Pravni nadzor br. 58 – travanj 2023.

ChatGPT: Koji je pravni okvir za nove primjene umjetne inteligencije?

ChatGPT, Google Bard, Stable Diffusion i Dall-E su Veliki jezični modeli (LLM) podkategorija postojećih jezičnih modela.

Jezični modeli su računalni programi osmišljeni za obradu i generiranje teksta na način sličan ljudskom biću.

To uključuje, na primjer, prepoznavanje govora, strojno prevođenje, pretvaranje teksta u govor i generiranje sadržaja. LLM-ovi su veći i složeniji od tradicionalnih modela.

Obučavaju se na vrlo velikim tekstualnim korpusima, koji se ponekad sastoje od milijuna stranica teksta, i koriste arhitekture dubokih neuronskih mreža za učenje obrade jezika.

LLM stoga može pružiti beskonačnu raznolikost sadržaja na zahtjev, bilo da se radi o pjesmi, filmskom scenariju, računalno programskom kodu ili glazbenoj kompoziciji.

Međutim, informacije nisu ažurne: ChatGPT je obučen korištenjem informacija dostupnih na internetu do 2021. godine.

Stoga je besmisleno tražiti od njega ažuriranje o prijenosu podataka u Sjedinjene Države ili komentar na najnoviju sankciju CNIL-a.

Studiji prava postavljaju mnoga pravna i etička pitanja, posebno u vezi s autorskim pravima, zaštitom podataka, dezinformacijama i diskriminacijom.

Posljednjih tjedana mnogi regulatori su počeli reagirati, talijansko tijelo za zaštitu podataka na čelu.

Dana 31. ožujka, potonji je izdao nalog protiv OpenAI-a, blokirajući ChatGPT u Italiji jer 

• zbog nedostatka transparentnosti u prijavi,
• zbog nepostojanja legitimnog razloga za obradu,
• zbog neosiguranja točnosti obrađenih podataka,
• nedostatak provjere dobi i
• općeg kršenja načela „privatnosti već u dizajnu“.

Uskoro je slijedila Njemačka, koja je počela ispitivati usklađenost ChatGPT-a s GDPR-om: pokrajina Schleswig-Holstein poslala je OpenAI-ju upitnik na koji bi trebao odgovoriti prije 11. lipnja.

Europski odbor za zaštitu podataka slijedio je primjer svojih nacionalnih članova i osnovao radnu skupinu na tu temu, a Europska organizacija potrošača (BEUC) pisala je mreži tijela za zaštitu potrošača i mreži tijela za sigurnost potrošača (mrežama CPC i CSN) tražeći od njih da istraže LLM-ove.

S druge strane Atlantika, Savezna trgovinska komisija (FTC) također navodi da postojeći američki sektorski zakoni pokrivaju generativnu umjetnu inteligenciju, istovremeno upozoravajući tvrtke da ozbiljno razmotre interese potrošača i rizike povezane s tekućim implementacijama.

Nakon ovih istraga, OpenAI je poduzeo određene mjere:

• Ostvarivanje prava na prigovor na obradu podataka;
• Proširenje i poboljšana vidljivost politike privatnosti, informacije o izvršenim ažuriranjima;
• Implementacija mehanizama za brisanje netočnih informacija;
• Dodani obrasci koji omogućuju bilo kojem europskom korisniku filtriranje chatova i povijesti podataka korištenih za obuku i poboljšanje algoritama za obuku
• Dodana je mogućnost izvoza podataka i provjere pohranjenih informacija.

Iako je ChatGPT ponovno dostupan u Italiji, mnoga pitanja ostaju.

Zaštitne mjere koje pruža Open AI omogućuju ljudima koji koriste aplikaciju da isprave ili izbrišu vlastite podatke, ali nemaju utjecaja na obradu podataka svih onih koji ne koriste aplikaciju, što izaziva ozbiljne zabrinutosti u vezi s ugledom.

