2021年11月29日,英國資訊委員辦公室(The Information Commissioner’s Office, ICO)宣布預計對Clearview AI公司裁罰1700萬元英鎊(約6億2000萬元)之初步意向,同時要求停止進一步處理英國人民的個人資料,並刪除涉及嚴重違反英國資料保護法的個人資料。
Clearview AI公司宣稱其擁有世界上最龐大的臉部資料網路,先前ICO曾與澳洲資訊委員辦公室(the Office of the Australian Information Commissioner, OAIC)進行聯合調查,主要關注於Clearview AI公司使用從網路上取得的圖像與資料,以及使用生物識別技術進行臉部辨識。客戶能夠向Clearview AI公司提供圖像,以進行生物特徵進行搜尋,識別相關的臉部圖像結果,並與超過100億張圖像的資料庫進行對比。
我國個人資料保護法(下稱個資法)制定之後,在相關討論時,常常聽見有關「去識別化」的探討,並且試圖將不同場景所處理的不同個人資料加以「去識別化」,希望能夠避免遵循個資法規定。而在歐盟一般資料保護規則(General Data Protection Regulation, GDPR)下,則區分有匿名化(anonymization)資料與假名化(pseudonymization)資料兩種概念。匿名化資料係指不涉及已識別或可識別自然人的資訊或以不再可識別的方式匿名化的資料。由於匿名化資料已失去個人資料之屬性,因此並無GDPR之適用。至於假名化資料,由於其仍可透過使用額外資訊進而識別當事人身分,因此其於GDPR之概念底下仍屬個人資料之一種。實務上,組織常常因為想要避免遵循GDPR或個人資料保護法等規範,想要透過將資料匿名化的方式來因應隱私保護法令之遵循,而對「匿名化」存有誤解。
華盛頓州(Washington state)州長Jay Inslee於今(2020)年3月31日簽署一項臉部辨識法案(ENGROSSED SUBSTITUTE SENATE BILL 6280, AN ACT Relating to the use of facial recognition services.)。
該法旨在針對建立臉部辨識(facial recognition)的透明度與問責機制,要求州與地方政府機關(state and local government agencies)在保障公民自由權利的前提下使用臉部辨識服務,以保障公眾權利。