Clearview AI, perusahaan rintisan pengenalan wajah kontroversial berbasis di AS yang membangun basis data yang dapat ditelusuri berisi 30 juta gambar yang diisi dengan cara mengambil swafoto orang-orang di internet tanpa persetujuan mereka, telah dikenakan denda privasi terbesar di Eropa.
Otoritas perlindungan data Belanda, Autoriteit Persoonsgegevens (AP), mengatakan pada hari Selasa bahwa pihaknya telah mengenakan denda sebesar €30,5 juta — sekitar $33,7 juta pada nilai tukar saat ini — pada Clearview AI atas serangkaian pelanggaran Peraturan Perlindungan Data Umum (GDPR) Uni Eropa setelah mengonfirmasi bahwa basis data tersebut berisi gambar warga negara Belanda.
Denda ini lebih besar dari sanksi GDPR terpisah yang dijatuhkan oleh otoritas perlindungan data di Prancis, Italia, Yunani, dan Inggris pada tahun 2022.
Di sebuah siaran persAP memperingatkan bahwa mereka telah memerintahkan denda tambahan hingga €5,1 juta yang akan dikenakan jika terus-menerus tidak mematuhi peraturan, dengan mengatakan bahwa Clearview gagal menghentikan pelanggaran GDPR setelah penyelidikan selesai, itulah sebabnya mereka mengeluarkan perintah tambahan. Total denda bisa mencapai €35,6 juta jika Clearview AI terus mengabaikan regulator Belanda.
Otoritas perlindungan data Belanda mulai menyelidiki Clearview AI pada Maret 2023 setelah menerima keluhan dari tiga orang terkait kegagalan perusahaan untuk mematuhi permintaan akses data. GDPR memberi penduduk Uni Eropa serangkaian hak terkait data pribadi mereka, yang mencakup hak untuk meminta salinan data mereka atau menghapusnya. Clearview AI belum mematuhi permintaan tersebut.
Pelanggaran GDPR lain yang menyebabkan AP menjatuhkan sanksi kepada Clearview AI termasuk pelanggaran utama berupa pembuatan basis data dengan mengumpulkan data biometrik orang tanpa dasar hukum yang sah. Clearview AI juga dijatuhi sanksi karena kegagalannya dalam transparansi GDPR.
“Clearview seharusnya tidak pernah membangun database dengan foto, kode biometrik unik dan informasi lain yang terkait dengannya,” tulis AP. “Hal ini terutama berlaku untuk [face-derived unique biometric] kode. Seperti sidik jari, ini adalah data biometrik. Pengumpulan dan penggunaan data ini dilarang. Ada beberapa pengecualian hukum terhadap larangan ini, tetapi Clearview tidak dapat mengandalkannya.”
Perusahaan tersebut juga gagal memberi tahu individu-individu yang data pribadinya diambil dan ditambahkan ke basis datanya, sesuai keputusan tersebut.
Saat dihubungi untuk memberikan komentar, perwakilan Clearview, Lisa Linden, dari firma PR Resilere Partners yang berkantor pusat di Washington, DC, tidak menanggapi pertanyaan tetapi mengirim email ke TechCrunch sebuah pernyataan yang dikaitkan dengan kepala hukum Clearview, Jack Mulcaire.
“Clearview AI tidak memiliki kantor pusat di Belanda atau Uni Eropa, tidak memiliki pelanggan di Belanda atau Uni Eropa, dan tidak melakukan aktivitas apa pun yang berarti tunduk pada GDPR,” tulis Mulcaire, seraya menambahkan: “Keputusan ini melanggar hukum, tidak memiliki proses hukum yang semestinya, dan tidak dapat dilaksanakan.”
Menurut regulator Belanda, perusahaan tidak dapat mengajukan banding atas hukuman tersebut karena gagal mengajukan keberatan terhadap keputusan tersebut.
Perlu juga dicatat bahwa GDPR memiliki cakupan ekstrateritorial, artinya GDPR berlaku pada pemrosesan data pribadi warga Uni Eropa di mana pun pemrosesan tersebut terjadi.
Clearview yang berkantor pusat di AS menggunakan data orang-orang yang dicuri untuk menjual layanan pencocokan identitas kepada pelanggan yang dapat mencakup lembaga pemerintah, penegak hukum, dan layanan keamanan lainnya. Namun, kliennya semakin tidak mungkin berasal dari Uni Eropa, di mana penggunaan teknologi yang melanggar hukum privasi berisiko terkena sanksi regulasi — sesuatu yang terjadi pada otoritas kepolisian Swedia pada tahun 2021.
AP memperingatkan bahwa mereka akan memberikan sanksi tegas kepada semua entitas Belanda yang berupaya menggunakan Clearview AI. “Clearview melanggar hukum, dan ini membuat penggunaan layanan Clearview menjadi ilegal. Oleh karena itu, organisasi Belanda yang menggunakan Clearview dapat menghadapi denda besar dari DPA Belanda,” tulis ketua DPA Belanda, Aleid Wolfsen.
Versi bahasa Inggris dari AP keputusan dapat diakses melalui tautan ini.
Tanggung jawab pribadi?
Clearview AI telah menghadapi serangkaian hukuman GDPR selama beberapa tahun terakhir (di atas kertas, perusahaan ini telah mengumpulkan total sekitar €100 juta dalam denda privasi Uni Eropa), tetapi otoritas perlindungan data regional tampaknya belum terlalu berhasil dalam mengumpulkan denda-denda ini. Perusahaan yang berbasis di AS tersebut tetap tidak kooperatif dan belum menunjuk perwakilan hukum di Uni Eropa.
Yang lebih penting, Clearview AI belum mengubah perilaku pelanggaran GDPR-nya — perusahaan itu terus mengabaikan hukum privasi Eropa dengan impunitas operasional yang jelas karena berkantor di tempat lain.
AP Belanda prihatin dengan hal ini, dan mengatakan bahwa mereka sedang mencari cara untuk memastikan Clearview berhenti melanggar hukum. Regulator sedang menyelidiki apakah direktur perusahaan dapat dimintai pertanggungjawaban pribadi atas pelanggaran tersebut.
“Perusahaan seperti itu tidak dapat terus melanggar hak-hak warga Eropa dan lolos begitu saja. Tentu saja tidak dengan cara yang serius dan dalam skala besar seperti ini. Kami sekarang akan menyelidiki apakah kami dapat meminta manajemen perusahaan bertanggung jawab secara pribadi dan mendenda mereka karena mengarahkan pelanggaran tersebut,” tulis Wolfsen. “Tanggung jawab itu sudah ada jika direktur mengetahui bahwa GDPR dilanggar, memiliki kewenangan untuk menghentikannya, tetapi tidak melakukannya, dan dengan cara ini secara sadar menerima pelanggaran tersebut.”
Karena kita baru saja melihat pendiri aplikasi perpesanan Telegram, Pavel Durov, ditangkap di tanah Prancis atas tuduhan penyebaran konten ilegal di platformnya, menarik untuk mempertimbangkan apakah memberikan sanksi kepada orang-orang yang mengelola Clearview mungkin memiliki peluang lebih besar untuk mendorong kepatuhan — lagipula, mereka mungkin ingin bepergian dengan bebas ke dan di sekitar UE.
