一、从Clearview遭遇全球监管说起

Clearview AI Inc.（“Clearview"）成立于2017年，是一家美國(guó)知名人脸识别应用(yòng)服務(wù)公司，据称维持着全球最大的人脸数据库，数据涵盖从Facebook、Twitter和YouTube等诸多(duō)社交媒體(tǐ)平台上抓取的照片。截至2023年4月，其人脸数据量已超过 300亿张。[1]报道称，只需上传一张人像照片，Clearview的 AI 技术即可(kě)在全网范围进行识别，并反馈数据库中匹配到的所有(yǒu)类似图像，包括照片人物(wù)在各社交网站上的资料及链接，帮助客户锁定照片中的个人身份信息。Clearview主要面向美國(guó)警方等执法机构以及國(guó)家情报部门提供面部识别服務(wù)，用(yòng)以抓捕罪犯。在2020年前，Clearview的服務(wù)还面向私人企业。

2020年Clearview遭到黑客攻击，平台上超过2000家客户数据泄露，其中包括美國(guó)移民(mín)局、司法部、联邦调查局（FBI）等重要执法机构。由于绝大多(duō)数人都不知道自己的照片被Clearview采集并使用(yòng)，此事迅速引起全球范围内对人脸识别技术的安全性和监管、及隐私保护的热议。

同年以来，美國(guó)、加拿(ná)大、英國(guó)、澳大利亚、瑞典、意大利、法國(guó)等多(duō)國(guó)的监管机构先后就Clearview无差别收集用(yòng)户人脸信息的行為(wèi)是否侵犯用(yòng)户隐私权及违反法律发起调查或诉讼，并最终对Clearview处以了共计数千万欧元的罚款，同时要求其删除本國(guó)公民(mín)人脸数据。

这其中较引人瞩目的处罚事件是，2020年7月，英國(guó)信息专员办公室（“ICO"）与澳大利亚信息专员办公室（“OAIC"）对Clearview展开的联合调查，结果如下：

二、从Clearview v. ICO案判决看欧盟及英國(guó)GDPR的域外管辖规则及其适用(yòng)

就英國(guó)ICO所作两项通知，2022年6月29日，Clearview向英國(guó)初审法庭（First-tier Tribunal）提起上诉，主张Clearview是一家外國(guó)公司、向“外國(guó)客户、使用(yòng)外國(guó)IP地址、為(wèi)了支持外國(guó)政府和政府机构的（尤其是与其國(guó)家安全和刑事执法职能(néng)相关的）公共利益行动"提供服務(wù)，故ICO对其无管辖权。

2023年10月17日，英國(guó)初审法庭支持了Clearview的上诉，判决ICO作出两项通知缺乏管辖权基础。[3]英國(guó)初审法庭认為(wèi)：

• 欧盟和英國(guó)GDPR的域外管辖权涵盖Clearview被处罚的数据处理(lǐ)行為(wèi)，尽管Clearview是一家在美國(guó)设立的公司，在英國(guó)和欧盟不设有(yǒu)实體(tǐ)（establishment）、同时在英國(guó)和欧盟也不设有(yǒu)服務(wù)器；但是

• Clearview的数据处理(lǐ)服務(wù)仅提供给非英國(guó)/欧盟刑事执法和國(guó)家安全机构及其承包商(shāng)、用(yòng)于履行刑事执法和國(guó)家安全职能(néng)。该等行為(wèi)作為(wèi)外國(guó)政府机构执法活动的一部分(fēn)，根据欧盟GDPR第2(2)(a)条和英國(guó)GDPR第3(2A)和2(1)(a)条，被排除在欧盟和英國(guó)GDPR的实體(tǐ)适用(yòng)范围之外。[4]

虽然Clearview在与英國(guó)ICO的对抗中胜诉了，但是英國(guó)初审法庭关于欧盟和英國(guó)GDPR对Clearview具有(yǒu)域外管辖权的宽泛解释应当引起从事相关业務(wù)的外國(guó)公司（包括中资企业）的重视。而且该等解释很(hěn)可(kě)能(néng)被采纳类似规定的其他(tā)國(guó)家和地區(qū)的司法和执法实践沿用(yòng)，进一步增加外國(guó)公司开展相关涉欧盟/英國(guó)数据处理(lǐ)业務(wù)的合规风险。

