Tavallisten ihmisten on vaikea estää heistä verkossa olevien kuvien väärinkäyttöä. Amerikkalainen Clearview AI -yritys on haalinut kuvia muun muassa sosiaalisesta mediasta.

Clearview AI:lla saattaa olla hallussaan paljon tietoa myös sinusta. Näin pyydät tietosi, mutta älä odota välitöntä vastausta.

Clearview AI -niminen amerikkalaisyritys on koonnut internetistä yli kolme miljardia valokuvaa, joista sen tekoäly tunnistaa ihmisiä. Valtavaa tietokantaa myydään tiettävästi paitsi viranomaisille, myös joillekin yksityisille asiakkaille, jotka voivat syöttää oman kuvansa järjestelmään. Se tuottaa vastauksena kuvaa vastaavan henkilön profiilin.

Nyt yksi henkilö päätti ottaa selvää, mitä tietoja Clearview AI on hänestä kerännyt. San Franciscon seudulla asuva tekoälyasiantuntija ja Gado Imagesin toimitusjohtaja Thomas Smith kirjoittaa tuloksista Mediumissa julkaistussa artikkelissaan. Tietojen pyyntö oli mahdollista EU:n gdpr-tietosuoja-asetusta muistuttavan Kalifornian CCPA-lain ansiosta.

Smith lähetti Clearview AI:lle sähköpostin, jossa hän pyysi tietojaan. Lopulta eri vaiheiden jälkeen Smith todella sai Clearview'n hänestä luoman profiilin. Siinä oli muun muassa useita valokuvia, jotka täsmäsivät hänen lähettämänsä kasvokuvan kanssa. Sen lisäksi profiili käsitti muun muassa kahdeksan vuoden takaisen yliopistoartikkelin, useita merkintöjä hänen ja vaimonsa blogista, hänen Facebook-sivunsa osoitteen ja useiden häneen yhteydessä olevien henkilöiden nimet.

– Se säikäytti minut, Smith kuvailee reaktiotaan.

Tästä datasta viranomainen voisi päätellä paljon. Ehkä huolestuttavinta oli, että osa tiedoista oli virheellisiä ja koski selvästi jotakin toista henkilöä. Näin ollen ei ole poissuljettua, että poliisi voi tehdä tiedoilla vääriä tunnistuksia ja syyttää viattomiakin ihmisiä rikoksista, Smith kirjoittaa. Samalla näyttää siis olevan niin, että tietopyyntö voi aiheuttaa väärän henkilön sinänsä julkisten tietojen lähettämisen ulkopuoliselle.

Toimi näin – tietyin varauksin

Jos kuluttaja lähettää perustellun pyynnön tietojensa saamiseksi, myös Clearview'n pitää sitä noudattaa. Jos haluat selvittää, mitä tietoja yrityksellä on sinusta, lähetä englanninkielinen sähköposti osoitteeseen privacy@clearview.ai ja laita viestiin mukaan valokuva ajokortistasi ja toinen valokuva, jossa kasvosi näkyvät selvästi. Laita viestin otsikoksi, että kyseessä on GDPR-pyyntö.

Kasvokuvaa käytetään pyynnön lähettäjän tietojen löytämiseksi. Toki tässä ohjeessa on se ongelma, että se vaatii uuden kasvokuvan lähettämistä yritykselle, jonka epäillään vahvasti käyttävän niitä väärin. Älä myöskään odota nopeaa vastausta. Pyynnön käsittelyyn voi kulua kuukausia ja siinä välissä saatat saada uusia ohjeita sähköpostiisi.

On myös epäselvää, millä tavoin Clearview AI kunnioittaa pyyntöjä henkilötietojen hävittämisestä, johon gdpr myös antaa oikeuden tietyin poikkeuksin. Jotain saattaa kertoa se, että firma on alun alkaenkin voinut syyllistyä massiiviseen tekijänoikeusloukkaukseen, kun se on kerännyt ja käyttänyt miljardeja valokuvia, joista moniin sillä tuskin on oikeuksia.

Niskoittelu voi kuitenkin koitua kalliiksi. Esimerkiksi gdpr:n sallima maksimisakko on 20 miljoonaa euroa tai neljä prosenttia rikkurin vuotuisesta liikevaihdosta riippuen siitä kumpi on suurempi.

Clearview’n tietoturva on kyseenalainen myös sen äskettäin kärsimän tietoturvaloukkauksen takia. Helmikuussa yritys kertoi, että tunkeutuja varasti sen koko asiakaslistan. Asiasta muun muassa kirjoittavan Daily Beastin mukaan hyökkääjä pääsi näkemään myös asiakkaiden luomien käyttäjätilien määrän ja asiakkaiden tekemien hakujen määrän, mutta ei kuitenkaan hakuhistoriaa. Yritys vakuutti, että sen palvelimia ei murrettu, eivätkä sen järjestelmät vaarantuneet.