Νομικό Περιοδικό Αρ. 76 – Οκτώβριος 2024.  

Κυβερνοεπιθέσεις: αυξημένος κίνδυνος και εξελισσόμενο νομικό πλαίσιο.

 Ο αριθμός των κυβερνοεπιθέσεων που στοχεύουν επιχειρήσεις ή δημόσιες υπηρεσίες στη Γαλλία αυτό το φθινόπωρο είναι αμέτρητος.

Μετά τους Boulanger, Cultura, Truffaut, Grosbill και SFR, είναι τώρα η σειρά του Free να υποστεί μια μεγάλη κυβερνοεπίθεση, ακριβώς τη στιγμή που ο μήνας ευαισθητοποίησης για την κυβερνοασφάλεια τελειώνει.

Σε ένα email προς τους πελάτες της, η εταιρεία δήλωσε ότι η επίθεση είχε ως αποτέλεσμα την μη εξουσιοδοτημένη πρόσβαση σε ορισμένα από τα προσωπικά δεδομένα που σχετίζονται με τους λογαριασμούς των συνδρομητών, συμπεριλαμβανομένων των διαπιστευτηρίων σύνδεσής τους, των στοιχείων επικοινωνίας, των συμβατικών λεπτομερειών και, σε ορισμένες περιπτώσεις, του IBAN τους. Η παραβίαση εκτιμάται ότι θα επηρεάσει περισσότερους από 19 εκατομμύρια πελάτες.

Η Free ειδοποίησε την CNIL και την ANSSI για την παραβίαση δεδομένων.

Αν λάβουμε επίσης υπόψη τις μεγάλης κλίμακας επιθέσεις που στόχευσαν δύο μεγάλους οργανισμούς πληρωμών τρίτων και την France Travail στις αρχές του 2024, ορισμένοι εκτιμούν ότι σήμερα, τα δεδομένα περισσότερων από 40 εκατομμυρίων Γάλλων πωλούνται στο dark web.

Η αύξηση αυτών των επιθέσεων οδήγησε την CNIL να δημοσιεύσει ένα ενημερωτικό δελτίο για να βοηθήσει τους εμπλεκόμενους να προστατευτούν.

Συμβουλεύει, ειδικότερα, τον έλεγχο της δραστηριότητας των τραπεζικών λογαριασμών, την επαγρύπνηση σχετικά με τους κινδύνους κλοπής ταυτότητας και ηλεκτρονικού «ψαρέματος» (phishing), την αλλαγή κωδικών πρόσβασης και τη χρήση διαδικασιών ελέγχου ταυτότητας πολλαπλών παραγόντων.

Μέχρι τώρα, η CNIL σπάνια επέβαλλε κυρώσεις σε εταιρείες που έπεσαν θύματα κυβερνοεπιθέσεων επειδή δεν προστάτευσαν τα δεδομένα τους, σε αντίθεση με τις ευρωπαϊκές ομολόγους της.

Ωστόσο, μόλις επέβαλε κυρώσεις στην εταιρεία ασφάλειας κρυπτονομισμάτων Ledger για μη επαρκή προστασία των δεδομένων των πελατών της.

Σύμφωνα με την εφημερίδα La Lettre, η οποία αποκάλυψε την είδηση στις 23 Οκτωβρίου, το πρόστιμο που επιβλήθηκε ανέρχεται σε 750.000 ευρώ. Η CNIL δεν έχει επιβεβαιώσει αυτό το ποσό.

Η εταιρεία είχε υποστεί αρκετές παραβιάσεις προσωπικών δεδομένων το 2020, επηρεάζοντας πολλούς πελάτες και υποψήφιους πελάτες.

Νέοι κανόνες προστίθενται τώρα στις διατάξεις του ΓΚΠΔ, οι οποίοι απαιτούν από τους υπεύθυνους επεξεργασίας δεδομένων να ασφαλίζουν τα δεδομένα.

Αυτές είναι οι υποχρεώσεις της ευρωπαϊκής οδηγίας NIS2, η οποία τέθηκε σε ισχύ στις 17 Οκτωβρίου.

Η παρούσα οδηγία αποσκοπεί στον μετριασμό των απειλών για δίκτυα και συστήματα πληροφοριών που παρέχουν βασικές υπηρεσίες σε βασικούς τομείς, με σκοπό την ενίσχυση της ασφάλειας της Ευρωπαϊκής Ένωσης.

