L’IA dans tous ses états.

Tekoäly kaikissa muodoissaan

Oikeudellinen valvonta nro 52 – Lokakuu 2022

CNIL 17. lokakuuta 2022 vahvisti Clearview AI -yhtiölle 20 miljoonan euron seuraamuksen toimivaltansa tekoälyn alan sääntelyviranomaisena.

Tämä seuraamus määrättiin virallisen ilmoituksen jälkeen, johon ei vastattu, ja yhtiön yhteistyöhaluttomuuden vuoksi tarkastusmenettelyn aikana.

Euroopan tasolla käydyn kuulemismenettelyn jälkeen tehty päätös liittyy useiden sen vastapuolten samalle yritykselle määräämiin pakotteisiin.

  • CNIL huomauttaa, ettei ole olemassa oikeusperustaa systemaattiselle ja laajalle kahdenkymmenen miljardin kasvokuvan keräämiselle, jotka ovat julkisesti saatavilla miljoonilla verkkosivustoilla ja joita yritys markkinoi erityisesti lainvalvontaviranomaisille.
  • CNIL katsoo, että ottaen huomioon tietojen erityisen tunkeilevan luonteen ja biometrisen luonteen, niiden keräämisen olisi pitänyt edellyttää asianomaisten henkilöiden etukäteistä suostumusta.
  • Se toteaa myös, että yritys ei kunnioita rekisteröityjen oikeutta saada tietoja ja poistaa niitä.

Tämä päätös tulee tekoälyn yhä tarkemman valvonnan kontekstissa kansallisella ja kansainvälisellä tasolla.

Valtioneuvosto hyväksyi siksi kesän lopussa kaksi asiakirjaa, joissa se ottaa kantaa tulevan tekoälyä koskevan eurooppalaisen sääntelyn hallinnointiin:

Valtioneuvosto käsittelee 30. elokuuta 2022 antamassaan asiakirjassa julkisen palvelun laatua ja luo perustan Ranskan tekoälystrategialle.

Se kannustaa muun muassa CNIL:n valtuuksien vahvistamiseen ja sen viralliseen vastuuseen tekoälyjärjestelmien sääntelystä.

Siksi hän suosittelee CNIL:n muuttamista niin, että siitä tulisi "kansallinen valvontaviranomainen, joka vastaa tekoälyjärjestelmien, erityisesti julkisten järjestelmien, sääntelystä, jotta se ilmentäisi ja sisäistäisi perusoikeuksien ja -vapauksien suojelun sekä innovoinnin ja julkisen suorituskyvyn kaksoishaasteen".

Valtioneuvosto 27. syyskuuta julkaisi myös tutkimuksen sosiaalisten verkostojen valvonnasta tekoälyn kehityksen yhteydessä, jossa se esittää 17 suositusta voimien tasapainottamiseksi käyttäjien eduksi, viranomaisten varustamiseksi sääntelytehtävässään ja tulevaisuuden sosiaalisten verkostojen pohtimiseksi.

Hänen puolestaan Parlamentti tutkii videovalvonnan ja kasvojentunnistuksen kysymystä: kansalliskokouksen lakivaliokunta käynnisti 13. syyskuuta tiedonkeruutyön, jonka tehtäväksi uskottiin kansanedustaja ja CNIL-kollegion jäsen Philippe Latombe.

Parlamentin jäsenten on ymmärrettävä "julkisessa käytössä olevien turvallisuuskuvien käytön haasteet turvattomuuden torjumiseksi" ja he tarkastelevat erityisesti kasvojentunnistusta.

Tämä edellyttää äskettäin hyväksyttyjen laitteiden, kuten vartalokameroiden ja droonien, kartoittamista ja mahdollisten kehityssuuntien, kuten tehostettujen kameroiden, harkitsemista lainsäädäntöehdotuksen laatimiseksi.

Mainittakoon myös neuvottelujen aloittaminen yleissopimusta varten Euroopan neuvosto tekoälystä, ihmisoikeuksista, demokratiasta ja oikeusvaltioperiaatteesta.

Se olisi ensimmäinen oikeudellisesti sitova kansainvälinen tekoälyä koskeva asiakirja.

