Kad tehnoloģijas apdraud pamattiesības

Ar kādiem juridiskiem riskiem jārēķinās, izmantojot sejas atpazīšanas rīkus vai iesaistoties biometrisko datu apkopošanā? Uzņēmuma “Clearview AI” gadījums spilgti parāda, ka bez skaidra normatīvā ietvara jaunās tehnoloģijas rada nopietnus draudus privātumam un personas datu aizsardzībai, kā arī būtiski ietekmē iesaistīto uzņēmumu reputāciju un darbību.

“Clearview AI” ir Amerikas Savienoto Valstu (ASV) uzņēmums, kas izveidojis milzīgu sejas attēlu datubāzi, izmantojot interneta resursu masveida skrāpēšanu (scraping). Uzņēmums automātiski no sociālajiem tīkliem un citām vietnēm apkopojis miljardiem cilvēku publiski pieejamu fotogrāfiju, pārvēršot tās unikālos biometriskos identifikatoros. Uzņēmuma izveidotais rīks ļauj augšupielādēt personas fotoattēlu un to salīdzināt ar datubāzes attēliem, lai atrastu sakritības un iegūtu saistītu informāciju (piemēram, avota tīmekļa adresi jeb URL vai ziņas par personas identitāti). Kopš 2020.gada “Clearview AI” darbību asi kritizē gan Eiropas uzraudzības iestādes, gan tehnoloģiju uzņēmumi un pilsoniskās sabiedrības pārstāvji, tādēļ nozīmīgs ir jautājums, vai uzņēmuma īstenotā sejas attēlu vākšana, kas nav mērķorientēta, atbilst Vispārīgās datu aizsardzības regulas (regula 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti) prasībām un kādas juridiskās un praktiskās sekas tas rada Latvijai?

“Clearview AI” darbība un datubāze

“Clearview AI” ir sejas atpazīšanas sistēma, kas balstās uz visā pasaulē savāktu attēlu datubāzi. Uzņēmums apgalvo, ka datubāzē ir vairāk nekā 30 miljardu cilvēku fotoattēlu, kas iegūti, noskrāpējot publiski pieejamus attēlus no tādām vietnēm kā “Facebook”, “YouTube”, “Twitter”, “LinkedIn” un citām. Datubāze turpina augt – 2022.gadā tiesas dokumentos minēts “Clearview AI” mērķis sasniegt 100 miljardus sejas attēlu – apmēram 14 foto katram Zemes iedzīvotājam.

Attēlu vākšana notiek bez datu subjektu ziņas vai piekrišanas, automatizēti lejupielādējot fotogrāfijas no publiskiem profiliem un tīmekļa lapām. Pēc tam “Clearview AI” algoritmi katrai sejai ģenerē unikālu biometrisko veidni (sejas nospiedumu). Tas ir līdzīgi pirkstu nospiedumu noņemšanai, tikai balstīts uz informāciju par sejas vaibstiem. Vispārīgās datu aizsardzības regulas 4.panta 14.punkta izpratnē šie sejas veidņi kvalificējami kā biometriski dati, jo tiek izmantoti personas unikālai identificēšanai ar speciāliem tehniskiem līdzekļiem.

“Clearview AI” mērķis ir piekļuvi šim rīkam pārdot tiesībsargājošām iestādēm un citiem klientiem noziedzības apkarošanas jomā. Pakalpojums “Clearview for Law Enforcement” ļauj policijai augšupielādēt personas fotoattēlu (piemēram, no nozieguma vietas kameras vai interneta), veikt meklēšanu datubāzē un saņemt citus šīs personas attēlus un saites uz to avotiem. Tādējādi var noskaidrot personas identitāti vai izsekot tās klātbūtnei internetā.

