如果妳的照片不再是「妳的」照片—新創公司Clearview AI所引發之爭議



 何琳潔

2022年12月10日

2020年初美國紐約時報以 ”The Secretive Company That Might End Privacy as We Know It” 為題(註1), 報導具爭議性的Clearview AI新創公司(以下簡稱Clearview)大肆從臉書、Instagram、Youtube等公開網站蒐集廣大網路使用者之照片,建置影像資料庫並提供給公私部門或個人使用。該資料庫迄至2022年已擴張至200億筆資料以上之規模。使用者透過上傳照片至該資料庫即可比對出照片所屬者之身分,也可藉由該資料庫來開發人臉辨識演算法工具。Clearview的客戶包括美國FBI、國土安全部門、各州警察機關等等。目前已知至少有7000位以上警察或政府機關人員使用過該資料庫。即使是未註冊或購買其服務者,該公司也提供30天免費試用。

2020年五月,由美國公民自由聯盟(ACLU)為首的包括伊利諾州公共利益研究小組、芝加哥反性侵聯盟、拉丁裔婦女行動組織、與性工作者等六個團體為原告,主張Clearview違反《伊利諾州生物辨識資訊隱私法》,並以該公司違反生物辨識資料蒐集利用之告知同意等相關規定為由提起訴訟 (註2)。

兩造於2022年5月4日達成和解,並提交和解協議於法院。法院於同月11日做出Consent Order(以下稱法院命令),其中主要有兩項重點(註3):

  1. Clearview永遠不得提供私部門或個別私人系爭臉部資訊資料庫之存取或使用(不論有償或無償)。但若其他法律別有規定或該私人為政府承包商 (註4)或滿足《伊利諾州生物辨識資訊隱私法》第15條之條件時,不在此限。
  2. 自此法院命令生效起五年內,禁止Clearview開放其資料庫及服務予伊利諾州境內包含州政府在內之各級政府,禁止對象也包含所有私人;並且即便合前述第一點所揭示之例外情形,亦在禁止之列。也就是說,在五年內,Clearview在伊利諾州境內全面禁止提供服務予任何政府機關或私人,沒有任何例外。不過,法院強調,聯邦政府及其他各州政府不在此禁令的範圍內。

檢視《伊利諾州生物辨識資訊隱私法》第15條,其規範內容主要是要求存有生物辨識資料之私部門,應有書面載明其儲存及銷毀之政策,並公開之;又,除非經書面通知蒐集及利用目的、儲存時間長短等,並取得資料主體或其代理人之書面同意,不得蒐集、利用、儲存、揭露或再揭露、散佈生物辨識資料。由此可知,雖然法院命令中表示「Clearview永遠不得提供私部門或個別私人系爭臉部資訊資料庫之存取或使用(不論有償或無償)」,但若符合上述第15條例外情形,就可以繼續對私部門或個別私人提供服務。也就是說,當Clearview取得資料主體之同意,或政府機關為遂行其法定任務的時候,就都可以繼續提供服務。同時,法院也特別指出,以上禁令並不限制Clearview與聯邦政府或其他州政府(包含與政府機關簽訂契約之私人,例如承包商或行政助手等)合作執行公部門之行政任務。

除此之外,法院進一步重申,以上禁令並未限制Clearview與第三方合作。所謂第三方,包含聯邦政府、各州政府、私人機構、以及伊利諾州內各級政府。為免有所疑義,法院一併表示,基於Clearview作為政府協力者之角色,此法院命令允許Clearview在自己公司內部使用該資料庫,例如內部測試。同時,此法院命令也並未授予任何團體或個人有任何損害賠償請求權。

值得一提的是,和解協議與據此而來的法院命令其實略有出入,除了用字上的些微差異外,未見於法院命令但明文規定在和解協議中的一項重要條款,即伊利諾州居民的退出權:Clearview同意提供線上申請管道,並且透過各大網路平台公告,讓伊利諾州居民得以申請從其資料庫中退出。申言之,欲行使退出權者,透過上傳照片,讓Clearview從其資料庫中比對、並刪除所有該個人之資料。(註5)

在雙方簽署和解協議後,ACLU發出聲明認為「Clearview不再能將人們獨特生物辨識特徵此等敏感資料,作為其無限制的獲利來源」,並表示本案足以提醒其他科技公司,必須重視並落實隱私保障相關之法令遵循。相關新聞或評論也皆強調,這次達成和解的意義,說明單憑一部重視人權保障的州法,也可能有全國性的影響,並影響整個聯邦法的效力,且認為這是人權的一大勝利。

不過,筆者進一步檢視此法院命令,除了未提及前述關於退出權之條款,法院多次強調這些禁令並不限制Clearview繼續營運。Clearview與政府及作為政府承包商之私人合作,也得以繼續利用目前已建置之資料庫。在五年禁令期滿後,亦得恢復在伊利諾州的相關業務。該法院命令也僅提及禁止Clearview提供資料庫服務給特定對象,並未禁止販售其他產品,例如已經訓練開發完成的人臉辨識演算法,亦得以繼續開放資料庫給銀行等金融機構利用。凡此種種,似乎並不如原告方所言如此樂觀。

