Legal Watch nro 57 – maaliskuu 2023.

Älykamerat ja biometria – miten olympialaisiin liittyvä laki vaikuttaa?

Kansalliskokous hyväksyi 23. maaliskuuta olympialaisia koskevan lain 7. artiklan.

Vähäosallistujamäärältään pienessä kokouksessa (577 jäsenestä 73 oli läsnä) hyväksytty lakiesitys on jo herättänyt paljon keskustelua ja tulee varmasti herättämään paljon lisää reaktioita tulevina kuukausina.

Se laillistaa käytännössä algoritmisen valvonnan käytön joulukuuhun 2024 asti, poikkeukselliseksi kuvatussa tilanteessa, mutta tapahtumissa, jotka ylittävät olympialaisten tiukat puitteet.

Valvonta voi koskea yleisesti "urheilu-, virkistys- tai kulttuuritapahtumia", "jotka ovat alttiita terroritekojen tai henkilöiden turvallisuutta uhkaavien vakavien uhkien riskille".

Sitä voidaan siksi testata urheilutapahtumissa, kuten tämän syksyn rugbyn maailmanmestaruuskilpailuissa.

 

Mitä on algoritminen valvonta? Onko se biometrisen valvonnan muoto, johon sovelletaan GDPR:n ja tulevan EU:n tekoälyasetuksen tiukkoja velvoitteita?

Projektissa suunnitellaan tekoälyavusteisten "laajennettujen kameroiden" käyttöä, joita ohjataan droneilla. Näitä käytetään kuvien automaattiseen analysointiin reaaliajassa algoritmien avulla havaitakseen ennalta määrättyjä tapahtumia, kuten väkijoukon liikkeitä, matkatavaroita, eleitä tai epäilyttävää käyttäytymistä.

Vaikka CNIL korosti lisäkameroiden merkittäviä yksityisyyden ja henkilötietojen suojan kannalta tärkeitä ongelmia, se ei 8. joulukuuta antamissaan huomautuksissa näyttänyt ottavan huomioon biometrisen käsittelyn mahdollisuutta.

Hän huomautti, että useat toimenpiteet olivat hänen suositustensa mukaisia:

• Kokeellinen käyttöönotto, ajallisesti ja paikallisesti rajoitettu, tiettyihin erityistarkoituksiin ja vastaa vakavia riskejä ihmisille,
• Biometristen tietojen käsittelyn ja ristiviittausten puute muiden tiedostojen kanssa, ja
• Päätökset edellyttävät ihmisen ennakkoon puuttumista asiaan.

Kansalaisyhteiskunnan osalta käytetty teknologia kuuluu kuitenkin selvästi biometrian kategoriaan.

Todellakin, se "tunnistaa, analysoi ja luokittelee jatkuvasti kehoja, fyysisiä ominaisuuksia, eleitä, siluetteja ja askellajeja, jotka ovat kiistatta biometrisiä tietoja".

La Quadrature du Net ja noin neljäkymmentä kansainvälistä järjestöä ovat kehittäneet tätä näkökulmaa ECNL:n (Euroopan voittoa tavoittelemattomien järjestöjen oikeuden keskus) koordinoimassa ja julkaisemassa avoimessa kirjeessä kansalliskokoukselle.

GDPR määrittelee biometriset tiedot "henkilötiedoksi, jotka on saatu luonnollisen henkilön fyysisiin, fysiologisiin tai käyttäytymiseen liittyviin ominaisuuksiin liittyvän teknisen käsittelyn tuloksena ja jotka mahdollistavat tai vahvistavat hänen yksilöllisen tunnistamisensa" (artikla 4.14).

Avoimessa kirjeessä todetaan, että kamerat väistämättä tallentavat ja analysoivat valvotuissa julkisissa tiloissa olevien ihmisten fysiologisia piirteitä ja käyttäytymistä ja että näiden ihmisten eristäminen ympäristöstään, mikä osoittautuu olennaisen tärkeäksi järjestelmän tavoitteen saavuttamiseksi, muodostaa "ainutlaatuisen tunnistuksen".