Šāda masveida biometriskā uzraudzība tomēr rada nopietnus riskus. Dokumentēti gadījumi, kad sejas atpazīšanas kļūdas dēļ nepamatoti apcietinātas un notiesātas personas Detroitā un Ņūorleānā. Kritiķi uzsver, ka “Clearview AI” pārkāpj cilvēku tiesības uz privātumu un var radīt anonimitātes beigu efektu sabiedriskās vietās – ja ikvienu garāmgājēju var identificēt un izsekot, tad pamata brīvības ir apdraudētas. Privātuma aktīvisti “Clearview AI” darbību dēvē par “masu uzraudzību”, kas ietekmē sabiedrību kopumā. Eiropas privātuma uzraugi pat aicinājuši aizliegt automatizētu sejas atpazīšanu publiskās vietās tieši šādu būtisku risku dēļ – Eiropas Datu aizsardzības kolēģija un Eiropas Datu aizsardzības uzraudzītājs kopīgā 2021.gada atzinumā skaidri pauda nepieciešamību noteikt vispārēju aizliegumu attiecībā uz mākslīgā intelekta sistēmām, kas publiski pieejamās telpās veic cilvēku sejas vai citu biometrisku pazīmju atpazīšanu.

Regulas pārkāpumi un ES sodi

“Clearview AI” praksi ir izmeklējušas vairākas Eiropas Savienības (ES) dalībvalstu datu aizsardzības uzraudzības iestādes, konstatējot būtiskus Vispārīgās datu aizsardzības regulas pārkāpumus. Uzņēmumam nav nekāda tiesiskā pamata šo Eiropas iedzīvotāju personas datu vākšanai un izmantošanai – nav ne piekrišanas, ne līguma, ne leģitīmas intereses, ko šādā situācijā varētu pamatoti piemērot. Tādējādi tiek pārkāpts Vispārīgās datu aizsardzības regulas 5.panta 1.punkta a) apakšpunkts par likumīgu un godprātīgu datu apstrādi, kā arī 6.pants par apstrādes likumības pamatiem. Turklāt sejas attēli pēc savas būtības ir biometriski dati, kas saskaņā ar Regulu definēti kā īpašu kategoriju personas dati – to apstrāde principā ir aizliegta, ja vien nepastāv kāds īpašs izņēmums (piemēram, datu subjekta skaidra piekrišana vai svarīgas publiskas intereses). “Clearview AI” nevar atsaukties ne uz vienu Regulas 9.panta 2.punktā paredzēto izņēmumu, tāpēc biometrisko datu apstrāde notiek prettiesiski. Tāpat uzņēmums nav izpildījis caurskatāmības un informēšanas prasības – nav sniedzis datu subjektiem nepieciešamo informāciju par šo datu vākšanu. Vairāki Eiropas lietotāji, uzzinot par savu attēlu esamību “Clearview AI” datubāzē, mēģināja realizēt piekļuves un dzēšanas tiesības, taču uzņēmums uz pieprasījumiem nesniedza atbildes un personas datus nedzēsa. Šāda nesadarbošanās pārkāpj virkni citu Regulas pantu.

Vairākas Eiropas uzraudzības iestādes Itālijā, Francijā, Grieķijā un Nīderlandē ir piemērojušas “Clearview AI” maksimālo administratīvo sodu (katrā valstī līdz 20‑30,5 miljoniem eiro) par Vispārīgās datu aizsardzības regulas pārkāpumiem, tostarp neatļautu biometrisko datu apstrādi bez tiesiska pamata, pārredzamības un informēšanas pienākumu neizpildi un ES pārstāvja neiecelšanu. Katrs lēmums ietvēra arī rīkojumus dzēst savāktos datus un aizliegt turpmāku apstrādi attiecīgajā teritorijā. Francija par šī rīkojuma nepildīšanu papildus piemēroja sodu 100 000 eiro dienā, vēlāk piemērojot 5,2 milj. eiro sodu par neizpildi. Nīderlande uzsvēra, ka “Clearview AI” darbība skaidri atbilst Regulas teritoriālajai darbības jomai, jo notiek ES datu subjektu tiešsaistes uzvedības novērošana jeb monitorēšana. Šie lēmumi akcentē, ka “Clearview AI” paļaušanās uz “leģitīmām interesēm” nav pieņemama šāda mēroga biometrisko datu apstrādei.