（一）欧盟和英國(guó)GDPR域外管辖权规定

由于Clearview在英國(guó)境内不设有(yǒu)实體(tǐ)，其数据处理(lǐ)行為(wèi)能(néng)受到欧盟和英國(guó)GDPR约束的唯一基础是欧盟和英國(guó)GDPR第3(2)条的域外管辖条款（具體(tǐ)见下，不同之处以下划線(xiàn)标记）：

（二）英國(guó)初审法庭对欧盟和英國(guó)GDPR域外管辖权适用(yòng)范围的解释

本案涉及的是欧盟和英國(guó)GDPR第3(2)(b)条规定的情形——“对数据主體(tǐ)在欧盟/英國(guó)境内的行為(wèi)进行监控"。為(wèi)认定Clearview的数据处理(lǐ)行為(wèi)落入该条的适用(yòng)范围，英國(guó)初审法庭认為(wèi)需要满足四要素：

（1）须有(yǒu)对个人数据的处理(lǐ)行為(wèi)（processing）；

（2）须是英國(guó)数据主體(tǐ)的个人数据；

（3）处理(lǐ)行為(wèi)须由不设立在英國(guó)的控制者或处理(lǐ)者进行；以及

（4）处理(lǐ)行為(wèi)与对英國(guó)境内数据主體(tǐ)行為(wèi)的监控“相关"，只要其行為(wèi)发生在英國(guó)境内。

如下详述，初审法庭就第（4）点进行了重点分(fēn)析。根据其说理(lǐ)，被调查对象的行為(wèi)只要与监控“相关"、而无需实际采取监控行為(wèi)，也可(kě)触发第3(2)(b)条的适用(yòng)。这意味着向英國(guó)控制者提供服務(wù)的境外处理(lǐ)者也会受到第3(2)(b)条的规制。

1. 对个人数据的处理(lǐ)行為(wèi)（processing）

根据ICO的执行通知和初审法庭的认定，Clearview被初审法庭认定的数据处理(lǐ)行為(wèi)横跨了英國(guó)脱欧过渡期开始（2020年1月31日）前后，具體(tǐ)可(kě)分(fēn)為(wèi)两类：

2. 英國(guó)数据主體(tǐ)的个人数据

初审法庭认同，Clearview 的数据库包含英國(guó)数据主體(tǐ)的个人数据，而且根据英國(guó)居民(mín)人脸图像获得的矢量作為(wèi)生物(wù)识别数据也属于个人数据。

作為(wèi)佐证，2019年6月到2020年3月期间，Clearview曾在英國(guó)通过开展测试并主动开展培训的方式，向伦敦等多(duō)地在内的警方以及英國(guó)國(guó)家犯罪局在内的英國(guó)执法及政府组织提供过面部识别服務(wù)。

3. 不设立在英國(guó)的“控制者"或“处理(lǐ)者"

根据欧盟GDPR第4(7)条对“控制者"的定义，数据控制者应是决定个人数据处理(lǐ)的目的和方式的主體(tǐ)。

对于Clearview的两项行為(wèi)，初审法庭认為(wèi)：

• Clearview是“行為(wèi)1"（创建、开发和维护个人数据库以及索引其中图像的个人数据处理(lǐ)）的控制者；

• Clearview与其客户是“行為(wèi)2"（将客户提交的图像与数据库中的图像进行匹配，并将搜索结果提供给客户的个人数据处理(lǐ)）的共同控制者。

  具體(tǐ)而言，Clearview确定了处理(lǐ)行為(wèi)的目的，即通过服務(wù)条款禁止客户将其服務(wù)用(yòng)于执法或國(guó)家安全以外的目的；而Clearview与其客户均确定了处理(lǐ)行為(wèi)的方式，即客户上传搜索图片、Clearview进行匹配并反馈搜索结果和关联信息。但初审法庭也强调，即使Clearview与其客户不被认定為(wèi)是共同控制者，欧盟和英國(guó)GDPR也不排除某一控制者处理(lǐ)数据与另一不同的控制者的对行為(wèi)的监控相关。