Το κείμενο διευρύνει το πεδίο εφαρμογής του σε σύγκριση με την οδηγία NIS1 και στοχεύει συγκεκριμένα στις υποδομές και τις οντότητες που είναι απαραίτητες για την ορθή λειτουργία των οικονομικών και κοινωνικών δραστηριοτήτων στην εσωτερική αγορά: δημόσιες διοικήσεις, τηλεπικοινωνιακές υποδομές, υπηρεσίες πληροφοριών και επικοινωνιών, παρόχους ψηφιακών υπηρεσιών, αλλά και τομείς της παραγωγής τροφίμων ή χημικών, της υγείας ή της επεξεργασίας λυμάτων.

Οι απαιτήσεις αφορούν ιδίως τα μέτρα διακυβέρνησης και διαχείρισης κινδύνων στον κυβερνοχώρο, την τμηματοποίηση του διοικητικού Συστήματος Πληροφοριών (ΠΣ), την υποχρέωση αναφοράς οποιουδήποτε συμβάντος και την ασφάλεια των αλυσίδων εφοδιασμού.

Η οδηγία προβλέπει, όπως και ο ΓΚΠΔ, την κοινοποίηση συμβάντων και οικονομικών κυρώσεων.

Ενώ έχει προγραμματιστεί μια τριετής περίοδος για πλήρη συμμόρφωση, πρέπει να τεθεί γρήγορα σε εφαρμογή μια ελάχιστη απαίτηση, δηλαδή η «εγγραφή στην ANSSI της ρυθμιζόμενης οντότητας στην πύλη «monespaceNIS2», οι ειδοποιήσεις για συμβάντα και η επίδειξη επενδύσεων σε λύσεις ασφαλείας».

Ανεξάρτητα από τους κανόνες και τις κυρώσεις, είναι καλό να θυμόμαστε τις ανθρώπινες συνέπειες των παραβιάσεων της ασφάλειας.

Αυτό ακριβώς έκανε ο Βρετανός Επίτροπος Πληροφοριών (ICO) σε δημοσίευσή του στις 28 Οκτωβρίου.

Η αρχή τονίζει σε μια προειδοποίηση προς τους υπεύθυνους επεξεργασίας δεδομένων τις ενίοτε καταστροφικές επιπτώσεις των παραβιάσεων δεδομένων.

Αναφέρει ότι το 55% των ενηλίκων στο Ηνωμένο Βασίλειο έχουν χάσει ή κλαπεί δεδομένα, ποσοστό που αντιστοιχεί σε σχεδόν 30 εκατομμύρια ανθρώπους.

Οι προσωπικές και συναισθηματικές συνέπειες αυτής της κατάστασης πολύ συχνά παραβλέπονται: 301.000 θύματα αναφέρουν συναισθηματική δυσφορία, ενώ 25.000 από αυτά δεν λαμβάνουν καμία βοήθεια από τους υπεύθυνους οργανισμούς.

Επιπλέον, το 32% όσων επηρεάζονται μαθαίνουν γι' αυτό μέσω των μέσων ενημέρωσης και όχι από τον ίδιο τον οργανισμό, γεγονός που εντείνει το αίσθημα προδοσίας που βιώνουν.

Το ICO επισημαίνει ότι πάρα πολλοί οργανισμοί δεν μετρούν πλήρως τη βλάβη και παραμελούν την προστασία των προσωπικών δεδομένων.

«Όταν συμβαίνει μια παραβίαση δεδομένων, δεν πρόκειται απλώς για διοικητικό σφάλμα, αλλά για αδυναμία προστασίας κάποιου.»

 

        

Στις 26 Σεπτεμβρίου, η CNIL (Γαλλική Αρχή Προστασίας Δεδομένων) επέβαλε πρόστιμο 250.000 ευρώ και 150.000 ευρώ αντίστοιχα στις Cosmospace και Telemaque, παρόχους ψυχικών υπηρεσιών, επειδή δεν έλαβαν τη ρητή συγκατάθεση των εμπλεκόμενων ατόμων. πριν από την επεξεργασία ευαίσθητων δεδομένων στο πλαίσιο καταγεγραμμένων συνεδριών διαβούλευσης.