 Nedavno je ChatGPT optužio profesora prava za seksualno uznemiravanje, a navodni izvor je članak koji nikada nije napisan.

Moguće su i rasne ili etničke pristranosti. ChatGPT je obučen na internetskim podacima i stoga će vjerojatno odražavati i održavati društvene predrasude koje postoje na webu.

Prediktivni algoritam koji se koristi za donošenje medicinskih odluka tako je donio pristrane odluke protiv crnih pacijenata.

Iako su dizajneri algoritma isključili rasu kao kriterij mjerenja prilikom pokretanja sustava, algoritam je nastavio održavati predrasude prema crnim pacijentima uzimajući u obzir određene ekonomske čimbenike i troškove zdravstvene zaštite.

Konačno, rizici kibernetičkog kriminala, poput izrade uvjerljivijih phishing e-poruka ili učenja novih tehnika napada, povećavaju se, kako je istaknuto u izvješću britanskog Nacionalnog centra za kibernetičku sigurnost i američkog FTC-a.

Moglo bi se pitati zašto dizajneri ChapGPT-a nisu integrirali zaštitu podataka od faze dizajna njegove primjene, već od slučaja do slučaja na temelju reakcija regulatora.

Otvorena umjetna inteligencija nije nova: razvija se od 2016. godine, a vode ga iskusni suosnivači, te je bila predmet šest krugova financiranja.

Njegova trenutna vrijednost iznosi 29 milijardi dolara, a alati temeljeni na umjetnoj inteligenciji integrirani su u proizvode koji nisu temeljeni na umjetnoj inteligenciji, a koje milijuni ljudi svakodnevno koriste putem partnerstva s Microsoftom.

Načela „privatnosti već u dizajnu“ nisu samo poželjna u takvom kontekstu, već su i sastavni dio zahtjeva GDPR-a.

Njihova provedba trebala bi se dodatno ojačati donošenjem buduće europske uredbe o umjetnoj inteligenciji, prema kojoj bi sustavi koji predstavljaju visoke rizike trebali biti u skladu sa strožim režimom, uključujući zahtjeve za upravljanje rizicima, transparentnost i upravljanje podacima.

Najnovija verzija Uredbe o kojoj su raspravljali zastupnici u Europskom parlamentu također zahtijeva da svi modeli umjetne inteligencije budu u skladu s načelima nadzora, tehničke robusnosti i sigurnosti, zaštite privatnosti, upravljanja podacima, transparentnosti, društvene i ekološke dobrobiti, raznolikosti, nediskriminacije i pravednosti.

 

I također

URSSAF

Tijekom vikenda 1. svibnja, Urssaf je napravio računalnu grešku što je dovelo do objavljivanja podataka nekoliko tisuća samozaposlenih radnika.

Neki članovi tvrde da su primili dokumente koji sadrže rasporede plaćanja "osamnaest drugih ljudi" ili čak, u najznačajnijim slučajevima, "301 stranicu rasporeda plaćanja Urssafa koji ih se ne tiču".

Ove datoteke sadrže osjetljive osobne podatke poput bankovnih podataka, prihoda, adresa ili punog identiteta. 

Ljudi pogođeni ovim greškama u emitiranju, ukupno 10.640 prema početnim nalazima interne istrage, uskoro bi trebali dobiti poruku koja ih o tome upozorava.

Urssaf je prijavio sigurnosni propust CNIL-u.

DRON

Od 19. travnja, Policajci i žandari ovlašteni su snimati okupljanja iz zraka.

To je bio slučaj na Stade de Franceu, na Mayotteu, u Le Havreu i tijekom demonstracija za Prvi maj u Parizu.

Dekret Policijske prefekture od 28. travnja dopušta prelet demonstranata u glavnom gradu pomoću kamera u vozilu kako bi se spriječili "napadi na sigurnost osoba i imovine" te "održavao ili uspostavljao javni red".