• 此外，Clearview也是两项行為(wèi)的处理(lǐ)者（但初审法庭未就此作进一步解释说明）。

4. 处理(lǐ)行為(wèi)与对英國(guó)境内数据主體(tǐ)行為(wèi)的监控相关

对“行為(wèi)（behaviour）"的认定：

初审法庭认為(wèi)，“行為(wèi)"是关于一个人在做某事，而不仅仅是他(tā)们的特征。仅仅识别一个人的姓名、头发颜色、年龄、姓名或出生日期等并不等同于“行為(wèi)"；相反，行為(wèi)可(kě)能(néng)包括一个人在哪里、在做什么、与他(tā)人的关系、所携带的东西、所穿的服饰等；但具體(tǐ)行為(wèi)要依据个案判断。

本案中，初审法庭认為(wèi)，从Clearview反馈给客户的图像搜索结果中，可(kě)以显示或推断出一个人的关系状况、父母身份、关联关系、地点或住所、社交媒體(tǐ)使用(yòng)情况、个人习惯、职业或消遣、驾驶能(néng)力、活动及其合法性、该人是否被捕等行為(wèi)方面。

对“监控（monitoring）"的认定：

结合欧盟GDPR序言第（24）段，初审法庭认為(wèi)“监控"需要确定是否通过某种网络或技术追踪自然人，包括随后可(kě)能(néng)使用(yòng)特定数据处理(lǐ)技术，这些技术包括对自然人进行剖析以对其作出决定、预测或分(fēn)析其行為(wèi)等。而且，监控行為(wèi)可(kě)以是仅一次性的行為(wèi)。

本案中，初审法庭认為(wèi)，Clearview的“行為(wèi)1"和“行為(wèi)2"都不构成实施监控行為(wèi)，因為(wèi)从图像中收集人脸矢量信息并依据其相似性对图像进行索引的过程，并未揭示任何有(yǒu)关个人行為(wèi)的信息，而只是一种自动化的数學(xué)运算。

然而，Clearview的客户构成利用(yòng)Clearview的服務(wù)实施监控行為(wèi)。Clearview的客户使用(yòng)其服務(wù)对个人的监控行為(wèi)可(kě)以包括：确定一个人在某一时刻的位置、通过重复提交已知人员的同一图像来随时间推移观察该数据主體(tǐ)、使用(yòng)Clearview反馈的匹配图像对不同时间的图像中的人物(wù)进行描述、将这些结果与从其他(tā)形式的监控中获得的信息相结合等。该等行為(wèi)不仅是為(wèi)了查明某人的身份，也是為(wèi)了对其做出决定、预测或分(fēn)析其行為(wèi)，以便逮捕他(tā)们或收集他(tā)们所做行為(wèi)的证据或防止非法活动。

据此，初审法庭认為(wèi)，Clearview的客户获取或试图获取所搜索图像中的人士的相关事实（如其位置及与他(tā)人的联系等）的行為(wèi)构成对其“行為(wèi)的监控"。

对“有(yǒu)关（related to）"的认定：

最后，初审法庭认定Clearview的两项处理(lǐ)行為(wèi)都与其客户的监控“有(yǒu)关"，原因是Clearview数据库的创建、维护和运行与客户的监控行為(wèi)之间存在密切联系，Clearview 的数据处理(lǐ)行為(wèi)即是為(wèi)了让其客户能(néng)够进行监控。

5. 结论

基于对欧盟和英國(guó)GDPR域外管辖适用(yòng)范围的宽泛解释，英國(guó)初审法庭得出结论：虽然Clearview本身的两项数据处理(lǐ)行為(wèi)不构成 Clearview 对英國(guó)数据主體(tǐ)行為(wèi)的监控，但Clearview的客户使用(yòng)从Clearview服務(wù)获得的图像和其他(tā)信息来监控英國(guó)数据主體(tǐ)的行為(wèi)，而Clearview的两项处理(lǐ)行為(wèi)又(yòu)都与该等监控相关，因此同时落入了英國(guó)和欧盟GDPR的域外管辖权的适用(yòng)范围。

三、Clearview v. ICO案判决对中企的意义

Clearview v. ICO案判决中关于英國(guó)和欧盟GDPR的域外效力的认定对于从事跨境人脸识别技术和数据应用(yòng)的中國(guó)或中资企业具有(yǒu)多(duō)重意义。

