L’IA dans tous ses états.

Umjetna inteligencija u svim svojim oblicima

Pravni nadzor br. 52 – Listopad 2022.

Dana 17. listopada 2022., CNIL potvrdila je, sankcioniranjem tvrtke Clearview AI u iznosu od 20 milijuna eura, svoju kompetenciju regulatora u području umjetne inteligencije.

Ova sankcija slijedi nakon formalne obavijesti na koju nije odgovoreno i zbog nedostatka suradnje tvrtke tijekom postupka inspekcije.

Donesena nakon postupka konzultacija na europskoj razini, pridružuje se sankcijama koje je nekoliko njezinih kolega izreklo protiv iste tvrtke.

  • CNIL primjećuje nedostatak pravne osnove za sustavno i široko rasprostranjeno prikupljanje dvadeset milijardi slika lica javno dostupnih na milijunima web stranica, slika koje tvrtka prodaje posebno agencijama za provedbu zakona.
  • CNIL smatra da je, s obzirom na posebno intruzivnu prirodu i biometrijsku prirodu podataka, prikupljanje trebalo biti podložno prethodnom pristanku dotičnih osoba.
  • Također napominje da tvrtka ne poštuje prava pristupa i brisanja dotičnih osoba.

Ova odluka dolazi u kontekstu sve preciznijeg nadzora umjetne inteligencije na nacionalnoj i međunarodnoj razini.

Državno vijeće stoga je krajem ljeta usvojila dva dokumenta u kojima se izjašnjava o upravljanju budućom europskom uredbom o umjetnoj inteligenciji:

U svom dokumentu od 30. kolovoza 2022., Državno vijeće bavi se pitanjem kvalitete javne službe i postavlja temelje za francusku strategiju za umjetnu inteligenciju.

Između ostalog, potiče jačanje ovlasti CNIL-a i njegovo formalno prepuštanje odgovornosti za regulaciju sustava umjetne inteligencije.

Stoga preporučuje transformaciju CNIL-a, koji bi postao "nacionalno nadzorno tijelo odgovorno za regulaciju sustava umjetne inteligencije, posebno javnih, kako bi utjelovio i internalizirao dvostruki izazov zaštite temeljnih prava i sloboda, s jedne strane, te inovacija i javnog nastupa, s druge strane".

Državno vijeće je 27. rujna također je objavila studiju o nadzoru društvenih mreža u kontekstu razvoja umjetne inteligencije, u kojoj daje 17 preporuka za ponovno uravnotežavanje snaga u korist korisnika, osposobljavanje javnih vlasti u njihovoj ulozi regulatora i razmišljanje o društvenim mrežama budućnosti.

Sa svoje strane, Parlament istražuje pitanje video nadzora i prepoznavanja lica: Pravna komisija Nacionalne skupštine pokrenula je 13. rujna misiju utvrđivanja činjenica, a povjerena je Philippeu Latombeu, zastupniku i članu kolegija CNIL-a.

Parlamentarci će morati razumjeti "izazove korištenja sigurnosnih slika u javnoj domeni za borbu protiv nesigurnosti" i posebno će se usredotočiti na prepoznavanje lica.

To će uključivati analizu nedavno odobrenih uređaja poput tjelesnih kamera i dronova te razmatranje mogućih razvoja poput proširenih kamera, s ciljem izrade zakonodavnog prijedloga.

Spomenimo i početak pregovora za konvenciju o Vijeće Europe o umjetnoj inteligenciji, ljudskim pravima, demokraciji i vladavini prava.

To bi bio prvi pravno obvezujući međunarodni instrument o umjetnoj inteligenciji.

Ova konvencija bi nadopunila uredbu o umjetnoj inteligenciji koju je predložila Europska komisija jačanjem zaštite temeljnih prava pojedinaca.

THE Europski nadzornik za zaštitu podataka pozdravio je ovu inicijativu, podsjećajući na sustave umjetne inteligencije koji, prema njegovom mišljenju, predstavljaju neprihvatljive rizike i trebali bi biti zabranjeni, naime:

  • Socijalno bodovanje,
  • Biometrijska identifikacija u javnim prostorima,
  • Kategorizacija pojedinaca na temelju biometrijskih podataka
  • Kategorizacija pojedinaca na temelju njihovih percipiranih emocija.

Treba imati na umu da uredba o umjetnoj inteligenciji koju je predložila Europska komisija podržava ovaj pristup zabranjujući najnametljivije tehnike umjetne inteligencije, poput onih koje manipuliraju pojedincima ili omogućuju društveno bodovanje.

Još uvijek nedovoljno za branitelje sloboda, a pretjerano za njegove protivnike.

