Õiguslik jälgimine nr 58 – aprill 2023.

ChatGPT: Milline on uute tehisintellekti rakenduste õiguslik raamistik?

ChatGPT, Google Bard, Stable Diffusion ja Dall-E on Suured keelemudelid (LLM-id) olemasolevate keelemudelite alamkategooria.

Keelemudelid on arvutiprogrammid, mis on loodud teksti töötlemiseks ja genereerimiseks sarnaselt inimesega.

Nende hulka kuuluvad näiteks kõnetuvastus, masintõlge, tekstist kõneks teisendamine ja sisu genereerimine. Õigusteaduse magistriõppe programmid (LLM-id) on suuremad ja keerukamad kui traditsioonilised mudelid.

Neid treenitakse väga suurte tekstikorpuste peal, mis mõnikord koosnevad miljonitest lehekülgedest teksti, ja nad kasutavad keele töötlemise õppimiseks sügavaid närvivõrgu arhitektuure.

Seega saab LLM pakkuda lõputult valikut tellitavat sisu, olgu selleks luuletus, filmistsenaarium, arvutiprogrammeerimiskood või muusikateos.

See teave pole aga ajakohane: ChatGPT-d treeniti internetis kuni 2021. aastani kättesaadava teabe abil.

Seetõttu on mõttetu küsida temalt värskendusi andmete edastamise kohta Ameerika Ühendriikidesse või kommentaari CNIL-i viimase sanktsiooni kohta.

LLM-id tõstatavad palju õiguslikke ja eetilisi küsimusi, eriti autoriõiguse, andmekaitse, valeinformatsiooni ja diskrimineerimise osas.

Viimastel nädalatel on paljud regulaatorid hakanud reageerima, eesotsas olev Itaalia andmekaitseamet.

Viimane andis 31. märtsil välja OpenAI-vastase korralduse, blokeerides ChatGPT Itaalias, kuna 

• taotluse läbipaistmatuse tõttu
• õiguspärase töötlemise põhjuse puudumise tõttu,
• töödeldud andmete täpsuse tagamata jätmise tõttu,
• vanuse kontrollimise puudumine ja
• privaatsuse kavandatud kaitse põhimõtte üldise rikkumise kohta.

Sellele järgnes tihedalt Saksamaa, mis hakkas uurima ChatGPT vastavust GDPR-ile: Schleswig-Holsteini liidumaa saatis OpenAI-le küsimustiku, millele see pidi vastama enne 11. juunit.

Euroopa Andmekaitsenõukogu järgis oma riiklike liikmete eeskuju ja moodustas sellel teemal töörühma ning Euroopa Tarbijate Assotsiatsioon (BEUC) kirjutas tarbijakaitseasutuste võrgustikule ja tarbijaohutuse asutuste võrgustikule (CPC ja CSN võrgustikud), paludes neil uurida õigusabi valdkonda.

Atlandi ookeani taga märgib ka föderaalne kaubanduskomisjon (FTC), et kehtivad USA sektoripõhised seadused hõlmavad generatiivset tehisintellekti, hoiatades samal ajal ettevõtteid tarbijate huvide ja käimasolevate juurutustega seotud riskide range arvessevõtmise eest.

Pärast neid uurimisi on OpenAI võtnud teatud meetmeid:

• Andmete töötlemisele vastuväite esitamise õiguse rakendamine;
• Privaatsuspoliitika laiendamine ja nähtavuse parandamine, teave tehtud uuenduste kohta;
• Ebatäpse teabe kustutamise mehhanismide rakendamine;
• Lisatud vormid, mis võimaldavad igal Euroopa kasutajal filtreerida oma vestlusi ja andmete ajalugu, mida kasutatakse treeningalgoritmide treenimiseks ja täiustamiseks.
• Lisatud võimalus andmeid eksportida ja salvestatud teavet kontrollida.

Kuigi ChatGPT on Itaalias taas kättesaadav, jääb palju küsimusi püsima.

Avatud tehisintellekti pakutavad kaitsemeetmed võimaldavad rakenduse kasutajatel oma andmeid parandada või kustutada, kuid need ei mõjuta kõigi nende andmete töötlemist, kes rakendust ei kasuta, tekitades seega tõsiseid maineprobleeme.