（一）欧盟和英國(guó)GDPR的域外管辖

毋庸置疑，Clearview v. ICO案判决对于在欧盟/英國(guó)没有(yǒu)设立实體(tǐ)、但其经营活动中涉及处理(lǐ)欧盟/英國(guó)数据主體(tǐ)个人数据的中资企业起到警示作用(yòng)。如果企业的数据处理(lǐ)商(shāng)业行為(wèi)涉及与监控欧盟/英國(guó)数据主體(tǐ)相关的行為(wèi)，即很(hěn)可(kě)能(néng)受到欧盟/英國(guó)GDPR的监管。而且需要特别注意的是，企业作為(wèi)人脸识别技术或其他(tā)数据处理(lǐ)服務(wù)提供者，同样可(kě)能(néng)因其客户的数据处理(lǐ)行為(wèi)而承担欧盟/英國(guó)GDPR下的责任。

毕竟能(néng)够适用(yòng)國(guó)家安全和执法例外抵御欧盟/英國(guó)GDPR域外管辖权的属于极少数情形。因此，对于大部分(fēn)中國(guó)企业来说，只要参与创建包含欧盟/英國(guó)个人信息的数据库，存在对表明某人的行為(wèi)的互联网数据库、搜索引擎、图像的扫描，即应充分(fēn)了解和考虑其本身及其客户使用(yòng)企业技术用(yòng)于处理(lǐ)的数据及其处理(lǐ)目的，以确认是否可(kě)能(néng)落入欧盟/英國(guó)GDPR的域外适用(yòng)范围。如果有(yǒu)落入的风险，履行适当的告知义務(wù)及征得数据主體(tǐ)的明确同意则更為(wèi)重要。

（二）其他(tā)國(guó)家和地區(qū)立法的域外管辖趋势

Clearview v. ICO案判决事实上是各國(guó)对于人脸识别技术和相关数据传输日益严格监管的一个缩影。除欧盟和英國(guó)GDPR外，其他(tā)常见技术出海涉及的國(guó)家和地區(qū)的立法在域外管辖效力方面亦呈现出扩大趋势，同样需要引起中企足够重视。

1. 澳大利亚

如上所述，澳大利亚OAIC在与英國(guó)ICO对Clearview发起的联合调查中也依据國(guó)内《隐私法》对Clearview进行了处罚。但Clearview向澳大利亚行政上诉法庭（Administrative Appeals Tribunal）提出的上诉则没有(yǒu)获得支持。[5]

澳大利亚行政上诉法庭经审理(lǐ)，肯定了《隐私法》的域外管辖效力，并认為(wèi)Clearview的行為(wèi)具备该法行使域外效力需满足的“澳大利亚联系"（Australian link）前提、且Clearview违反了该法。行政上诉法庭的理(lǐ)由是：Clearview从澳大利亚境内服務(wù)器上反复多(duō)次收集个人信息，满足有(yǒu)“澳大利亚联系"的两个必要要求：（1）在澳大利亚境内经营业務(wù)，以及（2）在澳大利亚境内收集信息。Clearview在澳大利亚没有(yǒu)实體(tǐ)、也未从任何在澳大利亚的商(shāng)业经营获得收益并不影响前述认定。

值得关注的是，2022年12月13日，澳大利亚新(xīn)修订的《隐私法》生效，删除了上述“澳大利亚联系"两个要求中的第二项。也即在此之后，境外公司只要满足“在澳大利亚经营业務(wù)"，而无论是否在澳大利亚境内收集信息，即可(kě)触发澳大利亚《隐私法》对其行使域外管辖权。

2. 欧盟

2024年3月13日，欧洲议会表决通过《人工智能(néng)法案》（Artificial Intelligence Act）， 这是世界上第一部人工智能(néng)全面监管的法律。该法案将人工智能(néng)系统按不可(kě)接受风险、高风险、有(yǒu)限风险、以及低风险实行四级分(fēn)级监管。人脸识别所涉实时遠(yuǎn)程生物(wù)识别技术属于其中被严格禁止或监管事项：

在实施分(fēn)级监管的同时，《人工智能(néng)法案》明确其具备域外管辖效力。法案第2条规定，《人工智能(néng)法案》的规制及于：

• 无论是欧盟境内还是境外的实體(tǐ)，只要其在欧盟境内将人工智能(néng)系统或通用(yòng)人工智能(néng)模型投入市场或投入使用(yòng)；以及

