Clearview: Η σκιώδης αμερικανική εταιρεία που συνεχίζει να σκανάρει τα πρόσωπα μας
Η αμερικανική Clearview AI έχει δημιουργήσει μια τεράστια βάση βιομετρικών δεδομένων – δίχως συγκατάθεση. Η εταιρεία αρνείται να πληρώσει πρόστιμα ύψους σχεδόν 100 εκατ. ευρώ, αναδεικνύοντας τα σύγχρονα κενά στην προστασία προσωπικών δεδομένων στην ΕΕ.
Τον Ιούλιο του 2022, η ελληνική Αρχή Προστασίας Δεδομένων (ΑΠΔ) προκάλεσε ενθουσιασμό στην κοινότητα που ασχολείται με τα ζητήματα προστασίας των προσωπικών δεδομένων σε όλη την Ευρώπη.
Επέβαλε στην Clearview AI, μια σκιώδη αμερικάνικη τεχνολογική startup, πρόστιμο-ρεκόρ ύψους 20 εκατ. ευρώ, κρίνοντας ότι η εταιρεία είχε συλλέξει και επεξεργαστεί παράνομα τα προσωπικά δεδομένα Ελλήνων πολιτών σε μία κατάφωρη παραβίαση του Γενικού Κανονισμού Προστασίας Δεδομένων της Ευρωπαϊκής Ένωσης (GDPR).
Η απόφαση ήταν μία νίκη για όσους υπερασπίζονται τα προσωπικά δεδομένα. Ο Κωνσταντίνος Κακαβούλης, δικηγόρος της οργάνωσης Homo Digitalis, που ασχολείται με την προστασία των ψηφιακών δικαιωμάτων, χαρακτήρισε την απόφαση «ιστορική».
Η Homo Digitalis ήταν μεταξύ των οργανώσεων που υπέβαλαν την αρχική καταγγελία, η οποία τελικά οδήγησε στην επιβολή προστίμου — το μεγαλύτερο που έχει επιβάλει ποτέ σε εταιρεία η ελληνική Αρχή Προστασίας Δεδομένων (ΑΠΔ).
Η Ελλάδα δεν ήταν η μόνη χώρα που προσπάθησε να θέσει περιορισμούς στην Clearview. Οι ρυθμιστικές αρχές στη Γαλλία, την Ιταλία, την Ολλανδία και την Αυστρία επίσης απαίτησαν από την εταιρεία να διαγράψει τα δεδομένα των Ευρωπαίων πολιτών, και επέβαλαν πρόστιμα συνολικού ύψους περίπου 100 εκατ. ευρώ.
Ωστόσο, όπως αποκαλύπτει η κοινή έρευνα του Solomon και της ιταλικής ερευνητικής ομάδας IrpiMedia, η Clearview δεν έχει καταβάλει ούτε ένα ευρώ έως σήμερα. Παρά τα αυξανόμενα πρόστιμα και τις ρητές απαγορεύσεις, η εταιρεία εμφανίζεται να εκμεταλλεύεται ακόμη ευρωπαϊκά δεδομένα με ελάχιστες συνέπειες.
Η αντιπαράθεση μεταξύ της Clearview και των ευρωπαϊκών ρυθμιστικών αρχών αναδεικνύει ένα κραυγαλέο κενό στην προστασία της ιδιωτικής ζωής στην ΕΕ: την επιβολή. Ο GDPR αποτελεί τον αυστηρότερο νόμο προστασίας δεδομένων σε όλο τον κόσμο. Ωστόσο, η μη συμμόρφωση της Clearview εγείρει το εξής ερώτημα: Μπορεί η Ευρωπαϊκή Ένωση να υποχρεώσει πράγματι σε λογοδοσία τις πολυεθνικές εταιρείες τεχνολογίας;
Σε αρκετές μεγάλες υποθέσεις η απάντηση, σύμφωνα με τους ειδικούς, είναι θετική. Αλλά μόνο όταν οι εν λόγω εταιρείες, όπως η Google, η Amazon και η Meta, έχουν σταθερή παρουσία στην ΕΕ. Την ίδια ώρα, σχετικά άγνωστες υπηρεσίες αναγνώρισης προσώπου, οι οποίες μοιράζονται παρόμοιες αδιαφανείς πρακτικές, φέρονται να αναπτύσσονται στο παρασκήνιο αθόρυβα, εγείροντας ανησυχίες για το εάν η βιομετρική επιτήρηση έχει λάβει ανεξέλεγκτες διαστάσεις.