 Hiljuti süüdistas ChatGPT õigusteaduse professorit seksuaalses ahistamises, väidetava allikana artikkel, mida kunagi ei kirjutatud.

Samuti on võimalikud rassilised või etnilised eelarvamused. ChatGPT treeniti internetiandmete põhjal ja seetõttu peegeldab ja jäädvustab see tõenäoliselt veebis eksisteerivaid ühiskondlikke eelarvamusi.

Meditsiiniliste otsuste tegemisel kasutatav ennustav algoritm on seega teinud mustanahaliste patsientide vastu kallutatud otsuseid.

Kuigi algoritmi disainerid välistasid süsteemi käitamisel rassi mõõtmiskriteeriumina, jätkas algoritm mustanahaliste patsientide suhtes eelarvamuste tekitamist, võttes arvesse teatud majanduslikke tegureid ja tervishoiukulusid.

Lõpuks suurenevad küberkuritegevuse riskid, näiteks veenvamate andmepüügikirjade koostamine või uute rünnakutehnikate õppimine, nagu rõhutatakse Ühendkuningriigi riikliku küberjulgeolekukeskuse ja Ameerika Ühendriikide föderaalse kaubanduskomisjoni (FTC) aruandes.

Võib imestada, miks ChapGPT disainerid ei integreerinud andmekaitset rakenduse kavandamisetapis, vaid tegid seda igal üksikjuhul eraldi, lähtudes regulaatorite reaktsioonidest.

Avatud tehisintellekt ei ole uustulnuk: seda on arendatud alates 2016. aastast kogenud kaasasutajate juhtimisel ning see on olnud kuue rahastamisvooru objektiks.

Selle praegune väärtus on 29 miljardit dollarit ja tehisintellektil põhinevad tööriistad on Microsoftiga partnerluse kaudu integreeritud mitte-tehisintellektil põhinevatesse toodetesse, mida miljonid inimesed iga päev kasutavad.

„Privacy by design” põhimõtted pole sellises kontekstis mitte ainult soovitavad, vaid on ka isikuandmete kaitse üldmääruse nõuete lahutamatu osa.

Nende rakendamist tuleks veelgi tugevdada tulevase Euroopa tehisintellekti määruse vastuvõtmisega, mille kohaselt peaksid suure riskiga süsteemid vastama rangemale korrale, mis hõlmab riskijuhtimise, läbipaistvuse ja andmehalduse nõudeid.

Parlamendiliikmete arutatud määruse uusim versioon nõuab ka, et kõik tehisintellekti mudelid vastaksid järelevalve, tehnilise töökindluse ja turvalisuse, privaatsuse kaitse, andmehalduse, läbipaistvuse, sotsiaalse ja keskkonnaheaolu, mitmekesisuse, mittediskrimineerimise ja õigluse põhimõtetele.

 

Ja ka

URSSAF

1. mai nädalavahetusel Urssaf tegi arvutivea mis viis mitme tuhande füüsilisest isikust ettevõtja andmete avaldamiseni.

Mõned liikmed väidavad, et on saanud dokumente, mis sisaldavad "kaheksateistkümne teise inimese" maksegraafikuid või kõige olulisematel juhtudel isegi "301 lehekülge Urssafi maksegraafikuid, mis mind ei puuduta".

Need failid sisaldavad tundlikku isikuandmeid, nagu pangarekvisiidid, sissetulek, aadressid või täielikud identiteedid. 

Sisejuurdluse esialgsete tulemuste kohaselt kokku 10 640 inimest, keda need leviedastusvead mõjutasid, peaksid peagi saama teate, mis neid sellest teavitab.

Urssaf teatas turvarikkumisest CNIL-ile.

DROON

Alates 19. aprillist, Politseinikel ja sandarmitel on lubatud filmida kogunemisi taevast.

Nii oli see Stade de France'il, Mayotte'il, Le Havre'is ja 1. mai meeleavalduste ajal Pariisis.