GDPR:n ja Euroopan tietosuojaneuvoston tulkinnan mukaan kyky eristää henkilö väkijoukosta tai ympäristöstään, riippumatta siitä, onko hänen nimensä tai henkilöllisyytensä tiedossa vai ei, muodostaa "yksilöllisen tunnisteen".

Ihmisten luokittelu "riskialttiiden" käyttäytymismallien luokkaan näiden tietojen perusteella olisi siten biometrinen luokittelu, joka todennäköisesti olisi ristiriidassa tulevan EU:n tekoälyasetuksen säännösten kanssa.

Tässä yhteydessä on syytä huomioida eurooppalaisten tietosuojaviranomaisten 18. kesäkuuta 2021 antama lausunto, jossa vaaditaan tekoälyn käytön yleistä kieltoa ihmisen ominaisuuksien automaattiseen tunnistamiseen julkisissa tiloissa.

Nämä argumentit sisältyvät myös 41 Euroopan parlamentin jäsenen kansalliskokoukselle lähettämään kirjeeseen, jossa korostetaan, että tämän lain myötä Ranskasta tulisi ensimmäinen Euroopan maa, joka laillistaa julkisen tilansa massavalvonnan.

Lainsäädännön on siksi ehkä läpäistävä yhteensopivuustesti EU-lainsäädännön kanssa.

Tässä yhteydessä on huomattava, että tekoälyä koskeva asetusluonnos on Euroopan parlamentin täysistunnon esityslistalla toukokuun lopussa.

 

Ja myös

CNIL    

 CNIL on julkaissut listansa prioriteettiohjausteemoja Vuonna 2023: tänä vuonna hän keskittyy seuraaviin aiheisiin:

• Julkisten toimijoiden käyttämät "laajennetut" kamerat
• Kuluttajaluottotapaustiedoston käyttö,
• Potilastietojen hallinta ja
• Mobiilisovellukset.

Hän julkaisi myös ensimmäisen temaattisen dossier-tiedostonsa maaliskuun lopussa, joka koski digitaalinen identiteetti, esittäen keskeiset periaatteet ja kantansa aiheeseen.

Aineisto on tarkoitettu suurelle yleisölle sekä julkisille tai yksityisille organisaatioille ja tutkijoille.

Tässä yhteydessä on syytä muistaa, että CNIL tarkasteli 22. helmikuuta päivätyssä julkaisussa vuodesta 2019 lähtien tehtyä kokeilua sähköisellä sairausvakuutuskortilla ("e-carte Vitale"), jota tarjotaan valinnaisesti kaikille sosiaaliturvan edunsaajille ennen vuoden 2025 loppua.

Arkipäiväisen käytön lisäksi "e-Carte Vitale" on vaihtoehto FranceConnectille digitaalisen terveydenhuollon alalla.

CNIL määräsi yritykselle 125 000 euron sakon 16. maaliskuuta 2023. CITYSCOOT.

CNIL havaitsi, että yritys paikansi asiakkaansa lähes pysyvästi heidän vuokratessaan skootterin ja säilytti nämä tiedot.

Komissio totesi myös, että alihankintasopimuksiin ei sisältynyt tiettyjä olennaisia lausekkeita, kuten kerättävien tietojen luonnetta, toteutettavia turvatoimenpiteitä ja tietojen kohtaloa sopimusten irtisanomisen yhteydessä.

Yritys käytti myös reCAPTCHA-mekanismia, joka lähetti kerätyt tiedot GOOGLElle analysoitavaksi antamatta käyttäjälle mitään tietoja ja hankkimatta heidän etukäteen suostumustaan.

 

Euroopan unionin toimielimet ja elimet

Euroopan tietosuojaneuvosto

Euroopan tietosuojaneuvosto (EDPB) on käynnistänyt koordinoidun vuosittaisen tarkastustoimensa.

Seuraavien kuukausien aikana 26 ETA-alueen kansallista tietosuojaviranomaista osallistuu tähän tietosuojavastaavien nimeämistä ja asemaa koskevaan toimintaan.

Tutkimuksissa pyritään selvittämään, onko valtuutetuilla asema, joka täyttää yleisen tietosuoja-asetuksen 37–39 artiklan vaatimukset, ja onko heillä tehtäviensä suorittamiseen tarvittavat resurssit.

