Juridiskā uzraudzība Nr. 58 — 2023. gada aprīlis.

ChatGPT: Kāds ir jauno mākslīgā intelekta lietojumprogrammu tiesiskais regulējums?

ChatGPT, Google Bard, Stable Diffusion un Dall-E ir Lielie valodu modeļi (LLM) esošo valodu modeļu apakškategorija.

Valodas modeļi ir datorprogrammas, kas paredzētas teksta apstrādei un ģenerēšanai līdzīgi kā cilvēks.

Tie ietver, piemēram, runas atpazīšanu, mašīntulkošanu, teksta pārveidošanu runā un satura ģenerēšanu. LLM ir lielāki un sarežģītāki nekā tradicionālie modeļi.

Tie tiek apmācīti darbā ar ļoti lieliem teksta korpusiem, kas dažkārt sastāv no miljoniem teksta lappušu, un izmanto dziļas neironu tīklu arhitektūras, lai iemācītos apstrādāt valodu.

Tādējādi LLM var nodrošināt bezgalīgu pieprasījuma satura dažādību, neatkarīgi no tā, vai tas ir dzejolis, filmas scenārijs, datorprogrammēšanas kods vai muzikāls skaņdarbs.

Tomēr informācija nav aktuāla: ChatGPT tika apmācīts, izmantojot internetā pieejamo informāciju līdz 2021. gadam.

Tāpēc nav jēgas lūgt viņam jaunāko informāciju par datu pārsūtīšanu uz Amerikas Savienotajām Valstīm vai komentāru par jaunāko CNIL sankciju.

LLM rada daudzus juridiskus un ētiskus jautājumus, jo īpaši attiecībā uz autortiesībām, datu aizsardzību, dezinformāciju un diskrimināciju.

Pēdējās nedēļās daudzi regulatori ir sākuši reaģēt, vadošā Itālijas datu aizsardzības iestāde.

31. martā pēdējā izdeva rīkojumu pret OpenAI, bloķējot ChatGPT Itālijā, jo 

• pieteikumā trūkstošās caurredzamības dēļ,
• likumīga iemesla neesamības dēļ apstrādei,
• apstrādāto datu precizitātes nenodrošināšanas dēļ,
• vecuma pārbaudes trūkums un
• par vispārēju "privātuma aizsardzības pēc projektēšanas" principa pārkāpumu.

Tai cieši sekoja Vācija, kas sāka pārbaudīt ChatGPT atbilstību GDPR: Šlēsvigas-Holšteinas federālā zeme nosūtīja OpenAI anketu, uz kuru tai bija jāatbild līdz 11. jūnijam.

Eiropas Datu aizsardzības kolēģija sekoja savu valstu biedru piemēram un izveidoja darba grupu šajā jautājumā, un Eiropas Patērētāju organizācija (BEUC) rakstīja patērētāju tiesību aizsardzības iestāžu tīklam un patērētāju drošības iestāžu tīklam (CPC un CSN tīkliem), lūdzot tiem izmeklēt LLM.

Arī pāri Atlantijas okeānam Federālā tirdzniecības komisija (FTC) norāda, ka spēkā esošie ASV nozaru līmeņa likumi attiecas uz ģeneratīvo mākslīgo intelektu, vienlaikus brīdinot uzņēmumus stingri ņemt vērā patērētāju intereses un riskus, kas saistīti ar notiekošo ieviešanu.

Pēc šīm izmeklēšanām OpenAI ir veicis noteiktus pasākumus:

• Tiesību iebilst pret datu apstrādi īstenošana;
• Privātuma politikas paplašināšana un uzlabota pārskatāmība, informācija par veiktajiem atjauninājumiem;
• Mehānismu ieviešana neprecīzas informācijas dzēšanai;
• Pievienotas veidlapas, kas ļauj jebkuram Eiropas lietotājam filtrēt tērzēšanas sarunas un datu vēsturi, kas izmantota apmācības algoritmu apmācībai un uzlabošanai.
• Pievienota iespēja eksportēt datus un pārbaudīt saglabāto informāciju.

Lai gan ChatGPT atkal ir pieejams Itālijā, joprojām ir daudz jautājumu.

Atvērtā mākslīgā intelekta nodrošinātie drošības pasākumi ļauj lietojumprogrammas lietotājiem labot vai dzēst savus datus, taču tiem nav ietekmes uz visu to personu datu apstrādi, kuras lietojumprogrammu nelieto, tādējādi radot nopietnas bažas par reputāciju.