Politseiprefektuuri 28. aprilli määrus lubab pealinnas meeleavaldajate ülelendu pardakaamerate abil, et vältida "rünnakuid inimeste ja vara turvalisusele" ning "avaliku korra säilitamiseks või taastamiseks".

See on üks esimesi lube, mis on välja antud siseministeeriumi hiljutise määruse alusel osana uuest kriminaalvastutuse ja sisejulgeoleku seadusest.

CNIL on nende uute õigussätete kohta avaldanud kaks arvamust (jaanuaris ja juulis 2021) ning seekord nõudis ta droonide kasutamise ranget reguleerimist, arvestades avalike vabaduste ja üksikisikute privaatsuse rikkumise ohtu.

KÜBERTURVALISUS

3. märtsi 2022. aasta seadus, mis jõustub 1. oktoobril 2023, kehtestab üldsusele mõeldud digitaalsete platvormide küberturvalisuse sertifitseerimine.

Veebiplatvormide operaatorid ja numbripõhiste isikutevahelise side teenuste pakkujad peavad läbi viima küberturvalisuse auditi, mis hõlmab nii nende majutatavate andmete turvalisust ja asukohta kui ka nende endi turvalisust.

Küberskoori rakendava määruse eelnõu kohaselt hõlmavad auditiprotseduurid SecNumCloudi tugiraamistiku kasutamist andmete kokkupuute hindamiseks ekstraterritoriaalsete õigusaktidega, hostimisinfrastruktuuride Euroopa asukohta ja alltöövõtjate kodakondsust.

CNIL

CNIL avaldas 3. aprillil isikuandmete turvalisust käsitleva juhendi uus versioon.

Uus versioon võtab märkimisväärselt arvesse CNIL-i uusimaid soovitusi paroolide ja logimise kohta.

 

Euroopa institutsioonid ja organid

EUROOPA PARLAMENT

• Andmeedastus ELi ja Ameerika Ühendriikide vahel Kodanikuvabaduste komisjoni liikmete 13. aprillil vastu võetud resolutsioonis leitakse, et ELi ja Ameerika Ühendriikide pakutud andmekaitseraamistik on "edasijõudmine", kuid edusammud ei ole "piisavad", et õigustada isikuandmete edastamise piisavusotsust.

Komisjon märgib, et raamistik lubab teatud juhtudel endiselt massiliselt isikuandmeid koguda ja näeb ette apellatsioonimehhanismi, mis ei pruugi olla sõltumatu (kohtunikud võib ametist tagandada USA president, kes võib ka tema otsuseid tühistada).

Samuti võidakse ELi kodanikel takistada oma andmetele juurdepääsu ja nende parandamise õigust, kuna otsuseid hoitakse salajas.

Parlamendiliikmed kutsuvad komisjoni üles „tagama, et tulevane raamistik taluks juriidilisi väljakutseid ning pakuks ELi kodanikele ja ettevõtetele õiguskindlust“.

• Euroopa Parlamendi liikmed said 27. aprillil oma erimeelsused üle ja saavutasid esialgse poliitilise kokkuleppe. Tehisintellekti eeskirjad.

Tekst sisaldab rangemaid kohustusi õigusteaduse lektorite ja biomeetrilise tuvastamise tarkvara osas: algselt reaalajas keelatud tuvastustarkvara saab kasutada ainult raskete kuritegude puhul ja eelneva loaga.

Enne 11. maiks kavandatud olulist hääletust komisjonis võidakse tekstis veel teha väiksemaid tehnilisi kohandusi ning hääletus peaks toimuma täiskogu istungil juuni keskel.

• 20. aprillil kiitsid parlamendiliikmed heaks esimese ELi õigusakti teksti ... krüptovarade ülekannete jälgimine näiteks bitcoinid ja elektroonilised valuutatokenid.

Teksti – mille parlamendi ja nõukogu läbirääkijad 2022. aasta juunis ajutiselt heaks kiitsid – eesmärk on tagada, et krüptovaluutaülekandeid, nagu iga muud finantstehingut, saaks alati jälgida ja kahtlased tehingud blokeerida.