Heille lähetetään kyselylomakkeita, jotta voidaan kartoittaa heidän tilanteensa ja määrittää, onko virallinen tutkinta aiheellinen.

DSA

Digitaalisten palvelujen asetuksen (DSA) nojalla Euroopan unioni on asettanut uudet säännöt, jotka edellyttävät yli 45 miljoonan käyttäjän omaavien erittäin suurten verkkoalustojen (Very Large Online Platforms ja Very Large Search Engines) rekisteröitymistä Euroopan komissioon ennen 17. helmikuuta.

London School of Economics and Political Sciencen professorin analyysin mukaan mukana olisi 18 toimijaa: AliExpress, Amazon Marketplace, Apple App Store, Booking.com, Facebook, Google Maps, Google Play, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, YouTube, Wikipedia, Bing-haku ja Google-haku.

TikTok

Sosiaalinen verkosto TikTok ilmoitti helmikuun puolivälissä aikomuksestaan noudattaa DSA:ta, joka tulee voimaan vuoden 2023 puolivälissä.

TikTok ilmoitti myös datakeskusten käyttöönotosta Euroopassa rajat ylittävien tietovirtojen rajoittamiseksi.

Tämä ilmoitus tulee samaan aikaan, kun EU:n toimielimet sekä Alankomaiden, Kanadan ja Yhdysvaltojen Valkoisen talon hallitukset ovat äskettäin pyytäneet työntekijöitään poistamaan sovelluksen työ- ja henkilökohtaisista laitteistaan henkilötietojen suojaan liittyvistä huolenaiheista.

DMA

Euroopan komissio perusti maaliskuun lopussa korkean tason työryhmän varmistamaan digitaalisten markkinoiden asetuksen (DMA) johdonmukaisen soveltamisen muiden eurooppalaisten asetusten kanssa.

Nimitettyjen joukossa ovat Euroopan tietosuojavaltuutettu (EDPS) ja Euroopan tietosuojaneuvosto (EDPB).

Digitaalisten markkinoiden lakia sovelletaan erityisesti suuriin verkkoalustoihin, jotka on nimetty "portinvartijoiksi".

ENISA 

Eurooppalainen virasto ENISA julkaisee 29. maaliskuuta tutkimuksen kyberturvallisuusuhista vuoteen 2030 asti.

Tämän tutkimuksen tavoitteena on tunnistaa ja kerätä tietoa tulevista uhkista, jotka voisivat vaikuttaa unionin infrastruktuuriin ja palveluihin sekä sen kykyyn varmistaa eurooppalaisen yhteiskunnan ja kansalaisten digitaalinen turvallisuus.

ENISA julkaisee myös raportin tekoälyn kyberturvallisuudesta ja standardoinnista.

Asiakirjan tavoitteena on antaa yleiskatsaus nykyisistä ja tulevista standardeista, arvioida niiden soveltamisalaa ja tunnistaa standardoinnin puutteita.

Se ottaa huomioon tekoälyn ja erityisesti koneoppimisen erityispiirteet ja omaksuu laajan näkemyksen kyberturvallisuudesta, joka kattaa luottamuksellisuuden, eheyden ja saatavuuden vaatimukset sekä laajemman tekoälyn luotettavuuden käsitteen.

Lopuksi raportissa tarkastellaan, miten standardointi voi tukea ehdotettuun EU:n tekoälyasetukseen integroitujen kyberturvallisuusnäkökohtien täytäntöönpanoa.

EUROOPAN KOMISSIO

Euroopan komissio ilmoitti 6. maaliskuuta, että EU:n kuluttajansuojaviranomaisten kanssa käydyn vuoropuhelun jälkeen WhatsApp on sitoutunut olemaan avoimempi palveluehtojensa muutosten suhteen.

Yritys myös helpottaa käyttäjien mahdollisuuksia hylätä päivityksiä, jos he ovat niistä eri mieltä, ja selittää, milloin tällainen hylkääminen johtaa siihen, että käyttäjä ei enää voi käyttää sen palveluita.

WhatsApp on myös vahvistanut, ettei käyttäjien henkilötietoja jaeta kolmansille osapuolille tai muille Meta-yrityksille mainostarkoituksiin.

