Clearview v. ICO 사례, 얼굴 인식 및 온라인 도박 보호의 글로벌 외계 규제 확장

1. 온라인 도박의 글로벌 규제로 시작

온라인 도박 AI Inc. ("온라인 도박")는 2017 년에 설립되었습니다. 잘 알려진 American Face Recognition Application Service Company입니다. Facebook, Twitter 및 YouTube와 같은 많은 소셜 미디어 플랫폼에서 크롤링 된 사진을 다루는 세계 최대의 얼굴 온라인 도박베이스를 유지한다고합니다. 2023 년 4 월 현재 얼굴 온라인 도박 볼륨은 30 억을 넘었습니다.[1]| 초상화 사진을 업로드하면 Clearview의 AI 기술을 전체 네트워크에서 확인할 수 있으며 다양한 소셜 웹 사이트의 사진 문자의 정보 및 링크를 포함하여 온라인 도박베이스에 일치하는 모든 유사한 이미지를 피드백하여 고객이 사진의 개인 신분 정보를 잠그는 데 도움이된다고보고했습니다. Clearview는 주로 범죄자를 체포하기 위해 미국 경찰 및 국가 정보 기관과 같은 법 집행 기관에 안면 인식 서비스를 제공합니다. 2020 년까지 Clearview의 서비스는 민간 기업을위한 서비스입니다.

2020 년에 Clearview가 해킹 당했으며 미국 이민국, 법무부 및 연방 수사국 (FBI)과 같은 중요한 법 집행 기관을 포함하여 플랫폼의 2,000 명 이상의 온라인 도박가 유출되었습니다. 대부분의 사람들은 Clearview에서 사진을 수집하고 사용한다는 것을 알지 못하기 때문에이 문제는 전 세계의 안면 인식 기술의 보안, 감독 및 개인 정보 보호에 대한 격렬한 논의를 일으켰습니다.

같은 해부터 미국, 캐나다, 캐나다, 호주, 스웨덴, 이탈리아, 프랑스 및 기타 국가의 규제 기관은 Clearview의 개인 정보 보호 권리에 대한 사용자 우락 정보 수집 및 법률을 위반했는지 여부에 대한 조사 또는 소송을 연속적으로 시작했습니다. 자체 시민의 얼굴 온라인 도박를 삭제하십시오.

가장 눈길을 끄는 처벌 사건은 2020 년 7 월 영국 정보위원회 ("ICO") 및 호주 정보 커미셔너 사무실 ("OAIC") 온라인 도박의 공동 조사, 결과는 다음과 같습니다.

2. 에서온라인 도박 v. ICO사례 판단은 EU 및 영국 GDPR의 외계 관할권 규칙과 그 응용 프로그램을 참조합니다.

2022 년 6 월 29 일 영국 ICO의 두 가지 통지에 대한 응답으로 온라인 도박는 영국의 첫 번째 계층 재판소에 호소했으며, 온라인 도박는 "외국 고객 및 외국 정부 및 정부 기관의 지원에 대한 공익 행동 (특히 국가 보안 및 ICO와 관련이 없음)에 대한 외국 회사라고 주장했다. 그것에.

2023 년 10 월 17 일, 영국 재판 법원은 온라인 도박의 항소를지지했으며, ICO에 두 개의 통지가 관할권이 부족하다고 판결했다.[3]영국 재판 법원은 다음과 같이 판결했습니다.

