16 พ.ค.2567 Dutch DPA หน่วยงานบังคับใช้กฎหมาย GDPR ในเนเธอร์แลนด์ ได้มีคำสั่งกำหนดค่าปรับและคำสั่งลงโทษเพิ่มเติม ในกรณีที่ไม่ปฏิบัติตามคำสั่งดังกล่าวต่อกรณีการกระทำผิดของ Clearview AI ผู้ให้บริการข้อมูลภาพจำลองใบหน้า (facial recognition) เป็นเงิน 30,500,000 ยูโร
Clearview AI บริษัทสัญชาติอเมริกันที่ไม่มีสำนักงานในยุโรป โดยเป็นเจ้าของเทคโนโลยีการจดจำใบหน้าอัจฉริยะและการประมวลผลจาก big data โดยมีฐานข้อมูลภาพใบหน้าของบุคคลจำนวนมากกว่า 30 พันล้านภาพ ซึ่งบริษัทเก็บรวบรวมมาจากข้อมูลต่าง ๆ ที่เผยแพร่และเข้าถึงได้ทางอินเทอร์เน็ต
โดยใช้เทคนิคที่เรียกว่า Crawler (หรือ Web Crawler) โดยการใช้โปรแกรมหรือบอทที่ถูกออกแบบมาให้ท่องเว็บไซต์ต่าง ๆ โดยอัตโนมัติเพื่อเก็บข้อมูล โดยเฉพาะในบริบทของเครื่องมือค้นหา (Search Engines) เช่น Google, Bing, หรือ Yahoo!
บอทเหล่านี้จะทำการค้นหาและจัดเก็บข้อมูลจากหน้าเว็บไซต์ต่าง ๆ เพื่อนำมาใช้ในการสร้างดัชนี (Indexing) เพื่อให้เครื่องมือค้นหาสามารถแสดงผลลัพธ์ของการค้นหาได้อย่างมีประสิทธิภาพ
Crawlers จะทำงานโดยการเริ่มต้นจากหน้าเว็บไซต์หนึ่ง และจากนั้นติดตามลิงก์ต่าง ๆ ที่ปรากฏในหน้านั้นเพื่อไปยังหน้าอื่น ๆ ต่อไป โดยกระบวนการนี้จะดำเนินการไปอย่างต่อเนื่องเพื่อให้ครอบคลุมหน้าเว็บที่กว้างขวางมากที่สุด
Clearview AI ได้เข้าไปมีบทบาทสำคัญในการช่วยเจ้าหน้าที่ตำรวจหรือหน่วยงานบังคับใช้กฎหมายในการระบุตัวผู้กระทำความผิด
อย่างไรก็ตาม ตลอดสามปีที่ผ่านมา มีหน่วยงานด้านการคุ้มครองข้อมูลส่วนบุคคล (DPA: Data Protection Authority) ในประเทศต่าง ๆ ของยุโรปได้มีคำสั่งปรับ Clearview เป็นจำนวนเงินหลายล้านยูโรแล้ว อาทิ
UK ICO เป็นเงินจำนวน 7,500,000 ปอนด์ (คดีอยู่ระหว่างการอุทธรณ์คำสั่งของ ICO) Italian DPA เป็นเงินจำนวน 20,000,000 ยูโร Swedish DPA เป็นเงินจำนวน 248,218 ยูโร และ Greek DPA เป็นเงินจำนวน 20,000,000 ยูโร เป็นต้น
มาเรียนรู้ข้อจำกัดในการใช้เทคโนโลยีการจดจำภาพใบหน้าและความไม่สอดคล้องของการดำเนินการของบริษัทตามาตรฐานกฎหมายของยุโรปตามที่ Dutch DPA กล่าวกัน
1.การประมวลผลข้อมูลชีวภาพ
การที่บุคคลในภาพถ่ายสามารถระบุคคลได้ ไม่เพียงพอที่จะถือว่าภาพถ่ายเหล่านี้เป็นข้อมูลชีวภาพ ภาพถ่ายจะถูกจัดประเภทเป็นข้อมูลชีวภาพก็ต่อเมื่อมีการประมวลผลผ่านวิธีการทางเทคนิคที่เฉพาะเจาะจงซึ่งทำให้มีสามารถระบุตัวตนหรือการตรวจสอบความถูกต้องของบุคคลธรรมดาอย่างเฉพาะเจาะจงได้
โดย Clearview AI ได้ใช้อัลกอริทึมในการแปลงภาพถ่ายที่รวบรวมและอัปโหลดเป็นเวกเตอร์ และจัดเก็บภาพถ่ายพร้อมกับเวกเตอร์ที่สอดคล้องกันในฐานข้อมูล ดังนั้น Clearview AI จึงใช้วิธีการทางเทคนิคกับภาพดังกล่าวเหล่านั้นแล้ว
และวัตถุประสงค์ของวิธีการทางเทคนิคเหล่านี้คือเพื่อให้สามารถระบุตัวบุคคลธรรมดาอย่างเฉพาะเจาะจง โดยฟังก์ชันการค้นหาจะเปรียบเทียบเวกเตอร์ของภาพที่อัปโหลดกับภาพอื่น ๆ ในฐานข้อมูล และแสดงในภาพอื่น ๆ ที่มีการปรากฏของข้อมูลของบุคคลนั้น นอกจากนี้ยังสามารถได้รับ URL และเมตะดาต้าที่เกี่ยวข้องกับภาพเหล่านี้ด้วย
2.การเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลในเนเธอร์แลนด์
ในกระบวนการรวบรวมข้อมูลโดยใช้ crawler ของ Clearview AI ไม่มีการกำหนดข้อจำกัดใด ๆ ในแง่ของที่ตั้งทางภูมิศาสตร์หรือสัญชาติ Clearview AI เปรียบเทียบขอบเขตของการรวบรวมข้อมูลกับข้อมูลที่ Google จัดเก็บ ซึ่งไม่มีข้อจำกัดล่วงหน้าเช่นกัน
