一、從Clearview遭遇全球監(jiān)管說起

Clearview AI Inc.（“Clearview"）成立于2017年，是一家美國知名人臉識別應用服務公司，據(jù)稱維持著全球最大的人臉數(shù)據(jù)庫，數(shù)據(jù)涵蓋從Facebook、Twitter和YouTube等諸多社交媒體平臺上抓取的照片。截至2023年4月，其人臉數(shù)據(jù)量已超過 300億張。[1]報道稱，只需上傳一張人像照片，Clearview的 AI 技術(shù)即可在全網(wǎng)范圍進行識別，并反饋數(shù)據(jù)庫中匹配到的所有類似圖像，包括照片人物在各社交網(wǎng)站上的資料及鏈接，幫助客戶鎖定照片中的個人身份信息。Clearview主要面向美國警方等執(zhí)法機構(gòu)以及國家情報部門提供面部識別服務，用以抓捕罪犯。在2020年前，Clearview的服務還面向私人企業(yè)。

2020年Clearview遭到黑客攻擊，平臺上超過2000家客戶數(shù)據(jù)泄露，其中包括美國移民局、司法部、聯(lián)邦調(diào)查局（FBI）等重要執(zhí)法機構(gòu)。由于絕大多數(shù)人都不知道自己的照片被Clearview采集并使用，此事迅速引起全球范圍內(nèi)對人臉識別技術(shù)的安全性和監(jiān)管、及隱私保護的熱議。

同年以來，美國、加拿大、英國、澳大利亞、瑞典、意大利、法國等多國的監(jiān)管機構(gòu)先后就Clearview無差別收集用戶人臉信息的行為是否侵犯用戶隱私權(quán)及違反法律發(fā)起調(diào)查或訴訟，并最終對Clearview處以了共計數(shù)千萬歐元的罰款，同時要求其刪除本國公民人臉數(shù)據(jù)。

這其中較引人矚目的處罰事件是，2020年7月，英國信息專員辦公室（“ICO"）與澳大利亞信息專員辦公室（“OAIC"）對Clearview展開的聯(lián)合調(diào)查，結(jié)果如下：

二、從Clearview v. ICO案判決看歐盟及英國GDPR的域外管轄規(guī)則及其適用

就英國ICO所作兩項通知，2022年6月29日，Clearview向英國初審法庭（First-tier Tribunal）提起上訴，主張Clearview是一家外國公司、向“外國客戶、使用外國IP地址、為了支持外國政府和政府機構(gòu)的（尤其是與其國家安全和刑事執(zhí)法職能相關(guān)的）公共利益行動"提供服務，故ICO對其無管轄權(quán)。

2023年10月17日，英國初審法庭支持了Clearview的上訴，判決ICO作出兩項通知缺乏管轄權(quán)基礎。[3]英國初審法庭認為：

• 歐盟和英國GDPR的域外管轄權(quán)涵蓋Clearview被處罰的數(shù)據(jù)處理行為，盡管Clearview是一家在美國設立的公司，在英國和歐盟不設有實體（establishment）、同時在英國和歐盟也不設有服務器；但是

• Clearview的數(shù)據(jù)處理服務僅提供給非英國/歐盟刑事執(zhí)法和國家安全機構(gòu)及其承包商、用于履行刑事執(zhí)法和國家安全職能。該等行為作為外國政府機構(gòu)執(zhí)法活動的一部分，根據(jù)歐盟GDPR第2(2)(a)條和英國GDPR第3(2A)和2(1)(a)條，被排除在歐盟和英國GDPR的實體適用范圍之外。[4]

雖然Clearview在與英國ICO的對抗中勝訴了，但是英國初審法庭關(guān)于歐盟和英國GDPR對Clearview具有域外管轄權(quán)的寬泛解釋應當引起從事相關(guān)業(yè)務的外國公司（包括中資企業(yè)）的重視。而且該等解釋很可能被采納類似規(guī)定的其他國家和地區(qū)的司法和執(zhí)法實踐沿用，進一步增加外國公司開展相關(guān)涉歐盟/英國數(shù)據(jù)處理業(yè)務的合規(guī)風險。