• EU 및 UK GDPR외계 관할권Clearview는 영국과 EU에 설립이없고 영국과 EU의 서버가없고 미국에 설립 된 회사이지만 Clearview의 온라인 도박 처리 관행을 다룹니다.그러나

• Clearview의 온라인 도박 처리 서비스는 비크/EU 형사법 집행 및 국가 안보 기관 및 계약자에게만 이용할 수 있습니다. 이러한 행위는 EU GDPR의 제 2 (2) (a) 제 2 조 (2) (a)에 따라 EU 및 영국 GDPR에서 제외되며 외국 정부 기관의 법 집행 활동의 일환으로 영국 GDPR의 제 3 조 (2A) 및 2 (1) (a)에 따라 제외됩니다.엔티티의 적용 범위.[4]

Clearview는 영국 ICO와의 대결에서 우승했지만 EU 및 영국 GDPR에 대한 광범위한 설명은 Clearview의 외계인 (중국 자금 지원 기업 포함)의 관심을 끌어 들여 관련 사업에 참여해야합니다. 또한, 이러한 설명은 유사한 조항이 채택 된 다른 국가 및 지역의 사법 및 법 집행 관행에 의해 사용될 가능성이 높으며, 관련 EU/UK 온라인 도박 처리 비즈니스를 수행하는 데있어 외국 기업의 규정 준수 위험이 더욱 증가합니다.

(i) EU 및 영국 GDPR의 외계 관할권 조항

Clearview는 영국에 실체가 없기 때문에 EU 및 영국 GDPR에 의해 온라인 도박 처리가 구속되는 유일한 근거는 EU 및 영국 GDPR의 제 3 조 (2) 제 3 조 (세부 사항 참조)입니다.밑줄tag) :

(ii) EU 및 영국 GDPR의 외계 관할권에 대한 영국 재판 법원의 신청 범위에 대한 해석

이 사례는 EU 및 영국 GDPR의 제 3 (2) (b) 조에 규정 된 상황을 포함합니다 - "EU/UK의 온라인 도박 대상의 동작 모니터링". Clearview의 온라인 도박 처리 동작 이이 기사의 적용 범위에 속한다고 판단하기 위해 영국 재판 법원은 4 가지 요소를 충족해야한다고 생각합니다.

(1) 개인 온라인 도박 처리를 수행해야합니다;

(2) 영국 온라인 도박 주제의 개인 온라인 도박 여야합니다.

(3) 처리는 영국에서 설정되지 않은 컨트롤러 또는 핸들러에 의해 수행되어야한다. 그리고

(4) 처리 동작은 영국 내에서 행동이 발생하는 한 영국의 온라인 도박 대상의 동작 모니터링과 "관련"됩니다.

아래에 설명 된대로, 재판 법원은 지점 (4)에 대한 주요 분석을 수행했습니다. 추론에 따르면, 조사중인 대상의 행동은 실제로 모니터링 행동을 취하지 않고 모니터링과 "관련"하는 한 제 3 (2) (b)의 적용을 유발할 수 있습니다. 이는 영국 컨트롤러에 서비스를 제공하는 해외 프로세서가 섹션 3 (2) (b)에 따라 규제 될 것임을 의미합니다.

1. 개인 온라인 도박의 처리 동작

ICO 구현 통지 및 재판 법원의 결정에 따르면, 재판 법원에 의해 결정된 온라인 도박 처리 행동은 Brexit 전환 기간 (2020 년 1 월 31 일)의 시작에 걸쳐 있으며, 두 가지 범주로 나눌 수 있습니다.

2. 영국 온라인 도박 과목의 개인 온라인 도박

재판 법원은 Clearview의 온라인 도박베이스에 영국 온라인 도박 주체의 개인 온라인 도박가 포함되어 있으며, 생체 인식 온라인 도박로서 영국 거주자의 얼굴 이미지에서 얻은 벡터도 개인 온라인 도박입니다.

2020 년 6 월부터 2020 년 3 월까지 증거로, 온라인 도박는 영국의 시험 및 사전 교육을 통한 영국의 범죄 기관을 포함한 영국 법 집행 및 정부 기관뿐만 아니라 런던 및 기타 장소 경찰에 얼굴 인정 서비스를 제공했습니다.