Ovo je jedno od prvih odobrenja izdanih prema nedavnoj uredbi Ministarstva unutarnjih poslova kao dijelu novog zakona koji se odnosi na kaznenu odgovornost i unutarnju sigurnost.

CNIL je izdao dva mišljenja (u siječnju i srpnju 2021.) o tim novim zakonskim odredbama i tom je prilikom pozvao na strogu regulaciju korištenja dronova s obzirom na rizike kršenja javnih sloboda i privatnosti pojedinaca.

KIBERNETIČKA SIGURNOST

Zakon od 3. ožujka 2022., koji će stupiti na snagu 1. listopada 2023., uvodi certifikacija kibernetičke sigurnosti za digitalne platforme namijenjene široj javnosti.

Operateri online platformi i pružatelji usluga međuljudske komunikacije koje nisu temeljene na brojevima morat će provesti reviziju kibernetičke sigurnosti koja obuhvaća sigurnost i lokaciju podataka koje pohranjuju, kao i vlastitu sigurnost.

Prema nacrtu uredbe kojom se provodi cyberscore, postupci revizije uključivat će korištenje referentnog okvira SecNumCloud za izloženost podataka ekstrateritorijalnom zakonodavstvu, europsku lokaciju infrastrukture za hosting i nacionalnost podizvođača.

CNIL

CNIL je objavio 3. travnja nova verzija vodiča o sigurnosti osobnih podataka.

Nova verzija posebno uzima u obzir najnovije preporuke CNIL-a u vezi s lozinkama i prijavljivanjem.

 

Europske institucije i tijela

EUROPSKI PARLAMENT

• Prijenos podataka između EU-a i Sjedinjenih Američkih Država U Rezoluciji koju su 13. travnja usvojili članovi Odbora za građanske slobode smatra se da je okvir zaštite podataka koji su predložili EU i Sjedinjene Države „poboljšanje“, ali da napredak nije „dovoljan“ da bi se opravdala odluka o adekvatnosti prijenosa osobnih podataka.

Komisija napominje da okvir i dalje dopušta masovno prikupljanje osobnih podataka u određenim slučajevima i predviđa mehanizam žalbe koji možda nije neovisan (sudce bi mogao smijeniti američki predsjednik, koji bi također mogao poništiti njegove odluke).

Građanima EU-a također bi se moglo spriječiti korištenje njihovih prava na pristup i ispravak svojih podataka jer bi se odluke držale u tajnosti.

Zastupnici Europskog parlamenta pozivaju Komisiju "da osigura da budući okvir može izdržati pravne izazove i pruži pravnu sigurnost građanima i poduzećima EU-a".

• Članovi Europskog parlamenta prevladali su međusobne razlike 27. travnja i postigli privremeni politički dogovor o Propisi o umjetnoj inteligenciji.

Tekst će uključivati strože obveze u vezi s LLM-ovima i softverom za biometrijsku identifikaciju: u početku zabranjen u stvarnom vremenu, ovaj softver za prepoznavanje moći će se koristiti tek naknadno za teška kaznena djela i uz prethodno odobrenje.

Tekst bi još uvijek mogao biti podložan manjim tehničkim prilagodbama prije ključnog glasovanja u odboru zakazanog za 11. svibnja, a očekuje se da će se o njemu glasati na plenarnoj sjednici sredinom lipnja.

• Zastupnici Europskog parlamenta odobrili su 20. travnja prvi zakonodavni tekst EU za praćenje transfera kripto imovine kao što su bitcoini i tokeni elektroničke valute.

Tekst – koji su pregovarači Parlamenta i Vijeća privremeno odobrili u lipnju 2022. – ima za cilj osigurati da se transferi kriptovaluta, kao i kod bilo koje druge financijske transakcije, uvijek mogu pratiti i da se sumnjive transakcije blokiraju.

