Clearview AI, een bewakingsbedrijf voor gezichtsherkenning, heeft ingestemd met een permanent verbod op de meeste particuliere bedrijven om zijn service te gebruiken op grond van een gerechtelijke schikking. De overeenkomst werd op 9 mei bij de rechtbank van Illinois ingediend (1).
Het besluit beslechtte een rechtszaak van de ACLU, American Civil Liberties Union uit 2020, waarin werd beweerd dat Clearview zijn bedrijf had gebouwd op gezichtsherkenningsgegevens die het zonder toestemming van de gebruiker had verzameld (2). De overeenkomst formaliseerde de eerdere acties van het bedrijf en beschermde het tegen verdere ACLU-rechtszaken onder de Biometrische Informatie Privacy Act (BIPA) van Illinois.
Bovendien heeft Clearview, als onderdeel van de schikking, ingestemd met een permanent landelijk bevel om de gratis distributie of verkoop van toegang tot een uitgebreide gezichtsdatabase te beperken. De meeste van deze gegevens zijn oorspronkelijk verzameld van sociale-mediaplatforms zoals Facebook, zoals de rechtszaak met succes heeft betoogd.
Het bevel verbiedt het bedrijf om zaken te doen met de meeste particuliere bedrijven en particulieren. Het omvat overheidswerknemers die niet namens hun werkgevers handelen. Ook kan het vijf jaar lang geen staats- of lokale overheidsinstantie in Illinois behandelen.
Naast het proberen om foto's van inwoners van Illinois te verwijderen, moet het bedrijf een opt-out-programma houden voor inwoners die zoekopdrachten via hun gezicht willen blokkeren of het verzamelen van hun foto's willen voorkomen.
Lees ook: U kunt nu met uw gezicht betalen met deze technologie
Onderzoek tegen gezichtsherkenningsdatabases
Clearview kan nog steeds samenwerken met lokale politiediensten en federale agentschappen buiten Illinois.
Illinois is een van de staten die een biometrische privacywet in de VS heeft aangenomen, waardoor het een knooppunt is voor activisten die vechten tegen gezichtsherkenningstools. Vorig jaar stemde Meta ermee in om 650 miljoen USD te betalen in het kader van een class action BIPA-zaak (3).
Clearview had al in 2020 verklaard dat het zou stoppen met werken met particuliere bedrijven. Het sneed ook een lijst af met Bank of America, Walmart en Macy's. Sindsdien concentreerde het bedrijf zich in plaats daarvan op de samenwerking met duizenden lokale wetshandhavingsafdelingen en overheidsinstanties zoals het ministerie van Justitie, die de gegevens controversieel hebben gebruikt voor algemeen politiewerk en evenementen zoals de hoofdstadopstand van 6 januari 2021 (4).
Hoewel Clearview deze contracten onder de overeenkomst buiten Illinois kan ondertekenen, kan het geen gratis proeftoegang meer bieden aan individuele politieagenten zonder medeweten van de afdeling.
De praktijk stuit op tegenstand van verschillende staten en lokale overheden, waar wetgevers het gebruik door de overheid van Clearview en alle andere gezichtsherkenningsdatabases hebben beperkt (5).
Lees ook: Eye-tracking, metaverse en gezondheidscrisis met virtuele verslaving
Clearview en biometrische privacy
Clearview, opgericht in 2017, verzamelt miljarden foto's in een database voor zijn software, waarmee men individuele personen kan identificeren (6).
Het heeft meer dan 3 miljard foto's op internet, waaronder op populaire sociale mediaplatforms zoals Instagram, Facebook, YouTube en Twitter. In het verleden hebben deze technologiebedrijven ook Clearview-beëindigingen gestuurd met het argument dat hun praktijken voor het vastlopen van foto's in strijd zijn met de voorwaarden van hun diensten (7).
Afgelopen februari verklaarde Canada Clearview illegaal en vroeg het bedrijf om Canadese gezichten uit zijn database te verwijderen (8). Australië, Italië en Frankrijk zijn ook landen die hebben vastgesteld dat het bedrijf illegaal is (9).
