Õiguslik järelevalve nr 64 – oktoober 2023.

Krüpteerimine ja tagauksed: tehnilistest piirangutest ühiskondlike probleemideni.

Praegused sündmused Prantsusmaal kajastavad praegust arutelu, mis Euroopas elavneb, nimelt õiguskaitseorganite juurdepääsu üle krüpteeritud sõnumite sisule.

Siseminister avaldas 22. oktoobril raadios Arrase keskkooli hiljutist rünnakut kommenteerides soovi, et otsast lõpuni krüpteeritud sõnumsidesüsteemidesse integreeritaks tagauks, mis võimaldaks sõnumite krüpteeringust mööda hiilida ja nende sisule ligi pääseda.

Ministri sõnul on see tehnika tõhusam alternatiiv praegustele lahendustele, mis hõlmavad luureteenistuste sissemurdmist kahtlusaluse telefoni, et installida näiteks nuhkvara.

See seadusega rangelt reguleeritud praktika oli rünnaku toime pannud terroristi jälgimise ajal ebaõnnestunud.

Tänapäeval räägitakse palju "kliendipoolsest skaneerimisest", mis erineb sõnumite pealtkuulamisest ("mees keskel" - HDM).

23. oktoobril Euroopa andmekaitseinspektori korraldatud seminaril esinenud ekspert kirjeldas neid tehnikaid järgmiselt: „vahepealne mees“ pealtkuulab sõnumeid nende edastamise ajal, samas kui „kliendipoolne skaneerimine“ seisneb piltlikult öeldes inimese õla tagant lugemises kirjutamise ajal – enne krüpteerimist –, et võrrelda tema sõnumit sobimatu andmebaasi sisuga.

See on sisu modereerimise vorm, mida teostatakse kasutaja terminalis.

Kaks algatust, mille eesmärk on süstemaatiliselt kasutada kliendipoolset skaneerimist, on oma pealetükkiva olemuse tõttu praegu Brüsselis ja Londonis palju vastukaja saanud.

Euroopa tasandil on just laste seksuaalse sättumuse ennetamise ja kaitsmise määruse ettepanek see, mis pälvib kõige rohkem kriitikat.

Teksti eesmärk on võidelda internetis leviva lapsporno vastu ebaseadusliku sisu levitamise tuvastamise kaudu.

Kuigi selle eesmärgi ülima tähtsuse osas valitseb üksmeel, seavad paljud sidusrühmad kahtluse alla kavandatud meetmete tõhususe, vajalikkuse ja proportsionaalsuse.

Tõsist muret on väljendanud ELi andmekaitseasutused, Euroopa institutsioonide eksperdid, aga ka lastekaitseorganisatsioonid, akadeemikud, küberturvalisuse eksperdid ja laste seksuaalse väärkohtlemise ohvrid.

Lisaks riskile üle koormata õiguskaitseorganeid valepositiivsete tulemustega kardavad kriitikud ka liialt kaugele minekut ühiskonna suunas, kus igaüks meist elab pideva jälgimise tunde keskel.

Rohkem kui saja selle valdkonna juhtiva teadlase jaoks on sisu skannimise rakendamine lõpuks tehniliselt võimatu ilma otsast lõpuni krüptimist nõrgestamata ja kasutajate privaatsust rikkumata.

Paljud eksperdid on nõus, et praegused tipptasemel tehnoloogilised lahendused ei ole piisavalt usaldusväärsed ja on ka küberrünnakute suhtes haavatavad.

Sellele järeldusele jõudsid ka Apple, kes teatas sel suvel oma algoritmiprojektist loobumisest, ja Meredith Whittaker, sõnumiteenuse Signal president: "Kui politsei pääseb sisse, pääsevad seda ka häkkerid, vaenulikud riigid, Putin, Iraani valitsus ja igaüks, kes tahab kahju teha (...). Seetõttu on oluline, et me säilitaksime nende süsteemide turvalisuse ja terviklikkuse."

Sellega seoses näis Briti valitsus olevat oma seisukohta 26. oktoobril vastu võetud uue internetiturvalisuse seaduse („Online Safety Bill“) suhtes pehmendanud.

Ministrid ei eemaldanud siiski vastuolulist järelevalveklauslit, vaid seadsid selle rakendamise tingimuseks tehnilise teostatavuse.