3. "컨트롤러"또는 "프로세서"는 영국에서 설정되지 않았습니다

EU GDPR 제 4 (7) 조의 "컨트롤러"의 정의에 따르면, 온라인 도박 컨트롤러는 개인 온라인 도박를 처리하는 목적과 방법을 결정하는 주제 여야합니다.

온라인 도박의 두 가지 조치에 대해 재판 법원은 다음을 참조했습니다.

• ClearView는 "행동 1"(개인 온라인 도박베이스 작성, 개발 및 유지 관리 및 이미지를 색인화하는 개인 온라인 도박 처리)의 컨트롤러입니다.

• ClearView는 "행동 2"의 공동 컨트롤러입니다 (온라인 도박베이스의 이미지와 함께 고객의 제출 된 이미지 처리 처리와 검색 결과는 고객의 개인 온라인 도박에 제공됩니다).

  구체적으로, ClearView는 처리 행동의 목적을 결정합니다. 즉, 서비스 약관을 통해 고객은 법 집행 또는 국가 안보 이외의 목적으로 서비스를 사용할 수 없습니다. ClearView와 고객은 모두 처리 방식을 결정하지만 고객은 검색 이미지, ClearView 및 피드백 검색 결과 및 관련 정보를 업로드합니다. 그러나 재판 법원은 Clearview와 그 고객이 공동 통제자로 식별되지 않더라도 EU 및 영국 GDPR은 하나의 컨트롤러의 온라인 도박 처리가 다른 다른 컨트롤러에 의한 동작 모니터링과 관련이 있음을 배제하지 않는다고 강조했다.

• 또한 온라인 도박는 두 가지 행위의 처리기이기도합니다 (그러나 재판 법원은 더 이상 설명하지 않았습니다).

4. 처리 동작은 영국의 온라인 도박 과목의 동작 모니터링과 관련이 있습니다

"행동"의 결정 :

재판 법원은 "행동"은 자신의 특성뿐만 아니라 무언가를하는 사람에 관한 것이라고 판결했습니다. 단지 사람의 이름, 머리 색깔, 나이, 이름 또는 생년월일 등을 식별하는 것만 "행동"과 같지 않습니다. 반대로, 행동은 사람이있는 곳, 자신이하는 일, 다른 사람과의 관계, 그가 가지고 다니는 것, 그가 입는 옷 등을 포함 할 수 있습니다. 그러나 특정 행동은 사건에 따라 판단되어야합니다.

이 경우, 재판 법원은 이미지 검색 결과에서 온라인 도박, 개인의 관계 상태, 부모의 정체성, 관계, 위치 또는 거주지, 소셜 미디어 사용, 개인 습관, 직업 또는 엔터테인먼트, 운전 능력, 활동 및 합법성 및 사람이 체포되었는지에 의해 고객에게 공급되었다고 판결했습니다.

"모니터링"의 인식 :

EU GDPR에 대한 서문의 (24) 단락 (24)과 함께, 재판 법원은 "감시"는 "감시"는 자연 온라인 도박 처리 기술의 후속 사용 가능성을 포함하여 특정 네트워크 또는 기술을 통해 자연인이 특정 네트워크 또는 기술을 통해 추적되는지 여부를 결정해야한다고 주장했다. 또한 모니터링 동작은 일회성 동작 일 수 있습니다.

이 경우, 재판 법원은 온라인 도박의 "행동 1"및 "동작 2"가 모니터링 동작을 구성하지 않았다고 주장했다. 왜냐하면 이미지에서 얼굴 벡터 정보를 수집하고 그 유사성을 기반으로 이미지를 색인화하는 프로세스는 개인 행동에 대한 정보를 공개하지는 않지만 자동화 된 수학적 작동이기 때문이다.

