Franse toezichthouder legt ClearView dwangsom op vanwege niet verwijderen foto's

De Franse toezichthouder CNIL heeft ClearView AI, een bedrijf dat gezichtsherkenningsoftware maakt, een dwangsom van 5,2 miljoen euro opgelegd. Het bedrijf heeft de boete niet betaald en heeft niet aangetoond dat het Fransen uit zijn database heeft gehaald.

Die dwangsom komt dus bovenop de eerdere boete van 20 miljoen euro, meldt CNIL. Clearview AI heeft niet aangetoond dat het alle foto's van Fransen heeft verwijderd uit zijn database, ondanks dat het daar twee maanden de tijd voor heeft gehad. De dwangsom is bedoeld om ervoor te zorgen dat het bedrijf dat wel zou doen.

De software heeft een database van 30 miljard foto's van personen die het zonder toestemming online heeft verzameld. Politiediensten en andere overheidsdiensten kunnen tegen betaling die database gebruiken om bijvoorbeeld verdachten op te sporen.

ClearView AI heeft niet gereageerd op de nieuwe dwangsom. Vanwege het onrechtmatig gebruik van die foto's en schenden van privacy kreeg het bedrijf in meerdere landen al hoge boetes. De Italiaanse privacytoezichthouder legde het bedrijf in maart een boete van 20 miljoen euro op. Later volgden boetes van de Britse en Griekse privacywaakhonden.

Clearview AI. Bron: CBS News
Clearview AI. Bron: CBS News

Door Arnoud Wokke

Redacteur Tweakers

10-05-2023 • 18:51

28

Submitter: Anonymoussaurus

Reacties (28)

Sorteer op:

Weergave:

Clearview AI heeft niet aan het onderzoek meegewerkt, de boete niet betaald, de last niet nageleefd en ik krijg niet de indruk dat de kans heel groot is dat ze de dwangsom die er nu bijkomt gaan betalen. Onderdeel van de overtreding is dat ze geen vertegenwoordiger in de Unie hebben. Die vertegenwoordiger dient bijvoorbeeld als aanspreekpunt voor de toezichthouder, maar ook als entiteit om boetes te innen. Ik ben benieuwd of en zo ja hoe er geëscaleerd wordt om de handhaving meer dan symbolisch te maken.
Doordat ze geen EU vestiging hebben missen ze ook een enkel aanspreekpunt binnen de EU en kunnen 27 lidstaten dus ook allemaal tegelijk ze beboeten of voor de rechter slepen. Ik hoop dat ze helemaal kapot geprocedeerd worden.
Mijn punt is dat zonder vertegenwoordiger (is wat anders dan een vestiging) de boetes en dwangsommen niet (makkelijk) opgehaald kunnen worden als ze niet betaald worden. Wat ik nu zie is een hoop boze brieven met symbolische geldbedragen, maar geen betaalde boetes.
Clearview AI is een Amerikaans bedrijf. De Verenigde Staten hebben al sinds 1969 het Haags Betekeningsverdrag geratificeerd. Dus dat is nog een mogelijkheid: het als deurwaardersexploot laten betekenen. Daarnaast hebben deurwaarders ook nog een andere leuke optie: de boetes innen door beslag te leggen op omzet die Clearview vanuit de EU ontvangt. Dan worden hun afnemers verplicht om het geld voortaan te storten naar de derdengeldenrekening van het deurwaarderskantoor tot de vordering afbetaald is.

Geen idee of er nog de mogelijkheid is om het Europese financiële stelsel extraterritoriaal in te zetten - dus dat geen enkele in de EER actieve financiële instelling nog zaken mag doen met een bedrijf waar gigantische AVG-boetes tegen open staan. Dat zou ook een leuke maatregel zijn indien mogelijk.

[Reactie gewijzigd door field33P op 26 juli 2024 13:57]

Daarom betoog ik even verderop dus ook dat we gewoon hun klanten moeten gaan beboeten. Het is niet helemaal voor hetzelfde vergrijp maar het komt waarschijnlijk veel harder aan. Kan ClearView hun geld blijven verdienen in China, Verenigde Staten of Saoedi-Arabië maar blijven EU burgers in ieder geval buiten schot. Dan heb je de EU data nog niet uit hun computers maar het is waarschijnlijk wel een veel beter dwangmiddel om ze zich aan de wet te laten houden.