Īsi pēc tam, kad tika paziņots par Nīderlandes atbildīgo iestāžu uzlikto sodu, “Clearview AI” publiski noraidīja Eiropas iestāžu jurisdikciju, apgalvojot, ka uzņēmumam nav biznesa darbību ES, nekādu ES klientu un tādēļ tas neesot pakļauts Vispārīgajai datu aizsardzības regulai. Tomēr visas minētās ES iestādes ir konsekventi atzinušas pretējo – Regula attiecas arī uz “Clearview AI”.

Sociālo mediju platformu reakcija

“Clearview AI” plaši izmantoja sociālo tīklu platformās pieejamus fotoattēlus, bieži pārkāpjot šo platformu lietošanas noteikumus, kas jau 2020.gadā izraisīja asu reakciju no lielajiem tehnoloģiju uzņēmumiem: “Twitter”, “Google”, “YouTube”, “Facebook” (“Meta”), “LinkedIn” un “Venmo” nosūtīja brīdinājumus, pieprasot nekavējoties pārtraukt datu skrāpēšanu un dzēst visus savāktos attēlus. Uzņēmumi uzsvēra, ka “Clearview AI” rīcība pārkāpj aizliegumu izmantot platformu saturu identifikācijas nolūkiem un apdraud lietotāju privātumu, bet “Clearview AI” savu praksi publiski atzina un turpināja, neraugoties uz šiem iebildumiem.

Platformu reakcijas pamatā bija ne vien rūpes par lietotāju privātumu, bet arī juridiski apsvērumi – autortiesības un datubāzu tiesības. Lai gan personas fotogrāfijas, kas publicētas internetā, var tikt uzskatītas par publiski pieejamu informāciju, to masveida vākšana un komerciāla izmantošana var pārkāpt tiesību normas.

Pirmkārt, platformu lietotāju satura piederība (licence) paredz, ka saturu drīkst izmantot tikai atbilstoši noteikumiem – trešās puses, kā “Clearview AI”, nav tiesīgas komerciāli izmantot šos attēlus, jo tas nav paredzēts lietošanas noteikumos.

Otrkārt, “Clearview AI”, savācot miljoniem attēlu, būtībā veido savu datubāzi ar citu mitinātu saturu, iespējams, pārkāpjot datubāzu veidotāju tiesības.

Treškārt, atsevišķas fotogrāfijas var būt aizsargātas ar autortiesībām (piemēram, profesionāli uzņemti attēli vai mediju foto), un to reproducēšana “Clearview AI” sistēmā bez licences var būt autortiesību pārkāpums.

“Clearview AI” gan aizstāvējās, apgalvojot, ka viss uzņēmuma vāktais ir publiski pieejams internetā, un salīdzināja sevi ar “Google” meklētāju, kas indeksē publiskas lapas. Uzņēmums atsaucās uz vārda brīvības tiesībām ASV, apgalvojot, ka publiski ievietotu datu vākšana un indeksēšana ir likumīga. Tomēr sociālie mediji norādīja, ka atšķirība ir mērķī un apjomā – “Google” indeksē tīmekli, lai atvieglotu informācijas atrašanu, bet “Clearview AI” sistemātiski vāc personu foto ar nolūku identificēt indivīdus, kas nav salīdzināms ar parastu meklētājprogrammu. Platformas arī uzsvēra – pat “publiski” foto ir paredzēti noteiktai auditorijai (draugiem, sekotājiem) un noteiktiem nolūkiem, nevis, lai tie kļūtu par daļu no globālas sejas atpazīšanas sistēmas, kur ikviens var tikt atpazīts bez piekrišanas.

Kopumā lielo platformu stingrā nostāja padarīja “Clearview AI” darbību sarežģītāku – uzņēmumam formāli nebija tiesību turpināt datu iegūšanu no šiem avotiem. Tomēr praksē tehniski ierobežot “Clearview AI” bija grūti, jo publiskus datus internetā var arī skrāpēt, apejot oficiālās lietojumprogrammas saskarnes (application programming interface, API) vai izmantojot starpniekserverus. Līdz ar to, neskatoties uz brīdinājuma vēstulēm, nav garantijas, ka “Clearview AI” patiešām pārtrauca visas attēlu vākšanu.