Μια τεράστια βιομετρική βάση δεδομένων
Η Clearview AI είναι μια αμερικάνικη εταιρεία αναγνώρισης προσώπων (facial recognition). Έχει δημιουργήσει μια από τις μεγαλύτερες βιομετρικές βάσεις δεδομένων στον κόσμο, συγκεντρώνοντας -συστηματικά και χωρίς συγκατάθεση- δισεκατομμύρια εικόνες από το διαδίκτυο.
Η εταιρεία συλλέγει φωτογραφίες από κοινωνικά δίκτυα, ειδησεογραφικά σάιτ και άλλες διαδικτυακές πηγές, δημιουργώντας με αυτό τον τρόπο λεπτομερή προφίλ ανθρώπων, χωρίς εκείνοι να το γνωρίζουν.
Μια μόνο εικόνα –είτε προέρχεται από ανάρτηση γενεθλίων είτε από κάμερα κλειστού κυκλώματος– μπορεί να αρκεί για να συνδεθεί ένα πρόσωπο με έναν τεράστιο όγκο προσωπικών δεδομένων.
Η Clearview πουλάει την τεχνολογία της στις αρχές επιβολής του νόμου, που με τη σειρά τους ταυτοποιούν πρόσωπα χρησιμοποιώντας φωτογραφίες από κοινωνικά δίκτυα, ειδησεογραφικές σελίδες και άλλες διαδικτυακές πηγές με στόχο την εξιχνίαση εγκλημάτων.
Η Clearview πουλάει την τεχνολογία της σε αρχές επιβολής του νόμου.
Οι υποστηρικτές των ψηφιακών δικαιωμάτων κάνουν λόγο για μαζική επιτήρηση. Υποστηρίζουν ότι η αδιάκριτη συλλογή βιομετρικών δεδομένων από την Clearview παραβιάζει θεμελιώδη δικαιώματα, και καταπατά τη νομοθεσία για την προστασία των προσωπικών δεδομένων, η οποία προστατεύει τους πολίτες από μαζικές παραβιάσεις δεδομένων.
Οι επικριτές επισημαίνουν, επίσης, την ιδεολογική συγγένεια και τους δεσμούς της εταιρείας με την αμερικάνικη συντηρητική και άκρα Δεξιά. Βλέπουν τον τρόπο που δουλεύει η εταιρεία ως κομμάτι μιας ευρύτερης τάσης που εργαλειοποιεί την επιτήρηση στο όνομα της ασφάλειας.
Οι πρακτικές της εταιρείας προκάλεσαν την αντίδραση των ευρωπαϊκών ρυθμιστικών αρχών. Οι αρχές σε Γαλλία, Ιταλία, Ολλανδία και Αυστρία κατέληξαν στο συμπέρασμα ότι δεν υπήρχε καμία νομική βάση που να επιτρέπει στην Clearview να επεξεργάζεται βιομετρικά δεδομένα πολιτών της Ευρωπαϊκής Ένωσης. Οι αρχές ανέφεραν ότι η εταιρεία λειτούργησε με αδιαφάνεια, χωρίς να εξασφαλίσει τη συγκατάθεση των χρηστών και παραβιάζοντας πολλαπλά τον GDPR.
Οι ρυθμιστικές αρχές απαίτησαν από την Clearview να διαγράψει όλα τα δεδομένα που σχετίζονται με Ευρωπαίους πολίτες και να σταματήσει οποιαδήποτε περαιτέρω συλλογή.
