Teisinis stebėjimas Nr. 64 – 2023 m. spalis.

Šifravimas ir užpakalinės durys: nuo techninių apribojimų iki visuomeninių iššūkių.

Dabartiniai įvykiai Prancūzijoje atkartoja dabartines diskusijas, kurios neramina Europą, būtent dėl teisėsaugos institucijų prieigos prie užšifruotų pranešimų turinio.

Vidaus reikalų ministras, spalio 22 d. per radiją komentuodamas neseniai įvykusį išpuolį Arraso vidurinėje mokykloje, išreiškė pageidavimą, kad į ištisai šifruotas pranešimų sistemas būtų integruotas užpakalinis durų įtaisas, kuris leistų apeiti pranešimų šifravimą ir pasiekti jų turinį.

Pasak ministro, ši technika yra veiksmingesnė alternatyva dabartiniams sprendimams, kai žvalgybos tarnybos įsilaužia į įtariamojo telefoną, kad įdiegtų, pavyzdžiui, šnipinėjimo programas.

Ši griežtai įstatymų reglamentuota praktika nepasiteisino stebint išpuolį įvykdžiusį teroristą.

Šiomis dienomis daug kalbama apie „kliento pusės skenavimą“ – techniką, kuri skiriasi nuo pranešimų perėmimo („žmogus per vidurį“ – HDM).

Spalio 23 d. Europos duomenų apsaugos priežiūros institucijos šia tema organizuotame seminare kalbėjęs ekspertas šiuos metodus apibūdino taip: „žmogus per vidurį“ perima pranešimus jų perdavimo metu, o „kliento pusės nuskaitymas“, perkeltine prasme, reiškia skaitymą per asmenį per petį, kol jis rašo – prieš šifravimą – siekiant palyginti jo pranešimą su netinkamos duomenų bazės turiniu.

Tai turinio moderavimo forma, atliekama vartotojo įrenginyje.

Dvi iniciatyvos, kuriomis siekiama sistemingai naudoti kliento pusės skenavimą, šiuo metu sulaukia daug reakcijos Briuselyje ir Londone dėl savo įkyraus pobūdžio.

Europos lygmeniu daugiausia kritikos sulaukia CSAM reglamento pasiūlymas.

Teksto tikslas – kovoti su vaikų pornografija internete, nustatant neteisėto turinio platinimą.

Nors sutariama dėl šio tikslo ypatingos svarbos, daugelis suinteresuotųjų šalių abejoja siūlomų priemonių veiksmingumu, būtinybe ir proporcingumu.

Rimtą susirūpinimą išreiškė ES duomenų apsaugos institucijos, Europos institucijų ekspertai, taip pat vaikų apsaugos organizacijos, akademikai, kibernetinio saugumo ekspertai ir seksualinės prievartos prieš vaikus aukos.

Be rizikos, kad teisėsauga bus užversta klaidingai teigiamais rezultatais, kritikai baiminasi, kad tai per didelis žingsnis link visuomenės, kurioje kiekvienas iš mūsų gyvensime nuolatinio stebėjimo jausme.

Daugiau nei šimtui pirmaujančių šios srities tyrėjų pagaliau techniškai neįmanoma įdiegti turinio nuskaitymo nesusilpninant ištisinio šifravimo ir nepažeidžiant vartotojų privatumo.

Daugelis ekspertų sutinka, kad dabartiniai pažangiausi technologiniai sprendimai nėra pakankamai patikimi ir yra pažeidžiami kibernetinių atakų.

Prie tokios išvados priėjo ir „Apple“, kuri šią vasarą paskelbė, kad atsisako savo algoritmų projekto, ir Meredith Whittaker, pranešimų paslaugos „Signal“ prezidentė: „Jei policija gali patekti, tai gali ir įsilaužėliai, priešiškos šalys, Putinas, Irano vyriausybė ir visi, norintys pakenkti (...). Todėl labai svarbu išlaikyti šių sistemų saugumą ir vientisumą.“

Šiuo atžvilgiu Britanijos vyriausybė, regis, sušvelnino savo poziciją dėl naujojo įstatymo dėl saugumo internete („Internetinio saugumo įstatymo“), priimto spalio 26 d.

Vis dėlto ministrai nepašalino prieštaringai vertinamos stebėsenos sąlygos, tačiau jos įgyvendinimą susiejo su techniniu įgyvendinamumu.

