„Legal Watch“ Nr. 58 – 2023 m. balandžio mėn.

„ChatGPT“: Kokia teisinė sistema taikoma naujoms dirbtinio intelekto programoms?

„ChatGPT“, „Google Bard“, „Stable Diffusion“ ir „Dall-E“ yra Didelių kalbų modeliai (LLM) esamų kalbos modelių subkategorija.

Kalbos modeliai yra kompiuterinės programos, sukurtos apdoroti ir generuoti tekstą panašiai kaip žmogus.

Jie apima, pavyzdžiui, kalbos atpažinimą, mašininį vertimą, teksto įgarsinimą ir turinio generavimą. Teisės magistro (LLM) modeliai yra didesni ir sudėtingesni nei tradiciniai.

Jie mokomi dirbti su labai dideliais teksto korpusais, kartais sudarytais iš milijonų puslapių, ir naudoja giliąsias neuroninių tinklų architektūras, kad išmoktų apdoroti kalbą.

Taigi LLM gali teikti begalinę įvairovę užsakomojo turinio, nesvarbu, ar tai būtų eilėraštis, filmo scenarijus, kompiuterių programavimo kodas ar muzikinė kompozicija.

Tačiau informacija nėra naujausia: „ChatGPT“ buvo apmokyta naudojant internete iki 2021 m. prieinamą informaciją.

Todėl beprasmiška prašyti jo pateikti naujausią informaciją apie duomenų perdavimą į Jungtines Valstijas ar komentarą apie naujausią CNIL sankciją.

LLM kelia daug teisinių ir etinių klausimų, ypač susijusių su autorių teisėmis, duomenų apsauga, dezinformacija ir diskriminacija.

Pastarosiomis savaitėmis daugelis reguliavimo institucijų pradėjo reaguoti, vadovaujanti Italijos duomenų apsaugos institucija.

Kovo 31 d. pastaroji išleido įsakymą prieš „OpenAI“, blokuodama „ChatGPT“ Italijoje, nes 

• dėl paraiškos skaidrumo stokos,
• dėl to, kad nėra teisėto pagrindo tvarkyti duomenis,
• dėl to, kad nebuvo užtikrintas tvarkomų duomenų tikslumas,
• amžiaus patvirtinimo nebuvimas ir
• dėl bendro „privatumo užtikrinimo projektuojant“ principo pažeidimo.

Vokietija atidžiai sekė jos pavyzdžiu ir pradėjo nagrinėti, kaip „ChatGPT“ laikosi BDAR: Šlėzvigo-Holšteino žemė išsiuntė „OpenAI“ klausimyną, į kurį ši turėjo atsakyti iki birželio 11 d.

Europos duomenų apsaugos valdyba pasekė savo nacionalinių narių pavyzdžiu ir įsteigė darbo grupę šiuo klausimu, o Europos vartotojų organizacija (BEUC) raštu kreipėsi į vartotojų apsaugos institucijų tinklą ir vartotojų saugos institucijų tinklą (CPC ir CSN tinklus), prašydama ištirti LLM.

Už Atlanto Federalinė prekybos komisija (FTC) taip pat nurodo, kad galiojantys JAV sektorių lygmens įstatymai apima generatyvinį dirbtinį intelektą, kartu įspėdama įmones atidžiai atsižvelgti į vartotojų interesus ir su vykdomais diegimais susijusią riziką.

Po šių tyrimų „OpenAI“ ėmėsi tam tikrų priemonių:

• Teisės nesutikti su duomenų tvarkymu įgyvendinimas;
• Privatumo politikos išplėtimas ir geresnis matomumas, informacija apie atliktus atnaujinimus;
• Neteisingos informacijos ištrynimo mechanizmų įdiegimas;
• Pridėtos formos, leidžiančios bet kuriam Europos vartotojui filtruoti savo pokalbius ir duomenų, naudojamų mokymo algoritmams mokyti ir tobulinti, istoriją.
• Pridėta galimybė eksportuoti duomenis ir patikrinti saugomą informaciją.

Nors „ChatGPT“ vėl pasiekiamas Italijoje, lieka daug klausimų.

„Open AI“ teikiamos apsaugos priemonės leidžia programėle besinaudojantiems asmenims taisyti arba ištrinti savo duomenis, tačiau jos neturi jokios įtakos visų programėle nesinaudojančių asmenų duomenų tvarkymui, todėl kelia rimtų abejonių dėl reputacijos.