Ühendkuningriigi tehnoloogiaalase regulaatoril (Ofcom) on endiselt õigus nõuda tehnoloogiaettevõtetelt skaneerimistarkvara arendamist kooskõlas areneva tehnoloogiaga.

Kui see tehnoloogia kättesaadavaks muutub, jääb veel näha, kuidas hinnatakse tasakaalu võimude repressiivsete eesmärkide ja üksikisikute privaatsuse vahel.

 

• 12. oktoobril määras CNIL CANAL+ GROUPile 600 000 euro suuruse trahvi.

Trahv on seotud eelkõige teabe esitamise kohustuse rikkumisega, asjaomaste isikute õiguste teostamisega, ettevõtte töötajate paroolidega seotud turvaprobleemidega, alltöövõtuga ja asjaoluga, et ettevõte ei teavitanud CNIL-i 2020. aastal aset leidnud tõsisest isikuandmete rikkumisest.

• CNIL korraldab 28. novembril eetilise mõtiskluse ürituse pealkirjaga "Tehisintellekt ja vaba tahe: kas me oleme digitaalsed lambad?".

Teadlased, eksperdid ja visuaalkunstnikud vahetavad mõtteid oluliste eetiliste küsimuste üle, mis puudutavad tehisintellekti mõju individuaalsetele valikutele.

• Samuti tehisintellekti teemal avaldas CNIL 11. oktoobril praktilised juhendid tehisintellekti süsteemide koolitusandmebaaside loomise kohta.

Nende teabelehtede eesmärk on aidata spetsialistidel ühildada innovatsiooni ja üksikisiku õiguste austamist. Need on avalikuks konsultatsiooniks avatud kuni 16. novembrini 2023.

• Valitsusväline organisatsioon noyb esitas 14. septembril Prantsusmaal kolm kaebust Fnaci, kinnisvaraäpi SeLogeri ja spordiäpi MyFitnessPali vastu.

Nende ettevõtete rakendused pääseksid ebaseaduslikult juurde kasutajate isikuandmetele ja jagaksid neid kolmandate osapooltega keeruka analüüsi eesmärgil kohe pärast rakenduse avamist, ilma asjaomaseid isikuid teavitamata või neilt nõusolekut saamata.

Valitsusväline organisatsioon plaanib esitada mobiilirakenduste ettevõtete vastu täiendavaid kaebusi.

 

Euroopa institutsioonid ja organid

• Pärast seda, kui Euroopa Komisjon alustas 12. oktoobril uurimist X-i vastavuse kohta digitaalteenuste määrusele (DSA), uurib ta ka Metat ja TikTokit.

Sotsiaalmeediaettevõtted on väidetavalt saanud ametlikke teabenõudeid ebaseadusliku sisu ja desinformatsiooni käsitlemise kohta alates Iisraeli ja Hamasi vahelise sõja algusest.

• Mõned kritiseerivad Euroopa Komisjoni selle eest, et see ei austa omaenda reegleid sotsiaalvõrgustikes mikrosihtimise kohta.

Tänapäeval süüdistavad ajakirjandus, vabaühendused ja Euroopa Parlamendi liikmed teda selles, et ta on oma suhtluses sihtrühmaks valinud teatud profiiliga internetikasutajaid riikides, mis suhtuvad skeptiliselt tema kavandatud lastepornograafia (CSAM) regulatsiooni.

• 2023. aasta septembris avaldas Euroopa Komisjon kaks tehisintellekti lepingutingimuste näidist, mida saab tehisintellektiga seotud riigihangetes vabatahtlikult kasutada, olenemata sellest, kas töötlemisega kaasneb kõrge risk või mitte.

Need klauslid on suunatud avaliku sektori asutustele, kes soovivad omandada välise tarnija väljatöötatud tehisintellekti süsteemi.

• Euroopa andmekaitseinspektor (EDPS) avaldas 23. oktoobril soovitused ELi kaasseadusandjatele tehisintellekti määrust puudutavateks kolmepoolseteks läbirääkimisteks.

Eelkõige toetab see määrusesse tehisintellekti süsteemide kasutamisest mõjutatud isikute õiguse lisamist esitada kaebus pädevale asutusele ja kasutada selle otsuste vaidlustamiseks tõhusat õiguskaitsevahendit.

Ta kordab veel kord oma üleskutset määrata andmekaitseasutused riiklikeks järelevalveasutusteks.