JK technologijų reguliavimo institucija („Ofcom“) išlaiko teisę reikalauti, kad technologijų įmonės kurtų nuskaitymo programinę įrangą, atsižvelgdamos į besivystančias technologijas.

Jei ši technologija taps prieinama, dar neaišku, kaip bus įvertinta pusiausvyra tarp valdžios institucijų represinių tikslų ir asmenų privatumo.

 

• Spalio 12 d. CNIL skyrė „CANAL+ GROUP“ 600 000 eurų baudą.

Bauda visų pirma susijusi su pareigos teikti informaciją pažeidimais, atitinkamų asmenų teisių įgyvendinimu, saugumo problemomis, susijusiomis su bendrovės darbuotojų slaptažodžiais, subranga ir tuo, kad bendrovė nepranešė CNIL apie rimtą asmens duomenų pažeidimą, įvykusį 2020 m.

• CNIL lapkričio 28 d. organizuoja etikos refleksijos renginį pavadinimu „Dirbtinis intelektas ir laisva valia: ar mes esame skaitmeninės avys?“.

Tyrėjai, ekspertai ir vizualiųjų menų atstovai keisis nuomonėmis apie svarbiausius etinius klausimus, susijusius su dirbtinio intelekto įtaka individualiems pasirinkimams.

• Taip pat DI tema CNIL spalio 11 d. paskelbė praktinius vadovus, kaip sukurti DI sistemų mokymo duomenų bazes.

Šių informacinių lapelių tikslas – padėti specialistams suderinti inovacijas su pagarba individualioms teisėms. Viešos konsultacijos dėl jų vyks iki 2023 m. lapkričio 16 d.

• Rugsėjo 14 d. nevyriausybinė organizacija „noyb“ Prancūzijoje pateikė tris skundus prieš „Fnac“, nekilnojamojo turto programėlę „SeLoger“ ir fitneso programėlę „MyFitnessPal“.

Šių bendrovių programėlės neteisėtai pasiektų vartotojų asmens duomenis ir jais dalytųsi su trečiosiomis šalimis sudėtingos analizės tikslais vos tik programa atidaroma, neinformavus atitinkamų asmenų ir negavus jų sutikimo.

NVO planuoja pateikti daugiau skundų prieš mobiliųjų programėlių bendroves.

 

Europos institucijos ir įstaigos

• Spalio 12 d. pradėjusi tyrimą dėl X atitikties Skaitmeninių paslaugų reglamentui (DSR), Europos Komisija taip pat nagrinėja „Meta“ ir „TikTok“.

Pranešama, kad socialinių tinklų bendrovės nuo Izraelio ir „Hamas“ karo pradžios gavo oficialių prašymų pateikti informacijos apie tai, kaip jos tvarko neteisėtą turinį ir dezinformaciją.

• Kai kurie kritikuoja Europos Komisiją už tai, kad ji nesilaiko savo pačios taisyklių dėl mikrotargetavimo socialiniuose tinkluose.

Šiandien spauda, NVO ir Europos parlamento nariai ją kaltina tuo, kad savo komunikacijoje su auditorija iš šalių, skeptiškai vertinančių jos siūlomą vaikų pornografijos (CSAM) reglamentą, ji taikėsi į tam tikrus interneto vartotojų profilius.

• 2023 m. rugsėjį Europos Komisija paskelbė dvi dirbtinio intelekto pavyzdines sutarčių sąlygas, kurias galima savanoriškai naudoti vykdant dirbtinio intelekto viešuosius pirkimus, tiek tvarkant duomenis, susijusius su didele rizika, tiek be jos.

Šios sąlygos skirtos viešosioms įstaigoms, norinčioms įsigyti išorės tiekėjo sukurtą dirbtinio intelekto sistemą.

• Europos duomenų apsaugos priežiūros pareigūnas (EDAPP) spalio 23 d. paskelbė rekomendacijas ES teisėkūros institucijoms dėl trišalių dialogų dėl dirbtinio intelekto reglamento.

Visų pirma, jis pritaria tam, kad į reglamentą būtų įtraukta asmenų, kuriems daro įtaką dirbtinio intelekto sistemų naudojimas, teisė pateikti skundą kompetentingai institucijai ir pasinaudoti veiksminga teismine teisių gynimo priemone dėl jos sprendimų.

Jis taip pat pakartoja savo raginimą paskirti duomenų apsaugos institucijas nacionalinėmis priežiūros institucijomis.

