Năm 2020, Matthias Marx, nhà nghiên cứu mảng an ninh tại Security Research Labs, vô tình biết đến Clearview AI, một công ty chuyên phân tích hàng tỷ bức ảnh từ Internet để xây dựng kho dữ liệu khuôn mặt người dùng. Clearview cho phép khách hàng là những doanh nghiệp có thể sử dụng công nghệ nhận diện tìm ra những tấm ảnh có khuôn mặt người dùng bất kỳ theo yêu cầu.
Kho dữ liệu vượt xa tất cả mạng xã hội
Marx muốn biết liệu khuôn mặt mình có nằm trong kho dữ liệu của công ty này hay không nên đã gửi email đến Clearview để hỏi rõ. Một tháng sau, chuyên viên an ninh nhận được phản hồi của công ty cùng với hai tấm ảnh chụp màn hình.
Trong đó, một tấm là ảnh Marx từng chụp trong một cuộc thi Google cách đây gần 10 năm. Ảnh chụp này được đăng tải trên Alamy bởi một nhiếp ảnh gia lạ mặt. Tuy nhiên, vấn đề nằm ở chỗ anh chưa từng bán tấm ảnh này ra ngoài cho bất cứ ai.
“Tôi còn không hề hay biết người khác sẽ làm gì với dữ liệu của người dùng”, Marx nói. Anh cho rằng Clearview đã vi phạm Quy định Chung về Bảo vệ Dữ liệu (GDPR) của Liên minh Châu Âu (EU) vì đã sử dụng thông tin sinh trắc học mà không có sự cho phép của anh.
Vì thế, năm 2020, anh đã đệ đơn kiện Clearview nhưng đến nay vẫn chưa nhận được phán quyết cuối cùng. “Đã 2,5 năm trôi qua nhưng vụ kiện này vẫn chưa kết thúc. Tốc độ như thế là quá chậm”, chuyên viên an ninh tỏ ra bất bình.
Không chỉ dừng lại ở đó, Marx còn phát hiện những tấm ảnh có chứa mặt mình đang bị lan truyền đi khắp nơi. Khi anh tìm mặt mình trên một nền tảng nhận diện khác có tên là Pimeye, kết quả hiển thị còn nhiều hơn so với Clearview. Trong đó có cả những tấm ảnh từ năm 2014 hay trong những sự kiện riêng tư, mang tính chính trị.
Đến tháng 3 năm nay, Marx tiếp tục phát hiện 4 tấm ảnh có mặt mình trên công cụ tìm kiếm khuôn mặt Public Mirror. Trang này còn đính kèm những đường dẫn về thông tin cá nhân của Marx hay những sự kiện mà anh tham gia trong tấm ảnh.
Theo chuyên gia bảo mật, mỗi nền tảng đều tiết lộ một khía cạnh thông tin riêng tư của anh. Điều này đã tiết lộ về một ngành công nghiệp đáng sợ, sở hữu lượng dữ liệu vượt xa tất cả mạng xã hội.
“Làm tiền” từ khuôn mặt người dùng
Theo Wired, ở châu Âu, hàng triệu khuôn mặt người đã xuất hiện trái phép trên các công cụ tìm kiếm của những công ty công nghệ như Clearview. Khu vực này vốn biết đến là nơi có luật lệ bảo vệ quyền riêng tư nghiêm ngặt nhất thế giới nhưng cũng không có ít “điểm mù” mà một số nơi như thành phố Hamburg, Đức chưa thể quản lý.
Không chỉ Matthias Marx, nhiều người dùng khác cũng đệ đơn kiện vì bị xâm phạm dữ liệu. Hồi tháng 10, Cơ quan giám sát quyền bảo mật dữ liệu Pháp (CNIL) đã phạt công ty nhận dạng khuôn mặt Clearview AI 20 triệu euro (19,6 triệu USD) vì phân tích bất hợp pháp dữ liệu cá nhân, đồng thời yêu cầu công ty này chấm dứt các hoạt động đó. Nhưng sau Clearview, hàng loạt các công ty “làm tiền” bằng khuôn mặt người dùng vẫn mọc lên như nấm.
Là một chuyên gia trong mảng an ninh, Marx cho rằng Clearview sẽ không thể nào xóa vĩnh viễn những dữ liệu khuôn mặt của mình. Theo anh, cốt lõi công nghệ của Clearview là liên tục lùng sục những khuôn mặt từng xuất hiện trên Internet nên thế nào cũng sẽ lại sử dụng hình ảnh của anh. “Chuyện này sẽ lặp lại nếu mặt của tôi xuất hiện đâu đó trên Internet. Thuật toán của Clearview sẽ không bao giờ ngừng lại”, Marx cho biết.
Nói với các nhà đầu tư, Clearview cho biết công ty đã xử lý hơn 100 tỷ bức ảnh trong năm nay, tức trung bình mỗi người sẽ bị lộ 14 tấm ảnh.
Lợi dụng “điểm mù” của luật pháp
Theo Wired, cách thức hoạt động của Clearview rất tinh vi. Công ty công nghệ AI này sẽ sử dụng bot tự động để tìm kiếm những khuôn mặt khác nhau trên Internet và lưu chúng vào cơ sở dữ liệu riêng, đồng nghĩa với việc dữ liệu này sẽ không xuất hiện công khai trên nền tảng, CEO Hoan Ton-That.
“Chỉ từ những tấm ảnh sẽ không ai biết được chủ nhân của khuôn mặt đến từ đâu. Clearview cam kết chỉ thu thập những thông tin công khai trên Internet như Google hay Bing”, ông nói.
Song, việc tìm kiếm bằng từ khóa là tên người và tìm kiếm bằng hình ảnh khuôn mặt như Clearview có khác biệt rất lớn.
“Tên không phải đặc điểm nhận dạng riêng biệt và người dùng hoàn toàn có thể che giấu. Nhưng với khuôn mặt thì khác, người dùng sẽ không thể nào che giấu danh tính của mình một khi khuôn mặt bị lộ”, Lucie Audibert, luật sư tại Privacy International nhận định.
Do đó, lo ngại về những công cụ tìm kiếm bằng khuôn mặt đã nổ ra khắp châu Âu, yêu cầu các nhà lập pháp cấm tiệt hành vi này. Không đồng ý với điều này, CEO Ton-That cho rằng Clearview không cần phải tuân theo quy định GDPR vì họ không có khách hàng hay bất cứ trụ sở nào ở EU.
“Rất khó để siết luật của EU với một công ty Mỹ không hề có quan hệ hợp tác với châu Âu”, Felix Mikolasch, luật sư của NOYB từng biện hộ cho Marx trong đơn kiện với Clearview, cho biết. Đây chính là “điểm mù” của luật pháp khi không thể răn đe hay yêu cầu các công nghệ ngừng hành vi thu thập dữ liệu trái phép vì họ hoàn toàn có thể “dứt áo ra đi” khỏi châu Âu nếu bị chèn ép.