• 场所位于欧盟境外的人工智能(néng)系统提供者和使用(yòng)者，如其系统产生的产出（output）在欧盟境内使用(yòng)。但是对于“产出"是指什么，《人工智能(néng)法案》未有(yǒu)定义，尚有(yǒu)待执法机构和司法实践进一步明确。

3. 美國(guó)

关于人脸识别技术的监管，目前美國(guó)联邦层面没有(yǒu)制定统一的法律法规，而是由各州根据本地情况制定相应的法律框架。现已有(yǒu)加利福尼亚州、华盛顿州等多(duō)个州对人脸识别技术的应用(yòng)作出规定，在推动人脸识别技术监管方面比联邦政府更為(wèi)积极。

但是，美國(guó)作為(wèi)联邦制國(guó)家，各州的法律通常只适用(yòng)于本州范围内，不具有(yǒu)域外效力。尽管如此，当涉及跨國(guó)公司或者美國(guó)政府在全球范围内推行其法规时，美國(guó)的某些法律和政策仍可(kě)能(néng)对全球产生影响。例如，美國(guó)对外國(guó)企业与美國(guó)企业进行交易时的数据保护要求，可(kě)能(néng)对中國(guó)企业产生间接的域外效力。此外，欧盟《人工智能(néng)法案》的域外管辖效力的出台实施，也可(kě)能(néng)促使美國(guó)重新(xīn)评估其现行立法模式、并作出立法调整。例如，2024年4月，美國(guó)就发布了《隐私权法案》草(cǎo)案；但该法案最终是否会就域外管辖效力问题作出明确规定、是否最终得以通过，尚待观察。

4. 中國(guó)

最后回到國(guó)内，我國(guó)自2021年以来也发布了一系列涉及对人脸识别技术进行监管的法律法规，这些法律法规同样具有(yǒu)一定的域外效力：

根据以上，中國(guó)或中资企业在境外开展业務(wù)时，如果涉及到使用(yòng)人脸识别技术处理(lǐ)中國(guó)境内个人的信息、或者向中國(guó)境内提供服務(wù)，也務(wù)必关注是否需要遵守中國(guó)的法律法规。

结语

毫无疑问，随着各國(guó)普遍对人脸识别和数据应用(yòng)技术的域外监管边界不断扩张，从事跨境或出海业務(wù)的中國(guó)或中资企业很(hěn)可(kě)能(néng)需要同时受制于不同國(guó)家和地區(qū)的多(duō)重监管要求。在此大环境下，充分(fēn)了解和把握相关國(guó)家和地區(qū)立法的域外管辖效力和边界的最新(xīn)立法和司法实践，对于中國(guó)或中资企业统筹优化其数据合规、降低因数据处理(lǐ)合规问题被海外执法机构监管处罚及导致业務(wù)受阻的风险有(yǒu)很(hěn)大助益。另一方面，各國(guó)和地區(qū)日益扩张的域外管辖监管也不可(kě)避免会增加企业与监管國(guó)政府之间发生争议的几率。对此，我们也将持续关注，以期為(wèi)中國(guó)或中资企业参与全球技术市场保驾护航。

[注] 

[1] 参见Clearview官方网站，2023年4月18日，我们是如何存储和搜索300亿张面孔的（How We Store and Search 30 Billion Faces），地址：https://www.clearview.ai/post/how-we-store-and-search-30-billion-faces。

[2] 在英國(guó)脱欧后，欧盟GDPR不再适用(yòng)于英國(guó)，但其修订版本继续适用(yòng)于英國(guó)，即“英國(guó)GDPR"。英國(guó)GDPR基本继承了欧盟GDPR的所有(yǒu)内容，只是由欧盟法律变成了英國(guó)國(guó)内法律；但是由于希望与欧盟法脱钩，英國(guó)GDPR在条文(wén)内容表述和结构安排上与欧盟GDPR存在一些差别。

[3] Clearview AI Inc v. The Information Commissioner, [2023] UKFTT 00819 (GRC).

[4] 英國(guó)GDPR将欧盟GDPR第2(2)(a)条规定的实體(tǐ)适用(yòng)范围的例外情形规定為(wèi)其行使地域管辖权的条件之一。

[5] Clearview AI Inc v. Australian Information Commissioner, [2023] AATA 1069.