Ανακοίνωσε επίσης ότι είχε εκδώσει έντεκα νέες απλουστευμένες κυρώσεις από τον Ιούνιο του 2024, σχετικά με αδικήματα που σχετίζονται με υπερβολική συλλογή δεδομένων, έλλειψη μητρώου, μη σεβασμό των δικαιωμάτων των προσώπων ή έλλειψη συνεργασίας.

Τελικά, στις 17 Οκτωβρίου 2024, κάλεσε το Υπουργείο Εσωτερικών και Υπερπόντιων Εδαφών και το Υπουργείο Δικαιοσύνης για να διατάξει την κακή διαχείριση του αρχείου επεξεργασίας ποινικών μητρώων.

Στις 19 Νοεμβρίου, η CNIL διοργανώνει μια εκδήλωση με τίτλο «Air» αφιερωμένη στην επιτήρηση και τις ηθικές της επιπτώσεις.

Οι συζητήσεις θα συνδιοργανωθούν με την Εθνική Επιτροπή Ελέγχου Τεχνικών Πληροφοριών (CNCTR).

Η Εισαγγελία του Παρισιού ανακοίνωσε ότι στις 18 Οκτωβρίου 2024, κατά τη διάρκεια συνεδρίασης της Eurojust, οι βελγικές και γαλλικές δικαστικές αρχές σχημάτισαν κοινή ομάδα έρευνας (JIT) σχετικά με τις έρευνες για το Telegram.

Στη Γαλλία, ξεκίνησε προκαταρκτική έρευνα τον Φεβρουάριο του 2024, η οποία οδήγησε στην έναρξη δικαστικής έρευνας και στη συνέχεια στη σύλληψη του Πάβελ Ντούροφ αυτό το καλοκαίρι.

Το τμήμα κυβερνοεγκλήματος της Εισαγγελίας του Παρισιού είχε προηγουμένως συμβουλευτεί διάφορες εισαγγελίες και ανακριτικές υπηρεσίες, καθώς και τους ξένους εταίρους του εντός της Eurojust, σχετικά με τη δυσκολία λήψης απαντήσεων σε αιτήματα.

Στις 3 Οκτωβρίου, το Ακυρωτικό Δικαστήριο ανέτρεψε απόφαση του Εφετείου της Καέν και επανέλαβε ότι ένα δικαστήριο οφείλει να σέβεται την αρχή της ελαχιστοποίησης των δεδομένων όταν διατάσσει έναν εργοδότη να προσκομίσει αποδεικτικά στοιχεία για πιθανή διάκριση στον μισθό στο πλαίσιο αστικής διαδικασίας.

Τα προσωπικά δεδομένα που ζητούνται ως αποδεικτικά στοιχεία πρέπει να περιορίζονται σε ό,τι είναι απολύτως απαραίτητο για τη διαδικασία.

Στις 22 Οκτωβρίου, η ΜΚΟ Noyb υπέβαλε καταγγελία στην CNIL κατά της πλατφόρμας κοινωνικής δικτύωσης Pinterest..

Η Noyb αναφέρει ότι παρά την απόφαση του Δικαστηρίου της Ευρωπαϊκής Ένωσης (ΔΕΕ) στις 4 Ιουλίου 2023 που καταδίκαζε αυτήν την πρακτική, η πλατφόρμα χρησιμοποιεί τα προσωπικά δεδομένα των χρηστών χωρίς να ζητήσει τη συγκατάθεσή τους, βάσει του έννομου συμφέροντός της, και ότι ενεργοποιεί την παρακολούθηση από προεπιλογή.

Η πλατφόρμα δέχεται επίσης κριτική για την αδυναμία παροχής πληροφοριών σχετικά με τα τρίτα μέρη με τα οποία μοιράζεται δεδομένα.

 

Ευρωπαϊκά θεσμικά όργανα και οργανισμοί

Η Ευρωπαϊκή Επιτροπή δημοσίευσε στις 9 Οκτωβρίου την έκθεση της πρώτης της αξιολόγησης σχετικά με την απόφαση επάρκειας του πλαισίου προστασίας δεδομένων (DPF) μεταξύ ΕΕ και Ηνωμένων Πολιτειών.

Η Επιτροπή καταλήγει στο συμπέρασμα ότι οι αρχές των ΗΠΑ «έχουν θέσει σε εφαρμογή όλα τα συστατικά στοιχεία του πλαισίου».