Clearview之作為在加拿大與澳洲皆被認為違反隱私保護相關法律,在英國與義大利也面臨兩千萬歐元以上的罰鍰,但在美國之訴訟案件卻是以和解收場。細究其緣由,或許導因於《伊利諾州生物辨識資訊隱私法》畢竟只是州法,其管轄範圍未及全國。與其只是由伊利諾州處以罰鍰或禁止,卻在美國其他地區繼續其侵害隱私之行為,不如透過和解協議全面禁止Clearview對私部門提供服務,並給予伊利諾州人民退出權。

然而,筆者認為,本案仍舊給Clearview以及其他類似的科技公司或新創公司等保留了一個大門。亦即,允許任何人或公司透過社群網站、公開網站取得個人資料,甚至是本案所涉及的臉部辨識資料等敏感資訊來開發工具進而獲利,這樣的行為,似乎未在本案最終結果中受到非難。難道說是告訴世人這是被允許的商業模式嗎?法院或許受到兩造已和解之拘束,不能對本件訴訟下實體判決或決定,而無從對此有所置喙;原告方又可能是基於上述理由,與Clearview達成和解,而失去由法院認證該商業模式違法之機會,甚為可惜。

Clearview以蒐集個人公開資料建置大型資料庫進而獲利的商業模式,究竟是否合於當代個資保護原則,值得深入剖析。針對本案所涉及的個人公開資料,如果是個資主體自行公開,則可能將落入美國法過去透過判決先例建立之「第三方原則」(The Third Party Doctrine)之適用範疇。所謂「第三方原則」意謂:資料主體若主動提供資訊給第三方私部門,則對該等資料已無隱私期待,是以執法機關無須持搜索票即可向第三方取用。例如,電信公司取得用戶的手機位址資訊,是用戶基於獲取通訊服務而自願讓電信公司蒐集取得。在「個人主動公開即無隱私期待」這個觀點之下,資料主體既是自行將個人照片公開於網路,則似乎就不應再期待個人照片屬於隱私資訊,他人基於合理正當理由,應可不經同意而直接取用之。我國個資法亦有相類似之規定,如個資法第9條第2項規定,公務機關或非公務機關蒐集非由當事人直接提供之個資,若屬當事人自行公開或其他已合法公開之資料,則免於處理或利用前告知當事人。換言之,可免為告知後取得同意之程序。因此,如果大規模資料庫中所蒐集的資料為個人公開資料,其建置及利用之行為,似乎就沒有違反個資保護原則之虞。

但,實則不然。觀察近年美國法無論在實務或學理上對於第三方原則的態度,皆因近代資料科技所衍生的問題與挑戰而有所調整。尤其是在當今資訊時代之下,使用社群媒體、網路購物、利用網路搜尋資料等等日常生活,無不使用第三方服務,人們時時刻刻都在提供資料。而且,第三方服務提供者在蒐集大量資料後,所能拼湊出的個人圖像,或許比我們自己對自己的了解都還更鉅細靡遺。如此一來,第三方原則的適用,將使得資料的蒐集利用漫無限制,勢必應該有所調整,才能減緩資訊科技時代對於個人隱私侵害之疑慮。況且,前述美國法上的第三方原則在面對搜索、扣押等公權力行使時,都應該有所調整,則遑論今天我們所討論的是「私部門為商業目的而為的大規模資料蒐集行為」,更不能直接引用第三方原則而認為資料主體對於已公開資料沒有隱私期待。

那麼,下一個面對的問題則就會是:大規模蒐集利用公開資料,是否就一定要取得資料主體的告知後同意方得為之?關此,確實在實際執行上有相當程度的困難,故而「退出權」的賦予可謂是目前較廣為接受的作法。在個人資料已經在他人可得掌控的狀態之下,仍賦予一定的事後控制權,才是重視隱私保障的正途。而本案訴訟的結果,也就是以退出權作為解套方案,雖仍僅及於伊利諾州州民。不過,這可能就是在目前美國並未有聯邦層級相關立法之現狀下所做的妥協吧。


(註1) Illinois Biometric Information Privacy Act 簡稱BIPA (740 ILCS 14) ,於2008年通過。

(註2) 美國紐約時報報導 ”The Secretive Company That Might End Privacy as We Know It” : https://www.nytimes.com/2020/01/18/technology/clearview-privacy-facial-recognition.html 

(註3) 美國公民自由聯盟(ACLU)網站資料:

(註4) BIPA 740 ILCS 14/25.

(註5) 這兩份法律文件存在上述差異,可能會讓人對於其各別效力產生疑問,但因並非實質法律問題,本文在此擬姑且按下不論。



資料來源


延伸閱讀


作者

何琳潔 中央研究院法律學研究所

本研究感謝「資料安全研發及人才培育計畫」支持