للقانون العام لحماية البيانات في المملكة المتحدة.

تم الاتصال بنا للرد على الحكم، وأرسل لنا متحدث باسم ICO هذا البيان عبر البريد الإلكتروني:

سوف يقوم ICO بتقييم حكم اليوم والنظر بعناية في الخطوات التالية. من المهم ملاحظة أن هذا الحكم لا يزيل قدرة ICO على التصرف ضد الشركات الموجودة دوليًا والتي تعالج بيانات الأشخاص في المملكة المتحدة، وخاصة الشركات التي تقوم بجمع بيانات الأشخاص في المملكة المتحدة، وبدلاً من ذلك يغطي إعفاء محددًا حول إنفاذ القانون الأجنبي.

ولم تؤكد هيئة حماية البيانات ما إذا كانت ستستأنف أم لا. ليس من الواضح أيضًا سبب عدم قيام ICO برفع دعوى ضد Clearview بموجب DPA 2018، بدلاً من اللائحة العامة لحماية البيانات في المملكة المتحدة.

وفي الوقت نفسه، رحبت كليرفيو بحكم المحكمة. “قال المستشار العام، جاك مولكير، في بيان رد موجز: “نحن سعداء بقرار المحكمة بإلغاء الأمر غير القانوني الذي أصدرته شركة ICO في المملكة المتحدة ضد Clearview AI”.

كانت عقوبة المملكة المتحدة مجرد واحدة من عدد من إجراءات التنفيذ التي تم فرضها ضد Clearview في السنوات الأخيرة بموجب قوانين حماية البيانات الإقليمية.

وجدت سلطات حماية البيانات في فرنسا وإيطاليا واليونان أن الشركة الأمريكية تنتهك اللائحة العامة لحماية البيانات الخاصة بالاتحاد الأوروبي، والتي يستند إليها إطار حماية البيانات المحلي في المملكة المتحدة. ومع ذلك، منذ خروج بريطانيا من الاتحاد الأوروبي، أصبح القانون العام لحماية البيانات في المملكة المتحدة قانونًا متميزًا – لذلك ليس من الواضح ما إذا كان حكم المحكمة هذا سيكون له آثار مباشرة على عمليات التنفيذ الأخرى ضد Clearview والتي تشير إلى القانون العام لحماية البيانات في الاتحاد الأوروبي.

ومع ذلك، كافحت اتفاقيات حماية البيانات في الكتلة أيضًا لفرض إرادتها على Clearview.

في شهر مايو الماضي، أكدت CNIL الفرنسية أن Clearview لم تدفع الغرامات التي فرضتها – وأعلنت عن غرامة أخرى لعدم الدفع في تلك المرحلة. كما أمرت الهيئة شركة Clearview بحذف البيانات الخاصة بالمواطنين الفرنسيين وحظرت المزيد من المعالجة غير القانونية. لكن ليس من الواضح أن CNIL كانت قادرة على تطبيق تلك الأوامر القضائية أيضًا.

في وقت سابق من هذا العام، أخبرت السلطة الفرنسية موقع TechCrunch أنها كانت تتحدث مع لجنة التجارة الفيدرالية الأمريكية – “لمناقشة كيف يمكننا ضمان تنفيذ الأمر القضائي الصادر ضد الشركة”. لقد اتصلنا بـ CNIL للحصول على تحديث حول جهودها لجعل Clearview تمتثل لأوامرها. لقد تواصلنا أيضًا مع هيئتي حماية البيانات الإيطالية واليونانية لطرح أسئلة حول إجراءاتهما ضدها وسنقوم بتحديث هذا التقرير بأي ردود.

تسلط قضية Clearview الضوء على التحديات التي تواجه الهيئات التنظيمية الأوروبية في محاولة فرض قواعد حماية البيانات، والتي – في حالة اللائحة العامة لحماية البيانات على الأقل – تنطبق خارج الحدود الإقليمية، أي ضد الشركات الأجنبية التي تعالج بيانات السكان المحليين. لكن يبدو أن محور Clearview للتركيز الكامل لأعمالها على وكالات إنفاذ القانون والأمن القومي قد أدى إلى تعقيد الصورة القانونية.

تدعي الشركة أنه ليس لديها أي عملاء محليين، قائلة إنها لا تقدم خدماتها للمستخدمين الموجودين في المملكة المتحدة أو الاتحاد الأوروبي. لكن هذا لم يكن هو الحال دائما. في عام 2021، استهدفت هيئة حماية البيانات السويدية عميل Clearview السابق للتنفيذ – حيث فرضت غرامة على هيئة الشرطة السويدية قدرها 250 ألف يورو (300 ألف دولار أمريكي) بسبب الاستخدام غير القانوني لتقنية الذكاء الاصطناعي الخاصة بها والتي وجدت أنها تنتهك قانون البيانات الجنائية في البلاد.

وكان هذا التحقيق خاصًا باستخدام سلطة الشرطة المحلية لأداة Clearview، وقد عثرت عليه السلطات السويدية لم تف بالتزاماتها القانونية كمراقب للبيانات، بما في ذلك الفشل في تنفيذ التدابير التنظيمية الكافية لإثبات أن المعالجة كانت متوافقة مع القانون (مثل عدم إجراء تقييم تأثير حماية البيانات). لكنه يؤكد أن سلطات إنفاذ القانون العاملة في الاتحاد الأوروبي لا تملك ذلك تفويض مطلق لاستخدام كلير فيو.