IAPP

IAPP:n verkkosivustolla on taulukko ("EU:n data-aloitteet kontekstissa"), jossa luetellaan eurooppalaiset tietosuoja-asetukset ja meneillään olevat aloitteet GDPR:stä ja DSA:sta Euroopan kyberturvallisuusstrategiaan. Tätä luetteloa päivitettiin maaliskuussa 2023.

 

Kansalliset uutiset

• YHDISTYNYT KUNINGASKUNTA: Torstaina 9. maaliskuuta Britannian hallitus esitteli parlamentille "pehmennetyn" lakiluonnoksen tietosuojasta ja digitaalisesta tiedosta. Ehdotettu uudistus antaisi yrityksille mahdollisuuden kerätä tietoja helpommin ilman käyttäjien suostumusta esimerkiksi osana tutkimus- ja kehityspolitiikkaansa.

Myös evästeiden sijoittamiseen liittyvää suostumusta koskevia velvoitteita helpotetaan, eikä sisäisen tietosuojavastaavan palkkaaminen ole enää pakollista.

Vieläkin Isossa-Britanniassa:

• Kansallinen kyberturvallisuuskeskus on julkaissut artikkelin, jossa arvioidaan riskejä ja annetaan suosituksia LLM-mallien (Large Language Models), kuten ChatGPT:n, käytölle.

Jos kyselytietoja ei käytetä mallin syöttämiseen tänään, niitä voidaan käyttää tulevissa versioissa.

Artikkelissa viitataan kyberrikollisuuden lisääntyneisiin riskeihin, kuten vakuuttavampien tietojenkalasteluviestien tuottamiseen tai uusien hyökkäystekniikoiden oppimiseen.

Hän suosittelee, ettei arkaluonteisia tietoja sisällytetä julkisille oikeustieteen maistereille osoitettuihin pyyntöihin.

• Ison-Britannian tietosuojaviranomainen on puolestaan päivittänyt tekoälyä ja tietosuojaa koskevaa ohjeistustaan toimialan pyynnöstä.

Ohjeet selventävät tekoälyn oikeudenmukaisuusvaatimuksia.

• ITALIA: LLM-tutkinnot ovat keskiössä kevään alussa. Italian tietosuojaviranomainen antoi 31. maaliskuuta määräyksen OpenAI:ta vastaan, joka esti ChatGPT:n toiminnan Italiassa läpinäkyvyyden puutteen, käsittelyn laillisen syyn puuttumisen, käsiteltävien tietojen oikeellisuuden varmistamatta jättämisen, ikävahvistuksen puutteen ja "sisäänrakennetun yksityisyyden" periaatteen yleisen loukkauksen vuoksi.
• TŠEKIN TASAVALTA: Tšekin tietosuojaviranomainen on määrännyt kyberturvallisuus- ja virustorjuntayritys Avastille 13,7 miljoonan euron sakot GDPR:n rikkomisesta.

Google Mapsin, YouTuben, LinkedInin ja laajemmin Googlen verkkohakujen kautta kerätyt käyttäjätiedot myytiin tytäryhtiönsä Jumpshotin kautta.

Tšekin tietosuojaviranomaisen tutkinta koskee henkilötietojen historiallista käsittelyä ennen tammikuuta 2020, jolloin Avast sulki Jumpshotin.

• NORJA: Norjan tietosuojaviranomainen (APD) on määrännyt Argon Medical Devicesille 220 000 euron sakon tietomurron ilmoittamisen viivästyttämisestä, koska yritys käytti järjestelmällisesti ja laajasti ulkopuolisia konsultteja.

Tällaisen kolmansien osapuolten puoleen turvautumisen katsottiin hidastavan kohtuuttomasti tietoturvaloukkausten ilmoitusprosessia.