Jis taip pat pritaria europinio požiūrio poreikiui, ypač tarpvalstybiniais atvejais, turinčiais didelį poveikį, ir Europos Parlamento pasiūlymui įsteigti „Europos dirbtinio intelekto biurą“.

• EDAPP taip pat spalio 11 d. paskelbė nuomonę dėl dviejų siūlomų gairių, susijusių su dirbtinio intelekto atsakomybės taisyklėmis.
• Europos duomenų apsaugos valdyba (EDAV) ir EDAPP rugsėjo 19 d. priėmė bendrą nuomonę dėl pasiūlymo dėl reglamento dėl papildomų BDAR taikymo procedūrinių taisyklių.

Šiuo pasiūlymu siekiama užtikrinti greitą taisomųjų priemonių įgyvendinimą asmenims tarpvalstybiniais atvejais.

EDAV ir EDAPP ragina visapusiškai suderinti priimtinumo reikalavimus, siūlo gerinti sutarimo siekimą labiau įtraukiant atitinkamas priežiūros institucijas ir ragina teisės aktų leidėjus išlaikyti dabartinį požiūrį į šalių teisę būti išklausytoms ginčų sprendimo procese.

• Europos duomenų apsaugos valdyba (EDAV) ir Europos duomenų apsaugos pareigūnas (EDAP) spalio 17 d. paskelbė bendrą nuomonę dėl reglamento, susijusio su skaitmeniniu euru, pasiūlymo.

Reguliavimo institucijos ypač pritaria tam, kad vartotojai galėtų pasirinkti mokėti skaitmeniniais eurais arba grynaisiais pinigais.

Vis dėlto jie pateikia keletą pastabų, siekdami užtikrinti, kad būtų tvarkomi tik būtini asmens duomenys, ypač kovojant su sukčiavimu, ir išvengti pernelyg didelio asmens duomenų centralizavimo Europos Centriniame Banke ar nacionaliniuose centriniuose bankuose.

• Spalio mėnesio plenarinėje sesijoje EDAV pasirinko trečiojo koordinuoto BDAR įgyvendinimo veiksmo temą: kaip įmonės įgyvendina asmenų teisę susipažinti su duomenimis.

Šis veiksmas planuojamas 2024 m. ir bus tikslingai stebimas nacionaliniu ir Europos lygmenimis.

• Spalio 31 d. Norvegijos duomenų apsaugos tarnyba (DPA) paskelbė pareiškimą, kuriame nurodė, kad jos sprendimas prieš „Meta“ bus taikomas ir ES/EEE.

Pranešime spaudai teigiama, kad Europos duomenų apsaugos valdyba (EDV) ką tik patvirtino Norvegijos draudimo taikyti elgesio rinkodarą „Facebook“ ir „Instagram“ platformose nuolatinį pratęsimą visoje Europoje.

• Po atskleistos informacijos ir Europos Parlamento tyrimo dėl šnipinėjimo programos „Pegasus“, „Amnesty International“ ir Europos tyrimų bendradarbiavimo (EIC) ataskaitoje nagrinėjama „Predator“ byla ir pabrėžiamas ES nesugebėjimas reguliuoti šnipinėjimo programų piktnaudžiavimo savo teritorijoje.

Ataskaitoje daugiausia dėmesio skiriama Europoje įsikūrusiai grupei „Intellexa Alliance“, kuri 2007–2022 m. „kūrė, valdė ir pardavinėjo“ „stebėjimo produktų rinkinį“. 

Šie produktai leidžia siųsti tylius užkrėtimo bandymus bendradarbiaujančių interneto paslaugų teikėjų vartotojams arba visoje šalyje, jei šnipinėjimo programų operatorius turi tiesioginę prieigą prie interneto srauto.

• Rugsėjo 6 d. Europos farmacijos pramonės (EPFIA) atstovai pasisakė prieš siūlomo reglamento dėl būsimos Europos sveikatos duomenų erdvės (EHDS) įvedimą, numatantį atsisakymo mechanizmą, susijusį su sveikatos duomenų rinkimu antriniam naudojimui.

Grupės pozicija atspindi tyrėjų ir technologijų kūrėjų susirūpinimą, kurie baiminasi, kad įdiegus sistemoje galimybę atsisakyti duomenų, bus pakenkta duomenų naudojimui moksliniams tyrimams ir inovacijoms.

• 2023 m. rugsėjo 5 d. pranešime spaudai „TikTok“ paskelbė, kad stiprina savo Europos vartotojų duomenų apsaugą.