Treba napomenuti da su Sjedinjene Države krajem listopada poslale neslužbeni dokument nekolicini glavnih gradova i Europskoj komisiji s ciljem da ih uvjere da ograniče opseg budućih propisa i prošire njihova izuzeća kako bi se održala veća fleksibilnost u mogućoj upotrebi umjetne inteligencije.

Sjedinjene Američke Države također sami pripremaju propise o umjetnoj inteligenciji: 4. listopada predsjednik Joe Biden predstavio je „Zakon o pravima umjetne inteligencije“, koji opisuje pet jamstava od kojih bi Amerikanci trebali imati koristi:

  • Sigurni i učinkoviti sustavi,
  • Zaštita od algoritamske diskriminacije,
  • Povjerljivost podataka,
  • Obavijesti i objašnjenja o tome kako umjetna inteligencija funkcionira,
  • Ljudske alternative automatiziranim odlukama.

Konačno, treba napomenuti da su regulatori zaštite podataka iz više od 120 zemalja dogovorili okvir za korištenje prepoznavanja lica u 44. svjetska skupština o privatnosti koji je održan u Istanbulu krajem listopada.

Rješenje zahtijeva da subjekt koji koristi tehnologiju

  • Utvrditi „njegov razuman, nužan i proporcionalan karakter“,
  • Procjenjuje poštivanje prava pojedinaca
  • Osigurava besprijekorno korištenje tehnologije.

Također se moraju uspostaviti jasni i učinkoviti mehanizmi odgovornosti.

I također

Francuska:

Kibernetički kriminal: Ministar za digitalne poslove i ministar zdravstva najavili su proračun od 20 milijuna eura u korist ANSSI-ja kako bi se ojačala podrška zdravstvenim ustanovama koje su žrtve ransomwarea.

CNIL objavljuje obrazovne resurse na svojoj web stranici kako bi bolje zaštitio djecu u dobi od 8 do 10 godina na internetu.

Ovi resursi namijenjeni su roditeljima, djeci, učiteljima i odgajateljima.

CNIL je također ažurirao svoju preporuku u vezi s autentifikacijom lozinkom 17. listopada.

U kontekstu povećanih prijetnji online sigurnosti, CNIL posebno razvija korisnost rješenja za snažnu ili višefaktorsku autentifikaciju i elektroničkih certifikata.

Europa:

Europski odbor za zaštitu podataka (EDPB) usvojio je ažurirane smjernice o obavještavanju o povredi podataka, otvoreno za javnu raspravu do 29.11.2022.

Ažurirani odjeljak odnosi se na obavještavanje o povredi sigurnosti od strane upravitelja sa sjedištem izvan Europske unije.

Činjenica da je ovaj upravitelj imenovao predstavnika u jednoj od zemalja EU-a, prema EDPB-u, ne oslobađa ga opsežnih obveza: tekst sada precizira da „samotna prisutnost predstavnika u državi članici ne aktivira jedinstveni korisnički prozor.“

Zbog toga će se o kršenju morati obavijestiti svako tijelo za koje ispitanici imaju prebivalište u svojoj državi članici.

Sud Europske unije presudio je 20. listopada da daljnja obrada koji se sastoji od stvaranja baze podataka iz postojeće baze podataka za provođenje testova i ispravljanje pogrešaka, odobren je ako

  1. postoji „konkretna, logična i dovoljno bliska veza između svrha početnog prikupljanja i naknadne obrade“; i
  2. daljnja obrada ne odstupa od legitimnih očekivanja pretplatnika.

U predmetnom slučaju, Sud je smatrao da takva bliska veza postoji. Podsjeća da se podaci moraju izbrisati nakon što je ispunjena (sekundarna) svrha obrade.

U presudi od 27. listopada koja se odnosi na belgijsku tvrtku Proximus, Sud odlučuje o obvezama pružatelja usluga telefonskih imenika kada pretplatnik povuče svoju privolu za obradu svojih podataka.

Sud smatra da tijelo za zaštitu podataka može zahtijevati od pružatelja javno dostupnih telefonskih imenika, kao voditelja obrade podataka, da poduzme odgovarajuće mjere kako bi obavijestilo druge voditelje obrade podataka (uključujući pružatelja telekomunikacijske usluge od kojeg su podaci priopćeni) o povlačenju privole pretplatnika.

Uredba o europskim digitalnim tržištima (DMA) objavljena je 12. listopada 2022.

Ovaj tekst, čiji je cilj "stati na kraj nepoštenim praksama tvrtki koje djeluju kao "čuvari vrata" u gospodarstvu online platformi", primjenjivat će se od 2. svibnja 2023.

