Legal Watch nro 58 – huhtikuu 2023.

ChatGPT: Millainen oikeudellinen kehys uusille tekoälysovelluksille on?

ChatGPT, Google Bard, Stable Diffusion ja Dall-E ovat Suuret kielimallit (LLM) olemassa olevien kielimallien alaluokka.

Kielimallit ovat tietokoneohjelmia, jotka on suunniteltu käsittelemään ja tuottamaan tekstiä samalla tavalla kuin ihminen.

Näitä ovat esimerkiksi puheentunnistus, konekääntäminen, tekstistä puheeksi ja sisällöntuotanto. LLM-mallit ovat laajempia ja monimutkaisempia kuin perinteiset mallit.

Niitä koulutetaan erittäin suurilla tekstikorpuksilla, jotka joskus koostuvat miljoonista tekstisivuista, ja ne käyttävät syviä neuroverkkoarkkitehtuureja kielen käsittelyn oppimiseen.

LLM voi siis tarjota äärettömän määrän tilaussisältöä, olipa kyseessä sitten runo, elokuvakäsikirjoitus, tietokoneohjelmointikoodi tai musiikkisävellys.

Tiedot eivät kuitenkaan ole ajan tasalla: ChatGPT on koulutettu internetissä vuoteen 2021 asti saatavilla olleiden tietojen avulla.

Siksi on turhaa kysyä häneltä päivitystä Yhdysvaltoihin tehdyistä tiedonsiirroista tai kommenttia CNIL:n viimeisimmästä pakotteesta.

LLM-tutkinnot herättävät monia oikeudellisia ja eettisiä kysymyksiä, erityisesti tekijänoikeuksiin, tietosuojaan, disinformaatioon ja syrjintään liittyen.

Viime viikkoina monet sääntelyviranomaiset ovat alkaneet reagoida, Italian tietosuojaviranomainen johdossa.

Jälkimmäinen antoi 31. maaliskuuta OpenAI:ta vastaan määräyksen, joka esti ChatGPT:n toiminnan Italiassa, koska 

• hakemuksen läpinäkyvyyden puutteen vuoksi
• koska käsittelylle ei ole oikeutettua syytä,
• käsiteltävien tietojen oikeellisuuden varmistamatta jättämisen vuoksi,
• iän varmentamisen puute ja
• "sisäänrakennetun yksityisyyden suojan" periaatteen yleisestä loukkaamisesta.

Sitä seurasi tiiviisti Saksa, joka alkoi tutkia ChatGPT:n GDPR-yhteensopivuutta: Schleswig-Holsteinin osavaltio lähetti OpenAI:lle kyselylomakkeen, johon sen tulisi vastata ennen 11. kesäkuuta.

Euroopan tietosuojaneuvosto seurasi kansallisten jäsentensä esimerkkiä ja perusti aiheesta työryhmän, ja Euroopan kuluttajajärjestö (BEUC) kirjoitti kuluttajansuojaviranomaisten verkostolle ja kuluttajaturvallisuusviranomaisten verkostolle (CPC- ja CSN-verkostot) ja pyysi niitä tutkimaan oikeustieteen kandidaatteja.

Atlantin toisella puolella Yhdysvaltain liittovaltion kauppakomissio (FTC) ilmoittaa myös, että Yhdysvaltojen nykyiset sektorikohtaiset lait kattavat generatiivisen tekoälyn, mutta varoittaa samalla yrityksiä ottamaan tarkasti huomioon kuluttajien edut ja meneillään oleviin käyttöönottoihin liittyvät riskit.

Näiden tutkimusten jälkeen OpenAI on ryhtynyt tiettyihin toimenpiteisiin:

• Vastustamisoikeuden toteuttaminen tietojenkäsittelyä vastaan;
• Tietosuojakäytännön laajentaminen ja näkyvyyden parantaminen, tiedot tehdyistä päivityksistä;
• Virheellisten tietojen poistamiseen tarkoitettujen mekanismien toteuttaminen;
• Lisätty lomakkeita, joiden avulla kuka tahansa eurooppalainen käyttäjä voi suodattaa keskustelujaan ja koulutusalgoritmien kouluttamiseen ja parantamiseen käytettyjen tietojen historiaa.
• Lisätty mahdollisuus viedä tietoja ja tarkistaa tallennetut tiedot.

Vaikka ChatGPT on jälleen käytettävissä Italiassa, monia kysymyksiä on edelleen.

Avoimen tekoälyn tarjoamat suojatoimet antavat sovelluksen käyttäjille mahdollisuuden korjata tai poistaa omia tietojaan, mutta niillä ei ole vaikutusta kaikkien niiden tietojen käsittelyyn, jotka eivät käytä sovellusta, mikä herättää vakavia mainehuolenaiheita.