Be vieno Dubline, bendrovė planuoja du naujus duomenų centrus Europoje.

„TikTok“ taip pat pasamdė trečiosios šalies Europos saugumo bendrovę, kad ši atliktų nepriklausomą duomenų tvarkymo auditą.

 

Naujienos iš Europos šalių narių.

• Belgijos duomenų apsaugos tarnyba (APD) spalio 20 d. paskelbė kontrolinį sąrašą, kuris padės organizacijoms užtikrinti, kad jų praktika, susijusi su slapukais ir kitais sekimo mechanizmais, atitiktų galiojančius reglamentus.

Dokumente galite žingsnis po žingsnio peržiūrėti gerąją ir blogąją patirtį.

APD primena, kad sutikimo nereikia tik griežtai būtiniems slapukams, o visų kitų kategorijų slapukus galima patalpinti ir nuskaityti tik tuo atveju, jei vartotojas iš anksto davė laisvą, konkretų, informuotą, nedviprasmišką ir aktyvų sutikimą.

• Amsterdamo apygardos teismas spalio 18 d. priėmė svarbų sprendimą sutrumpintame procese dėl reklamos technologijų (AdTech) ir sekimo slapukų.

Prancūzijos bendrovė „Criteo“ negali tiesiog remtis savo klientų (svetainių leidėjų) sutartine prievole gauti interneto vartotojų sutikimą: ji taip pat yra atsakinga už galiojančio sutikimo dėl slapukų diegimo gavimą, nesant jo (ir nesant leidėjo sutikimo), slapukų diegimas yra neteisėtas.

Sprendimas pagrįstas Romos II konvencija (Teismo jurisdikcija), E. privatumo direktyva ir BDAR.

Teismas pripažįsta CNIL sprendimą ir atmeta „Criteo“ gynybos argumentus, kad ieškovas nebuvo sukonfigūravę savo naršyklės taip, kad ji atmestų slapukus.

Taip pat atmeta argumentą, kad ieškovo reikalavimai pakenktų jo verslo modeliui, atsižvelgiant į tai, kad viršesni yra ieškovo privatumo interesai.

Teismas taip pat taiko Teisingumo Teismo sprendimą Österreichische Post byloje (C-154/21), nuspręsdamas, kad „Criteo“ privalo pateikti išsamią trečiųjų šalių, su kuriomis buvo bendrinami duomenys, apžvalgą.

• Graikijos duomenų apsaugos tarnyba (DPA) skyrė Atėnų miesto transporto organizacijai (OASA) 50 000 eurų baudą už BDAR 5(1)(e) straipsnio pažeidimą, nes jos elektroninių bilietų sistema neatitiko saugojimo apribojimo principo.

Ji taip pat papeikė OASA už BDAR 35(1) straipsnio pažeidimą, nes jos atliktas elektroninių bilietų sistemos duomenų apsaugos poveikio vertinimas buvo nepakankamas.

• Švedijos duomenų apsaugos tarnyba (APD) skyrė Stokholmo miesto švietimo valdybai 800 000 Švedijos kronų (maždaug 68 324 eurų) baudą už stebėjimo kamerų naudojimą mokykloje, pažeidžiant BDAR 5(1) straipsnio a ir c punktus, 6(1) straipsnį ir 13 straipsnį.
• Italijos duomenų apsaugos tarnyba (APD) skyrė 20 000 eurų baudą Italijos advokatų asociacijai už tai, kad ji savo interneto svetainėje paskelbė informaciją apie du skundo pateikėjus neturėdama teisėto teisinio pagrindo, vadovaudamasi BDAR 10 straipsnio ir Italijos privatumo kodekso 2octies straipsnio nuostatomis.
• Kroatijos duomenų apsaugos tarnyba (APD) skyrė didžiausią kada nors skirtą administracinę baudą – 5 470 000 eurų – skolų išieškojimo agentūrai „EOS Matrix doo“ už daugybę BDAR pažeidimų.
• Jungtinėje Karalystėje „Clearview AI“ laimėjo apeliaciją dėl JK duomenų apsaugos institucijos (DPA) skirtos baudos Pirmosios instancijos tribunole (FTT).

Teismas nusprendė, kad „JK BDAR“ netaikomas, teigdamas, kad „Clearview“ tvarkymo veikla apėmė paslaugos teikimą teisėsaugos institucijų, esančių trečiojoje šalyje, vardu, o tai nepatenka į BDAR ir „JK BDAR“ taikymo sritį.