Jāpiebilst, ka 2021.gadā “Facebook” (“Meta”) pēc savas iniciatīvas, atsaucoties uz privātuma riskiem, slēdza savu sejas atpazīšanas programmu, dzēšot miljardiem lietotāju sejas veidņu. Tas parāda, ka pat tehnoloģiju giganti atturas no plašas sejas atpazīšanas izmantošanas bez skaidras piekrišanas. “Clearview AI” šajā kontekstā tiek uzlūkots kā īpaši agresīvs un strīdīgs spēlētājs, kas ignorē ne tikai likumus, bet arī industrijas ētikas normas un platformu politikas.

ASV un Eiropas atšķirīgās iespējas

Kamēr platformas centās ierobežot “Clearview AI” darbību, uzņēmums arī tiesvedības līmenī sastapās ar pieaugošu spiedienu gan ASV, gan vēlāk arī Eiropā. “Clearview AI” nonāca tiesas priekšā vairākos ASV štatos. Īpaši izceļama Ilinoisa, kur uzņēmums pārkāpa stingro Biometriskās informācijas privātuma likumu (Biometric information privacy act), vācot sejas attēlus bez piekrišanas. 2022.gadā noslēgtais mierizlīgums paredzēja, ka “Clearview AI” pārtrauc komerciāli pārdot savu datubāzi privātajiem uzņēmumiem visā ASV, piecus gadus nesadarbojas ar Ilinoisas policiju, ievieš “opt-out” mehānismu jeb iespēju personām nepiekrist viņu attēlu izmantošanai, un pārtrauc datu testēšanu bez iestādes atļaujas. Līdztekus tika panākts arī bezprecedenta izlīgums, kurā prasītāji ieguva 23% “Clearview AI” kapitāldaļu (aptuveni 52 miljonu ASV dolāru vērtībā).

Uzņēmumu iesūdzēja arī Kalifornijā, Ņujorkā, Virdžīnijā un Vermontā, kur panāca, ka tas pārtrauc darbību štatā un dzēš iedzīvotāju datus. Atsevišķi štatu ģenerālprokurori izmantoja patērētāju aizsardzības likumus. Tiesvedības piespieda “Clearview AI” būtiski ierobežot darbību ASV – uzņēmuma pakalpojumi nu pieejami galvenokārt tikai tiesībsargājošām iestādēm.

Atšķirībā no ASV, Eiropas uzraudzības iestādes saskaras ar izpildes grūtībām – “Clearview AI” nav juridiskas klātbūtnes ES, un līdz 2025.gadam tas nav samaksājis nevienu sodu. Uzņēmums ignorē paziņojumus, atsaucoties uz jurisdikcijas trūkumu, un bloķē piekļuvi no ES IP adresēm, bet joprojām nespēj tehniski nošķirt ES iedzīvotāju datus. ES iestādes atzīst šo situāciju kā signālu starptautiskas sadarbības un jaunu instrumentu trūkumam.

Lai arī soda izpilde kavējas, ES lēmumi ir ietekmējuši “Clearview AI” stratēģiju – uzņēmums oficiāli pārtraucis pakalpojumu piedāvāšanu ārpus Ziemeļamerikas, un tā globālās ambīcijas ir ievērojami sarukušas. Investori un sadarbības partneri uztver ES reakciju kā spēcīgu brīdinājumu, kas var mazināt atbalstu līdzīgiem uzņēmumiem arī nākotnē.

Iespējamās sekas un riski Latvijā

Latvijas datu pārziņiem, kuri apsvērtu “Clearview AI” izmantošanu vai līdzīgas tehnoloģijas ieviešanu, jārēķinās ar nopietniem juridiskiem un reputācijas riskiem. Jebkāda sejas attēlu augšupielāde “Clearview AI” sistēmā būtu uzskatāma par personas datu nodošanu trešajai pusei bez tiesiska pamata, pārkāpjot Vispārīgās datu aizsardzības regulas 5. un 6.pantu. Tā kā “Clearview AI” datubāze veidota nelikumīgi, sadarbība ar šo uzņēmumu nozīmētu līdzdalību prettiesiskā datu apstrādē.