 Äskettäin ChatGPT syytti oikeustieteen professoria seksuaalisesta häirinnästä, ja väitetty lähde oli artikkeli, jota ei koskaan kirjoitettu.

Myös rotuun tai etniseen alkuperään liittyvät ennakkoluulot ovat mahdollisia. ChatGPT on koulutettu internet-datan avulla, ja siksi se todennäköisesti heijastaa ja ylläpitää verkossa vallitsevia yhteiskunnallisia ennakkoluuloja.

Lääketieteellisessä päätöksenteossa käytetty ennustava algoritmi on siten tehnyt puolueellisia päätöksiä mustia potilaita vastaan.

Vaikka algoritmin suunnittelijat sulkivat rodun pois mittauskriteerinä järjestelmää suoritettaessa, algoritmi jatkoi mustia potilaita kohtaan esitettyjen ennakkoluulojen ylläpitämistä ottamalla huomioon tiettyjä taloudellisia tekijöitä ja terveydenhuollon kustannuksia.

Lopuksi kyberrikollisuuden riskit, kuten vakuuttavampien tietojenkalasteluviestien tuottaminen tai uusien hyökkäystekniikoiden oppiminen, lisääntyvät, kuten Ison-Britannian kansallisen kyberturvallisuuskeskuksen ja Yhdysvaltojen liittovaltion kauppakomission raportissa korostetaan.

Voisi ihmetellä, miksi ChapGPT:n suunnittelijat eivät integroineet tietosuojaa sovelluksen suunnitteluvaiheesta lähtien, vaan tapauskohtaisesti sääntelyviranomaisten reaktioiden perusteella.

Avoin tekoäly ei ole uusi tulokas: sitä on kehitetty vuodesta 2016 lähtien kokeneiden perustajien johdolla, ja se on ollut kuuden rahoituskierroksen kohteena.

Sen nykyinen arvo on 29 miljardia dollaria, ja sen tekoälypohjaiset työkalut on integroitu miljoonien ihmisten päivittäin käyttämiin ei-tekoälypohjaisiin tuotteisiin Microsoftin kanssa tehdyn kumppanuuden kautta.

"Sisäänrakennetun yksityisyyden suojan" periaatteet eivät ole ainoastaan toivottavia tällaisessa yhteydessä, vaan ne ovat myös olennainen osa GDPR:n vaatimuksia.

Niiden täytäntöönpanoa olisi vahvistettava entisestään hyväksymällä tuleva EU:n tekoälyasetus, jonka mukaan korkean riskin järjestelmien olisi noudatettava tiukempaa järjestelmää, joka sisältää riskienhallintaa, läpinäkyvyyttä ja tiedonhallintaa koskevat vaatimukset.

Parlamentin jäsenten käsittelemässä asetuksen uusimmassa versiossa edellytetään myös, että kaikki tekoälymallit noudattavat valvonnan, teknisen kestävyyden ja turvallisuuden, yksityisyyden suojan, tiedonhallinnan, läpinäkyvyyden, sosiaalisen ja ympäristöllisen hyvinvoinnin, monimuotoisuuden, syrjimättömyyden ja oikeudenmukaisuuden periaatteita.

 

Ja myös

URSSAF

Toukokuun 1. päivän viikonloppuna Urssaf teki tietokonevirheen mikä johti useiden tuhansien itsenäisten ammatinharjoittajien tietojen julkaisemiseen.

Jotkut jäsenet väittävät saaneensa asiakirjoja, jotka sisältävät "kahdeksantoista muun henkilön" maksuaikatauluja tai jopa merkittävimmissä tapauksissa "301 sivua Urssafin maksuaikatauluja, jotka eivät koske minua".

Nämä tiedostot sisältävät arkaluonteisia henkilötietoja, kuten pankkitietoja, tuloja, osoitteita tai koko henkilöllisyyttä. 

Näiden lähetysvirheiden kohteeksi joutuneiden ihmisten, yhteensä 10 640 sisäisen tutkinnan alustavien havaintojen mukaan, pitäisi pian saada tästä ilmoitusviesti.

Urssaf ilmoitti tietoturvaloukkauksesta CNIL:lle.

DRONI

Huhtikuun 19. päivästä lähtien Poliiseilla ja santarmeilla on lupa kuvata kokoontumisia taivaalta.

Näin oli Stade de Francella, Mayottella, Le Havressa ja vapunpäivän mielenosoitusten aikana Pariisissa.