Euroopa Parlament ja ELi liikmesriigid peavad praegu läbirääkimisi Kübervastupidavuse seadus (CRA) – uus määrus, mille eesmärk on tugevdada ühendatud seadmete digitaalset turvalisust ELis.

ARC pakub välja auditeerimis- ja sertifitseerimisnõuded ühendatud seadmete tarkvara- ja riistvaratootjatele ning näeb ette minimaalse perioodi, mille jooksul nad peavad oma toodetele tarkvara turvaparandusi pakkuma.

 

Euroopa Andmekaitsenõukogu

• Euroopa Andmekaitsenõukogu (EDPB) avaldas 27. aprillil Juhend VKEdele, milles kirjeldatakse üksikasjalikult töötajate, klientide ja äripartnerite andmete töötlemisel kohaldatavaid põhimõtteid.

Juhendis selgitatakse ka olulisi turvareegleid, mida järgida, ja seda, kuidas isikuandmete rikkumise korral tegutseda.

• Euroopa Andmekaitsenõukogu avaldas 19. aprillil töörühma töö tulemuste aruanne seoses 101 kaebusega, mille valitsusväline organisatsioon NOYB esitas pärast Euroopa Kohtu Schrems II otsust.

Need kaebused puudutavad tööriistu "Google Analytics" ja "Facebook Business Tools" ning isikuandmete edastamist Ameerika Ühendriikidesse.

Aruandes esitatakse töörühma ühised seisukohad ja see sisaldab teavet esimeste asjaomaste juhtumite tulemuste kohta.

Mitmed andmekaitseasutused on veebisaitide operaatoritele andnud korralduse kõnealused andmeedastused peatada. 

• 4. aprillil avaldas Euroopa Andmekaitsenõukogu oma lõpliku versiooni. suunised 9/2022 isikuandmete rikkumistest teatamise kohta.

 

CVRIA

• Euroopa Liidu Kohus otsustas 4. mai otsuses, et asjaomase isiku õigus andmetega tutvuda hõlmab õigust saada tervikdokumente või dokumentide väljavõtteid või andmebaaside väljavõtteid, kui see on asjaomase isiku õiguse tõhusaks teostamiseks hädavajalik.

Antud juhul oli äriteabele spetsialiseerunud ettevõte CRIF esitanud kaebuse esitajale oma andmete kokkuvõtliku versiooni.

• Euroopa Kohus on esimest korda teinud otsuse ka mittevaralise kahju hüvitamise kohta isikuandmete kaitse üldmääruse alusel.

Kuigi kohus kinnitab oma 4. mai otsuses, et GDPR ei nõua kahju hüvitamise nõudmiseks „künnist“, tuletab see siiski meelde, et peab esinema rikkumine, kahju hüvitamine ja põhjuslik seos ning et ilma tegeliku kahjuta ei ole nõuet võimalik esitada.

Juhtum sai alguse, kui Austria postiteenistus genereeris statistikat miljonite inimeste tõenäoliste poliitiliste vaadete kohta.

Kaebajale oli määratud tõenäoline osalus äärmusparempoolses erakonnas, kuid polnud kindel, kas see teave oli avaldatud kolmandale osapoolele, kuna ta oli postireklaami keelustamise nimekirjas.

• Sarnases kontekstis esitas Euroopa Kohtu kohtujurist 27. aprillil oma arvamuse järgmise küsimuse kohta: kas Bulgaaria riikliku maksuameti valduses olevate isikuandmete ebaseaduslik levitamine pärast arvutihäkkimist võib anda alust moraalse kahju hüvitamiseks asjaomasele isikule lihtsalt seetõttu, et viimane kardab oma andmete võimalikku väärkasutamist?

Üldkogu hinnangul ei tohiks isikuandmete kaitse üldmääruse artiklis 82 määratletud moraalset kahju segi ajada pelgalt ebamugavustega.

Kahju peab olema objektiivselt tõendatav ja see ei tohi sõltuda üksnes hageja subjektiivsest esitusest.