Papildus Vispārīgās datu aizsardzības regulas prasībām, arī Fizisko personu datu apstrādes likums paredz stingru regulējumu. Par pārkāpumiem var sodīt gan administratīvi, gan krimināli. Datu valsts inspekcija (DVI) būtu tiesīga izvērtēt šādu rīcību un piemērot sodus līdz pat vairākiem miljoniem eiro. Jebkura šāda iniciatīva būtu jāsaskaņo ar DVI, jāveic datu apstrādes ietekmes novērtējums, un nav pamata uzskatīt, ka tā varētu izturēt šo pārbaudi.

Arī reputācijas riski ir būtiski. Sabiedrība, uzzinot par šādas sistēmas izmantošanu, var zaudēt uzticēšanos uzņēmumam vai iestādei, savukārt datu subjekti būtu tiesīgi vērsties tiesā un prasīt atlīdzību par pārkāpumiem. Ja kāds Latvijā mēģinātu atkārtot “Clearview AI” modeli, masveidā noskrāpējot attēlus no tīmekļa, tas riskētu ne vien ar datu aizsardzības, bet arī ar autortiesību un līguma pārkāpumu sekām – platformas varētu iesniegt prasības par nesankcionētu piekļuvi un godīgas konkurences pārkāpumiem. Latvijas datu pārziņiem skaidri jāapzinās, ka līdzdalība nelikumīgā datu vākšanā vai izmantošanā – pat netiešā formā – var novest pie būtiskas juridiskas un sabiedriskas atbildības.

Jaunās tehnoloģijas jāizmanto atbildīgi

“Clearview AI” gadījums kļuvis par piemēru datu aizsardzības jomā – tas demonstrē gan jauno tehnoloģiju draudīgo potenciālu, gan arī normatīvā regulējuma un tiesībsargu centienus šo potenciālu ierobežot cilvēktiesību labad. Sejas attēlu vākšana no publiskiem avotiem un to izmantošana masveida atpazīšanai ir pretrunā Vispārīgās datu aizsardzības regulas pamatprincipiem un pārkāpj virkni tās normu, ieskaitot likumības, pārredzamības un datu minimizēšanas principus, likumīga pamata trūkumu un īpašu kategoriju datu aizsardzību. Eiropas uzraudzības iestādes ir vienbalsīgi nosodījušas “Clearview AI” praksi, uzliekot maksimālus sodus un liekot apturēt datu apstrādi. Tas apliecina ES nopietno attieksmi pret biometrisko masveida uzraudzību.

Tiesa, “Clearview AI” reakcija atklāj robežas Vispārīgās datu aizsardzības regulas piemērošanā ārpus ES – bez starptautiskas izpildes sistēmas sodu piedziņa ir sarežģīta, un uzņēmums līdz šim izvairījies no atbildības. Tomēr reputācijas zaudējums un ES tirgus liegums jau ir sods pats par sevi. Arī ASV, kur stingri privātuma likumi federālā līmenī vēl top, štatu līmenī sabiedrība un tiesas piespiedušas “Clearview AI” atkāpties un ievērot stingrākus noteikumus.

Latvijai šī situācija skaidri signalizē – jaunās tehnoloģijas jāizmanto atbildīgi. DVI un Latvijas uzņēmumiem jāņem vērā Eiropas Datu aizsardzības kolēģijas vadlīnijas un citu valstu precedenti – sejas atpazīšanas rīku ieviešana prasa ļoti augstu juridisko standartu un sociālo akceptu, kas šobrīd nav nodrošināts. Privātuma un personas datu aizsardzība ir pamattiesības, un “Clearview AI” gadījums kļuvis par brīdinājumu, cik viegli tehnoloģija var šīs tiesības apdraudēt, un cik stingri sabiedrība un likums reaģēs, sargājot indivīda privātumu.