有爭議的面部識別公司Clearview AI通過從互聯網上搜羅自拍照片，積累了一個約100億張圖片的資料庫，以便向執法部門出售身份匹配服務，今天，該公司再次被勒令刪除人們的數據。 法國的隱私監督機構CNIL今天說，這是因為Clearview違反了歐洲的《通用數據保護條例》（GDPR）。

在一份關於違規調查結果的公告中，CNIL還向Clearview發出正式通知，要求其停止”非法處理”，並稱其必須在兩個月內刪除用戶數據。

該監督機構是根據2020年5月以來收到的對Clearview的投訴採取行動的。

這家美國公司在歐盟沒有建立分公司，這意味著它的業務可以在歐盟範圍內被任何成員國的數據保護監督機構採取監管行動。 因此，雖然CNIL的命令只適用於它所持有的來自法國領土的人的數據–CNIL估計這涵蓋了少數的互聯網使用者–但其他歐盟機構可能會發出更多這樣的命令。

CNIL指出，它已經尋求與其他機構合作，分享其調查結果–這表明Clearview可能會面臨其他歐盟成員國和歐洲經濟區國家當局的進一步命令，停止處理數據，這些國家已將GDPR納入國家法律（總共約30個國家）。

今年，Clearview的服務已經被裁定違反了加拿大、澳大利亞和英國的隱私規則（英國在英國脫歐後位於歐盟之外，但目前在國家法律中保留了GDPR）–它在那裡同樣面臨著潛在的罰款，並在上個月被命令刪除用戶數據。

法國CNIL發現，Clearview有兩項違反GDPR的行為–在沒有法律依據的情況下收集和使用生物識別數據，違反了第6條（處理的合法性）;以及違反了第12、15和17條規定的各種數據訪問權利。

違反第6條是因為Clearview沒有獲得人們的同意來使用他們的面部生物識別技術，也不能依靠合法利益的法律依據來收集和使用這些數據–鑒於CNIL所描述的大規模和”特別侵入性”的處理。

CNIL寫道：「這些人的照片或視頻可以在各種網站和社交網路上看到，他們不會合理地期望他們的圖像被[Clearview AI]處理，以提供一個可以被國家使用的面部識別系統，[例如用於]員警目的……”。 監管機構還收到了來自個人的投訴，說他們在試圖獲得GDPR數據訪問權時遇到了一些”困難”。

在這裡，CNIL發現Clearview在很多方面都違反了規定–比如在”沒有理由”的情況下，將個人的數據訪問權限制在一年兩次;或者將其限制在過去12個月內收集的數據;或者在”同一人提出過多的請求”後才對某些請求作出回應。

Clearview AI已被勒令確保其保護數據主體的權利，包括遵守刪除人們數據的請求。

如果該公司不遵守法國的命令，CNIL警告說，它可能會面臨進一步的監管行動–這將包括高額罰款的可能性。 根據GDPR，監管機構可以發出高達2000萬歐元的罰款，或高達公司全球年收入的4%，以較高者為準。 然而，對沒有歐盟公司的跨國企業如何執行罰款確實是一個監管挑戰。