 Neseniai „ChatGPT“ apkaltino teisės profesorių seksualiniu priekabiavimu, o tariamas šaltinis buvo straipsnis, kuris niekada nebuvo parašytas.

Taip pat galimi rasiniai ar etniniai išankstiniai nusistatymai. „ChatGPT“ buvo apmokytas naudojant interneto duomenis, todėl tikėtina, kad jis atspindės ir įtvirtins internete egzistuojančius visuomenės išankstinius nusistatymus.

Taigi medicininiams sprendimams priimti naudojamas nuspėjamasis algoritmas priėmė šališkus sprendimus prieš juodaodžius pacientus.

Nors algoritmo kūrėjai, vykdydami sistemą, neįtraukė rasės kaip matavimo kriterijaus, algoritmas ir toliau skatino šališkumą prieš juodaodžius pacientus, atsižvelgdamas į tam tikrus ekonominius veiksnius ir sveikatos priežiūros išlaidas.

Galiausiai, padidėja kibernetinių nusikaltimų rizika, pavyzdžiui, įtikinamesnių sukčiavimo el. laiškų kūrimas ar naujų atakų metodų mokymasis, kaip pabrėžiama JK Nacionalinio kibernetinio saugumo centro ir JAV Federalinės prekybos komisijos ataskaitoje.

Galima būtų stebėtis, kodėl „ChapGPT“ kūrėjai duomenų apsaugos neintegravo nuo pat jos kūrimo etapo, o taikė kiekvienu atveju atskirai, atsižvelgdami į reguliuotojų reakcijas.

Atvirasis dirbtinis intelektas nėra naujokas: jis kuriamas nuo 2016 m., vadovaujamas patyrusių bendraįkūrėjų, ir jau buvo šešių finansavimo etapų objektas.

Dabartinė jos vertė siekia 29 mlrd. JAV dolerių, o dirbtiniu intelektu pagrįsti įrankiai, bendradarbiaujant su „Microsoft“, yra integruoti į ne dirbtiniu intelektu pagrįstus produktus, kuriuos kasdien naudoja milijonai žmonių.

„Privatumo užtikrinimo projektuojant“ principai yra ne tik pageidautini tokiame kontekste, bet ir neatsiejama BDAR reikalavimų dalis.

Jų įgyvendinimas turėtų būti dar labiau sustiprintas priėmus būsimą Europos dirbtinio intelekto reglamentą, pagal kurį didelės rizikos sistemos turėtų atitikti griežtesnį režimą, įskaitant rizikos valdymo, skaidrumo ir duomenų valdymo reikalavimus.

Naujausioje EP narių aptartoje reglamento versijoje taip pat reikalaujama, kad visi dirbtinio intelekto modeliai atitiktų priežiūros, techninio patikimumo ir saugumo, privatumo apsaugos, duomenų valdymo, skaidrumo, socialinės ir aplinkos gerovės, įvairovės, nediskriminavimo ir sąžiningumo principus.

 

Ir taip pat

URSSAF

Gegužės 1-osios savaitgalį, „Urssaf“ padarė kompiuterinę klaidą. dėl ko buvo paviešinti kelių tūkstančių savarankiškai dirbančių asmenų duomenys.

Kai kurie nariai teigia gavę dokumentus, kuriuose yra „aštuoniolikos kitų asmenų“ mokėjimo grafikai arba net, svarbiausiais atvejais, „301 puslapis „Urssaf“ mokėjimo grafikų, kurie man nerūpi“.

Šiuose failuose yra neskelbtinos asmeninės informacijos, tokios kaip banko duomenys, pajamos, adresai ar visa tapatybė. 

Žmonės, nukentėję nuo šių transliavimo klaidų – iš viso 10 640, remiantis pirminėmis vidinio tyrimo išvadomis, – netrukus turėtų gauti apie tai įspėjantį pranešimą.

„Urssaf“ pranešė apie saugumo pažeidimą CNIL.

DRONAS

Nuo balandžio 19 d., Policijos pareigūnai ir žandarai turi teisę filmuoti susibūrimus iš dangaus.

Taip buvo „Stade de France“, Majote, Havre ir per Gegužės 1-osios demonstracijas Paryžiuje.