（一）歐盟和英國GDPR域外管轄權(quán)規(guī)定

由于Clearview在英國境內(nèi)不設有實體，其數(shù)據(jù)處理行為能受到歐盟和英國GDPR約束的唯一基礎是歐盟和英國GDPR第3(2)條的域外管轄條款（具體見下，不同之處以下劃線標記）：

（二）英國初審法庭對歐盟和英國GDPR域外管轄權(quán)適用范圍的解釋

本案涉及的是歐盟和英國GDPR第3(2)(b)條規(guī)定的情形——“對數(shù)據(jù)主體在歐盟/英國境內(nèi)的行為進行監(jiān)控"。為認定Clearview的數(shù)據(jù)處理行為落入該條的適用范圍，英國初審法庭認為需要滿足四要素：

（1）須有對個人數(shù)據(jù)的處理行為（processing）；

（2）須是英國數(shù)據(jù)主體的個人數(shù)據(jù)；

（3）處理行為須由不設立在英國的控制者或處理者進行；以及

（4）處理行為與對英國境內(nèi)數(shù)據(jù)主體行為的監(jiān)控“相關(guān)"，只要其行為發(fā)生在英國境內(nèi)。

如下詳述，初審法庭就第（4）點進行了重點分析。根據(jù)其說理，被調(diào)查對象的行為只要與監(jiān)控“相關(guān)"、而無需實際采取監(jiān)控行為，也可觸發(fā)第3(2)(b)條的適用。這意味著向英國控制者提供服務的境外處理者也會受到第3(2)(b)條的規(guī)制。

1. 對個人數(shù)據(jù)的處理行為（processing）

根據(jù)ICO的執(zhí)行通知和初審法庭的認定，Clearview被初審法庭認定的數(shù)據(jù)處理行為橫跨了英國脫歐過渡期開始（2020年1月31日）前后，具體可分為兩類：

2. 英國數(shù)據(jù)主體的個人數(shù)據(jù)

初審法庭認同，Clearview 的數(shù)據(jù)庫包含英國數(shù)據(jù)主體的個人數(shù)據(jù)，而且根據(jù)英國居民人臉圖像獲得的矢量作為生物識別數(shù)據(jù)也屬于個人數(shù)據(jù)。

作為佐證，2019年6月到2020年3月期間，Clearview曾在英國通過開展測試并主動開展培訓的方式，向倫敦等多地在內(nèi)的警方以及英國國家犯罪局在內(nèi)的英國執(zhí)法及政府組織提供過面部識別服務。

3. 不設立在英國的“控制者"或“處理者"

根據(jù)歐盟GDPR第4(7)條對“控制者"的定義，數(shù)據(jù)控制者應是決定個人數(shù)據(jù)處理的目的和方式的主體。

對于Clearview的兩項行為，初審法庭認為：

• Clearview是“行為1"（創(chuàng)建、開發(fā)和維護個人數(shù)據(jù)庫以及索引其中圖像的個人數(shù)據(jù)處理）的控制者；

• Clearview與其客戶是“行為2"（將客戶提交的圖像與數(shù)據(jù)庫中的圖像進行匹配，并將搜索結(jié)果提供給客戶的個人數(shù)據(jù)處理）的共同控制者。

  具體而言，Clearview確定了處理行為的目的，即通過服務條款禁止客戶將其服務用于執(zhí)法或國家安全以外的目的；而Clearview與其客戶均確定了處理行為的方式，即客戶上傳搜索圖片、Clearview進行匹配并反饋搜索結(jié)果和關(guān)聯(lián)信息。但初審法庭也強調(diào)，即使Clearview與其客戶不被認定為是共同控制者，歐盟和英國GDPR也不排除某一控制者處理數(shù)據(jù)與另一不同的控制者的對行為的監(jiān)控相關(guān)。

• 此外，Clearview也是兩項行為的處理者（但初審法庭未就此作進一步解釋說明）。

4. 處理行為與對英國境內(nèi)數(shù)據(jù)主體行為的監(jiān)控相關(guān)