“คลังภาพของ Clearview AI ประกอบด้วยข้อมูลสาธารณะที่สามารถค้นหาได้จากการค้นหาผ่าน Google ทั่วไป” และจากฐานข้อมูลภาพถ่ายจำนวน 30 พันล้านภาพบริษัทไม่มีการดำเนินมาตรการใด ๆ ในการคัดกรองและป้องกันภาพถ่ายของบุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของชาวดัตช์ (หรือพฤติกรรมของพวกเขาในเนเธอร์แลนด์) ออกจากฐานข้อมูล
ตรงกันข้าม Crawler ของ Clearview ได้รวบรวมข้อมูลจากเว็บไซต์ของเนเธอร์แลนด์เช่นกัน ในบริบทนี้ ตามข้อมูลจากสำนักงานสถิติเนเธอร์แลนด์พบว่า 97% ของชาวดัตช์ที่มีอายุ 12 ปีขึ้นไปสามารถเข้าถึงอินเทอร์เน็ตที่บ้านได้ 87.6% ของผู้ที่ถูกสัมภาษณ์ระบุว่าพวกเขาใช้อินเทอร์เน็ตเกือบทุกวันในช่วงสามเดือนก่อนหน้า
ในปี 2019 พบว่า 63% ของชาวดัตช์ที่มีอายุ 12 ปีขึ้นไปมีความเคลื่อนไหวในหนึ่งหรือมากกว่าหนึ่งเครือข่ายสังคม เช่น Facebook, Twitter, Instagram หรือ Snapchat ซึ่งยืนยันข้อเท็จจริงว่าข้อมูลส่วนบุคคลของชาวดัตช์จะถูกประมวลผลโดย Clearview AI
3.ฐานทางกฎหมายในการประมวลผล
Clearview AI อ้างว่าใช้ฐานประโยชน์โดยชอบด้วยกฎหมาย (legitimate interest) ในการประมวลผลข้อมูลชีวภาพ และในกรณีนี้บริษัทไม่ได้มีการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
ซึ่งกรณีนี้ Dutch DPA เห็นว่าประโยชน์ ในทางธุรกิจขององค์กร ไม่ได้สัดส่วนกับผลกระทบต่อสิทธิและเสรีภาพของบุคคล โดยเฉพาะเมื่อ มีข้อมูลส่วนบุคคลของผู้เยาว์จำนวนมากที่บริษัทเก็บรวบรวมเพื่อสร้างฐานข้อมูลภาพจำลองใบหน้า
ส่วนข้อกล่าวอ้างของบริษัทที่ว่า เป็นข้อมูลที่เปิดเผยต่อสาธารณะโดยชัดแจ้งของผ่านช่องทางออนไลน์ต่าง ๆ โดยเจ้าของข้อมูลส่วนบุคคล ก็ยังไม่อาจถือได้ว่าเจ้าของข้อมูลส่วนบุคคลเหล่านั้นมีเจตนาให้นำภาพถ่ายของตนเองไปใช้ได้
บริษัทจึงไม่มีฐานทางกฎหมายหรือความชอบธรรมตามที่กฎหมายกำหนด ในการเก็บรวบรวมข้อมูลภาพถ่ายบุคคลจากแหล่งต่างเพื่อจัดทำฐานข้อมูลภาพจำลองใบหน้า
4.ความโปร่งใสและการแจ้งรายละเอียดต่าง ๆ เกี่ยวกับความเป็นส่วนตัว
Dutch DPA ตรวจสอบ Privacy Notice ฉบับปัจจุบันและย้อนหลังของบริษัทแล้วเห็นว่าไม่เป็นไปตามข้อกำหนดด้านความโปร่งใสและหน้าที่ในการแจ้งวัตถุประสงค์และรายละเอียดต่าง ๆ เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล
โดยเมื่ออ่าน Privacy Notice ของบริษัทแล้ว เจ้าของข้อมูลส่วนบุคคลจะไม่อาจทราบได้เลยว่า Clearview AI กำลังประมวลผลภาพถ่ายของพวกเขา (รวมถึงเมตะดาต้า) เพื่อวัตถุประสงค์ในการจดจำใบหน้า รวมทั้งการที่ Clearview AI ไม่มีมาตรการที่เหมาะสมเพื่อให้ผู้ที่เกี่ยวข้องกับข้อมูลได้รับทราบ
5.การไม่เคารพต่อสิทธิในการเข้าถึงข้อมูลส่วนบุคคล โดย Clearview AI ปฏิเสธคำขอใช้สิทธิและไม่ดำเนินการให้มีช่องทางที่เหมาะสมในการขอใช้สิทธิ
เรื่องนี้คงยังไม่จบง่าย ๆ ต้องมารอดูกันว่า Clearview AI จะใช้มาตรการใดในการไม่ปฏิบัติตามคำสั่งต่าง ๆ ของหน่วยงานด้านการคุ้มครองข้อมูลส่วนบุคคลของยุโรป
รวมทั้งความพยายามของ Dutch DPA ที่กำลังพิจารณาว่าจะมีช่องทางในการดำเนินคดีอาญากับผู้บริหารของ Clearview AI ได้หรือไม่ เพื่อให้มั่นใจว่ากระบวนการบังคับใช้กฎหมายจะมีประสิทธิภาพและสามารถลงโทษผู้กระทำผิดได้จริง
แหล่งข้อมูล