그러나 ClearView의 고객은 ClearView의 서비스를 사용하여 모니터링 동작을 구현합니다. 개인에게 서비스를 사용하는 Clearview 고객의 모니터링 동작에는 다음이 포함될 수 있습니다. 특정 순간에 개인의 위치를 ​​결정하고, 알려진 사람의 동일한 이미지를 반복적으로 제출하고, Clearview의 일치하는 이미지 피드백을 사용하여 다른 시간에 이미지의 동일한 이미지를 반복적으로 제출하여 시간이 지남에 따라 온라인 도박 주제를 관찰하고, 다른 형태의 모니터에서 얻은 정보를 결합하는 것 등을 결합하는 것만으로도 개인을 식별 할뿐만 아니라, 그에 대한 계획을 세우려고합니다. 그들을 체포하거나 그들의 행동에 대한 증거를 수집하거나 불법 활동을 예방하기 위해.

이에 따르면, 재판 법원은 검색된 이미지에서 사람의 관련 사실 (예 : 자신의 위치 및 다른 사람과의 접촉)을 얻거나 얻으려는 온라인 도박의 고객의 행동이 그들의 행동의 "모니터링"을 구성한다고 판결했다.

"관련"의 결정 :

마지막으로, 재판 법원은 Clearview 온라인 도박베이스의 생성, 유지 보수 및 운영 및 고객의 모니터링 동작 사이에 밀접한 관련이 있었기 때문에 Clearview의 처리 행동이 고객 모니터링과 "관련"이라고 판단했습니다. ClearView의 온라인 도박 처리 동작은 고객이 모니터링 할 수 있도록하는 것이 었습니다.

5. 결론

영국 시험 법원은 EU 및 영국 GDPR의 외계 관할권 적용 범위에 대한 광범위한 해석에 근거하여 ClearView 자체의 두 가지 온라인 도박 처리 활동이 ClearView에 의한 영국 온라인 도박 과목의 행동에 대한 모니터링을 구성하는 것은 아니라고 결론 지었다. Clearview의 처리 활동은 이러한 모니터링과 관련이 있으므로 영국 및 EU GDPR의 외계 관할 구역의 적용 범위에 속합니다.

iii,온라인 도박 v. ICO중국 기업에 대한 사건 판단의 중요성

온라인 도박 v. ICO사건에서 영국과 EU GDPR의 외계 효과의 결정은 국경 간 얼굴 인식 기술 및 온라인 도박 응용 프로그램에 관여하는 중국 또는 중국 자금 지원 기업에 대한 여러 가지 중요성을 가지고 있습니다.

(i) EU 및 UK GDPR의 외계 관할권

의심의 여지가 없습니다.온라인 도박 v. ICO이 사건의 판단은 EU/UK에 실체가 없지만 비즈니스 활동에서 EU/UK 온라인 도박 과목의 개인 온라인 도박를 처리하는 중국 자금 지원 기업에 대한 경고 역할을합니다. 비즈니스의 온라인 도박 처리 비즈니스 행동에 EU/UK 온라인 도박 주제 모니터링과 관련된 행동이 포함 된 경우 EU/UK GDPR에 의해 규제 될 수 있습니다. 또한 얼굴 인식 기술 또는 기타 온라인 도박 처리 서비스 제공 업체로서 기업은 고객의 온라인 도박 처리 동작으로 인해 EU/UK GDPR에 따라 책임을 맡을 수도 있습니다.

결국 EU/UK GDPR의 외계 관할권에 저항하기 위해 국가 안보 및 법 집행 예외를 적용하는 것은 드 rare니다. 따라서 대부분의 중국 회사의 경우 EU/UK 개인 정보가 포함 된 온라인 도박베이스 생성에 참여하는 한 인터넷 온라인 도박베이스, 검색 엔진 및 누군가의 행동을 나타내는 인터넷 온라인 도박베이스, 검색 엔진 및 이미지 스캔이 있습니다. 즉, 고객과 고객이 엔터프라이즈 기술을 사용하여 처리 목적을 완전히 이해하고 고려해야합니다. 입장의 위험이있는 경우 적절한 통지의 의무를 충족시키고 온라인 도박 주제의 명확한 동의를 얻는 것이 더 중요합니다.

