Clearview AI“偷”了我的脸，欧盟却对此无能为力

Matthias Marx 说他的脸被偷了。这位德国维权人士的脸苍白而宽阔，顶着是一头凌乱的金发。到目前为止，已经有三家公司在未经他允许的情况下绘制了这些特征并将其货币化。就像发生在其他数十亿人们身上的一样，他的脸在未经他同意的情况下被变成了搜索词。

2020 年，Marx 读到了Clearview AI相关的报道，这家公司称，它已经从互联网上收集了数十亿张照片，创建了一个庞大的人脸数据库。通过上传单张照片，Clearview 的客户（包括执法机构）可以使用该公司的人脸识别技术来挖掘其他具有相同面部特征的在线照片。

Marx 想知道该公司的数据库中是否有他的人脸照片，于是他向 Clearview 发电子邮件询问。一个月后，他收到了一封附有两张截图的回复。这两张照片都是十年前拍的，但照片上的 Marx 都穿着蓝色 T 恤，面容清爽，正在参加谷歌的工程师竞赛。Marx 知道这些图片是存在的。但与 Clearview 不同的是，他并不知道有摄影师在未经他许可的情况下将这些照片在照片图库网站 Alamy 上出售了。

Marx 说，Clearview 的披露是一个警钟。“我不能控制人们对我的数据做了什么，”他说。对他来说，Clearview 在他不知情或未经许可的情况下使用了他的面部或生物特征数据，显然违反了欧洲的隐私法 GDPR。因此，他在 2020 年 2 月向汉堡（Hamburg）当地的隐私监管机构提交了投诉。该投诉是欧洲首次针对 Clearview 提起的投诉，但目前尚不清楚该案件是否已经解决。

监管机构的一位发言人告诉 WIRED，案件已经完结，但 Marx 表示，他还没有收到结果通知。“自从我投诉 Clearview AI 以来，已经快两年半了，但该案件依然悬而未决，”在 IT 安全公司 Security Research Labs 担任安全研究员的 Marx 说，“这太慢了，即使考虑到这是首例此类案例。”

在整个欧洲，数百万人的脸出现在由 Clearview 等公司运营的搜索引擎中。该地区可能拥有世界上最严格的隐私法，但包括汉堡在内的欧洲监管机构正在努力执行这些法律。自从 Marx 提出申诉以来，欧洲各地的其他人和隐私团体也采取了同样的行动。

2022 年 10 月，法国数据保护机构成为第三个由于 Clearview 违反欧洲隐私规则而对其处以 2000 万欧元（1900 万美元）罚款的欧盟监管机构。然而，Clearview 并没有将欧盟面孔从其平台中删除，意大利和希腊监管机构开出的类似罚单仍未支付。（法国方面表示，由于隐私规定，它无法透露有关付款的详细信息）。但随着欧洲监管机构努力让该公司听从对他们的谴责，该类问题正在如雨后春笋般出现。Clearview 不再是唯一一家通过人脸获利的公司了。

和其他隐私维权人士一样，Marx 不相信 Clearview 会在技术上永久地删除一张人脸。他相信，Clearview 的技术会不断地在互联网上搜索人脸，会重新找到它并将其分类。Clearview 没有回复关于它是否能够从其数据库中永久删除人脸的评论请求。

“如果我的脸出现在互联网上的某个地方，这种事还会发生。”Marx 说。“它们（Clearview 的算法）不会停止爬取。”该公司一直在告诉投资者，2022 年其数据库中的照片数量有望达到 1000 亿张，地球上 70 亿人口中，平均每人就有 14 张左右。

Clearview 首席执行官 Hoan Ton-That 表示，Clearview 的工作方式是发送机器人在互联网上搜索人脸，然后将其存储在数据库中，这使得其无法阻止欧盟的人脸出现在平台上。他将自己的产品与市场上的其他产品进行比较时表示：“单纯根据互联网上的公开照片无法确定一个人是否居住在欧盟，因此无法删除欧盟居民的数据。”。“Clearview AI 只从互联网上收集公开可用的信息，就像谷歌、必应或 DuckDuckGo 等其他任何搜索引擎一样。”

但隐私维权人士认为，用名字搜索和用人脸搜索之间的区别是至关重要的。“名字不是唯一的标识符。名字是你可以在公共场合隐藏的东西。”Privacy International 的律师 Lucie Audibert 表示。“除非你头上套着袋子出门，否则你不可能在公共场合隐藏你的脸。”