Samuti toetab ta vajadust Euroopa lähenemisviisi järele, eriti märkimisväärse mõjuga piiriüleste juhtumite puhul, ning Euroopa Parlamendi ettepanekut luua „Euroopa tehisintellekti büroo“.

• Euroopa Andmekaitseinspektor avaldas 11. oktoobril ka arvamuse kahe tehisintellekti vastutuse eeskirjadega seotud kavandatud suunise kohta.
• Euroopa Andmekaitsenõukogu (EDPB) ja Euroopa Andmekaitseinspektor võtsid 19. septembril vastu ühisarvamuse ettepaneku kohta võtta vastu määrus, mis käsitleb isikuandmete kaitse üldmääruse kohaldamise täiendavaid menetlusnorme.

Selle ettepaneku eesmärk on tagada kiirete parandusmeetmete rakendamine üksikisikute suhtes piiriüleste juhtumite korral.

Euroopa Andmekaitsenõukogu ja Euroopa Andmekaitseinspektor nõuavad vastuvõetavuse nõuete põhjalikku ühtlustamist, soovitavad parandada konsensuse saavutamist asjaomaste järelevalveasutuste suurema kaasamise kaudu ning kutsuvad kaasseadusandjaid üles säilitama praegust lähenemisviisi poolte õigusele olla vaidluste lahendamise protsessis ära kuulatud.

• Euroopa Andmekaitsenõukogu ja Euroopa Andmekaitseinspektor avaldasid 17. oktoobril ühisarvamuse digitaalse euroga seotud määruse ettepaneku kohta.

Reguleerivad asutused kiidavad eriti heaks kasutajate valikuvõimaluse säilitamise digitaalsete eurode või sularahas maksmise vahel.

Sellegipoolest teevad nad mitu tähelepanekut, et tagada ainult vajalike isikuandmete töötlemine, eelkõige pettustevastase võitluse kontekstis, ning vältida isikuandmete liigset tsentraliseerimist Euroopa Keskpanga või riikide keskpankade poolt.

• Oma oktoobrikuu plenaaristungil valis Euroopa Andmekaitsenõukogu oma kolmanda koordineeritud isikuandmete kaitse üldmääruse rakendusmeetme teema: kuidas ettevõtted rakendavad üksikisikute õigust andmetega tutvuda.

See meede on kavandatud 2024. aastaks ja selle suhtes kohaldatakse sihipärast järelevalvet nii riiklikul kui ka Euroopa tasandil.

• 31. oktoobril avaldas Norra andmekaitseamet (DPA) avalduse, milles teatas, et Meta vastu suunatud otsust laiendatakse EL-ile/EMP-le.

Pressiteates öeldakse, et Euroopa Andmekaitsenõukogu kiitis äsja heaks Norra käitumispõhise turunduse keelu alalise laiendamise Facebookis ja Instagramis kogu Euroopale.

• Pärast paljastusi ja Euroopa Parlamendi uurimist Pegasuse nuhkvara kohta uurivad Amnesty International ja Euroopa uurimiskoostööorganisatsioon (EIC) Predatori juhtumit aruandes, mis toob esile ELi suutmatuse reguleerida nuhkvara kuritarvitamist oma territooriumil.

Aruandes keskendutakse Euroopas asuvale kontsernile nimega Intellexa Alliance, mis "arendas, käitas ja turustas" aastatel 2007–2022 "monitooringutoodete komplekti". 

Need tooted võimaldavad saata vaikseid nakatamiskatseid koostööd tegevate internetiteenuse pakkujate kasutajatele või tervele riigile, kui nuhkvara operaatoril on otsene juurdepääs internetiliiklusele.

• 6. septembril olid Euroopa Farmaatsiatööstuse (EPFIA) esindajad vastu tulevase Euroopa terviseandmete ruumi (EHDS) kavandatavas määruses teisese kasutamise eesmärgil terviseandmete kogumisest loobumise mehhanismi kehtestamisele.

Grupi seisukoht peegeldab teadlaste ja tehnoloogiadisainerite muresid, kes kardavad, et süsteemi loobumisvõimaluse lisamine kahjustab andmete kasutamist teadusuuringuteks ja innovatsiooniks.

• TikTok teatas 5. septembril 2023 avaldatud pressiteates, et tugevdab oma Euroopa kasutajate andmekaitset.

Lisaks Dublinis asuvale andmekeskusele plaanib ettevõte Euroopas kahte uut andmekeskust.