Europski parlament i države članice EU trenutno pregovaraju o Zakon o kibernetičkoj otpornosti (CRA), nova uredba usmjerena na jačanje digitalne sigurnosti povezanih uređaja u EU.

ARC predlaže zahtjeve za reviziju i certificiranje za proizvođače softvera i hardvera povezanih uređaja te predviđa minimalno razdoblje tijekom kojeg moraju osigurati sigurnosne zakrpe za softver za svoje proizvode.

 

EDPB

• Europski odbor za zaštitu podataka (EDPB) objavio je 27. travnja Vodič za mala i srednja poduzeća u kojem se detaljno opisuju načela koja se primjenjuju pri obradi podataka zaposlenika, kupaca i poslovnih partnera.

Vodič također objašnjava osnovna sigurnosna pravila kojih se treba pridržavati i kako postupati u slučaju povrede osobnih podataka.

• EDPB je 19. travnja objavio izvješće o rezultatima rada radne skupine u vezi sa 101 pritužbom koju je podnijela nevladina organizacija NOYB nakon presude Suda EU u predmetu Schrems II.

Ove pritužbe odnose se na alate "Google Analytics" i "Facebook Business Tools" te na prijenos osobnih podataka u Sjedinjene Američke Države.

Izvješće iznosi zajednička stajališta radne skupine i sadrži informacije o rezultatima prvih dotičnih slučajeva.

Nekoliko tijela za zaštitu podataka naložilo je operaterima web stranica da zaustave sporni prijenos podataka. 

• Dana 4. travnja, EDPB je objavio konačnu verziju svog smjernice 9/2022 o obavještavanju o povredama osobnih podataka.

 

CVRIA

• Sud Europske unije u presudi od 4. svibnja presudio je da pravo pristupa dotične osobe podrazumijeva pravo na dobivanje cijelih dokumenata ili izvadaka dokumenata ili izvadaka iz baza podataka, ako je to bitno kako bi dotična osoba mogla učinkovito ostvariti svoje pravo.

U ovom konkretnom slučaju, CRIF, tvrtka specijalizirana za komercijalne informacije, dostavila je podnositelju pritužbe sažetu verziju svojih podataka.

• Sud EU-a je također prvi put presudio o dodjeli nematerijalne štete prema GDPR-u.

Iako Sud u svojoj presudi od 4. svibnja potvrđuje da GDPR ne zahtijeva "prag" za podnošenje zahtjeva za naknadu štete, ipak podsjeća da mora postojati kršenje, šteta i uzročna veza te da nema zahtjeva bez stvarne štete.

Slučaj je nastao kada je austrijska poštanska služba generirala statistiku o vjerojatnim političkim sklonostima milijuna ljudi.

Podnositelju pritužbe dodijeljen je vjerojatni udio u krajnje desničarskoj stranci, ali nije bilo sigurno je li ta informacija otkrivena trećoj strani jer je bio na popisu osoba isključenih iz poštanskog oglašavanja.

• U sličnom kontekstu, generalni odvjetnik Suda pravde EU-a iznio je 27. travnja svoje mišljenje o sljedećem pitanju: može li nezakonito širenje osobnih podataka koje posjeduje bugarska Nacionalna agencija za prihode, nakon računalnog hakerskog napada, dati osnovu za naknadu moralne štete u korist dotične osobe, samo zato što se potonja boji moguće zlouporabe svojih podataka?

Prema Općoj skupštini, moralna šteta kako je definirana u članku 82. GDPR-a ne smije se miješati s pukim neugodnostima.

Šteta se mora moći objektivno dokazati i ne smije ovisiti isključivo o subjektivnom iskazu podnositelja zahtjeva.