Balandžio 28 d. Policijos prefektūros dekretas leidžia sostinėje esančias demonstrantus aplenkti transporto priemonėse įrengtomis kameromis, siekiant užkirsti kelią „išpuoliams prieš asmenų ir turto saugumą“ ir „palaikyti arba atkurti viešąją tvarką“.

Tai vienas pirmųjų leidimų, išduotų pagal neseniai Vidaus reikalų ministerijos įsakymą, kuris yra naujojo įstatymo, susijusio su baudžiamąja atsakomybe ir vidaus saugumu, dalis.

CNIL paskelbė dvi nuomones (2021 m. sausio ir liepos mėn.) dėl šių naujų teisinių nuostatų ir šį kartą paragino griežtai reglamentuoti dronų naudojimą, atsižvelgiant į viešųjų laisvių ir asmenų privatumo pažeidimo riziką.

KIBERSAUGUMAS

2022 m. kovo 3 d. įstatymas, kuris įsigalios 2023 m. spalio 1 d., nustato plačiajai visuomenei skirtų skaitmeninių platformų kibernetinio saugumo sertifikavimas.

Internetinių platformų operatoriai ir ne skaičiumi grindžiamų asmenų tarpusavio ryšio paslaugų teikėjai turės atlikti kibernetinio saugumo auditą, apimantį jų saugomų duomenų saugumą ir vietą, taip pat savo pačių saugumą.

Pagal kibernetinio balo įgyvendinimo dekreto projektą, audito procedūros apims „SecNumCloud“ nuorodų sistemos, skirtos duomenų sąlyčiui su ekstrateritoriniais teisės aktais, prieglobos infrastruktūrų vietos Europoje ir subrangovų pilietybės vertinimą.

CNIL

CNIL paskelbė balandžio 3 d. nauja jos vadovo versija dėl asmens duomenų saugumo.

Naujojoje versijoje visų pirma atsižvelgiama į naujausias CNIL rekomendacijas dėl slaptažodžių ir registravimo.

 

Europos institucijos ir įstaigos

EUROPOS PARLAMENTAS

• Duomenų perdavimas tarp ES ir Jungtinių Amerikos Valstijų Pilietinių laisvių komiteto narių balandžio 13 d. priimtoje rezoliucijoje teigiama, kad ES ir Jungtinių Valstijų siūloma duomenų apsaugos sistema yra „pagerėjimas“, tačiau pažanga nėra „pakankama“, kad būtų galima pateisinti sprendimą dėl asmens duomenų perdavimo tinkamumo.

Komisija pažymi, kad sistema vis dar leidžia tam tikrais atvejais masiškai rinkti asmens duomenis ir numato apeliacijų mechanizmą, kuris gali būti nepriklausomas (teisėjus galėtų atleisti JAV prezidentas, kuris taip pat galėtų panaikinti jo sprendimus).

ES piliečiams taip pat galėtų būti užkirstas kelias pasinaudoti savo teisėmis susipažinti su savo duomenimis ir juos ištaisyti, nes sprendimai būtų laikomi paslaptyje.

EP nariai ragina Komisiją „užtikrinti, kad būsima sistema atlaikytų teisinius iššūkius ir suteiktų teisinį tikrumą ES piliečiams ir įmonėms“.

• Balandžio 27 d. Europos Parlamento nariai įveikė savo nesutarimus ir pasiekė preliminarų politinį susitarimą dėl Dirbtinio intelekto reglamentai.

Tekste bus nustatyti griežtesni įpareigojimai dėl teisės magistro kvalifikacijos gavėjų ir biometrinio identifikavimo programinės įrangos: iš pradžių ši atpažinimo programinė įranga buvo uždrausta naudoti realiuoju laiku, tačiau ją bus galima naudoti tik po nusikaltimo padarymo sunkių nusikaltimų atveju ir gavus išankstinį leidimą.

Prieš svarbų balsavimą komitete, numatytą gegužės 11 d., tekstas dar gali būti šiek tiek techniškai pakoreguotas, o tikimasi, kad dėl jo bus balsuojama plenarinėje sesijoje birželio viduryje.

• Balandžio 20 d. europarlamentarai patvirtino pirmąjį ES teisės akto tekstą, skirtą sekti kriptovaliutų pervedimus pavyzdžiui, bitkoinus ir elektronines valiutų žetonus.

Tekstas, kurį Parlamento ir Tarybos derybininkai preliminariai patvirtino 2022 m. birželį, siekia užtikrinti, kad kriptovaliutų pervedimus, kaip ir bet kuriuos kitus finansinius sandorius, visada būtų galima atsekti, o įtartinus sandorius – blokuoti.