(ii) 다른 국가 및 지역의 법률의 외계 관할권 동향

온라인 도박 v. ICO이 사건의 평결은 실제로 다양한 국가에서 얼굴 인식 기술 및 관련 온라인 도박 전송에 대한 엄격한 감독의 소우주입니다. 유럽

1. 호주

위에서 언급했듯이 호주 OAIC는 또한 국내 개인 정보 보호법에 따라 영국 ICO와의 공동 조사에서 온라인 도박를 처벌했습니다. 그러나 행정 항소 재판소에 대한 온라인 도박의 항소는지지되지 않았다.[5]

재판 후, 호주 행정 항소 법원은 프라이버시 법의 외계 관할권을 확인했으며, 온라인 도박의 행동은 외계의 효과를 행사하기 위해 법이 충족되어야한다는 "호주 링크"의 전제를 가지고 있다고 믿었습니다. 행정상 항소 재판소의 이유는 온라인 도박가 호주의 서버에서 개인 정보를 반복적으로 수집하여 "호주 연락처"에 필요한 두 가지 요구 사항을 충족하기 때문에 (1) 호주의 운영 사업 및 (2) 호주에서 정보를 수집하기 때문입니다. 온라인 도박는 호주에 실체가 없으며 호주의 상업 운영에서 수입을 얻지 못했으며, 이는 위에서 언급 한 결정에 영향을 미치지 않습니다.

2022 년 12 월 13 일 호주의 새로 개정 된 개인 정보 보호법이 발효되어 위에서 언급 한 "호주 연락처"의 두 가지 요구 사항 중 두 번째 요구 사항을 삭제했다는 점에 주목할 가치가 있습니다. 즉, 해외 회사는 "호주의 운영 사업"의 만족과 호주에서 정보를 수집할지 여부를 충족하는 한 해외 기업은 외계 관할권 행사를 촉발 할 수 있습니다.

2. EU

2024 년 3 월 13 일, 유럽 의회는 인공 지능 법을 통과하기로 투표했다. 이 법안은 용납 할 수없는 위험, 높은 위험, 제한된 위험 및 낮은 위험을 기반으로 인공 지능 시스템의 4 단계 계층 적 감독을 구현합니다. 안면 인식과 관련된 실시간 원격 생체 인식 기술은 엄격하게 금지되거나 규제되는 문제입니다.

계층 적 감독을 시행하는 동안 인공 지능법은 외계 관할권이 있음을 분명히 명시하고 있습니다. 이 법 제 2 조는 인공 지능법의 규제가 다음에 속한다고 규정하고있다.

• 인공 지능 시스템 또는 일반 인공 지능 모델을 시장에 넣거나 EU 내에서 사용하는 한 EU 내외의 필수; 그리고

• 인공 지능 시스템 제공 업체 및 사용자가 EU 외부에 위치한 사용자와 시스템에서 생성 된 출력과 같이 EU에서 사용됩니다. 그러나 인공 지능법은 "출력"이 언급 한 것으로 정의되지 않으며 법 집행 기관과 사법 관행에 의해 더 명확 해져야합니다.

3. 미국

안면 인식 기술의 규제와 관련하여, 미국 연방 수준은 현재 통합 법률 및 규정을 공식화하지 않지만 주정부는 지역 조건에 따라 해당 법적 틀을 공식화합니다. 캘리포니아와 워싱턴과 같은 많은 주에서는 안면 인식 기술의 적용에 대한 규제를 수행했으며 얼굴 인식 기술의 감독을 촉진하는 데있어 연방 정부보다 더 활발합니다.