Poliisiprefektuurin 28. huhtikuuta antama asetus sallii mielenosoittajien ylilennon pääkaupungissa ajoneuvokameroilla "henkilöiden ja omaisuuden turvallisuuteen kohdistuvien hyökkäysten" estämiseksi ja "yleisen järjestyksen ylläpitämiseksi tai palauttamiseksi".

Tämä on yksi ensimmäisistä sisäministeriön hiljattain antaman asetuksen nojalla annetuista valtuutuksista osana uutta rikosoikeudellista vastuuta ja sisäistä turvallisuutta koskevaa lakia.

CNIL on antanut kaksi lausuntoa (tammikuussa ja heinäkuussa 2021) näistä uusista säännöksistä ja vaatinut tässä yhteydessä droonien käytön tiukkaa sääntelyä ottaen huomioon julkisten vapauksien ja yksilöiden yksityisyyden loukkaamisen riskit.

KYBERTURVALLISUUS

Maaliskuun 3. päivänä 2022 säädetty laki, joka tulee voimaan 1. lokakuuta 2023, tuo käyttöön suurelle yleisölle tarkoitettujen digitaalisten alustojen kyberturvallisuussertifiointi.

Verkkoalustojen ylläpitäjien ja numeroihin perustumattomien henkilöiden välisten viestintäpalvelujen tarjoajien on tehtävä kyberturvallisuustarkastus, joka kattaa heidän ylläpitämiensä tietojen turvallisuuden ja sijainnin sekä heidän oman turvallisuutensa.

Kyberpistejärjestelmän käyttöönottoa koskevan asetusluonnoksen mukaan tarkastusmenettelyihin kuuluu SecNumCloud-viitekehyksen käyttö tietojen altistumiselle ekstraterritoriaaliselle lainsäädännölle, isäntäinfrastruktuurien eurooppalainen sijainti ja alihankkijoiden kansallisuus.

CNIL

CNIL julkaisi 3. huhtikuuta henkilötietojen turvallisuutta koskevan oppaansa uusi versio.

Uusi versio ottaa huomioon erityisesti CNIL:n uusimmat suositukset salasanoista ja lokitietojen kirjaamisesta.

 

Euroopan unionin toimielimet ja elimet

EUROOPAN PARLAMENTTI

• Tiedonsiirrot EU:n ja Yhdysvaltojen välillä Kansalaisvapauksien valiokunnan 13. huhtikuuta hyväksymässä päätöslauselmassa katsotaan, että EU:n ja Yhdysvaltojen ehdottama tietosuojakehys on "parannus", mutta edistys ei ole "riittävä" oikeuttamaan henkilötietojen siirtoa koskevan tietosuojan riittävyyspäätöksen tekemistä.

Komissio huomauttaa, että kehys sallii edelleen henkilötietojen massakeruun tietyissä tapauksissa ja tarjoaa valitusmekanismin, joka ei välttämättä ole riippumaton (Yhdysvaltain presidentti voi erottaa tuomarit ja kumota hänen päätöksensä).

EU-kansalaisia voitaisiin myös estää käyttämästä oikeuttaan tutustua tietoihinsa ja oikaista niitä, koska päätökset pidettäisiin salassa.

Parlamentin jäsenet kehottavat komissiota "varmistamaan, että tuleva kehys kestää oikeudelliset haasteet ja tarjoaa oikeusvarmuutta EU:n kansalaisille ja yrityksille".

• Euroopan parlamentin jäsenet ratkaisivat erimielisyytensä 27. huhtikuuta ja pääsivät alustavaan poliittiseen sopimukseen asiasta. Tekoälyä koskevat määräykset.

Tekstiin sisältyy tiukempia velvoitteita oikeustieteen maistereille ja biometrisen tunnistusohjelmiston osalta: aluksi reaaliajassa kiellettyä tunnistusohjelmistoa voidaan käyttää vain jälkikäteen vakavien rikosten yhteydessä ja ennakkoluvalla.

Tekstiin voidaan vielä tehdä pieniä teknisiä muutoksia ennen 11. toukokuuta pidettävää tärkeää valiokuntaäänestystä, ja siitä äänestetään todennäköisesti täysistunnossa kesäkuun puolivälissä.

• Euroopan parlamentin jäsenet hyväksyivät 20. huhtikuuta ensimmäisen EU:n lainsäädäntötekstin aiheesta jäljittää kryptovarojen siirtoja kuten bitcoineja ja sähköisiä valuuttamerkkejä.