在欧洲，人脸搜索引擎可以公然无视监管机构要求其停止处理欧盟人脸的命令，继续运行，这让人们感到越来越沮丧。Ton-That 认为 Clearview 不受 GDPR 的约束，因为它在欧盟没有客户或办公室——这是监管机构所争议的。Audibert 表示：“如果一家美国公司不愿意合作，就很难执行欧洲对该公司的监管决定。”他希望欧盟监管机构在执法方面更加积极。“这真的是一个测试案例，看看 GDPR 有什么样的限制性权力。”她不认为全面的欧盟新科技规则会影响这场争端。

针对 Clearview 的案件本应作为对其他公司的警告，这些公司的搜索引擎在欧盟也是非法的。“一旦有了一个案例，当局很容易将其作为先例。”NOYB 的数据保护律师 Felix Mikolasch 表示，该隐私组织一直在支持 Marx 的案件，然而，情况却恰恰相反。Audibert 说：“由于缺乏执法力度，很难说服公司停止这样做，因为他们知道自己可以逍遥法外。”

自 2020 年以来，Marx 发现他的人脸照片正在传播。当他在另一个名为 Pimeyes 的人脸识别平台上搜索他的脸时，该平台挖掘出的图片甚至比 Clearview 的还要多。讽刺的是，其中有一张照片显示他正在发表关于隐私的演讲。另一张是 2014 年的当地报纸剪报，照片中他为难民提供免费的 Wi-Fi。另一张照片是他在一个政党主办的活动上，他说他正在讨论诸如自行车道等相关的地方问题.......

隐私专家表示，Pimeyes 在技术上与 Clearview 不同，因为它不会将人脸存储到数据库中，而是在用户上传图片时在互联网上搜索人脸。该平台也更加开放；任何人都可以免费搜索该网站，不过要想查看照片的链接，他们必须支付每月 36 美元起的费用。

该公司的首席执行官 Giorgi Gobronidze 教授也强调，与 Clearview 不同，Pimeyes 不会爬取诸 Facebook、Twitter 或 VKontakte（VK）等社交媒体平台。“理论上我们可以爬行社交媒体的事实并不意味着我们应该这样做，”Gobronidze 说道，他在去年年底买下了该平台。相反，Gobronidze 表示，Pimeyes 使互联网更加透明了。“有成千上万的人不知道他们的照片正在被不同的网络资源所使用，”他说。“实际上，他们有权知道。”

对于那些不想知道的人，Gobronidze 说从他的网站上删除他们的人脸很容易。“（人们）可以提交退出请求，或者他们可以在每个免费搜索结果下一键删除并阻止某张图片的进一步处理。”尽管 Pimeyes 的官方总部位于欧盟以外的伯利兹（Belize），但 Marx 表示，该公司一开始就不应该使用他的照片。“只有在得到我明确同意的情况下，这家公司才能使用我的生物特征数据。”

Pimeyes 之前曾引发过争议。在 2020 年一系列新闻文章批评其隐私政策后，其前所有者、企业家Łukasz Kowalczyk 和 Denis Tatina 决定出售该公司。但这两个人并没有从这个行业中退出。相反，根据波兰的公司记录，他们以一个名为 Public Mirror 的全新人脸搜索引擎的所有者身份重新露面，该引擎是针对公关行业的。Pimeyes 和 Public Mirror 有一个共同点，那就是它们都包含了 Marx 的人脸。

2022 年 3 月，Marx 发现 Public Mirror 的档案中有四张他的人脸。和其他人脸搜索引擎一样，不仅图片本身揭示了 Marx 的信息，而且还有与之相伴的在线链接。Public Mirror 的链接就像是一个媒体文章目录，这些文章都是关于 Marx 或他发表过演讲的会议的。

这些平台都透露了大量的个人信息。“你可以知道我在哪里学习，我喜欢哪个政党。”Marx 说。总之，这些公司收集到的关于他的照片指向了一个行业，该行业所披露的信息比任何社交媒体的个人资料都要多得多。

当 Marx 在 2020 年开始关注这个话题时，他只想让一家公司停止收集他的人脸照片。现在，他呼吁监管机构全面禁止该行业收集欧洲人的照片。要做到这一点，监管机构必须对 Clearview 杀鸡儆猴。但问题是，他们能吗？

原文链接：

https://www.wired.co.uk/article/clearview-face-search-engine-gdpr