"Clearview houdt zich aan alle toepasselijke wetgeving en het eerste amendement beschermt zijn gedrag", zei Floyd Abrams, de advocaat van het bedrijf, vorig jaar tegen CNN Business (10).
Gezichtsherkenningstechnologie is de afgelopen jaren steeds populairder geworden en is overal van toepassing, van luchthavenbeveiliging tot politiediensten en drogisterijen.
Hoewel het een gevoel van veiligheid en gemak voor bedrijven toevoegt, heeft het ook controverses opgeroepen. Voorstanders van privacy hebben veel kritiek geuit op gezichtsherkenningstechnologie, met de vrees dat deze mogelijk misbruikt kan worden en zelfs raciale vooroordelen kan bevatten.
Ook kijken privacywaakhonden wie deze databases mogen gebruiken en onder welke omstandigheden. Het bedrijf had al verklaard dat het beperkte toegang tot zijn beelden biedt aan wetshandhavers. Maar de overeenkomst onder de rechtszaak maakt die verzekering nu bindend voor de wet.
Nu er een verbod is op de particuliere sector, zal Clearview zijn focus verleggen en zijn diensten uitbreiden naar alleen wetshandhavingsinstanties.
“De houding van Clearview met betrekking tot verkopen aan particuliere bedrijven is ongewijzigd. We zouden alleen verkopen aan particuliere entiteiten die voldoen aan BIPA. We zullen onze database alleen aanbieden aan wetshandhavingsinstanties om misdaden op te lossen', zegt Hoan Ton-That, CEO van Clearview AI, in een verklaring (11).
Lees ook: Toegenomen scepsis kan leiden tot ondergang van grote technische platforms
Beveiligingsbekommernissen
Het bedrijf verklaarde dat zijn huidige klantenbestand meer dan 3,100 Amerikaanse agentschappen omvat, waaronder de FBI en het Department of Homeland Security.
Volgens een rapport van juni 2021 dat is gepubliceerd door het Amerikaanse Government Accountability Office (12), naar voren gekomen uit een enquête onder 42 federale agentschappen, gebruikten minstens tien agentschappen Clearview tussen april 2018 en maart 2020.
Het omvat agentschappen zoals de FBI, US Postal Service en DEA. Zo heeft de US Postal Inspection Service de GAO laten weten dat het Clearview-software heeft gebruikt om mensen op te sporen die worden verdacht van misdaden zoals het stelen en openen van e-mails en het stelen van postkantoren.
Het debat over de eerlijkheid en effectiviteit van gezichtsherkenningstechnologie gaat door; veiligheid blijft echter een punt van zorg.
Lees ook: Een bedrijf opbouwen met ethisch hacken en cyberbeveiliging
Inbreuk op wetshandhavingsgegevens
Op 8 mei ontving KrebsOnSecurity informatie dat hackers toegang hebben gekregen tot de LEIA, Law Enforcement Inquiry en Alerts, een systeem beheerd door DEA, de Amerikaanse Drug Enforcement Administration.
LEIA "biedt federatieve zoekmogelijkheden voor zowel EPIC- als externe databaserepositories", aldus de website van het ministerie van Justitie (13), inclusief gegevens die door de DEA zijn geclassificeerd als "wetshandhavingsgevoelig" en "missiegevoelig".
KrebsOnSecurity publiceerde een rapport over de inbreuk (14), waaruit blijkt dat niet alleen hackers deze toegang kunnen misbruiken om gevoelig materiaal te lezen, maar ook frauduleuze gegevens kunnen indienen bij wetshandhavings- en inlichtingendatabases.
En in het verleden zijn hackers erin geslaagd toegang te krijgen tot ten minste 16 federale wetshandhavingsinstanties, inclusief hun fotodatabases. Het kan hen in staat stellen om willekeurige wetshandhaving, waarschuwingen voor specifieke mensen of auto's uit te zenden of lopende wetshandhavingsactiviteiten te onderbreken.
Wetshandhavers zullen het gebruik van gezichtsherkenningstechnologie blijven uitbreiden, ondanks de bezorgdheid over de veiligheid (15).