Tämä yleissopimus täydentäisi Euroopan komission ehdottamaa tekoälyasetusta vahvistamalla yksilöiden perusoikeuksien suojaa.

THE Euroopan tietosuojavaltuutettu suhtautui myönteisesti tähän aloitteeseen muistuttaen samalla tekoälyjärjestelmistä, jotka hänen mukaansa aiheuttavat kohtuuttomia riskejä ja jotka olisi kiellettävä, nimittäin:

  • Sosiaalinen pisteytys,
  • Biometrinen tunnistautuminen julkisilla paikoilla,
  • Yksilöiden luokittelu biometristen tietojen perusteella
  • Yksilöiden luokittelu heidän havaitsemiensa tunteiden perusteella.

On muistettava, että Euroopan komission ehdottama tekoälyasetus tukee tätä lähestymistapaa kieltämällä tunkeilevimmat tekoälytekniikat, kuten sellaiset, jotka manipuloivat yksilöitä tai mahdollistavat sosiaalisen pisteytyksen.

Vielä riittämätön vapauksien puolustajille ja liiallinen sen vastustajille.

On huomattava, että Yhdysvallat lähetti lokakuun lopussa epävirallisen asiakirjan useille pääkaupungeille ja Euroopan komissiolle pyrkimyksenään saada ne rajoittamaan tulevien säännösten soveltamisalaa ja laajentamaan poikkeuksiaan, jotta tekoälyn mahdollisissa käyttötarkoituksissa säilyisi enemmän joustavuutta.

Yhdysvallat valmistelevat myös itse tekoälyä koskevia määräyksiä: presidentti Joe Biden esitteli 4. lokakuuta "tekoälyn oikeuksien julistuksen", jossa kuvataan viisi takuuta, joista amerikkalaisten tulisi hyötyä:

  • Turvalliset ja tehokkaat järjestelmät,
  • Suoja algoritmista syrjintää vastaan,
  • Tietojen luottamuksellisuus,
  • Ilmoitukset ja selitykset tekoälyn toiminnasta,
  • Ihmisen vaihtoehtoja automatisoiduille päätöksille.

Lopuksi on huomattava, että yli 120 maan tietosuojaviranomaiset ovat sopineet kasvojentunnistuksen käyttöä koskevasta kehyksestä 44. maailman yksityisyyden suojaa käsittelevä kokous joka pidettiin Istanbulissa lokakuun lopussa.

Päätöslauselmassa edellytetään, että teknologiaa käyttävä taho

  • Todistaa sen ”kohtuullinen, välttämätön ja oikeasuhtainen luonne”,
  • Arvioi yksilöiden oikeuksien kunnioittamista
  • Varmistaa teknologian saumattoman käytön.

Myös selkeät ja tehokkaat vastuumekanismit on otettava käyttöön.

Ja myös

Ranska:

Kyberrikollisuus: Digitaaliasioiden ministeri ja terveysministeri ilmoittivat 20 miljoonan euron budjetista ANSSI:lle kiristysohjelmien uhreiksi joutuneiden terveydenhuollon laitosten tuen vahvistamiseksi.

CNIL julkaisee verkkosivuillaan koulutusmateriaaleja suojellakseen paremmin 8–10-vuotiaita lapsia internetissä.

Nämä resurssit on tarkoitettu vanhemmille, lapsille, opettajille ja kasvattajille.

CNIL päivitti myös salasanatunnistusta koskevaa suositustaan 17. lokakuuta.

Verkkoturvallisuuteen kohdistuvien uhkien lisääntyessä CNIL kehittää erityisesti vahvojen tai monivaiheisten todennusratkaisujen ja sähköisten varmenteiden hyödyllisyyttä.

Eurooppa:

Euroopan tietosuojaneuvosto (EDPB) on hyväksynyt päivitetyt ohjeet tietoturvaloukkausten ilmoittamisesta, avoinna julkiselle kuulemiselle 29.11.2022 asti.

Päivitetty osio koskee Euroopan unionin ulkopuolelle sijoittautuneen esimiehen tekemän tietoturvaloukkauksen ilmoittamista.