Αρκετές ρυθμιστικές αρχές της Ευρωπαϊκής Ένωσης έχουν καταδικάσει δημοσίως τις πρακτικές της εταιρείας. «Η αναγνώριση προσώπων είναι μια εξαιρετικά παρεμβατική τεχνολογία, την οποία δεν μπορείς να εξαπολύεις αδιακρίτως», δήλωσε ο Aleid Wolfsen, πρόεδρος της ολλανδικής Αρχής Προστασίας Δεδομένων, ανακοινώνοντας την επιβολή προστίμου στην Clearview τον Σεπτέμβριο του 2024. «Πρέπει να θέσουμε ένα πολύ σαφές όριο».
Αψηφώντας τις εντολές, αποφεύγοντας τις συνέπειες
Η Clearview αγνοεί τις αποφάσεις των ρυθμιστικών αρχών της ΕΕ. Δεν έχει πληρώσει τα πρόστιμα που της έχουν επιβληθεί, και δεν εμφανίζεται να έχει διαγράψει τα δεδομένα των Ευρωπαίων πολιτών, παρά τις αυξανόμενες κυρώσεις και τις ρητές απαγορεύσεις.
Ο λόγος; Τα νομοθετικά κενά. Οι ευρωπαϊκές αρχές δύνανται μεν να εκδίδουν αποφάσεις, αλλά οι αποφάσεις αυτές παραμένουν σε μεγάλο βαθμό συμβολικές όσο δεν υπάρχουν πραγματικοί μηχανισμοί επιβολής τους.
«Η υπόθεση της Clearview δείχνει ότι η έκδοση μίας απόφασης εις βάρος κάποιας εταιρείας δεν επαρκεί πάντα για να σταματήσουν οι παραβιάσεις του νόμου», δήλωσε εκπρόσωπος του None of Your Business (NOYB), ενός αυστριακού μη κερδοσκοπικού οργανισμού ψηφιακών δικαιωμάτων που κατέθεσε καταγγελίες κατά της Clearview AI. «Αυτή η απόφαση θα πρέπει να πλαισιώνεται από μέτρα, όπως για παράδειγμα πρόστιμα, και αυτά με τη σειρά τους να επιβάλλονται αποτελεσματικά», συμπλήρωσε.
«Ο GDPR είναι ένας από τους αυστηρότερους νόμους προστασίας δεδομένων και αποτελεί πρότυπο για αντίστοιχους νόμους παγκοσμίως», δήλωσε ο Ιωάννης Κουβακάς, Senior Legal Officer and Assistant General Counsel της Privacy International (PI), η οποία ήταν η κινητήρια δύναμη πίσω από τις καταγγελίες κατά της Clearview. «Αυτό, ωστόσο, δεν σημαίνει τίποτα εάν ο νόμος δεν μπορεί να εφαρμοστεί όπως πρέπει».
Στον πυρήνα του προβλήματος βρίσκεται ένα νομικό κενό: αυτή τη στιγμή δεν υπάρχουν συνθήκες ή διεθνείς συμφωνίες μεταξύ χωρών της ΕΕ, όπως η Ελλάδα, και των ΗΠΑ που να επιτρέπουν την επιβολή τέτοιων προστίμων σε αμερικανικές εταιρείες. Υπό την απουσία μηχανισμού επιβολής, οι ευρωπαϊκές ρυθμιστικές αρχές καταλήγουν να εκδίδουν αποφάσεις οι οποίες στο τέλος της ημέρας, για εταιρείες όπως η Clearview, μοιάζουν λιγότερο ή περισσότερο με γραπτές ειδοποιήσεις.
Δίχως γραφεία στην ΕΕ
Ένα από τα μεγαλύτερα εμπόδια που αντιμετωπίζουν οι ρυθμιστικές αρχές στην Ευρωπαϊκή Ένωση είναι ότι η Clearview AI εμφανίζεται να μην έχει γραφεία, περιουσιακά στοιχεία ή νόμιμους εκπροσώπους στην ΕΕ.