TikTok on palganud ka kolmanda osapoole Euroopa turvafirma oma andmetöötluse sõltumatu auditi läbiviimiseks.

 

Uudised Euroopa liikmesriikidest.

• Belgia andmekaitseamet (APD) avaldas 20. oktoobril kontrollnimekirja, mis aitab organisatsioonidel tagada, et nende küpsiste ja muude jälgimismehhanismidega seotud tavad vastavad kehtivatele eeskirjadele.

Dokument võimaldab teil samm-sammult läbi vaadata head ja halvad tavad.

APD tuletab meile meelde, et nõusolekust on vabastatud ainult rangelt vajalikud küpsised ning kõiki teisi küpsiste kategooriaid saab paigutada ja lugeda ainult siis, kui kasutaja on andnud eelneva, vabatahtliku, konkreetse, teadliku, ühemõttelise ja aktiivse nõusoleku.

• Amsterdami ringkonnakohus võttis 18. oktoobril vastu olulise otsuse lühimenetluses, mis puudutas AdTechi ja jälgimisküpsiseid.

Prantsuse ettevõte Criteo ei saa lihtsalt tugineda oma klientide (veebisaidi avaldajate) lepingulisele kohustusele saada internetikasutajate nõusolek: ta vastutab ka küpsiste paigutamiseks kehtiva nõusoleku saamise eest, mille puudumisel (ja avaldaja nõusoleku puudumisel) on küpsiste paigutamine ebaseaduslik.

Otsus põhineb Rooma II konventsioonil (kohtu jurisdiktsioon), e-privaatsuse direktiivil ja isikuandmete kaitse üldmäärusel.

Kohus tunnustab CNILi otsust ja lükkab tagasi Criteo kaitse, et hageja ei olnud oma brauserit küpsiseid tagasi lükkama seadistanud.

Samuti lükkab see tagasi argumendi, et hageja nõudmised kahjustaksid tema ärimudelit, arvestades, et hageja privaatsushuvid on ülimuslikud.

Kohus kohaldab lisaks Euroopa Kohtu otsust Österreichische Posti kohtuasjas (C-154/21), otsustades, et Criteo peab esitama täieliku ülevaate kolmandatest isikutest, kellega andmeid on jagatud.

• Kreeka andmekaitseamet (DPA) määras Ateena linnatranspordi organisatsioonile (OASA) 50 000 euro suuruse trahvi isikuandmete kaitse üldmääruse artikli 5(1) punkti e rikkumise eest, kuna ettevõtte elektrooniline piletisüsteem ei vastanud säilitamise piiramise põhimõttele.

Lisaks noomis ta OASA-d isikuandmete kaitse üldmääruse artikli 35 lõike 1 rikkumise eest, kuna ettevõtte elektroonilise piletisüsteemi andmekaitsealane mõjuhinnang oli ebapiisav.

• Rootsi andmekaitseamet (APD) määras Stockholmi linna haridusametile 800 000 Rootsi krooni (umbes 68 324 euro) suuruse trahvi koolis valvekaamerate kasutamise eest, mis rikkus isikuandmete kaitse üldmääruse artikli 5(1) punkte a ja c, artikli 6(1) ja artiklit 13.
• Itaalia andmekaitseamet (APD) määras Itaalia advokatuurile 20 000 euro suuruse trahvi kahe kaebuse esitaja kohta käiva teabe avaldamise eest oma veebisaidil ilma õigusliku aluseta, vastavalt isikuandmete kaitse üldmääruse artikli 10 ja Itaalia privaatsusseadustiku artikli 2octies koosmõjul sätestatud sätetele.
• Horvaatia andmekaitseamet (APD) määras võlgade sissenõudmisega tegelevale ettevõttele EOS Matrix doo oma ajaloo suurima haldustrahvi summas 5 470 000 eurot isikuandmete kaitse üldmääruse (GDPR) mitmete rikkumiste eest.
• Ühendkuningriigis võitis Clearview AI esimese astme kohtus (FTT) apellatsiooni Ühendkuningriigi andmekaitseameti (DPA) trahvi peale.

Kohus leidis, et „Ühendkuningriigi isikuandmete kaitse üldmäärus“ ei ole kohaldatav, väites, et Clearview'i töötlemistegevus hõlmas teenuse osutamist kolmandas riigis asuvate õiguskaitseasutuste nimel, mis jääb väljapoole isikuandmete kaitse üldmääruse ja „Ühendkuningriigi isikuandmete kaitse üldmääruse“ kohaldamisala.