Definira velike online platforme kao "čuvare vrata" i utvrđuje popis zabrana i obveza namijenjenih "osiguravanju poštenih i otvorenih digitalnih tržišta".

Prijedlog europske uredbe o seksualnom zlostavljanju djece (CSAR) je predmet brojnih kritika civilnog društva i pokretanje kampanje „prestanite me skenirati“.

Prema nadležnim nevladinim organizacijama, prijedlog, unatoč svojim hvalevrijednim ciljevima, prijeti da "temeljno ugrozi sigurnu online komunikaciju i učini internet manje sigurnim za sve".

Policija planira koristiti automatizirano online skeniranje privatne komunikacije kako bi ciljala sadržaj povezan sa seksualnim zlostavljanjem djece.

Međutim, istraga Irskog vijeća za građanske slobode (ICCL) otkriva da irska policija zadržava osobne podatke - e-poštu, korisničko ime, IP adresu - čak i za lažne dojave.

Ogroman broj lažno pozitivnih rezultata - vjeruje se da je manje od 10 % izvješća upotrebljivo - također bi mogao spriječiti policiju da se uhvati u koštac sa srži problema.

Talijansko tijelo za zaštitu podataka otvara istragu o aplikaciji koja generira umjetne glasove („deep fake“).

Vlasti su pokrenule istragu o aplikaciji Fakeyou, koja navodno pretvara tekstualne datoteke u glasove poznatih osoba, posebno talijanskih.

Nadalje, talijansko tijelo za zaštitu potrošača presudilo je da znak koji prikazuje stiliziranu kameru nije dovoljan za pružanje informacija o korištenju kamera za video nadzor te je kontroloru nametnulo kaznu od 2000 eura.

Irska vlast Tijelo za zaštitu podataka na svojoj je web stranici objavilo kompilaciju više od 30 specifičnih studija slučaja kojima se bavilo, a koje nisu uključene u njegova godišnja izvješća. Publikacija pruža bolje razumijevanje pristupa tijela temama kao što su praćenje zaposlenika, video nadzor, pojam legitimnog interesa i kompatibilnost svrha obrade.

Nizozemski žalbeni sud u Arnhem-Leeuwardenu potvrdio je sudsku zabranu prema kojoj regulator autorskih prava ne može prisiliti pružatelja internetskih usluga da šalje upozorenja osumnjičenima za kršenje autorskih prava: pružatelj internetskih usluga nema zakonsku osnovu za obradu osobnih podataka koji se odnose na kaznene osude i prekršaje.

Agencija za zaštitu podataka Ujedinjenog Kraljevstva (ICO) komunicira o biometrijskim tehnologijama poput tehnologija za analizu emocija, za koje kaže da su nezrele i da predstavljaju rizik za diskriminaciju.

Među utvrđenim rizicima su praćenje fizičkog zdravlja radnika pomoću prijenosnih alata za pregled te vizualno i bihevioralno promatranje, uključujući držanje tijela, govor, pokrete očiju i glave, radi prijave studenata za ispite.

ICO također objavljuje nacrt smjernica o praćenju zaposlenika.

Komisija posebno ističe rastući trend "rada od kuće" i problem praćenja produktivnosti, budući da su očekivanja radnika u pogledu privatnosti vjerojatno veća kod kuće nego na poslu.

ICO također napominje da se „praćenje pritiska tipki klasificira kao bihevioralni biometrijski podatak kada se radnik može identificirati na temelju njegovog jedinstvenog obrasca i ritma tipkanja.“ Nacrt je otvoren za savjetovanje do 11. siječnja 2023.

Međunarodno:

Prijenos podataka u Sjedinjene Američke Države: Važna prekretnica postignuta je 7. listopada potpisivanjem Izvršne uredbe o poboljšanju zaštitnih mjera za aktivnosti obavještajne službe Sjedinjenih Država od strane predsjednika Bidena.

Ova uredba ima za cilj omogućiti provedbu novog okvira za zaštitu podataka između Europske unije i Sjedinjenih Američkih Država nakon presude Suda EU u predmetu Schrems II, kojom je Štit privatnosti postao zastario.

Sporazum bi se mogao finalizirati početkom 2023., nakon mišljenja Europskog odbora za zaštitu podataka (EDPB) i donošenja odluke o adekvatnosti od strane Europske komisije.

Neizvjesnost oko sporazuma odnosi se na opseg nadzornih ovlasti američkih vlasti i pravnu zaštitu koju europski građani imaju protiv mjera koje su SAD poduzele protiv njih.

Dodajmo da, budući da nema zakonsku snagu, ova uredba može biti opozvana, što dodatno doprinosi pravnoj nesigurnosti.

Otkrijte Viqtor®
hrHR
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL hrHR