Αυτό περιλαμβάνει την εφαρμογή διασφαλίσεων για τον περιορισμό της πρόσβασης των υπηρεσιών πληροφοριών των ΗΠΑ σε προσωπικά δεδομένα σε ό,τι είναι απαραίτητο και αναλογικό για την προστασία της εθνικής ασφάλειας, καθώς και τη δημιουργία ενός ανεξάρτητου και αμερόληπτου μηχανισμού έννομης προστασίας.

Η έκθεση περιέχει συστάσεις για να διασφαλιστεί ότι το πλαίσιο θα συνεχίσει να λειτουργεί αποτελεσματικά, όπως η ανάπτυξη κοινών κατευθυντήριων γραμμών σχετικά με τις βασικές απαιτήσεις του DPF.

Κατά τη διάρκεια της ολομέλειάς του στις 8 και 9 Οκτωβρίου, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) ενέκρινε γνώμη σχετικά με τους επεξεργαστές και τους επακόλουθους επεξεργαστές, κατευθυντήριες γραμμές σχετικά με το έννομο συμφέρον, δήλωση σχετικά με πρόσθετους διαδικαστικούς κανόνες για την εφαρμογή του ΓΚΠΔ και του προγράμματος εργασίας του ΕΣΠΔ για την περίοδο 2024-2025.

Στις 4 Νοεμβρίου, η Επιτροπή ενέκρινε επίσης την πρώτη της έκθεση σχετικά με το πλαίσιο προστασίας δεδομένων ΕΕ-ΗΠΑ, καθώς και μια δήλωση σχετικά με την πρόσβαση των αρχών επιβολής του νόμου σε δεδομένα.

Σημειώνει την πρόοδο που έχει σημειωθεί και ενθαρρύνει τις αρχές των ΗΠΑ να αναπτύξουν νέες κατευθυντήριες γραμμές και την Ευρωπαϊκή Επιτροπή να παρακολουθεί τον μηχανισμό προσφυγής για τους πολίτες της ΕΕ.

Στην απόφασή του C-507/23 της 4ης Οκτωβρίου, το ΔΕΕ έκρινε ότι η συγγνώμη μπορεί να αποτελέσει κατάλληλη αποκατάσταση για ηθική βλάβη βάσει του άρθρου 82(1) του ΓΚΠΔ, ιδίως όταν η επιστροφή στην κατάσταση πριν από τη ζημία είναι αδύνατη, υπό την προϋπόθεση ότι αυτή η μορφή αποκατάστασης είναι ικανή να αποζημιώσει πλήρως τη ζημία που υπέστη το υποκείμενο των δεδομένων.

 

Νέα από τις χώρες μέλη της Ευρωπαϊκής Ένωσης.

Η Βελγική Αρχή Προστασίας Δεδομένων (DPA) δημοσίευσε στο διαδίκτυο στις 9 Οκτωβρίου τα έγγραφα από την ημέρα μελέτης της σχετικά με τις «έξυπνες πόλεις».

Στόχος ήταν να δημιουργηθεί μια πλατφόρμα συζήτησης όπου τα ενδιαφερόμενα μέρη θα μπορούσαν να μοιραστούν τις εμπειρίες, τις βέλτιστες πρακτικές, τις προκλήσεις, τις λύσεις και τα οράματά τους για το μέλλον των «έξυπνων πόλεων».

Η αναφορά της ημέρας μελέτης, οι παρεμβάσεις των συμμετεχόντων και οι βιντεοσκοπημένες ακολουθίες είναι διαθέσιμες στον ιστότοπο της APD.

Σε απόφαση της 11ης Οκτωβρίου σχετικά με την RTL Belgium, η APD υπενθυμίζει επίσης στον υπεύθυνο επεξεργασίας δεδομένων ότι οφείλει να διευκολύνει τους επισκέπτες του ιστότοπού της να αρνηθούν την τοποθέτηση cookies όσο και να τα αποδεχτούν, γεγονός που αποτελεί συγκεκριμένη εφαρμογή των όρων για την εγκυρότητα της συγκατάθεσης.

Η APD εγκρίνει επίσης τον σχεδιασμό των κουμπιών που παρουσιάζονται στον επισκέπτη και αναφέρεται ειδικότερα στο έργο του EDPB επί του θέματος.

