Clearview AI, một công ty khởi nghiệp về nhận diện khuôn mặt gây tranh cãi có trụ sở tại Mỹ, đã bị phạt số tiền lớn nhất từ trước đến nay tại châu Âu theo quy định bảo vệ dữ liệu chung của Liên minh châu Âu (GDPR). Cơ quan bảo vệ dữ liệu của Hà Lan, Autoriteit Persoonsgegevens (AP), thông báo vào ngày thứ Ba rằng đã áp đặt mức phạt lên đến 30,5 triệu euro (khoảng 33,7 triệu đô la Mỹ) đối với Clearview AI vì nhiều vi phạm quy định GDPR, sau khi xác nhận rằng cơ sở dữ liệu của công ty chứa hình ảnh của công dân Hà Lan.

Mức phạt này lớn hơn so với các hình phạt GDPR riêng biệt mà các cơ quan bảo vệ dữ liệu ở Pháp, Ý, Hy Lạp và Vương quốc Anh đã áp đặt vào năm 2022. AP cũng cảnh báo rằng công ty có thể bị phạt thêm lên đến 5,1 triệu euro nếu tiếp tục không tuân thủ, và tổng số tiền phạt có thể lên tới 35,6 triệu euro nếu Clearview AI tiếp tục phớt lờ cơ quan quản lý Hà Lan.

Cơ quan bảo vệ dữ liệu Hà Lan bắt đầu điều tra Clearview AI vào tháng 3 năm 2023 sau khi nhận được khiếu nại từ ba cá nhân liên quan đến việc công ty không tuân thủ các yêu cầu truy cập dữ liệu. GDPR cấp cho cư dân EU một số quyền liên quan đến dữ liệu cá nhân của họ, bao gồm quyền yêu cầu bản sao dữ liệu của mình hoặc yêu cầu xóa dữ liệu đó. Clearview AI đã không thực hiện các yêu cầu này.

Các vi phạm GDPR khác mà AP xử phạt Clearview AI bao gồm việc xây dựng cơ sở dữ liệu bằng cách thu thập dữ liệu sinh trắc học của người dân mà không có cơ sở pháp lý hợp lệ. Công ty cũng bị xử phạt vì sự thiếu minh bạch theo GDPR.

"Clearview không nên bao giờ xây dựng cơ sở dữ liệu với các bức ảnh, các mã sinh trắc học đặc biệt và các thông tin khác liên quan đến chúng," AP viết trong thông cáo báo chí. "Điều này đặc biệt đúng với các mã sinh trắc học duy nhất được trích xuất từ khuôn mặt. Giống như dấu vân tay, đây là dữ liệu sinh trắc học. Việc thu thập và sử dụng chúng là bị cấm. Có một số ngoại lệ theo quy định, nhưng Clearview không thể dựa vào chúng."

Công ty cũng không thông báo cho các cá nhân về việc dữ liệu cá nhân của họ đã bị thu thập và thêm vào cơ sở dữ liệu, theo quyết định của AP.

Khi được liên hệ để bình luận, đại diện Clearview, Lisa Linden từ công ty PR Resilere Partners tại Washington, D.C., đã không trả lời câu hỏi nhưng gửi một tuyên bố qua email được cho là của Jack Mulcaire, giám đốc pháp lý của Clearview.

"Clearview AI không có cơ sở kinh doanh tại Hà Lan hoặc EU, không có khách hàng tại Hà Lan hoặc EU và không thực hiện bất kỳ hoạt động nào có thể khiến nó bị ràng buộc bởi GDPR," Mulcaire viết, và thêm: "Quyết định này là trái pháp luật, thiếu quy trình pháp lý và không thể thực thi."

Theo cơ quan quản lý Hà Lan, công ty không thể kháng cáo mức phạt vì đã không phản đối quyết định. Điều đáng lưu ý là GDPR có phạm vi extraterritorial, có nghĩa là nó áp dụng cho việc xử lý dữ liệu cá nhân của người dân EU bất kể việc xử lý đó diễn ra ở đâu.

Clearview AI, có trụ sở tại Mỹ, sử dụng dữ liệu thu thập được để bán dịch vụ nhận diện danh tính cho khách hàng, bao gồm các cơ quan chính phủ, cơ quan thực thi pháp luật và các dịch vụ an ninh khác. Tuy nhiên, các khách hàng của nó ngày càng ít có khả năng đến từ EU, nơi việc sử dụng công nghệ vi phạm quyền riêng tư có nguy cơ bị xử phạt quy định — điều này đã xảy ra với một cơ quan cảnh sát Thụy Điển vào năm 2021.

AP cảnh báo rằng sẽ xử phạt nghiêm khắc bất kỳ tổ chức Hà Lan nào tìm cách sử dụng Clearview AI. "Clearview vi phạm pháp luật, và điều này khiến việc sử dụng dịch vụ của Clearview trở nên bất hợp pháp. Các tổ chức Hà Lan sử dụng Clearview vì vậy có thể mong đợi các hình phạt nặng từ DPA Hà Lan," viết Aleid Wolfsen, chủ tịch DPA Hà Lan.

Một phiên bản bằng tiếng Anh của quyết định AP có thể được truy cập qua liên kết này.

Trách nhiệm cá nhân?

Clearview AI đã đối mặt với hàng loạt các khoản phạt GDPR trong những năm qua (trên giấy tờ, công ty đã tích lũy tổng cộng khoảng 100 triệu euro trong các khoản phạt quyền riêng tư của EU), nhưng các cơ quan bảo vệ dữ liệu khu vực dường như chưa thành công trong việc thu hồi bất kỳ khoản phạt nào. Công ty có trụ sở tại Mỹ vẫn không hợp tác và không chỉ định một đại diện pháp lý tại EU.

Quan trọng hơn, Clearview AI vẫn không thay đổi hành vi vi phạm GDPR của mình — công ty tiếp tục phớt lờ các luật bảo mật dữ liệu của châu Âu với sự miễn trừ hoạt động dường như do trụ sở tại nơi khác.

Cơ quan bảo vệ dữ liệu Hà Lan lo ngại về vấn đề này, cho biết họ đang khám phá các cách để đảm bảo Clearview ngừng vi phạm pháp luật. Cơ quan quản lý đang xem xét liệu có thể quy trách nhiệm cá nhân cho các giám đốc của công ty về các vi phạm hay không.

"Một công ty như vậy không thể tiếp tục vi phạm quyền của người dân châu Âu và tránh trách nhiệm," Wolfsen viết. "Chắc chắn là không theo cách nghiêm trọng này và trên quy mô lớn như vậy. Chúng tôi hiện đang điều tra xem liệu chúng tôi có thể làm cho các giám đốc của công ty phải chịu trách nhiệm cá nhân và phạt họ vì đã chỉ đạo các vi phạm đó hay không. Trách nhiệm này đã tồn tại nếu các giám đốc biết rằng GDPR đang bị vi phạm, có thẩm quyền để ngăn chặn điều đó, nhưng không làm như vậy, và bằng cách này chấp nhận các vi phạm đó một cách có ý thức."

Kể từ khi chúng ta mới thấy người sáng lập ứng dụng nhắn tin Telegram, Pavel Durov, bị bắt giữ trên đất Pháp vì các cáo buộc về nội dung bất hợp pháp được phát tán trên nền tảng của anh ta, thật thú vị khi xem xét liệu việc xử phạt những người quản lý Clearview có thể có cơ hội tốt hơn trong việc thúc đẩy sự tuân thủ — họ có thể muốn đi lại tự do đến và quanh EU, sau tất cả.