對“行為（behaviour）"的認定：

初審法庭認為，“行為"是關(guān)于一個人在做某事，而不僅僅是他們的特征。僅僅識別一個人的姓名、頭發(fā)顏色、年齡、姓名或出生日期等并不等同于“行為"；相反，行為可能包括一個人在哪里、在做什么、與他人的關(guān)系、所攜帶的東西、所穿的服飾等；但具體行為要依據(jù)個案判斷。

本案中，初審法庭認為，從Clearview反饋給客戶的圖像搜索結(jié)果中，可以顯示或推斷出一個人的關(guān)系狀況、父母身份、關(guān)聯(lián)關(guān)系、地點或住所、社交媒體使用情況、個人習慣、職業(yè)或消遣、駕駛能力、活動及其合法性、該人是否被捕等行為方面。

對“監(jiān)控（monitoring）"的認定：

結(jié)合歐盟GDPR序言第（24）段，初審法庭認為“監(jiān)控"需要確定是否通過某種網(wǎng)絡或技術(shù)追蹤自然人，包括隨后可能使用特定數(shù)據(jù)處理技術(shù)，這些技術(shù)包括對自然人進行剖析以對其作出決定、預測或分析其行為等。而且，監(jiān)控行為可以是僅一次性的行為。

本案中，初審法庭認為，Clearview的“行為1"和“行為2"都不構(gòu)成實施監(jiān)控行為，因為從圖像中收集人臉矢量信息并依據(jù)其相似性對圖像進行索引的過程，并未揭示任何有關(guān)個人行為的信息，而只是一種自動化的數(shù)學運算。

然而，Clearview的客戶構(gòu)成利用Clearview的服務實施監(jiān)控行為。Clearview的客戶使用其服務對個人的監(jiān)控行為可以包括：確定一個人在某一時刻的位置、通過重復提交已知人員的同一圖像來隨時間推移觀察該數(shù)據(jù)主體、使用Clearview反饋的匹配圖像對不同時間的圖像中的人物進行描述、將這些結(jié)果與從其他形式的監(jiān)控中獲得的信息相結(jié)合等。該等行為不僅是為了查明某人的身份，也是為了對其做出決定、預測或分析其行為，以便逮捕他們或收集他們所做行為的證據(jù)或防止非法活動。

據(jù)此，初審法庭認為，Clearview的客戶獲取或試圖獲取所搜索圖像中的人士的相關(guān)事實（如其位置及與他人的聯(lián)系等）的行為構(gòu)成對其“行為的監(jiān)控"。

對“有關(guān)（related to）"的認定：

最后，初審法庭認定Clearview的兩項處理行為都與其客戶的監(jiān)控“有關(guān)"，原因是Clearview數(shù)據(jù)庫的創(chuàng)建、維護和運行與客戶的監(jiān)控行為之間存在密切聯(lián)系，Clearview 的數(shù)據(jù)處理行為即是為了讓其客戶能夠進行監(jiān)控。

5. 結(jié)論

基于對歐盟和英國GDPR域外管轄適用范圍的寬泛解釋，英國初審法庭得出結(jié)論：雖然Clearview本身的兩項數(shù)據(jù)處理行為不構(gòu)成 Clearview 對英國數(shù)據(jù)主體行為的監(jiān)控，但Clearview的客戶使用從Clearview服務獲得的圖像和其他信息來監(jiān)控英國數(shù)據(jù)主體的行為，而Clearview的兩項處理行為又都與該等監(jiān)控相關(guān)，因此同時落入了英國和歐盟GDPR的域外管轄權(quán)的適用范圍。

三、Clearview v. ICO案判決對中企的意義

Clearview v. ICO案判決中關(guān)于英國和歐盟GDPR的域外效力的認定對于從事跨境人臉識別技術(shù)和數(shù)據(jù)應用的中國或中資企業(yè)具有多重意義。

（一）歐盟和英國GDPR的域外管轄

毋庸置疑，Clearview v. ICO案判決對于在歐盟/英國沒有設立實體、但其經(jīng)營活動中涉及處理歐盟/英國數(shù)據(jù)主體個人數(shù)據(jù)的中資企業(yè)起到警示作用。如果企業(yè)的數(shù)據(jù)處理商業(yè)行為涉及與監(jiān)控歐盟/英國數(shù)據(jù)主體相關(guān)的行為，即很可能受到歐盟/英國GDPR的監(jiān)管。而且需要特別注意的是，企業(yè)作為人臉識別技術(shù)或其他數(shù)據(jù)處理服務提供者，同樣可能因其客戶的數(shù)據(jù)處理行為而承擔歐盟/英國GDPR下的責任。