Overigens kan in bepaalde gevallen in Frankrijk de CEO gegijzeld worden. Meestal moet er dan wel iets meer gebeuren dan een boete niet betalen maar de CNIL heeft redelijk wat tanden en ik verwacht dat ze de druk redelijk wat op zullen (en kunnen) voeren.

[Reactie gewijzigd door Maurits van Baerle op 26 juli 2024 13:57]

Dat is over het algemeen een benadering die kan helpen. Voor Clearview AI specifiek wordt dat waarschijnlijk lastig. Ze lijken in de Unie geen of weinig klanten te hebben én de klanten die ze normaalgesproken zouden hebben hebben vaak bevoegdheden om ook gegevens uit onrechtmatige bron te verwerken. Maar er zijn manieren om te escaleren die ik voor me zie waarvan ik hoop dat de verschillende toezichthouders erop doorpakken.
Je kan veel meer doen… werknemers, klanten en financiers oppakken, zodra ze een voet aan de grond zetten in de EU.. probleem is dan opgelost binnen een paar uur.
De klanten, dat zijn o.a. de geheime diensten en opsporingsdiensten. Dus eigenlijk de eigen regeringen beboeten?

[Reactie gewijzigd door ocf81 op 26 juli 2024 13:57]

Er zitten ook gewone politiediensten tussen, mogelijk ook gemeentes. En die politiediensten zijn daar ook door in de problemen gekomen. In Zweden bijvoorbeeld: Sweden’s data watchdog slaps police for unlawful use of Clearview AI. Er is ook een Duits politiekorps waar tegen geprocedeerd werd/wordt vanwege hun vermeend onrechtmatig gebruik. Verder speelt er op dit moment iets in de aanloop naar de Olympische Spelen in Parijs waar facial recognition ingezet gaat worden: France under fire over fast-track plan for AI video surveillance at Paris Olympics

[Reactie gewijzigd door Maurits van Baerle op 26 juli 2024 13:57]

De personen die in het bedrijf investeren en meewerken aan het in stand houden van dit soort criminaliteit, lijken een criminele organisatie te vormen. Daar vallen ze persoonlijk voor aansprakelijk te kunnen worden gehouden, inclusief opsporing en vervolging als ze de EU betreden of zich daar in bevinden. Het lijkt mij niet vreemd om dat snel te doen, als ze kennelijk van miloenen personen de rechten schenden en maling hebben aan de rechtsstaat om er crimineel aan te verdienen.
Onrechtmatig in een bestuursrechtelijke context is niet hetzelfde als crimineel in een strafrechtelijke context. Dat wil niet zeggen dat handhaving beperkt moet blijven tot boze brieven sturen.
Dat de toezichthouder een bestuursrechtelijke taak heeft wil nog niet zeggen dat bedrijven en personen die de wetgeving gebaseerd op de GDPR in meerdere vormen negeren alleen maar via bestuursrecht verantwoordelijk te houden zijn. De GDPR stelt niet dat een land alleen onder bestuursrecht hoort te controleren, handhaven en de personen van wie de rechten worden geschonden beschermen. Het Europese hof heeft onlangs niet zomaar aangegeven dat een land de uitgangspunten van de GDPR niet hoort te beperken via wetgeving, dus ook niet door het alleen maar via bestuursrecht te willen zien. Als de bestuursrechtelijke mogelijkheden geen effect hebben hoort er dus juist verder gekeken hoort te worden dan wat een toezichthouder kan betekenen. Dat zou een toezichthouder ook moeten bevorderen, hun taak is namelijk niet zichzelf beschermen maar zorgen dat de personen om wie het gaat bescheming hebben.

[Reactie gewijzigd door kodak op 26 juli 2024 13:57]

Natuurlijk gaan ze zich niet aan de Europese privacywetgeving houden. Als ze dat zouden doen, zouden ze hun eigen verdienmodel om zeep helpen. Ik weet niet of er nog iets te regelen valt met de Amerikaanse overheid, maar verwacht niet dat die boete ooit nog betaald gaat worden.
En ik moet meteen aan de mensen denken die altijd roepen: Ach ik heb toch niks te verbergen. Of ik interessant genoeg ben voor een bedrijf en ach die foto's wat kan je er nou mee.
Zie hier wat een bedrijf kan doen met vrij beschikbare materialen. En dan nog eens bedenken wat hackers, overheden en criminelen hiermee kunnen doen.
Ze hebben er klaarblijkelijk ook geen probleem mee om je gewoon op dubieuze internationale lijstjes te zetten zonder dat daar persé heftige aanleiding voor is of dat ze überhaupt weten waarom.