Σε αυτήν τη συγκεκριμένη περίπτωση, το φωτεινό πορτοκαλί κουμπί «Αποδοχή και κλείσιμο» ξεχώριζε ιδιαίτερα από το υπόλοιπο banner των cookie, και για την APD, «αυτό είναι το κουμπί στο οποίο θα εστιαστεί κυρίως η προσοχή των χρηστών».

Απαντώντας στο επιχείρημα του RTL περί «καλλιτεχνικής ελευθερίας», το APD αντιτείνει ότι «Οι υπεύθυνοι επεξεργασίας δεδομένων πρέπει να διασφαλίζουν ότι η χρήση ενός χρώματος δεν ενθαρρύνει προφανώς τους χρήστες να συναινέσουν στην τοποθέτηση cookies στο πρόγραμμα περιήγησής τους.»

Ωστόσο, δεν υπάρχει τίποτα που να εμποδίζει τους υπεύθυνους επεξεργασίας δεδομένων να χρησιμοποιούν ένα χρώμα κουμπιού που θα ενθάρρυνε ομοίως τους χρήστες να αρνηθούν την τοποθέτηση cookies.

Σημειώστε ότι η Αυστριακή Αρχή Προστασίας Δεδομένων (APD) έλαβε απόφαση προς την ίδια κατεύθυνση στις 28 Οκτωβρίου σχετικά με την δημόσια ραδιοτηλεοπτική εταιρεία Österreichischer Rundfunk: διέταξε την εταιρεία να προσαρμόσει το banner των cookie στον ιστότοπό της, επειδή η γραφική επισήμανση της επιλογής «αποδοχή όλων των cookies» ακυρώνει τη συγκατάθεση του ενδιαφερομένου βάσει του άρθρου 6(1)(α) του ΓΚΠΔ.

Αυτές οι δύο υποθέσεις αποτελούν μέρος μιας σειράς καταγγελιών που υπέβαλε η ΜΚΟ Noyb σε διάφορες χώρες της ΕΕ και σύντομα αναμένονται περαιτέρω αποφάσεις επί του θέματος.

Η Ιρλανδική Υπηρεσία Προστασίας Δεδομένων (DPA) ανακοίνωσε την τελική της απόφαση στις 24 Οκτωβρίου μετά από έρευνα του LinkedIn., έρευνα που ξεκίνησε μετά από καταγγελία που υποβλήθηκε αρχικά στην CNIL από την La Quadrature du net το 2018.

Επικεντρώθηκε στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από το LinkedIn για σκοπούς ανάλυσης συμπεριφοράς και στοχευμένης διαφήμισης χρηστών και αφορά τη νομιμότητα, τη δικαιοσύνη και τη διαφάνεια αυτής της επεξεργασίας.

Η απόφαση περιλαμβάνει επίπληξη, εντολή προς το LinkedIn να συμμορφωθεί με τους κανονισμούς επεξεργασίας και διοικητικά πρόστιμα συνολικού ύψους 310 εκατομμυρίων ευρώ.

Η Ιταλική Αρχή Προστασίας Δεδομένων (APD) επέβαλε πρόστιμο 900.000 ευρώ στην Postel SpA, την κύρια ταχυδρομική υπηρεσία της Ιταλίας, επειδή δεν ανταποκρίθηκε σε γνωστό και αναφερόμενο κενό ασφαλείας στα συστήματά της για σχεδόν ένα χρόνο.Αυτό κατέστησε δυνατή την παραβίαση προσωπικών δεδομένων: τον Αύγουστο του 2023, η εταιρεία έγινε στόχος επίθεσης ransomware που είχε ως αποτέλεσμα τον αποκλεισμό των διακομιστών της και ορισμένων σταθμών εργασίας.

Οι πληροφορίες, που δημοσιεύτηκαν στο dark web, αφορούσαν στοιχεία ταυτοποίησης και επικοινωνίας, δεδομένα πληρωμών, καθώς και δεδομένα που σχετίζονται με ποινικές καταδίκες και αδικήματα, δεδομένα υγείας και αποκάλυψη της συμμετοχής σε συνδικάτα.