Teismas taip pat laiko „Clearview“ ir jos klientus bendrais duomenų valdytojais, atsakingais už duomenų tvarkymą šiuo represiniu tikslu.

Teismo motyvai sukėlė daug diskusijų tarp duomenų apsaugos ekspertų dėl bendrų duomenų valdytojų kvalifikavimo ir Europos ir (arba) Didžiosios Britanijos teisės netaikymo konkrečiam atvejui.

• Spalio pradžioje ICO dėmesį patraukė „Snap“ dirbtinio intelekto pokalbių robotas.

APD paskelbė, kad išleido preliminarų vykdymo pranešimą prieš „Snap“ dėl to, ką ji apibūdina kaip „galimą nesugebėjimą tinkamai įvertinti privatumo riziką, kurią kelia jos pokalbių robotas „My AI““.

Vis daugiau duomenų apsaugos institucijų, pavyzdžiui, JK ir Italijos, prisiima dirbtinio intelekto reguliavimo institucijų atsakomybę.

 

• Pasaulinė privatumo asamblėja (GPA) savo metinę konferenciją surengė spalio viduryje Bermuduose.

Valdžios institucijos diskutavo apie privatumo taisyklių taikymą dirbtiniam intelektui ir spalio 20 d. priėmė rezoliuciją dėl generatyvinio dirbtinio intelekto.

Rezoliucija buvo priimta po to, kai spalio 30 d. G7 lyderiai priėmė tarptautinius dirbtinio intelekto (DI) gaires ir savanorišką DI kūrėjų elgesio kodeksą, kurie yra Hirošimos DI proceso dalis.

• Jungtinės Valstijos taip pat spalio 30 d. paskelbs dirbtinio intelekto dekretą ir dirbtinio intelekto rizikos valdymo vadovą, o Jungtinė Karalystė lapkričio 2 d. rengia dirbtinio intelekto saugumo aukščiausiojo lygio susitikimą.
• Naujosios Zelandijos privatumo komisaro biuras paskelbė vadovą, kaip kurti ir naudoti dirbtinio intelekto sistemas laikantis privatumo principų (PPP).
• Rugsėjį Kanada taip pat paskelbė elgesio kodeksą pažangių generatyvinio dirbtinio intelekto sistemų kūrėjams ir valdytojams.

Kodekse nustatomos priemonės, kurias reikia įgyvendinti siekiant sušvelninti su šiomis sistemomis susijusią riziką, remiantis šešiais pagrindiniais principais: atsakomybe, saugumu, teisingumu / sąžiningumu, skaidrumu, žmonių priežiūra, sistemų pagrįstumu / patikimumu.

• Jungtinės Valstijos: 41 JAV valstijos generaliniai prokurorai suvienijo jėgas, kad pateiktų ieškinį bendrovei „Meta“, teigdami, kad jos socialinės žiniasklaidos platformos „Instagram“ ir „Facebook“ sukelia priklausomybę ir yra kenksmingos vaikams.

Ieškinyje „Meta“ kaltinama tuo, kad pakartotinai ir sistemingai rinko informaciją apie jaunesnius nei 13 metų vaikus ir neinformavo tėvų arba negavo jų sutikimo dėl šios informacijos naudojimo.

• Kalifornija 2023 m. spalio 12 d. paskelbė įstatymo projektą, reglamentuojantį duomenų brokerius, kuriuo iš dalies keičiamas galiojantis 2018 m. įstatymas (CCPA).

Tekste numatyta, kad duomenų tarpininkai privalo užsiregistruoti privatumo agentūroje ir pateikti jai išsamesnę informaciją apie individualius prašymus, tam tikros informacijos rinkimą ir privalomą jų atitikties įstatymams auditą.

Projektas taip pat sukuria mechanizmą, leidžiantį asmenims prašyti, kad visi duomenų brokeriai ištrintų jų asmeninę informaciją.

• Genetinių tyrimų paslauga „23andMe“ patyrė duomenų nutekėjimą.

Kibernetinių nusikaltimų forume „BreachForums“ įsilaužėlis paskelbė keturių milijonų vartotojų genetinę informaciją.

Šis incidentas įvyko po kito nutekėjimo, įvykusio spalio pradžioje.

• Jungtiniuose Arabų Emyratuose Dirbtinio intelekto, skaitmeninės ekonomikos ir nuotolinio darbo taikymų ministerija paskelbė baltąją knygą pavadinimu „Savivaldos sistema atsakingai metavisatai“.