Ο GDPR σχεδιάστηκε για να εφαρμόζεται και εκτός της ΕΕ – καλύπτοντας κάθε εταιρεία που επεξεργάζεται δεδομένα κατοίκων της ΕΕ, ανεξάρτητα από το που εδρεύει. Αλλά η επιβολή κυρώσεων σε διασυνοριακό επίπεδο αποτελεί εντελώς διακριτό ζήτημα.
Οι Αρχές Προστασίας Δεδομένων της ΕΕ δεν έχουν άμεση δικαιοδοσία να κατάσχουν περιουσιακά στοιχεία ή να επιβάλλουν πρόστιμα στις ΗΠΑ. Εάν μια εταιρεία όπως η Clearview αρνείται να συμμορφωθεί, οι ρυθμιστικές αρχές βασίζονται στην εθελοντική συνεργασία από πλευράς της — μια προσέγγιση που έως σήμερα δεν έχει αποδειχθεί αποτελεσματική.
Μια μελέτη του 2021 για το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) επισήμανε το ζήτημα και ζήτησε ισχυρότερη διεθνή συνεργασία. Προειδοποίησε ότι τα πρόστιμα του GDPR ενδέχεται να μην είναι εκτελεστά στο εξωτερικό, καθώς πολλές χώρες —συμπεριλαμβανομένων των ΗΠΑ— δεν αναγνωρίζουν τις ξένες διοικητικές κυρώσεις ως νομικά δεσμευτικές.
Η έκθεση κατέταξε τα εν λόγω πρόστιμα ως θέματα «δημοσίου δικαίου», τα οποία συνήθως αποκλείονται από τη διεθνή επιβολή, εκτός εάν υπάρχει ειδική συνθήκη. Πρότεινε προσωρινές διορθώσεις, μεταξύ άλλων επίσημες συμφωνίες μεταξύ ρυθμιστικών αρχών της ΕΕ και τρίτων χωρών, και την αντιμετώπιση των σοβαρών παραβιάσεων του ΓΚΠΔ όπως οι διασυνοριακές ποινικές υποθέσεις.
Η ΕΕ έχει θεσπίσει άλλους βασικούς νόμους για την ψηφιακή διακυβέρνηση, όπως η νομοθεσία για τις ψηφιακές υπηρεσίες (DSA) και ο νόμος για τις ψηφιακές αγορές (DMA), που θα μπορούσαν να ενισχύσουν την εποπτεία. Όπως σημείωσε ο Κουβακάς της Privacy International, ωστόσο, οι νόμοι αυτοί «θα αποδειχθούν ελάχιστα χρήσιμοι στην πραγματικότητα, αν δεν μπορούν να εκτελεστούν κατάλληλα όταν παραβιάζονται στην πράξη».
Δύο στελέχη της ελληνικής Αρχής Προστασίας Δεδομένων, που ζήτησαν να μιλήσουν ανώνυμα προκειμένου να τοποθετηθούν για τις διαδικασίες, είπαν στο Solomon ότι οι προκλήσεις επιβολής που προκύπτουν στην περίπτωση της Clearview έχουν εμφανιστεί και σε άλλες περιπτώσεις.
Σε ορισμένες εξ αυτών, προσωπικές πληροφορίες —π.χ. τηλεφωνικοί αριθμοί Ελλήνων πολιτών— εμφανίστηκαν σε ιστότοπους που εμφανίζονταν να διαχειρίζονται οντότητες με έδρα τις ΗΠΑ. Καθώς αυτές οι πλατφόρμες συχνά δεν εμπίπτουν στη δικαιοδοσία της ΕΕ, οι ρυθμιστικές αρχές αντιμετωπίζουν επίμονες δυσκολίες όσον αφορά τη διασφάλιση των δεδομένων των πολιτών, όταν τα δεδομένα αυτά διακινούνται εκτός των συνόρων της ΕΕ.