Kohus käsitleb lisaks Clearview'd ja tema kliente selle repressiivse eesmärgi töötlemise kaasvastutavate töötlejatena.

Kohtu põhjendus on andmekaitseekspertide seas tekitanud palju arutelusid kaasvastutavate töötlejate kvalifitseerimise ja konkreetse juhtumi puhul Euroopa ja/või Suurbritannia õiguse kohaldamata jätmise üle.

• Oktoobri alguses äratas Snapi tehisintellektil põhinev vestlusrobot ICO tähelepanu.

APD teatas, et on Snapi vastu välja andnud esialgse jõustamisteate, mida ettevõte kirjeldab kui "potentsiaalset suutmatust oma vestlusroboti "Minu tehisintellekt" privaatsusriskide nõuetekohasel hindamisel".

Üha rohkem andmekaitseasutusi, näiteks Ühendkuningriigis ja Itaalias, võtab üle tehisintellekti reguleerivate asutuste kohustused.

 

• Ülemaailmne Privaatsusassamblee (GPA) pidas oma iga-aastase konverentsi oktoobri keskel Bermudal.

Võimud arutasid privaatsusmääruste kohaldamist tehisintellektile ja 20. oktoobril võtsid vastu resolutsiooni generatiivse tehisintellekti kohta.

Resolutsioon tuleb ajal, mil G7 juhid võtsid 30. oktoobril Hiroshima tehisintellekti protsessi osana vastu rahvusvahelised tehisintellekti (AI) juhtpõhimõtted ja vabatahtliku käitumisjuhendi tehisintellekti arendajatele.

• Ameerika Ühendriigid avaldavad 30. oktoobril ka tehisintellekti käsitleva määruse ja tehisintellekti riskijuhtimise käsiraamatu ning Ühendkuningriik korraldab 2. novembril tehisintellekti turvalisuse tippkohtumise.
• Uus-Meremaa andmekaitsevoliniku büroo on avaldanud juhendi tehisintellekti süsteemide arendamise ja kasutamise kohta kooskõlas privaatsuspõhimõtetega.
• Kanada avaldas septembris ka käitumisjuhendi täiustatud generatiivsete tehisintellekti süsteemide arendajatele ja haldajatele.

Eetikakoodeks määratleb meetmed, mida tuleb rakendada nende süsteemidega seotud riskide maandamiseks, tuginedes kuuele põhiprintsiibile: vastutus, turvalisus, õiglus/õiglus, läbipaistvus, inimeste järelevalve ning süsteemide kehtivus/kindlus.

• Ameerika Ühendriigid: 41 USA osariigi peaprokurörid on ühendanud jõud, et esitada Meta vastu hagi, väites, et selle sotsiaalmeediaplatvormid Instagram ja Facebook on lastele sõltuvust tekitavad ja kahjulikud.

Hagis süüdistatakse Metat alla 13-aastaste laste kohta teabe korduvas ja süstemaatilises kogumises ning vanemate teavitamata jätmises või nõusoleku saamata jätmises selle kasutamise kohta.

• California avaldas 12. oktoobril 2023 seaduseelnõu, mis reguleerib andmemaaklereid ja muudab kehtivat 2018. aasta seadust (CCPA).

Tekst sätestab, et andmevahendajad peavad registreeruma privaatsusametis ja esitama sellele üksikasjalikumat teavet üksikute taotluste, teatud teabe kogumise ja seaduse järgimise kohustusliku auditi kohta.

Projekt loob ka mehhanismi, mis võimaldab üksikisikutel taotleda kõigilt andmevahendajatelt nende kohta käiva isikuandmete kustutamist.

• Geneetilise testimise teenus 23andMe on kannatanud andmetega seotud rikkumise all.

Häkker avaldas küberkuritegevuse foorumil BreachForums nelja miljoni kasutaja geneetilise informatsiooni.

See juhtum järgneb teisele lekkele, mis leidis aset oktoobri alguses.

• Araabia Ühendemiraatides avaldas tehisintellekti, digitaalmajanduse ja kaugtöö rakenduste ministeerium valge raamatu pealkirjaga „Vastutustundliku metaversumi isejuhtimise raamistik“.