그러나 연방 국가로서, 주 법률은 일반적으로 주 내에만 적용되며 외계 효과가 없습니다. 그럼에도 불구하고, 특정 미국 법률 및 정책은 다국적 기업이나 미국 정부가 전 세계 규정을 구현할 때 여전히 전 세계적으로 영향을 미칠 수 있습니다. 예를 들어, 미국 기업과 외국 회사를 거래 할 때 미국의 온라인 도박 보호 요구 사항은 중국 기업에 간접적 인 외계 영향을 미칠 수 있습니다. 또한 EU의 인공 지능법의 외계 관할권의 소개 및 이행은 또한 미국이 현재의 입법 모델을 재평가하고 입법 조정을하도록 유도 할 수 있습니다. 예를 들어, 2024 년 4 월, 미국은 프라이버시 초안을 발행했습니다. 그러나 법안이 궁극적으로 외계 관할 구역의 효과에 대한 명확한 조항과 결국 통과 될지 여부는 여전히 남아 있습니다.

4. 중국

마지막으로, 중국으로 돌아가서, 우리나라는 2021 년 이래로 얼굴 인식 기술의 감독과 관련된 일련의 법률과 규정을 발표했습니다.이 법률과 규정에는 특정 외계 효과가 있습니다.

위의 내용에 따르면, 중국 또는 중국 자금 지원 기업이 해외에서 사업을 수행 할 때, 얼굴 인식 기술을 사용하여 중국에서 개인 정보를 처리하거나 중국에 서비스를 제공하는 경우 중국 법률 및 규정을 준수 해야하는지 여부에주의를 기울여야합니다.

결론

의심 할 여지없이, 의심 할 여지없이, 다양한 국가의 안면 인식 및 온라인 도박 적용 기술에 대한 도메인 외 규제 경계가 계속 확대되기 때문에, 국경 간 또는 해외 사업에 종사하는 중국 또는 중국 자금 지원 기업은 동시에 여러 국가 및 지역에서 여러 규제 요건을받을 가능성이 높습니다. 이 환경에서, 외계 관할권 및 관련 국가 및 지역 법률의 경계에 대한 최신 입법 및 사법 관행을 완전히 이해하고 파악하는 것은 온라인 도박 준수를 조정하고 최적화하는 데 큰 도움이 될 것입니다. 온라인 도박 처리 문제로 인해 해외 법률 집행 기관의 감독 위험을 줄이고 사업 봉쇄를 유발할 수 있습니다. 다른 한편으로, 국가와 지역의 외계 관할권 규제가 커지면 회사와 규제 기관 간의 분쟁 가능성이 필연적으로 증가 할 것입니다. 이와 관련하여, 우리는 글로벌 기술 시장에서 중국 또는 중국 자금 지원 기업의 참여를 보호하기 위해 이에주의를 기울일 것입니다.

[참고]

[1] 온라인 도박 공식 웹 사이트, 2023 년 4 월 18 일,우리가 저장하고 30 억 얼굴을 검색하는 방법, 주소 : https://www.온라인 도박.ai/post/how-we-store-and-search-30-billion-paces.

[2] Brexit 이후 EU GDPR은 더 이상 영국에 적용되지 않지만 개정 된 버전은 영국, 즉 "영국 GDPR"에 계속 적용됩니다. 영국 GDPR은 기본적으로 EU GDPR의 모든 내용을 물려 받지만 EU 법에서 국내 영국 법으로 변경되었습니다. 그러나 영국 GDPR은 EU 법률에서 분리하려는 욕구로 인해 EU GDPR과 규정의 진술 및 구조적 배열 측면에서 약간의 차이가 있습니다.

[3]온라인 도박 AI Inc v. 정보 위원, [2023] UKFTT 00819 (GRC).

[4] 영국 GDPR은 EU GDPR의 제 2 (2) (a) 조에 명시된 실체의 적용 범위에 대한 예외를 지리적 관할권 행사 조건 중 하나로 규정합니다.

[5]온라인 도박 AI Inc v. 호주 정보 위원, [2023] Aata 1069.