Se, että tämä päällikkö on nimittänyt edustajan johonkin EU-maahan, ei Euroopan tietosuojaneuvoston mukaan vapauta häntä laajoista velvoitteista: tekstissä täsmennetään nyt, että "pelkkä edustajan läsnäolo jäsenvaltiossa ei käynnistä keskitettyä palvelupistettä".

Tästä syystä tietoturvaloukkauksesta on ilmoitettava jokaiselle viranomaiselle, jonka alueella rekisteröidyt asuvat omassa jäsenvaltiossaan.

Euroopan unionin tuomioistuin totesi 20. lokakuuta antamassaan tuomiossa, että jatkokäsittely joka koostuu olemassa olevasta tietokannasta luodusta tietokannasta testien suorittamista ja virheiden korjaamista varten, on sallittu, jos

  1. alkuperäisen keräämisen ja myöhemmän käsittelyn tarkoitusten välillä on ”konkreettinen, looginen ja riittävän läheinen yhteys”; ja
  2. jatkokäsittely ei poikkea tilaajien oikeutetuista odotuksista.

Kyseisessä tapauksessa tuomioistuin katsoi, että tällainen läheinen yhteys on olemassa. Se muistuttaa, että tiedot on poistettava, kun käsittelyn (toissijainen) tarkoitus on täytetty.

Belgialaista Proximus-yhtiötä koskevassa 27. lokakuuta annetussa tuomiossatuomioistuin antaa lausunnon hakemistopalvelujen tarjoajien velvollisuuksista, kun tilaaja peruuttaa suostumuksensa tietojensa käsittelyyn.

Tuomioistuin katsoo, että tietosuojaviranomainen voi vaatia julkisesti saatavilla olevien puhelinluetteloiden tarjoajaa rekisterinpitäjänä ryhtymään asianmukaisiin toimenpiteisiin ilmoittaakseen muille rekisterinpitäjille (mukaan lukien sen televiestintäpalvelun tarjoajalle, josta tiedot välitettiin) tilaajan suostumuksen peruuttamisesta.

Euroopan digitaalisten markkinoiden asetus (DMA) julkaistiin 12. lokakuuta 2022.

Tämä teksti, jonka tavoitteena on "lopettaa verkkopohjaisen talouden portinvartijoina toimivien yritysten epäreilut käytännöt", tulee voimaan 2. toukokuuta 2023.

Se määrittelee suuret verkkoalustat "portinvartijoiksi" ja vahvistaa luettelon kielloista ja velvoitteista, joiden tarkoituksena on "varmistaa oikeudenmukaiset ja avoimet digitaaliset markkinat".

Ehdotus lasten seksuaalista hyväksikäyttöä koskevaksi EU-asetukseksi (CSAR) on kansalaisyhteiskunnan paljon kritiikin kohteena ja "lopeta skannaus" -kampanjan käynnistäminen.

Asianomaisten kansalaisjärjestöjen mukaan ehdotus uhkaa kiitettävistä tavoitteistaan huolimatta "vaarantaa perustavanlaatuisesti turvallisen verkkoviestinnän ja tehdä internetistä vähemmän turvallisen kaikille".

Lainvalvontaviranomaiset aikovat käyttää automaattista yksityisten viestien verkkoskannausta lasten seksuaaliseen hyväksikäyttöön liittyvän sisällön kohdistamiseen.

Irlannin kansalaisvapausneuvoston (ICCL) tekemä tutkimus kuitenkin paljastaa, että Irlannin poliisi säilyttää henkilötietoja – sähköpostiosoitteen, käyttäjätunnuksen ja IP-osoitteen – jopa vääriä hälytyksiä varten.

Valtava määrä vääriä positiivisia – alle 10 käyttökelpoisen %-raportin uskotaan olevan – voi myös estää poliisia puuttumasta ongelman ytimeen.

Italian tietosuojaviranomainen aloittaa tutkinnan sovelluksesta, joka tuottaa keinotekoisia ääniä ("deep fake").