畢竟能夠適用國家安全和執(zhí)法例外抵御歐盟/英國GDPR域外管轄權(quán)的屬于極少數(shù)情形。因此，對于大部分中國企業(yè)來說，只要參與創(chuàng)建包含歐盟/英國個人信息的數(shù)據(jù)庫，存在對表明某人的行為的互聯(lián)網(wǎng)數(shù)據(jù)庫、搜索引擎、圖像的掃描，即應充分了解和考慮其本身及其客戶使用企業(yè)技術(shù)用于處理的數(shù)據(jù)及其處理目的，以確認是否可能落入歐盟/英國GDPR的域外適用范圍。如果有落入的風險，履行適當?shù)母嬷x務及征得數(shù)據(jù)主體的明確同意則更為重要。

（二）其他國家和地區(qū)立法的域外管轄趨勢

Clearview v. ICO案判決事實上是各國對于人臉識別技術(shù)和相關(guān)數(shù)據(jù)傳輸日益嚴格監(jiān)管的一個縮影。除歐盟和英國GDPR外，其他常見技術(shù)出海涉及的國家和地區(qū)的立法在域外管轄效力方面亦呈現(xiàn)出擴大趨勢，同樣需要引起中企足夠重視。

1. 澳大利亞

如上所述，澳大利亞OAIC在與英國ICO對Clearview發(fā)起的聯(lián)合調(diào)查中也依據(jù)國內(nèi)《隱私法》對Clearview進行了處罰。但Clearview向澳大利亞行政上訴法庭（Administrative Appeals Tribunal）提出的上訴則沒有獲得支持。[5]

澳大利亞行政上訴法庭經(jīng)審理，肯定了《隱私法》的域外管轄效力，并認為Clearview的行為具備該法行使域外效力需滿足的“澳大利亞聯(lián)系"（Australian link）前提、且Clearview違反了該法。行政上訴法庭的理由是：Clearview從澳大利亞境內(nèi)服務器上反復多次收集個人信息，滿足有“澳大利亞聯(lián)系"的兩個必要要求：（1）在澳大利亞境內(nèi)經(jīng)營業(yè)務，以及（2）在澳大利亞境內(nèi)收集信息。Clearview在澳大利亞沒有實體、也未從任何在澳大利亞的商業(yè)經(jīng)營獲得收益并不影響前述認定。

值得關(guān)注的是，2022年12月13日，澳大利亞新修訂的《隱私法》生效，刪除了上述“澳大利亞聯(lián)系"兩個要求中的第二項。也即在此之后，境外公司只要滿足“在澳大利亞經(jīng)營業(yè)務"，而無論是否在澳大利亞境內(nèi)收集信息，即可觸發(fā)澳大利亞《隱私法》對其行使域外管轄權(quán)。

2. 歐盟

2024年3月13日，歐洲議會表決通過《人工智能法案》（Artificial Intelligence Act）， 這是世界上第一部人工智能全面監(jiān)管的法律。該法案將人工智能系統(tǒng)按不可接受風險、高風險、有限風險、以及低風險實行四級分級監(jiān)管。人臉識別所涉實時遠程生物識別技術(shù)屬于其中被嚴格禁止或監(jiān)管事項：

在實施分級監(jiān)管的同時，《人工智能法案》明確其具備域外管轄效力。法案第2條規(guī)定，《人工智能法案》的規(guī)制及于：

• 無論是歐盟境內(nèi)還是境外的實體，只要其在歐盟境內(nèi)將人工智能系統(tǒng)或通用人工智能模型投入市場或投入使用；以及

• 場所位于歐盟境外的人工智能系統(tǒng)提供者和使用者，如其系統(tǒng)產(chǎn)生的產(chǎn)出（output）在歐盟境內(nèi)使用。但是對于“產(chǎn)出"是指什么，《人工智能法案》未有定義，尚有待執(zhí)法機構(gòu)和司法實踐進一步明確。