وبالفعل قد يكون العكس هو الصحيح؛ وربما لا تستطيع سلطات إنفاذ القانون المحلية – من الناحية القانونية – الاستفادة من أداة تثير العديد من المخاوف المتعلقة بالحقوق الأساسية.

وقد دعا المجلس الأوروبي لحماية البيانات (EDPB) والمشرف الأوروبي لحماية البيانات في السابق إلى فرض حظر على معالجة البيانات الشخصية في سياق إنفاذ القانون “التي تعتمد على قاعدة بيانات مملوءة بجمع البيانات الشخصية على نطاق واسع وبطريقة عشوائية”، كما قال EDPB العام الماضي – معطيًا بشكل واضح مثال كشط الصور الفوتوغرافية و صور الوجه من الإنترنت العام (كما تفعل Clearview).

نشر EDPB أيضًا إرشادات مفصلة حول استخدام التعرف على الوجه في تطبيق القانون والتي تحذر السلطات من أنه لا يمكنها تجاهلها قواعد ومبادئ حماية البيانات – ويجب أن يتم تنفيذهاكه حذرا تقييمات “الضرورة والتناسب”، عند النظر في اعتماد أدوات الذكاء الاصطناعي؛ فضلا عن دراسة “جميع الآثار المحتملة على الحقوق الأساسية الأخرى”.

لذا فإن إطار حماية البيانات الخاص بالكتلة يجعل من الصعب جدًا – أو حتى من المستحيل – على Clearview بيع خدماتها المعادية للخصوصية لعملاء إنفاذ القانون الإقليميين. على الرغم من أن اللائحة العامة لحماية البيانات تضع حدودًا على قدرتها على بيع الخدمات للعملاء الإقليميين لأي أغراض أخرى.

وفي الوقت نفسه، انتهت الدعوى القضائية الأمريكية الأخيرة ضد شركة Clearview من قبل اتحاد الحريات المدنية الأمريكي، بموجب قانون إلينوي الذي يحظر استخدام البيانات البيومترية للأفراد دون موافقة، إلى تسوية في العام الماضي تضمنت حظرًا وطنيًا على بيع الشركة أو التخلي عن الوصول إليها. قاعدة بيانات التعرف على الوجه الخاصة بها مخصصة للشركات الخاصة والأفراد – مما يقتصر أعمالها بشكل أساسي على العقود الحكومية الأمريكية (باستثناء الكيانات الحكومية الحكومية أو الحكومية المحلية في إلينوي نفسها، والتي شملها الحظر).

لذا، فإن السؤال المطروح بالنسبة للجهات التنظيمية الأوروبية هو ما إذا كان بوسعها أن تفعل أي شيء لمنع شركة أمريكية من جمع البيانات عن مواطنيها وبيع تقنية مطابقة الوجه التي تعتبر معادية للخصوصية لأجهزة إنفاذ القانون في الولايات المتحدة أو غيرها من السلطات الأجنبية والهيئات الحكومية؟

في ظل القوانين الحالية وسلطات التنفيذ، يبدو الأمر صعبًا.

لقد وقع الجدل الدائر حول Clearview على رادار المشرعين في الاتحاد الأوروبي الذين يعملون على إنشاء إطار قائم على المخاطر لتنظيم تطبيقات الذكاء الاصطناعي. وفي وقت سابق من هذا العام، أيد أعضاء البرلمان الأوروبي في البرلمان الأوروبي تعديلات على مشروع قانون الذكاء الاصطناعي للاتحاد الأوروبي الذي اقترح توسيع قائمة ممارسات الذكاء الاصطناعي المحظورة لتشمل ما يرقى إلى بند كليرفيو. من شأن هذا التعديل أن يحظر صراحةً الحذف العشوائي للبيانات البيومترية من مواقع التواصل الاجتماعي (وغيرها) لإنشاء قواعد بيانات للتعرف على الوجه – وهو إجراء أكده أعضاء البرلمان الأوروبي على أنه ينتهك حقوق الإنسان، بما في ذلك الحق في الخصوصية.

ولا يزال المشرعون المشاركون في الكتلة يعملون على ملف قانون الذكاء الاصطناعي. لذلك يبقى أن نرى ما إذا كان الحظر المقترح على حذف صور السيلفي لتشغيل مطابقة الهوية المستندة إلى التعرف على الوجه سيصل إلى النص النهائي. إذا حدث ذلك، فمن الواضح أنه سيزيد من تشديد القانون الإقليمي ضد شركة Clearview.

ولكن مرة أخرى، لا يزال يتعين علينا أن نرى ما إذا كانت شبكة جديدة من الهيئات التنظيمية الإقليمية، المكلفة بإنفاذ قانون الذكاء الاصطناعي، قد تحقق المزيد من النجاح في إرغام شركة أجنبية غير متعاونة على التوقف عن انتهاك حقوق الأوروبيين.