 

Riiklikud uudised

• ITAALIA: 2. märtsil trahvis Itaalia andmekaitseamet (APD) andmetöötlejat 5000 euroga soovimatute kommertsteadaannete saatmise eest e-posti aadressidele, mis olid loodud tarkvara abil internetist kogutud andmete automaatse kombineerimise teel.
• AUSTRIA: Pärast noybi esitatud kaebust teatas Austria andmekaitseamet (APD) 29. märtsil, et ajalehe veebisaidil olev küpsiste „nõustu või maksa” bänner ei vasta isikuandmete kaitse üldmäärusele, arvestades nõusoleku detailsuse nõudeid.
• HOLLAND: 4. aprillil käskis Hollandi apellatsioonikohus Uberil anda juhtidele juurdepääs oma isikuandmetele ja selgitustele automatiseeritud otsuste tegemise kohta. Samuti määras kohus andmetöötlejale 4000 euro suuruse päevase trahvi.
• HISPAANIA: Kataloonia andmekaitseamet on pidanud näotuvastussüsteemide kasutamist pettuste ennetamiseks ülikoolide veebieksamitel ebaproportsionaalseks. Amet on määranud andmetöötlejale 20 000 euro suuruse trahvi GDPR-i artiklite 5(1)(a) ja 9 rikkumise eest.
• ÜHENDKUNINGRIIK: Ligi 50 Briti parlamendiliiget on kirjutanud ettevõttele, millele kuuluvad House of Fraser ja Sports Directi kauplused, et mõista hukka näotuvastuskaamerate kasutamine kontserni kauplustes.

Kirjeldades tehnoloogiat kui "invasiivset ja diskrimineerivat", kutsusid parlamendiliikmed rühmitust üles lõpetama nende kaamerate kasutamise üleriigiliselt.

• 4. aprillil algatas Ühendkuningriigi andmekaitseamet (DPA) TikToki vastu uurimise ja trahvis seda laste andmete väärkasutamise eest 12 700 000 naelaga.
• Krüpteeritud sõnumsiderakenduse Signal president on väljendanud muret Briti valitsuse veebiturvalisuse ettepaneku pärast, mis võib nõrgestada krüpteerimist ja sundida ettevõtteid krüpteeritud sõnumeid ebaseadusliku sisu suhtes skannima.

Meredith Whittaker vihjab, et Signal võib sellisel juhul Ühendkuningriigist lahkuda. Sarnaseid muresid on väljendanud ka teised sõnumsideettevõtted, näiteks WhatsApp ja Element.

 

• VIETNAM: 17. aprillil 2023 avaldas Vietnami valitsus isikuandmete kaitse määruse nr 13/2023/ND („PDPD“), mis on esimene terviklik dokument, mis reguleerib isikuandmete kaitset riigis.
• TANSAANIA: Uus isikuandmete kaitse seadus jõustus 1. mail.
• CBPR: 17. aprillil esitas Ühendkuningriik taotluse liituda riikide rühmaga, mis järgib piiriülese julgeoleku eeskirju (CBPR), kuhu praegu kuuluvad Austraalia, Kanada, Jaapan, Korea Vabariik, Mehhiko, Filipiinid, Singapur, Hiina Taipei ja Ameerika Ühendriigid. USA kaubandusministeeriumi loodud CBPR võimaldab igal jurisdiktsioonil taotleda assotsieerunud riigi staatust ja saada kasu andmevabast vahetusest osalevate riikidega, tingimusel et sellel on seadused, mis kaitsevad isikuandmeid, ja seal on "vähemalt üks avalik-õiguslik asutus, mis vastutab seaduste ja/või määruste jõustamise eest".
• IAPP:Rahvusvahelise Privaatsusspetsialistide Assotsiatsiooni (IAPP) infograafik loetleb jurisdiktsioonid, mis annavad andmekaitseasutusele või valitsusasutusele õiguse määrata teised jurisdiktsioonid "piisavate" privaatsusstandarditega jurisdiktsioonideks.

Seda täiendab teine infograafik, milles kirjeldatakse üksikasjalikult jurisdiktsioonide kaupa andmeedastust reguleerivaid mehhanisme ja suuniseid (lepingutingimused, nõusolek jne).