 Nesen ChatGPT apsūdzēja tiesību zinātņu profesoru seksuālā uzmākšanās, un iespējamais avots bija raksts, kas nekad netika uzrakstīts.

Iespējami arī rasu vai etniskie aizspriedumi. ChatGPT tika apmācīts, izmantojot interneta datus, un tāpēc tas, visticamāk, atspoguļos un uzturēs tīmeklī pastāvošos sabiedrības aizspriedumus.

Tādējādi medicīnisko lēmumu pieņemšanā izmantotais prognozējošais algoritms ir pieņēmis neobjektīvus lēmumus pret melnādainajiem pacientiem.

Lai gan algoritma izstrādātāji, darbinot sistēmu, izslēdza rasi kā mērīšanas kritēriju, algoritms turpināja veicināt aizspriedumus pret melnādainajiem pacientiem, ņemot vērā noteiktus ekonomiskos faktorus un veselības aprūpes izmaksas.

Visbeidzot, palielinās kibernoziegumu riski, piemēram, pārliecinošāku pikšķerēšanas e-pastu ģenerēšana vai jaunu uzbrukuma metožu apguve, kā uzsvērts Apvienotās Karalistes Nacionālā kiberdrošības centra un ASV Federālās tirdzniecības komisijas ziņojumā.

Varētu rasties jautājums, kāpēc ChapGPT izstrādātāji datu aizsardzību neintegrēja jau lietojumprogrammas izstrādes stadijā, bet gan katrā gadījumā atsevišķi, pamatojoties uz regulatoru reakcijām.

Atvērtais mākslīgais intelekts nav jaunpienācējs: tas tiek izstrādāts kopš 2016. gada pieredzējušu līdzdibinātāju vadībā, un tam ir bijušas sešas finansējuma kārtas.

Tā pašreizējā vērtība ir 29 miljardi ASV dolāru, un tā mākslīgā intelekta rīki ir integrēti produktos, kas nav balstīti uz mākslīgo intelektu un kurus ikdienā izmanto miljoniem cilvēku, pateicoties partnerībai ar Microsoft.

Šādā kontekstā "integrētās privātuma aizsardzības" principi ir ne tikai vēlami, bet arī neatņemama GDPR prasību sastāvdaļa.

To īstenošana būtu vēl vairāk jānostiprina, pieņemot gaidāmo Eiropas regulu par mākslīgo intelektu, saskaņā ar kuru sistēmām, kas rada augstu risku, būtu jāatbilst stingrākam režīmam, tostarp prasībām attiecībā uz riska pārvaldību, pārredzamību un datu pārvaldību.

Jaunākajā EP deputātu apspriestajā regulas versijā ir arī noteikts, ka visiem mākslīgā intelekta modeļiem jāatbilst uzraudzības, tehniskās noturības un drošības, privātuma aizsardzības, datu pārvaldības, pārredzamības, sociālās un vides labklājības, daudzveidības, nediskriminācijas un taisnīguma principiem.

 

Un arī

URSSAF

1. maija nedēļas nogalē, Urssaf pieļāva datora kļūdu. kas noveda pie vairāku tūkstošu pašnodarbināto personu datu publiskošanas.

Daži biedri apgalvo, ka ir saņēmuši dokumentus, kuros ir "astoņpadsmit citu cilvēku" maksājumu grafiki vai pat, visizteiktākajos gadījumos, "301 Urssaf maksājumu grafiku lappuse, kas uz mani neattiecas".

Šie faili satur sensitīvu personas informāciju, piemēram, bankas datus, ienākumus, adreses vai pilnas identitātes. 

Saskaņā ar iekšējās izmeklēšanas sākotnējiem atklājumiem, kopumā 10 640 cilvēkiem, kurus skārušas šīs apraides kļūdas, drīzumā vajadzētu saņemt brīdinājumu par to.

Urssaf ziņoja par drošības pārkāpumu CNIL.

DRONS

Kopš 19. aprīļa, Policijas darbiniekiem un žandarmiem ir atļauts filmēt pulcēšanos no debesīm.

Tā tas bija Stade de France stadionā, Majotā, Havrā un 1. maija demonstrāciju laikā Parīzē.