3. 美國

關(guān)于人臉識別技術(shù)的監(jiān)管，目前美國聯(lián)邦層面沒有制定統(tǒng)一的法律法規(guī)，而是由各州根據(jù)本地情況制定相應的法律框架。現(xiàn)已有加利福尼亞州、華盛頓州等多個州對人臉識別技術(shù)的應用作出規(guī)定，在推動人臉識別技術(shù)監(jiān)管方面比聯(lián)邦政府更為積極。

但是，美國作為聯(lián)邦制國家，各州的法律通常只適用于本州范圍內(nèi)，不具有域外效力。盡管如此，當涉及跨國公司或者美國政府在全球范圍內(nèi)推行其法規(guī)時，美國的某些法律和政策仍可能對全球產(chǎn)生影響。例如，美國對外國企業(yè)與美國企業(yè)進行交易時的數(shù)據(jù)保護要求，可能對中國企業(yè)產(chǎn)生間接的域外效力。此外，歐盟《人工智能法案》的域外管轄效力的出臺實施，也可能促使美國重新評估其現(xiàn)行立法模式、并作出立法調(diào)整。例如，2024年4月，美國就發(fā)布了《隱私權(quán)法案》草案；但該法案最終是否會就域外管轄效力問題作出明確規(guī)定、是否最終得以通過，尚待觀察。

4. 中國

最后回到國內(nèi)，我國自2021年以來也發(fā)布了一系列涉及對人臉識別技術(shù)進行監(jiān)管的法律法規(guī)，這些法律法規(guī)同樣具有一定的域外效力：

根據(jù)以上，中國或中資企業(yè)在境外開展業(yè)務時，如果涉及到使用人臉識別技術(shù)處理中國境內(nèi)個人的信息、或者向中國境內(nèi)提供服務，也務必關(guān)注是否需要遵守中國的法律法規(guī)。

結(jié)語

毫無疑問，隨著各國普遍對人臉識別和數(shù)據(jù)應用技術(shù)的域外監(jiān)管邊界不斷擴張，從事跨境或出海業(yè)務的中國或中資企業(yè)很可能需要同時受制于不同國家和地區(qū)的多重監(jiān)管要求。在此大環(huán)境下，充分了解和把握相關(guān)國家和地區(qū)立法的域外管轄效力和邊界的最新立法和司法實踐，對于中國或中資企業(yè)統(tǒng)籌優(yōu)化其數(shù)據(jù)合規(guī)、降低因數(shù)據(jù)處理合規(guī)問題被海外執(zhí)法機構(gòu)監(jiān)管處罰及導致業(yè)務受阻的風險有很大助益。另一方面，各國和地區(qū)日益擴張的域外管轄監(jiān)管也不可避免會增加企業(yè)與監(jiān)管國政府之間發(fā)生爭議的幾率。對此，我們也將持續(xù)關(guān)注，以期為中國或中資企業(yè)參與全球技術(shù)市場保駕護航。

[注]?

[1] 參見Clearview官方網(wǎng)站，2023年4月18日，我們是如何存儲和搜索300億張面孔的（How We Store and Search 30 Billion Faces），地址：https://www.clearview.ai/post/how-we-store-and-search-30-billion-faces。

[2] 在英國脫歐后，歐盟GDPR不再適用于英國，但其修訂版本繼續(xù)適用于英國，即“英國GDPR"。英國GDPR基本繼承了歐盟GDPR的所有內(nèi)容，只是由歐盟法律變成了英國國內(nèi)法律；但是由于希望與歐盟法脫鉤，英國GDPR在條文內(nèi)容表述和結(jié)構(gòu)安排上與歐盟GDPR存在一些差別。

[3] Clearview AI Inc v. The Information Commissioner, [2023] UKFTT 00819 (GRC).

[4] 英國GDPR將歐盟GDPR第2(2)(a)條規(guī)定的實體適用范圍的例外情形規(guī)定為其行使地域管轄權(quán)的條件之一。

[5] Clearview AI Inc v. Australian Information Commissioner, [2023] AATA 1069.