Clearview AI 收到了其迄今为止最大的《通用数据保护条例》（GDPR）罚款，荷兰监管机构考虑让其高管个人承担责任。

Clearview AI 是一家总部位于美国、备受争议的面部识别初创公司，它在未经人们同意的情况下通过从互联网上抓取人们的自拍照来构建了一个包含 300 亿张图像的可搜索数据库，目前该公司在欧洲受到了迄今为止最大的隐私罚款。

荷兰数据保护局（Autoriteit Persoonsgegevens，简称 AP）周二表示，在确认 Clearview AI 的数据库中包含荷兰公民的图像后，已对其处以 3050 万欧元（按当前汇率约合 3370 万美元）的罚款，原因是其多次违反欧盟的《通用数据保护条例》（GDPR）。

这笔罚款高于法国、意大利、希腊和英国的数据保护机构在 2022 年分别实施的《通用数据保护条例》（GDPR）制裁金额。

在一份新闻稿中，荷兰数据保护局警告称，已下令追加最高 510 万欧元的罚款，用于对持续违规行为的处罚，并表示在调查结束后，Clearview 未能停止违反《通用数据保护条例》的行为，这就是为何下达追加命令的原因。如果 Clearview AI 继续无视荷兰监管机构，总罚款可能会达到 3560 万欧元。

2023 年 3 月，荷兰数据保护局在收到三名个人对 Clearview AI 未能遵守数据访问请求的投诉后，开始对其进行调查。《通用数据保护条例》赋予欧盟居民一系列与个人数据相关的权利，包括请求获取其数据副本或要求删除数据的权利。而 Clearview AI 一直未遵守此类请求。

美联社正在对 Clearview AI 进行制裁的其他《通用数据保护条例》（GDPR）违规行为包括一个突出的问题，即在没有有效法律依据的情况下通过收集人们的生物识别数据来建立数据库。它还因违反 GDPR 的透明度规定而受到制裁。

美联社写道：“Clearview 绝不应该用照片、与之相关的独特生物识别码和其他信息来构建数据库。”“这尤其适用于[面部衍生的独特生物识别]码。和指纹一样，这些都是生物识别数据。收集和使用它们是被禁止的。这一禁令存在一些法定例外情况，但 Clearview 不能依赖它们。”

根据该决定，该公司也未能通知那些其个人数据被抓取并添加到公司数据库中的个人。

在被要求置评时，来自华盛顿特区公关公司 Resilere Partners 的 Clearview 代表莉萨·林登（Lisa Linden）没有回答问题，而是给 TechCrunch 发了一封电子邮件，其中有一份声明，声明归功于 Clearview 的首席法务官杰克·马尔凯尔（Jack Mulcaire）。

穆尔凯尔写道：“Clearview AI 在荷兰或欧盟没有营业场所，在荷兰或欧盟没有任何客户，也没有开展任何会使其受《通用数据保护条例》约束的活动。” 他还补充道：“这一决定是非法的，缺乏正当程序，且无法执行。”

据荷兰监管机构称，该公司不能对处罚提出上诉，因为它未对该决定提出异议。

还值得注意的是，《通用数据保护条例》（GDPR）在范围上具有域外效力，这意味着无论个人数据处理行为发生在何处，只要涉及欧盟人员的个人数据处理，该条例均适用。

总部位于美国的 Clearview 利用抓取的人们的数据向客户出售身份匹配服务，客户包括政府机构、执法部门和其他安全服务部门。然而，其客户越来越不可能来自欧盟，在欧盟，使用这种违反隐私法的技术有面临监管制裁的风险——2021 年瑞典警方就曾遭遇这种情况。

荷兰数据保护局主席阿莱德·沃尔夫森写道，荷兰数据保护局警告称，将严厉制裁任何试图使用 Clearview AI 的荷兰实体。“Clearview 违反了法律，这使得使用 Clearview 的服务属于非法行为。因此，使用 Clearview 的荷兰组织可能会收到荷兰数据保护局的高额罚款。”

美联社这一决定的英语版本可通过此链接访问。

“个人责任？”

在过去几年里，Clearview AI 面临了一系列 GDPR（《通用数据保护条例》）的处罚（理论上，它在欧盟已累计约 1 亿欧元的隐私罚款），但地区数据保护机构显然在收取这些罚款方面不太成功。这家总部位于美国的公司仍然不合作，也没有在欧盟指定法定代表人。

更重要的是，Clearview AI 并未改变其违反《通用数据保护条例》的行为——由于总部设在其他地方，它继续公然无视欧洲隐私法，显然在运营上未受惩罚。

荷兰数据保护局对此表示担忧，称正在探索确保 Clearview 停止违法的方法。该监管机构正在调查该公司的董事是否要为这些违规行为承担个人责任。

沃尔夫森写道：“这样一家公司不能继续侵犯欧洲人的权利还逍遥法外。当然不能以这种严重的方式和如此大规模地进行。我们现在将调查是否可以让该公司的管理层承担个人责任，并对他们指挥这些违规行为进行罚款。”“如果董事知道《通用数据保护条例》遭到违反，有权制止却没有这么做，并以这种方式有意接受这些违规行为，那么这种责任就已经存在。”

由于我们刚刚看到即时通讯应用程序 Telegram 的创始人帕维尔·杜罗夫（Pavel Durov）因被指控其平台上传播非法内容而在法国领土上被捕，思考对 Clearview 的管理人员进行制裁是否更有可能促使其遵守规定是很有趣的——毕竟，他们可能希望能自由出入并在欧盟境内活动。