Teksti – jonka parlamentin ja neuvoston neuvottelijat hyväksyivät alustavasti kesäkuussa 2022 – pyrkii varmistamaan, että kryptovaluuttojen siirrot, kuten kaikki muutkin rahoitustapahtumat, voidaan aina jäljittää ja epäilyttävät tapahtumat estää.

Euroopan parlamentti ja EU:n jäsenvaltiot neuvottelevat parhaillaan ns. Kyberturvallisuuslaki (CRA), uusi asetus, jonka tarkoituksena on vahvistaa verkkoon kytkettyjen laitteiden digitaalista turvallisuutta EU:ssa.

ARC ehdottaa auditointi- ja sertifiointivaatimuksia verkkoon kytkettyjen laitteiden ohjelmisto- ja laitteistovalmistajille ja säätää vähimmäisajan, jonka aikana niiden on toimitettava ohjelmistojen tietoturvakorjauksia tuotteilleen.

 

Euroopan tietosuojaneuvosto

• Euroopan tietosuojaneuvosto (EDPB) julkaisi 27. huhtikuuta Opas pk-yrityksille, jossa yksityiskohtaisesti kuvataan työntekijöiden, asiakkaiden ja liikekumppaneiden tietojen käsittelyyn sovellettavat periaatteet.

Oppaassa selitetään myös keskeiset noudatettavat turvallisuussäännöt ja henkilötietojen tietoturvaloukkauksen hallinta.

• Euroopan tietosuojaneuvosto julkaisi 19. huhtikuuta raportti työryhmän työn tuloksista koskien 101 valitusta, jotka kansalaisjärjestö NOYB teki Euroopan unionin tuomioistuimen Schrems II -päätöksen johdosta.

Nämä valitukset koskevat työkaluja "Google Analytics" ja "Facebook Business Tools" sekä henkilötietojen siirtoa Yhdysvaltoihin.

Raportissa esitetään työryhmän yhteiset kannat ja annetaan tietoa ensimmäisten kyseisten tapausten tuloksista.

Useat tietosuojaviranomaiset ovat määränneet verkkosivustojen ylläpitäjiä lopettamaan kyseiset tiedonsiirrot. 

• Euroopan tietosuojaneuvosto julkaisi lopullisen version 4. huhtikuuta ohje 9/2022 henkilötietojen tietoturvaloukkausten ilmoittamisesta.

 

CVRIA

• Euroopan unionin tuomioistuin totesi 4. toukokuuta antamassaan tuomiossa, että asianomaisen henkilön oikeus saada tietoja sisältää oikeuden saada kokonaisia asiakirjoja tai otteita asiakirjoista tai otteita tietokannoista, jos se on välttämätöntä, jotta asianomainen henkilö voi tehokkaasti käyttää oikeuttaan.

Tässä nimenomaisessa tapauksessa kaupallisiin tietoihin erikoistunut yritys CRIF oli toimittanut kantelijalle tiivistetyn version tiedoistaan.

• Euroopan unionin tuomioistuin on myös antanut ensimmäistä kertaa päätöksen aineettomien vahinkojen korvaamisesta GDPR:n nojalla.

Vaikka tuomioistuin vahvisti 4. toukokuuta antamassaan tuomiossa, että GDPR ei vaadi "kynnystä" vahingonkorvausvaatimusten esittämiselle, se kuitenkin muistuttaa, että on oltava rikkomus, vahingot ja syy-yhteys, eikä vaatimusta ole ilman todellista vahinkoa.

Tapaus sai alkunsa, kun Itävallan postilaitos tuotti tilastoja miljoonien ihmisten todennäköisistä poliittisista näkemyksistä.

Valittajalle oli osoitettu todennäköinen omistusosuus äärioikeistolaisessa puolueessa, mutta ei ollut varmaa, että tätä tietoa oli luovutettu kolmannelle osapuolelle, koska hän oli postimainonnan kielletyllä listalla.

• Samankaltaisessa yhteydessä EU-tuomioistuimen julkisasiamies antoi 27. huhtikuuta lausuntonsa seuraavasta kysymyksestä: voiko Bulgarian kansallisen veroviraston hallussa olevien henkilötietojen laiton levittäminen tietomurron jälkeen johtaa aineettomasta vahingosta maksettavaan korvaukseen asianomaiselle henkilölle pelkästään siksi, että hän pelkää tietojensa mahdollista väärinkäyttöä?

Yleiskokouksen mukaan GDPR:n 82 artiklassa määriteltyä henkistä vahinkoa ei pidä sekoittaa pelkkiin haittoihin.

Vahingonkorvaukset on voitava näyttää toteen objektiivisesti, eivätkä ne saa riippua yksinomaan kantajan subjektiivisesta näkemyksestä.