Η Ολλανδική Αρχή Προστασίας Δεδομένων (APD) ανακοίνωσε στις 23 Οκτωβρίου ότι είχε διερευνήσει οκτώ πάρκα διακοπών που χρησιμοποιούν αναγνώριση προσώπου για πρόσβαση σε πισίνες και χώρους παιχνιδιού και διαπίστωσε ότι όλα αυτά τα πάρκα παραβίαζαν τους νόμους περί απορρήτου, λόγω έλλειψης πληροφοριών και απουσίας έγκυρης συγκατάθεσης.

Υπό την πίεση της APD, επτά από τα πάρκα άλλαξαν τις μεθόδους επεξεργασίας δεδομένων τους.

 

Ένα αρχείο Excel επέτρεψε την αποκάλυψη των προσωπικών στοιχείων 9.483 αξιωματικών και υπαλλήλων της αστυνομίας της Βόρειας Ιρλανδίας.

Απαντώντας σε δύο αιτήματα για πρόσβαση στα δεδομένα, η αστυνομική υπηρεσία παρείχε το αρχείο με τα δεδομένα που ήταν καλυμμένα αλλά όχι διαγραμμένα. Θεωρούμενη υπεύθυνη για τη διαρροή, η αστυνομία τιμωρήθηκε με πρόστιμο ρεκόρ 900.000 ευρώ από την Αρχή Προστασίας Δεδομένων (DPA) του Ηνωμένου Βασιλείου.

Σε παρόμοιο πλαίσιο, το ICO επέβαλε επίσης κυρώσεις στο συμβούλιο του Southend-on-Sea: σε απάντηση σε αίτημα πρόσβασης σε διοικητικά έγγραφα, το συμβούλιο παρείχε ένα υπολογιστικό φύλλο που εξακολουθούσε να περιέχει προσωπικά δεδομένα.

Αρχές προστασίας δεδομένων από 16 δικαιοδοσίες, συμπεριλαμβανομένων της Αυστραλίας, του Καναδά, της Κίνας, της Ισπανίας και του Ηνωμένου Βασιλείου, υιοθέτησαν κοινή δήλωση σχετικά με τις τεχνολογίες «απόξεσης» στο περιθώριο της διεθνούς διάσκεψης των αρχών προστασίας δεδομένων.

Η δήλωση τονίζει ότι οι οργανισμοί πρέπει να συμμορφώνονται με τους νόμους περί προστασίας δεδομένων όταν χρησιμοποιούν προσωπικά δεδομένα, συμπεριλαμβανομένων πληροφοριών από τις δικές τους πλατφόρμες, για την ανάπτυξη μεγάλων μοντέλων γλώσσας τεχνητής νοημοσύνης (LLM).

Η δήλωση, που δημοσιεύθηκε στις 28 Οκτωβρίου, περιγράφει άλλες προσδοκίες, συμπεριλαμβανομένων των εξής:

• Εφαρμόζουν έναν συνδυασμό μέτρων ασφαλείας, τα οποία εξετάζουν και ενημερώνουν τακτικά ώστε να συμβαδίζουν με τις εξελίξεις στις τεχνικές και τις τεχνολογίες συλλογής δεδομένων· και
• Διασφαλίζουν ότι η εξουσιοδοτημένη εξαγωγή δεδομένων για εμπορικούς ή κοινωνικά ωφέλιμους σκοπούς πραγματοποιείται σύμφωνα με τον νόμο και τους αυστηρούς συμβατικούς όρους.

Στα μέσα Οκτωβρίου, πραγματοποιήθηκε στην Ιταλία η σύνοδος της G7 των αρχών προστασίας δεδομένων, με στόχο την ενίσχυση της συνεργασίας μεταξύ των αρχών σε παγκόσμιο επίπεδο.

Υιοθετήθηκε δήλωση σχετικά με τον ρόλο των αρχών στη διασφάλιση της υπεύθυνης χρήσης της Τεχνητής Νοημοσύνης.

Δημοσιεύτηκε επίσης δήλωση, η οποία υπογραμμίζει τη σημασία ενός ισχυρού μηχανισμού για τις διασυνοριακές ροές δεδομένων που θα προστατεύει τα προσωπικά δεδομένα παγκοσμίως.