Europos Parlamentas ir ES valstybės narės šiuo metu derasi dėl Kibernetinio atsparumo įstatymas (CRA) – naujas reglamentas, kuriuo siekiama sustiprinti prijungtų įrenginių skaitmeninį saugumą ES.

ARC siūlo audito ir sertifikavimo reikalavimus prijungtų įrenginių programinės ir aparatinės įrangos gamintojams ir numato minimalų laikotarpį, per kurį jie privalo teikti savo produktų programinės įrangos saugumo pataisas.

 

EDAV

• Europos duomenų apsaugos valdyba (EDAV) balandžio 27 d. paskelbė... MVĮ skirtas vadovas, kuriame išsamiai aprašomi principai, taikomi tvarkant darbuotojų, klientų ir verslo partnerių duomenis.

Vadove taip pat paaiškinamos esminės saugumo taisyklės, kurių reikia laikytis, ir kaip valdyti asmens duomenų saugumo pažeidimą.

• Europos duomenų apsaugos valdyba (EDAV) balandžio 19 d. paskelbė ataskaita apie darbo grupės darbo rezultatus dėl 101 skundo, kurį NVO NOYB pateikė po ESTT sprendimo Schrems II byloje.

Šie skundai susiję su įrankiais „Google Analytics“ ir „Facebook Business Tools“ bei asmens duomenų perdavimu į Jungtines Valstijas.

Ataskaitoje išdėstytos bendros darbo grupės pozicijos ir pateikiama informacija apie pirmųjų atitinkamų bylų rezultatus.

Kelios duomenų apsaugos institucijos nurodė interneto svetainių operatoriams sustabdyti atitinkamą duomenų perdavimą. 

• Balandžio 4 d. EDAV paskelbė galutinę savo versiją. 9/2022 m. gairės dėl pranešimo apie asmens duomenų saugumo pažeidimus.

 

CVRIA

• Europos Sąjungos Teisingumo Teismas gegužės 4 d. sprendime nusprendė, kad atitinkamo asmens teisė susipažinti su duomenimis apima teisę gauti visus dokumentus arba jų išrašus, arba duomenų bazių išrašus, jei tai būtina, kad atitinkamas asmuo galėtų veiksmingai įgyvendinti savo teisę.

Šiuo konkrečiu atveju CRIF, bendrovė, kuri specializuojasi komercinės informacijos srityje, pateikė skundo pateikėjui santrauką savo duomenų versijoje.

• ESTT taip pat pirmą kartą priėmė sprendimą dėl neturtinės žalos priteisimo pagal BDAR.

Nors Teismas gegužės 4 d. sprendime patvirtino, kad BDAR nereikalauja „slenksčio“ žalos atlyginimui reikalauti, vis dėlto primena, kad turi būti pažeidimas, žala ir priežastinis ryšys, ir kad ieškinys negali būti pareikštas be realios žalos.

Byla kilo, kai Austrijos pašto tarnyba surinko statistiką apie milijonų žmonių galimas politines pažiūras.

Skundo pateikėjui buvo priskirtas tikėtinas interesas kraštutinių dešiniųjų partijoje, tačiau nebuvo aišku, ar ši informacija buvo atskleista trečiajai šaliai, nes jis buvo įtrauktas į pašto reklamos draudžiamųjų sąrašą.

• Panašioje situacijoje ESTT generalinis advokatas balandžio 27 d. pateikė savo nuomonę šiuo klausimu: ar neteisėtas Bulgarijos nacionalinės pajamų agentūros turimų asmens duomenų paskleidimas po kompiuterinio įsilaužimo gali būti pagrindas atitinkamam asmeniui atlyginti moralinę žalą vien dėl to, kad pastarasis baiminasi galimo savo duomenų netinkamo naudojimo?

Generalinės Asamblėjos teigimu, moralinė žala, kaip apibrėžta BDAR 82 straipsnyje, neturėtų būti painiojama su paprasčiausiais nepatogumais.

Žala turi būti objektyviai įrodyta ir nepriklausyti vien nuo ieškovo subjektyvių pareiškimų.