 

Kansalliset uutiset

• ITALIA: Italian tietosuojaviranomainen (APD) määräsi 2. maaliskuuta rekisterinpitäjälle 5 000 euron sakon pyytämättä lähetetystä kaupallisesta viestinnästä sähköpostiosoitteisiin, jotka oli luotu ohjelmiston avulla yhdistämällä automaattisesti internetistä kerättyjä tietoja.
• ITÄVALTA: Itävallan tietosuojaviranomainen (APD) totesi noybin tekemän valituksen jälkeen 29. maaliskuuta, että sanomalehden verkkosivustolla oleva "hyväksy tai maksa" -evästebanneri ei ollut GDPR:n mukainen suostumuksen tarkkuusvaatimusten vuoksi.
• ALANKOMAAT: Alankomaiden muutoksenhakutuomioistuin määräsi 4. huhtikuuta Uberin antamaan kuljettajille pääsyn henkilötietoihinsa ja selitykset automatisoidusta päätöksenteosta. Oikeus määräsi myös rekisterinpitäjälle 4 000 euron päiväsakon.
• ESPANJA: Katalonian tietosuojaviranomainen on pitänyt kasvojentunnistusjärjestelmien käyttöä yliopistojen verkkotutkintoihin liittyvien petosten estämiseksi kohtuuttomana. Se on määrännyt rekisterinpitäjälle 20 000 euron sakon yleisen tietosuoja-asetuksen 5(1)(a) ja 9 artiklan rikkomisesta.
• YHDISTYNYT KUNINGASKUNTA: Lähes 50 brittikansanedustajaa on kirjoittanut House of Fraserin ja Sports Directin myymälöitä omistavalle yritykselle tuomitakseen kasvojentunnistuskameroiden käytön konsernin myymälöissä.

Parlamentin jäsenet kuvailivat teknologiaa "invasiiviseksi ja syrjiväksi" ja kehottivat ryhmää lopettamaan näiden kameroiden käytön valtakunnallisesti.

• Ison-Britannian tietosuojaviranomainen (DPA) aloitti 4. huhtikuuta tutkinnan TikTokia vastaan ja määräsi sille 12 700 000 punnan sakon lasten tietojen väärinkäytöstä.
• Salatun viestisovelluksen Signal toimitusjohtaja on ilmaissut huolensa Britannian hallituksen verkkoturvallisuutta koskevasta ehdotuksesta, joka voisi heikentää salausta ja pakottaa yritykset tarkistamaan salattuja viestejä laittoman sisällön varalta.

Meredith Whittakerin mukaan Signal saattaisi poistua Isosta-Britanniasta, jos näin tapahtuisi. Samanlaisia huolenaiheita ovat esittäneet myös muut viestiyritykset, kuten WhatsApp ja Element.

 

• VIETNAM: Vietnamin hallitus julkaisi 17. huhtikuuta 2023 henkilötietojen suojasta annetun asetuksen nro 13/2023/ND (”PDPD”), joka on maan ensimmäinen kattava henkilötietojen suojaa koskeva asiakirja.
• TANSANIA: Uusi henkilötietojen suojaa koskeva laki tuli voimaan 1. toukokuuta.
• CBPR:n päätöslauselma: Yhdistynyt kuningaskunta haki 17. huhtikuuta liittymistä Cross-Border Security Rules (CBPR) -sopimusta noudattavien maiden ryhmään, johon tällä hetkellä kuuluvat Australia, Kanada, Japani, Korean tasavalta, Meksiko, Filippiinit, Singapore, Kiinan Taipei ja Yhdysvallat. Yhdysvaltain kauppaministeriön perustama CBPR sallii minkä tahansa lainkäyttöalueen hakea assosioituneen maan asemaa ja hyötyä vapaasta tiedonvaihdosta osallistujamaiden kanssa, edellyttäen että sillä on henkilötietoja suojaavia lakeja ja että sillä on "vähintään yksi julkinen viranomainen, joka vastaa lakien ja/tai asetusten täytäntöönpanosta".
• IAPP:Kansainvälisen yksityisyyden suojan ammattilaisten yhdistyksen (IAPP) infografiikka listaa lainkäyttöalueet, jotka antavat tietosuojaviranomaiselle tai viranomaiselle valtuudet nimetä muita lainkäyttöalueita "riittävien" yksityisyyden suojan standardien mukaisiksi.

Sitä täydennetään toisella infografiikalla, jossa esitetään yksityiskohtaisesti lainkäyttöalueiden mukaisia siirtoja sääntelevät mekanismit ja ohjeet (sopimuslausekkeet, suostumus jne.).