Norja taas:

• Yhdysvaltoihin suuntautuvia siirtoja koskevan NOYB-kansalaisjärjestön 101 valituksen johdosta Norjan tietosuojaviranomainen ilmoitti rekisterinpitäjälle aikomuksestaan antaa tälle huomautus Google Analyticsin käytöstä ja sitä seuranneesta henkilötietojen siirtämisestä Yhdysvaltoihin, mikä on GDPR:n 44 artiklan vastaista.
• Myös Norjassa yksityisyyden suojan valituslautakunta vahvisti tietosuojaviranomaisen päätöksen sakottaa kuntaa 352 555 eurolla yleisen tietosuoja-asetuksen 5(1)(f) artiklan sekä 24 ja 32 artiklan rikkomisesta kiristysohjelmahyökkäyksen jälkeen, joka johti erittäin arkaluonteisten henkilötietojen peruuttamattomaan menetykseen ja niiden myymiseen pimeässä verkossa.
• ITÄVALTA: Itävallan tietosuojaviranomainen (APD) on päättänyt, että Facebookin seurantapikselin käyttö rikkoo GDPR:ää ja EU-tuomioistuimen Schrems II -päätöstä transatlanttisista tietovirroista.
• BELGIA: Belgiassa viranomainen sai vedota yleisen tietosuoja-asetuksen 6(1)(e) artiklaan työntekijöidensä yritysautojen paikantamiseen, koska muita, vähemmän yksityisyyttä loukkaavia ratkaisuja ei ollut ja seuranta oli välttämätöntä viranomaisen rajallisten resurssien tehokkaan käytön kannalta.

Tässä tapauksessa rekisterinpitäjää kuitenkin huomautettiin useista muista asetuksen rikkomuksista.

• IRLANTI: Irlannin keskuspankille määrättiin 750 000 euron sakko. Tietosuojaviranomainen (DPA) totesi, että rekisterinpitäjä ei ollut riittävästi arvioinut käsittelyyn liittyviä riskejä eikä toteuttanut asianmukaisia turvatoimenpiteitä.
• ESPANJA: Espanjan tietosuojaviranomainen (APD) on määrännyt Orange Spainille 100 000 euron sakon tietojen minimoinnin periaatteen rikkomisesta vaatimalla kuvan asiakkaan henkilöllisyystodistuksen etu- ja takapuolesta verkosta ostetun puhelimen toimittamista varten.
• Espanjassa rekisterinpitäjä, joka ei vastaa tiedonsaantipyyntöön työntekijän virheen vuoksi, on kuitenkin vastuussa GDPR:n 15 artiklan rikkomisesta.

 

• YHDYSVALLAT: Liittovaltion kauppakomissio julkaisi 25. maaliskuuta blogissaan artikkelin otsikolla "Chatbotit, syvähuijaukset ja äänikloonit" eli tekoälyn avulla tapahtuva petos.

Liittovaltion kauppakomissio (FTC) viittaa huolestuttavaan nousevaan uhkaan, johon digitaalisen ekosysteemin yritysten on puututtava.

Liittovaltion kauppakomission (FTC) teknologiatoimisto julkaisi myös analyysin ja ohjeistuksen kolmansien osapuolten seurantapikseleistä, jotka perustuvat sen äskettäisiin päätöksiin digitaalisten terveyspalvelujen tarjoajista.

• NIST (National Institute of Standards and Technology) perustaa resurssikeskuksen luotettavalle ja vastuulliselle tekoälylle.

Tavoitteena on tukea tekoälyn sidosryhmiä näiden teknologioiden kehittämisessä.

Siihen liittyy riskienhallintakehys ja toimintasuunnitelma, ja sen tavoitteena on tarjota pääsy laajaan valikoimaan aiheeseen liittyviä resursseja.

• ETELÄ-KOREA: Etelä-Korean henkilötietojen suojakomissio on sakottanut McDonald'sia, British American Tobaccoa ja Samsungia yksityisyydensuojan rikkomisesta.

McDonald's sai 484 000 euron sakot McDelivery-palvelun käyttäjien varmuuskopioiden tallentamisesta palvelimelle, jolla jakaminen oli sallittua. Tämän ansiosta hakkerit pääsivät käsiksi 4 876 106 asiakkaan tietoihin.

Toisessa tapauksessa varastettiin 766 846 hampurilaisen ostajan tiedot, minkä seurauksena yritykselle määrättiin aluksi 7 000 euron sakko.

• ALGERIA: Laki nro 18-07 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä tulee voimaan elokuussa 2023.