Viranomainen on aloittanut tutkinnan Fakeyou-sovelluksesta, jonka väitetään muuntavan tekstitiedostoja kuuluisien ihmisten, erityisesti italialaisten, ääniksi.

Lisäksi Italian kuluttajansuojaviranomainen totesi, että tyyliteltyä kameraa kuvaava kyltti ei riitä antamaan tietoa valvontakameroiden käytöstä, ja määräsi rekisterinpitäjälle 2 000 euron sakon.

Irlannin viranomainen Tietosuojaviranomainen on julkaissut verkkosivuillaan koosteen yli 30 käsittelemästään tapaustutkimuksesta, joita ei ole sisällytetty sen vuosikertomuksiin. Julkaisu tarjoaa paremman käsityksen viranomaisen lähestymistavasta aiheisiin, kuten työntekijöiden seurantaan, videovalvontaan, oikeutetun edun käsitteeseen ja käsittelytarkoitusten yhteensopivuuteen.

Alankomaiden hovioikeus Arnhem-Leeuwardenissa vahvisti kieltomääräyksen, jonka mukaan tekijänoikeusviranomainen ei voi velvoittaa internet-palveluntarjoajaa lähettämään varoituskirjeitä epäillyille tekijänoikeusloukkaajille: internet-palveluntarjoajalla ei ole laillista perustaa käsitellä rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja.

Yhdistyneen kuningaskunnan tietosuojaviranomainen (ICO) viestii biometristen teknologioiden, kuten tunneanalyysitekniikoiden, käytöstä, joiden se sanoo olevan kehittymättömiä ja aiheuttavan syrjinnän riskin.

Tunnistettuihin riskeihin kuuluvat työntekijöiden fyysisen terveyden seuranta kannettavien seulontalaitteiden avulla sekä visuaalinen ja käyttäytymisen havainnointi, mukaan lukien kehon asento, puhe, silmänliikkeet ja pään liikkeet, opiskelijoiden rekisteröimiseksi kokeisiin.

ICO julkaisee myös luonnokset työntekijöiden seurantaa koskevista ohjeista.

Komissio kiinnittää erityisesti huomiota kasvavaan etätyöskentelyn trendiin ja tuottavuuden seurannan ongelmaan, sillä työntekijöiden odotukset yksityisyyden suojasta ovat todennäköisesti korkeammat kotona kuin työssä.

ICO huomauttaa myös, että "näppäilyjen seuranta luokitellaan käyttäytymiseen liittyväksi biometriseksi tiedoksi, kun työntekijä on tunnistettavissa hänen ainutlaatuisen näppäilykuvionsa ja -rytminsä perusteella." Luonnos on avoinna kuulemiselle 11. tammikuuta 2023 asti.

Kansainvälinen:

Tiedonsiirrot YhdysvaltoihinMerkittävä virstanpylväs saavutettiin 7. lokakuuta, kun presidentti Biden allekirjoitti Yhdysvaltojen signaalitiedustelutoiminnan suojatoimien tehostamisesta annetun toimeenpanomääräyksen.

Tämän asetuksen tarkoituksena on mahdollistaa uuden tietosuojakehyksen täytäntöönpano Euroopan unionin ja Yhdysvaltojen välillä EU-tuomioistuimen Schrems II -tapauksessa antaman päätöksen jälkeen, joka teki Privacy Shield -järjestelystä vanhentuneen.

Sopimus voitaisiin viimeistellä vuoden 2023 alussa Euroopan tietosuojaneuvoston (EDPB) lausunnon ja Euroopan komission hyväksyttyä tietosuojan riittävyyspäätöksen.

Sopimukseen liittyvä epävarmuus koskee Yhdysvaltain viranomaisten valvontavaltuuksien laajuutta ja Euroopan kansalaisten käytettävissä olevia oikeussuojakeinoja Yhdysvaltojen heitä vastaan kohdistamia toimenpiteitä vastaan.

Lisättäköön vielä, että koska sillä ei ole lainvoimaa, tämä asetus voidaan kumota, mikä lisää oikeudellista epävarmuutta.

Tutustu Viqtoriin®
fiFI
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET lvLV lt_LTLT sk_SKSK sl_SISL fiFI