 

Nacionalinės naujienos

• ITALIJA: Kovo 2 d. Italijos duomenų apsaugos tarnyba (APD) skyrė 5000 eurų baudą duomenų valdytojui už nepageidaujamų komercinių pranešimų siuntimą el. pašto adresais, sukurtais programinės įrangos, automatiškai sujungiant internete surinktus duomenis.
• AUSTRIJA: Gavusi „noyb“ pateiktą skundą, Austrijos duomenų apsaugos tarnyba (APD) kovo 29 d. pareiškė, kad laikraščio svetainėje esanti slapukų reklama „sutinku arba mokėk“ neatitinka BDAR, atsižvelgiant į sutikimo detalumo reikalavimus.
• NYDERLANDAI: Balandžio 4 d. Nyderlandų apeliacinis teismas įpareigojo „Uber“ suteikti vairuotojams prieigą prie jų asmens duomenų ir paaiškinimus dėl automatizuoto sprendimų priėmimo. Teismas taip pat skyrė duomenų valdytojui 4 000 eurų baudą už dieną.
• ISPANIJA: Katalonijos duomenų apsaugos institucija nusprendė, kad veido atpažinimo sistemų naudojimas siekiant užkirsti kelią sukčiavimui internetiniuose universitetų egzaminuose yra neproporcingas. Ji skyrė duomenų valdytojui 20 000 eurų baudą už BDAR 5(1)(a) ir 9 straipsnių pažeidimą.
• JUNGTINĖ KARALYSTĖ: Beveik 50 britų parlamento narių parašė bendrovei, kuriai priklauso „House of Fraser“ ir „Sports Direct“ parduotuvės, pasmerkdami veido atpažinimo kamerų naudojimą grupės parduotuvėse.

Parlamentarai, apibūdindami šią technologiją kaip „invazinę ir diskriminacinę“, paragino grupę nutraukti šių kamerų naudojimą visoje šalyje.

• Balandžio 4 d. JK duomenų apsaugos tarnyba (DPA) pradėjo tyrimą prieš „TikTok“ ir skyrė jai 12 700 000 svarų sterlingų baudą už netinkamą vaikų duomenų naudojimą.
• Šifruotų pranešimų programėlės „Signal“ prezidentas išreiškė susirūpinimą dėl Didžiosios Britanijos vyriausybės pasiūlymo dėl saugumo internete, kuris galėtų susilpninti šifravimą ir priversti įmones nuskaityti užšifruotus pranešimus, ieškant neteisėto turinio.

Meredith Whittaker užsimena, kad tokiu atveju „Signal“ galėtų palikti JK. Panašų susirūpinimą išreiškė ir kitos pranešimų siuntimo bendrovės, tokios kaip „WhatsApp“ ir „Element“.

 

• VIETNAMAS: 2023 m. balandžio 17 d. Vietnamo vyriausybė paskelbė Asmens duomenų apsaugos dekretą Nr. 13/2023/ND („PDPD“), kuris yra pirmasis išsamus dokumentas, reglamentuojantis asmens duomenų apsaugą šalyje.
• TANZANIJA: Nuo gegužės 1 d. įsigaliojo naujas asmens duomenų apsaugos įstatymas.
• CBPR: Balandžio 17 d. Jungtinė Karalystė pateikė paraišką prisijungti prie šalių, besilaikančių Tarpvalstybinio saugumo taisyklių (CBPR), grupės, kuriai šiuo metu priklauso Australija, Kanada, Japonija, Korėjos Respublika, Meksika, Filipinai, Singapūras, Kinijos Taipėjus ir Jungtinės Amerikos Valstijos. JAV prekybos departamento įsteigtas CBPR leidžia bet kuriai jurisdikcijai kreiptis dėl asocijuotosios šalies statuso ir naudotis laisvu duomenų keitimu su dalyvaujančiomis šalimis, jei ji turi įstatymus, apsaugančius asmeninę informaciją, ir turi „bent vieną viešąją agentūrą, atsakingą už įstatymo (-ų) ir (arba) reglamento (-ų) vykdymą“.
• IAPP:Tarptautinės privatumo specialistų asociacijos (IAPP) infografike išvardytos jurisdikcijos, kurios suteikia duomenų apsaugos institucijai arba vyriausybinei institucijai įgaliojimus nurodyti kitas jurisdikcijas kaip turinčias „tinkamus“ privatumo standartus.

Jį papildys kita infografika, kurioje išsamiai aprašomi duomenų perdavimo pagal jurisdikcijas (sutarties sąlygos, sutikimas ir kt.) mechanizmai ir gairės.