Policijas prefektūras 28. aprīļa dekrēts atļauj ar transportlīdzekļu kamerām pārlidot demonstrantus galvaspilsētā, lai novērstu "uzbrukumus personu un īpašuma drošībai" un "uzturētu vai atjaunotu sabiedrisko kārtību".

Šī ir viena no pirmajām atļaujām, kas izdota saskaņā ar nesen Iekšlietu ministrijas dekrētu kā daļu no jaunā likuma par kriminālatbildību un iekšējo drošību.

CNIL ir publicējusi divus atzinumus (2021. gada janvārī un jūlijā) par šiem jaunajiem tiesību aktiem, un šajā reizē tā aicināja stingri regulēt dronu izmantošanu, ņemot vērā sabiedrisko brīvību un personu privātuma aizskāruma riskus.

KIBERDROŠĪBA

2022. gada 3. marta likums, kas stāsies spēkā 2023. gada 1. oktobrī, ievieš kiberdrošības sertifikācija digitālajām platformām, kas paredzētas plašai sabiedrībai.

Tiešsaistes platformu operatoriem un numuru neizmantojošu starppersonu saziņas pakalpojumu sniedzējiem būs jāveic kiberdrošības audits, kas aptver gan to mitināto datu drošību un atrašanās vietu, gan viņu pašu drošību.

Saskaņā ar kiberrezultāta ieviešanas dekrēta projektu audita procedūras ietvers SecNumCloud atsauces sistēmas izmantošanu datu iedarbībai ekstrateritoriālo tiesību aktu ietvaros, mitināšanas infrastruktūru atrašanās vietu Eiropā un apakšuzņēmēju valstspiederību.

CNIL

CNIL publicēja 3. aprīlī jaunā tās rokasgrāmatas versija par personas datu drošību.

Jaunajā versijā ir ņemti vērā jaunākie CNIL ieteikumi par parolēm un reģistrēšanu.

 

Eiropas iestādes un struktūras

EIROPAS PARLAMENTS

• Datu pārsūtīšana starp ES un Amerikas Savienotajām Valstīm Pilsoņu brīvību komitejas locekļu 13. aprīlī pieņemtajā rezolūcijā pausts viedoklis, ka ES un Amerikas Savienoto Valstu ierosinātais datu aizsardzības regulējums ir “uzlabojums”, taču progress nav “pietiekams”, lai pamatotu lēmumu par personas datu pārsūtīšanas atbilstību.

Komisija norāda, ka regulējums joprojām atsevišķos gadījumos pieļauj masveida personas datu vākšanu un paredz apelācijas mehānismu, kas var nebūt neatkarīgs (tiesnešus varētu atlaist ASV prezidents, kurš varētu arī atcelt viņa lēmumus).

ES pilsoņiem varētu arī liegt īstenot savas tiesības piekļūt saviem datiem un tos labot, jo lēmumi tiktu turēti slepenībā.

EP deputāti mudina Komisiju "nodrošināt, lai turpmākais regulējums izturētu juridiskas problēmas un sniegtu juridisko noteiktību ES pilsoņiem un uzņēmumiem".

• Eiropas Parlamenta deputāti 27. aprīlī pārvarēja savas domstarpības un panāca provizorisku politisku vienošanos par Mākslīgā intelekta noteikumi.

Tekstā tiks iekļauti stingrāki pienākumi attiecībā uz tiesu pilnvaru devējiem un biometriskās identifikācijas programmatūru: sākotnēji šī atpazīšanas programmatūra bija aizliegta reāllaikā, taču to varēs izmantot tikai pēc nodarījuma izdarīšanas smagu noziegumu gadījumā un ar iepriekšēju atļauju.

Pirms svarīgas balsošanas komitejā, kas paredzēta 11. maijā, tekstā vēl varētu tikt veiktas nelielas tehniskas korekcijas, un paredzams, ka par to balsos plenārsēdē jūnija vidū.

• 20. aprīlī Eiropas Parlamenta deputāti apstiprināja pirmo ES likumdošanas tekstu par izsekot kriptoaktīvu pārskaitījumus piemēram, bitkoini un elektroniskās valūtas žetoni.

Teksts, ko Parlamenta un Padomes sarunu vedēji provizoriski apstiprināja 2022. gada jūnijā, ir paredzēts, lai nodrošinātu, ka kriptovalūtas pārskaitījumus, tāpat kā jebkurus citus finanšu darījumus, vienmēr var izsekot un aizdomīgus darījumus bloķēt.