 

Nacionalne vijesti

• ITALIJA: Dana 2. ožujka, talijanska agencija za zaštitu podataka (APD) kaznila je kontrolora podataka s 5000 eura zbog slanja neželjenih komercijalnih komunikacija na adrese e-pošte koje je kreirao softver putem automatske kombinacije podataka prikupljenih na internetu.
• AUSTRIJA: Nakon pritužbe koju je podnio noyb, austrijsko tijelo za zaštitu podataka (APD) izjavilo je 29. ožujka da banner s kolačićima "prihvati ili plati" na web stranici novina nije u skladu s GDPR-om s obzirom na zahtjeve za granularnost privole.
• NIZOZEMSKA: Nizozemski žalbeni sud je 4. travnja naložio Uberu da vozačima omogući pristup njihovim osobnim podacima i objašnjenjima u vezi s automatiziranim donošenjem odluka. Sud je također izrekao kaznu od 4000 eura dnevno kontroloru podataka.
• ŠPANJOLSKA: Katalonsko tijelo za zaštitu podataka smatralo je korištenje sustava za prepoznavanje lica za sprječavanje prijevara na online sveučilišnim ispitima nesrazmjernim. Kažnilo je kontrolora podataka s 20.000 eura zbog kršenja članaka 5(1)(a) i 9 GDPR-a.
• UJEDINJENO KRALJEVSTVO: Gotovo 50 britanskih zastupnika pisalo je tvrtki koja je vlasnik trgovina House of Fraser i Sports Direct kako bi osudili korištenje kamera za prepoznavanje lica u trgovinama te grupe.

Opisujući tehnologiju kao "invazivnu i diskriminirajuću", parlamentarci su pozvali skupinu da prekine korištenje tih kamera diljem zemlje.

• Dana 4. travnja, britanska Agencija za zaštitu podataka (DPA) pokrenula je istragu protiv TikToka i kaznila ga s 12.700.000 funti zbog zlouporabe dječjih podataka.
• Predsjednik tvrtke Signal, aplikacije za šifrirano dopisivanje, izrazio je zabrinutost zbog prijedloga britanske vlade o online sigurnosti, koji bi mogao oslabiti šifriranje i prisiliti tvrtke da skeniraju šifrirane poruke u potrazi za ilegalnim sadržajem.

Meredith Whittaker navodi da bi Signal mogao napustiti Ujedinjeno Kraljevstvo ako se to dogodi. Slične zabrinutosti izrazile su i druge tvrtke za razmjenu poruka poput WhatsAppa i Elementa.

 

• VIJETNAM: Vijetnamska vlada objavila je 17. travnja 2023. Uredbu br. 13/2023/ND o zaštiti osobnih podataka („PDPD“), što je prvi sveobuhvatni dokument koji uređuje zaštitu osobnih podataka u zemlji.
• TANZANIJA: Novi zakon o zaštiti osobnih podataka stupio je na snagu 1. svibnja.
• CBPR: Dana 17. travnja, Ujedinjeno Kraljevstvo podnijelo je zahtjev za pridruživanje skupini zemalja koje se pridržavaju Pravila prekogranične sigurnosti (CBPR), koja trenutno uključuje Australiju, Kanadu, Japan, Republiku Koreju, Meksiko, Filipine, Singapur, Kineski Taipei i Sjedinjene Američke Države. CBPR, koji je uspostavilo američko Ministarstvo trgovine, omogućuje bilo kojoj jurisdikciji da zatraži status pridruženog člana i koristi slobodnu razmjenu podataka sa zemljama sudionicama, pod uvjetom da ima zakone koji štite osobne podatke i da ima "barem jednu javnu agenciju odgovornu za provedbu zakona i/ili propisa".
• IAP:Infografika Međunarodnog udruženja stručnjaka za privatnost (IAPP) navodi jurisdikcije koje daju DPA-u ili vladinom tijelu ovlast da druge jurisdikcije odrede kao one koje imaju "odgovarajuće" standarde privatnosti.

Bit će nadopunjen još jednom infografikom koja detaljno opisuje mehanizme i smjernice koji reguliraju prijenose prema jurisdikcijama (ugovorne klauzule, suglasnost itd.).