Στις 20 Οκτωβρίου, η Αυστραλιανή Υπηρεσία Προστασίας Δεδομένων (DPA) δημοσίευσε δύο έγγραφα καθοδήγησης σχετικά με την προστασία της ιδιωτικής ζωής και την τεχνητή νοημοσύνη:

• Ένας οδηγός σχετικά με τη χρήση εμπορικά διαθέσιμων προϊόντων τεχνητής νοημοσύνης.
• Ένας οδηγός για την ανάπτυξη και εκπαίδευση μοντέλων γενετικής τεχνητής νοημοσύνης.

Μεταξύ των βασικών σημείων που αφορούν τον πρώτο οδηγό, η APD τονίζει ότι

• Οι υποχρεώσεις περί απορρήτου ισχύουν για τυχόν προσωπικά στοιχεία που εισάγονται σε ένα σύστημα Τεχνητής Νοημοσύνης, καθώς και για τα δεδομένα εξόδου που παράγονται από την Τεχνητή Νοημοσύνη (όταν περιέχουν προσωπικά στοιχεία).
• Εάν χρησιμοποιούνται συστήματα Τεχνητής Νοημοσύνης για τη δημιουργία ή την εξαγωγή προσωπικών πληροφοριών, συμπεριλαμβανομένων εικόνων, αυτό συνιστά μια συλλογή προσωπικών πληροφοριών που πρέπει να συμμορφώνεται με τις αρχές προστασίας δεδομένων.

Ως βέλτιστη πρακτική, η APD συνιστά στους οργανισμούς να μην εισάγουν προσωπικές πληροφορίες, και ιδίως ευαίσθητες πληροφορίες, σε δημόσια διαθέσιμα εργαλεία δημιουργικής τεχνητής νοημοσύνης, λόγω των σημαντικών και πολύπλοκων κινδύνων που ενέχουν για την προστασία της ιδιωτικής ζωής.

Οι εσωτερικές επικοινωνίες του TikTok που δημοσιοποιήθηκαν τον Οκτώβριο έδειξαν ότι η εταιρεία δεν ανησυχούσε για τις βλαβερές επιπτώσεις της εφαρμογής στους Αμερικανούς εφήβους, παρόλο που η δική της έρευνα ανέδειξε πολλές ανησυχίες.

Αυτά τα εμπιστευτικά έγγραφα αποτελούν μέρος μιας έρευνας που διεξήχθη διάρκειας άνω των δύο ετών από 14 γενικούς εισαγγελείς των Ηνωμένων Πολιτειών.

Η αγωγή ισχυρίζεται ότι το TikTok σχεδιάστηκε με τη ρητή πρόθεση να εθίσει τους νέους στην εφαρμογή και ότι η εταιρεία παραπλάνησε το κοινό σχετικά με τους κινδύνους που ενέχονταν.

Σύμφωνα με το NPR, το οποίο είχε πρόσβαση στα έγγραφα, το TikTok προσδιόρισε τον ακριβή αριθμό προβολών (260) που απαιτούνταν για να είναι πιθανό ένα άτομο να εθιστεί στην πλατφόρμα.

Σύμφωνα με τους κρατικούς ερευνητές, «αν και αυτό μπορεί να φαίνεται σημαντικό, τα βίντεο του TikTok μπορούν να έχουν διάρκεια μόλις 8 δευτερόλεπτα και οι θεατές τα αναπαράγουν σε γρήγορη, αυτόματη διαδοχή. (...) Έτσι, σε λιγότερο από 35 λεπτά, ο μέσος χρήστης είναι πιθανό να εθιστεί στην πλατφόρμα».

Το Internet Archive δέχεται αυτήν τη στιγμή ένα κύμα κυβερνοεπιθέσεων.

Η πρώτη σειρά επιθέσεων, που δημοσιοποιήθηκε στα μέσα Οκτωβρίου, αποτελούνταν από αρκετές επιθέσεις DDoS. Οι χάκερ αποκάλυψαν επίσης ότι είχαν αποκτήσει πρόσβαση στα δεδομένα 31 εκατομμυρίων χρηστών.

Στα τέλη Οκτωβρίου, ο οργανισμός έπεσε για άλλη μια φορά θύμα εισβολής, αυτή τη φορά στην πλατφόρμα υποστήριξης email Zendesk, αφού είχε επανειλημμένα προειδοποιηθεί για κλοπή διακριτικών ελέγχου ταυτότητας.