Eiropas Parlaments un ES dalībvalstis pašlaik risina sarunas par Kibernoturības likums (CRA) — jauna regula, kuras mērķis ir stiprināt savienoto ierīču digitālo drošību ES.

ARC ierosina audita un sertifikācijas prasības savienoto ierīču programmatūras un aparatūras ražotājiem un paredz minimālo periodu, kurā tiem jānodrošina programmatūras drošības ielāpi saviem produktiem.

 

EDAK

• Eiropas Datu aizsardzības kolēģija (EDAK) 27. aprīlī publicēja Rokasgrāmata MVU, kurā sīki aprakstīti principi, kas piemērojami darbinieku, klientu un biznesa partneru datu apstrādei.

Rokasgrāmatā ir arī paskaidroti svarīgākie drošības noteikumi, kas jāievēro, un tas, kā rīkoties personas datu pārkāpuma gadījumā.

• EDAK 19. aprīlī publicēja ziņot par darba grupas darba rezultātiem attiecībā uz 101 sūdzību, ko NVO NOYB iesniegusi pēc EST nolēmuma Šrems II lietā.

Šīs sūdzības attiecas uz rīkiem “Google Analytics” un “Facebook Business Tools”, kā arī uz personas datu pārsūtīšanu uz Amerikas Savienotajām Valstīm.

Ziņojumā ir izklāstītas darba grupas kopīgās nostājas un sniegta informācija par attiecīgo pirmo lietu rezultātiem.

Vairākas datu aizsardzības iestādes ir likušas tīmekļa vietņu operatoriem apturēt attiecīgo datu pārsūtīšanu. 

• 4. aprīlī EDAK publicēja savas galīgās versijas 9/2022 vadlīnijas par personas datu pārkāpumu paziņošanu.

 

CVRIA

• Eiropas Savienības Tiesa 4. maija spriedumā lēma, ka attiecīgās personas piekļuves tiesības nozīmē tiesības iegūt pilnus dokumentus vai dokumentu izrakstus, vai datubāzu izrakstus, ja tas ir būtiski, lai attiecīgā persona varētu efektīvi īstenot savas tiesības.

Šajā konkrētajā gadījumā CRIF, uzņēmums, kas specializējas komercinformācijas sniegšanā, sūdzības iesniedzējam bija sniedzis savu datu kopsavilkumu.

• EST arī pirmo reizi ir lēmusi par nemateriālā kaitējuma atlīdzības piespriešanu saskaņā ar GDPR.

Lai gan Tiesa savā 4. maija spriedumā apstiprina, ka GDPR neprasa "slieksni" zaudējumu atlīdzības pieprasīšanai, tā tomēr atgādina, ka ir jābūt pārkāpumam, zaudējumu atlīdzināšanai un cēloņsakarībai, un ka prasības nevar celt bez faktiska kaitējuma.

Lieta radās, kad Austrijas pasta dienests ģenerēja statistiku par miljonu cilvēku iespējamo politisko nostāju.

Sūdzības iesniedzējam bija piešķirta iespējama līdzdalība galēji labējā partijā, taču nebija skaidrs, vai šī informācija ir izpausta trešajai personai, jo viņš bija iekļauts pasta reklāmas izslēgšanas sarakstā.

• Līdzīgā kontekstā EST ģenerāladvokāts 27. aprīlī sniedza savu atzinumu par šādu jautājumu: vai Bulgārijas Valsts ieņēmumu aģentūras rīcībā esošo personas datu nelikumīga izplatīšana pēc datoruzlaušanas var radīt atlīdzību par morālo kaitējumu attiecīgajai personai tikai tāpēc, ka pēdējā baidās no iespējamas savu datu ļaunprātīgas izmantošanas?

Saskaņā ar Ģenerālās asamblejas viedokli, morālais kaitējums, kā definēts GDPR 82. pantā, nedrīkst tikt jaukts ar vienkāršiem neērtībām.

Zaudējumu atlīdzībai jābūt objektīvi pierādāmai, un tā nedrīkst būt atkarīga tikai no prasītāja subjektīvā viedokļa.