Dus je kan je inderdaad wel afvragen welke rol een fotootje daar nog heeft als dat gewoon kan.

[Reactie gewijzigd door Polderviking op 26 juli 2024 13:57]

Stel iemand die voor een zakenreis naar China gaat, en daar in de luchthaven word opgepakt omdat die online iets verkeerd heeft gepost
En nu? Iemand die weet wat de gevolgen zijn van niet betalen?
De rechter kan besluiten om toegang tot Clearview in Frankrijk af te sluiten totdat de dwangsom betaald is. Of ze kunnen nog meer dwangsommen eisen.
Ik denk dat het tijd wordt dat we niet alleen het bedrijf maar ook hun klanten gaan beboeten. Dat zal ze harder raken dan ze een miljoenenboete uitdelen.

Als pak-em-beet de Gemeente Woerden vindt dat ze ClearView nodig om het marktplein te bewaken dan ga je de Gemeente Woerden beboeten voor het niet vooraf schriftelijk toestemming te hebben gevraagd aan iedereen die het marktplein oploopt. Keihard aanpakken dit soort praktijken.
Dan moet je wetgeving hebben en handhaven waarin dit wordt geregeld. Als gemeentes beelden hebben die ze niet mogen hebben, moeten ze die aantoonbaar verwijderen.

Voor zover zij weten hebben gewoon bij een normaal bedrijf iets ingekocht. Je kan een afnemer niet schuldig maken aan iets waarvan ze niet redelijkerwijs hebben kunnen weten dat het niet mocht.

Als jij een brood koopt, maar de winkel heeft er bewust een zakje met 50 xtc pillen in gedaan. Ben jij, als klant, dan schuldig? Denk het niet.

Maar eenmaal bewust van dat feit moet de verkoper je schadeloos stellen en jij moet je verkregen product inleveren of vernietigen.
Wanneer je uit een buitenlands/buiten eu bedrijf iets afneemt heb je echt wel zelf de plicht om te checken of dat product aan de lokale wetgeving voldoet.
Ik lees alleen maar comments over hoe verwerpelijk Clearview is, voel me niet geroepen om daar iets aan toe te voegen. Ik mis bij Tweakers een technische insteek.

Dus: Clearview zou een database van 30 miljard foto's hebben. Weten ze dan wat Franse foto's zijn?
Laten we voor aannemen dat dit zo is. Stel, zij verwijderen deze. Wat gebeurt er dan?

Volgens mij helemaal niets, want ik verwacht dat zij een AI model gebruiken, niet een database. En die foto's verwijderen uit een AI model, dat gaat niet zomaar. Dan moet je het model opnieuw trainen. Als het model het GPT-model benadert, kost het opnieuw trainen miljoenen.

Staat los van wat ze Juridisch moeten, practisch is het niet even:
DELETE * FROM table
WHERE country = 'FR'
Volgens mij helemaal niets, want ik verwacht dat zij een AI model gebruiken, niet een database. En die foto's verwijderen uit een AI model, dat gaat niet zomaar. Dan moet je het model opnieuw trainen. Als het model het GPT-model benadert, kost het opnieuw trainen miljoenen.
Simpele reactie van de privacytoezichthouder: dan doen ze dat maar, of ontwikkelen ze een model waar wel data uit verwijderd kan worden.
Even wikipedia doorgelezen naar aanleiding van dit bericht. Gezichtsherkenning en 3-d modellen op basis van Illegaal verkregen beelden. Twitter, Youtube, en facebook hebben cease en desist orders om beelden te wissen. Verschillende landen. Tegelijk is een grote investeerder in facebook ook een investeerder in dit bedrijf.
Overheidsdiensten maar niet alleen overheidsdiensten kunnen op basis van foto een identiteit krijgen en een recente plaats op basis van online activiteiten.....
Vooralsnog lijkt het bedrijf niet onder de indruk van Amerikaanse en Europese overheden en zet het de vermarkte massasurveillance door.
Wat een smerig tuig is dat bedrijf zeg 🤮🤮🤮 Ik hoop toch echt dat hier snel iets aan gedaan kan worden door EU, US, VN of who ever…. En machten die hier info weghalen zouden ook volledig uitgekotst en zwaar bestraft voor moeten worden….
Kan ik als prive persoon opvragen wat ze van me hebben? Iemand al gedaan? Ben benieuwd of en wat ;)
Want men kan alleen z'n eigen foto's op het internet zetten. 8)7

Op dit item kan niet meer gereageerd worden.