 

Nacionālās ziņas

• ITĀLIJA: 2. martā Itālijas Datu aizsardzības iestāde (APD) sodīja datu pārzini ar 5000 eiro sodu par nevēlamu komerciālu paziņojumu sūtīšanu uz e-pasta adresēm, kas izveidotas ar programmatūras palīdzību, automātiski apvienojot internetā apkopotos datus.
• AUSTRIJA: Pēc noyb iesniegtās sūdzības Austrijas Datu aizsardzības iestāde (APD) 29. martā paziņoja, ka laikraksta tīmekļa vietnē ievietotais sīkfailu reklāmkarogs “pieņemt vai maksāt” neatbilst GDPR prasībām, ņemot vērā piekrišanas detalizācijas prasības.
• NĪDERLANDE: 4. aprīlī Nīderlandes apelācijas tiesa lika Uber nodrošināt autovadītājiem piekļuvi viņu personas datiem un paskaidrojumiem par automatizētu lēmumu pieņemšanu. Tiesa arī piesprieda datu pārzinim sodu 4000 eiro apmērā dienā.
• SPĀNIJA: Katalonijas datu aizsardzības iestāde ir atzinusi sejas atpazīšanas sistēmu izmantošanu krāpšanas novēršanai tiešsaistes universitāšu eksāmenos par nesamērīgu. Tā ir sodījusi datu pārzini ar 20 000 eiro sodu par GDPR 5. panta (1) punkta (a) apakšpunkta un 9. panta pārkāpumu.
• APVIENOTĀ KARALISTE: Gandrīz 50 Lielbritānijas parlamenta deputāti ir rakstījuši uzņēmumam, kam pieder veikali House of Fraser un Sports Direct, nosodot sejas atpazīšanas kameru izmantošanu grupas veikalos.

Aprakstot šo tehnoloģiju kā "invazīvu un diskriminējošu", parlamentārieši mudināja grupu pārtraukt šo kameru izmantošanu visā valstī.

• 4. aprīlī Apvienotās Karalistes Datu aizsardzības iestāde (DPA) uzsāka izmeklēšanu pret TikTok un piesprieda tam 12 700 000 sterliņu mārciņu sodu par bērnu datu ļaunprātīgu izmantošanu.
• Šifrētās ziņojumapmaiņas lietotnes “Signal” prezidents ir paudis bažas par Lielbritānijas valdības priekšlikumu par tiešsaistes drošību, kas varētu vājināt šifrēšanu un piespiest uzņēmumus skenēt šifrētus ziņojumus, meklējot nelegālu saturu.

Meredita Vitakere norāda, ka Signal varētu pamest Apvienoto Karalisti, ja tas notiktu. Līdzīgas bažas ir pauduši arī citi ziņojumapmaiņas uzņēmumi, piemēram, WhatsApp un Element.

 

• Vjetnama: 2023. gada 17. aprīlī Vjetnamas valdība publicēja Dekrētu Nr. 13/2023/ND par personas datu aizsardzību (“PDPD”), kas ir pirmais visaptverošais dokuments, kas regulē personas datu aizsardzību valstī.
• TANZĀNIJA: Jaunais likums par personas datu aizsardzību stājās spēkā 1. maijā.
• CBPR: 17. aprīlī Apvienotā Karaliste iesniedza pieteikumu pievienoties valstu grupai, kas ievēro Pārrobežu drošības noteikumus (CBPR), kurā pašlaik ietilpst Austrālija, Kanāda, Japāna, Korejas Republika, Meksika, Filipīnas, Singapūra, Ķīnas Taipeja un Amerikas Savienotās Valstis. CBPR, ko izveidojusi ASV Tirdzniecības ministrija, ļauj jebkurai jurisdikcijai pieteikties asociētās valsts statusam un izmantot brīvas datu apmaiņas priekšrocības ar dalībvalstīm, ja vien tajā ir likumi, kas aizsargā personas informāciju, un "vismaz viena valsts iestāde, kas ir atbildīga par likumu un/vai noteikumu izpildi".
• IAPP:Starptautiskās Privātuma speciālistu asociācijas (IAPP) infografikā ir uzskaitītas jurisdikcijas, kas piešķir datu aizsardzības iestādei vai valdības iestādei pilnvaras noteikt citas jurisdikcijas par tādām, kurās ir “atbilstoši” privātuma standarti.

To papildinās vēl viena infografika, kurā sīki aprakstīti mehānismi un vadlīnijas, kas regulē datu pārsūtīšanu atbilstoši jurisdikcijām (līguma klauzulas, piekrišana utt.).