Juridiskā uzraudzība Nr. 64 — 2023. gada oktobris.

Šifrēšana un aizmugurējās durvis: no tehniskiem ierobežojumiem līdz sabiedrības problēmām.

Pašreizējie notikumi Francijā atspoguļo pašreizējās debates, kas satrauc Eiropu, proti, tiesībaizsardzības iestāžu piekļuvi šifrētu ziņojumapmaiņas saturam.

Iekšlietu ministrs, komentējot radio nesen notikušo uzbrukumu Arrasas vidusskolā, 22. oktobrī pauda vēlmi, lai pilnībā šifrētās ziņojumapmaiņas sistēmās tiktu integrēta aizmugurējā durvju sistēma (backdoor), kas ļautu apiet ziņojumu šifrēšanu un piekļūt to saturam.

Pēc ministra teiktā, šī metode ir efektīvāka alternatīva pašreizējiem risinājumiem, kas paredz izlūkdienestu uzlaušanu aizdomās turētā tālrunī, lai instalētu, piemēram, spiegprogrammatūru.

Šī likumā stingri regulētā prakse nebija izdevusies terorista, kurš veica uzbrukumu, novērošanas laikā.

Mūsdienās daudz tiek runāts par "klienta puses skenēšanu" — metodi, kas atšķiras no ziņojumu pārtveršanas ("cilvēks pa vidu" — HDM).

Eksperts, uzstājoties Eiropas datu aizsardzības uzraudzītāja 23. oktobrī organizētā seminārā par šo tēmu, šīs metodes aprakstīja šādi: "cilvēks pa vidu" pārtver ziņojumus to pārraides laikā, savukārt "klienta puses skenēšana", tēlaini izsakoties, nozīmē lasīt pāri indivīda plecam, kamēr viņš raksta – pirms šifrēšanas –, lai salīdzinātu viņa ziņojumu ar nevēlamas datubāzes saturu.

Šī ir satura moderācijas forma, kas tiek veikta lietotāja terminālī.

Divas iniciatīvas, kuru mērķis ir sistemātiski izmantot klienta puses skenēšanu, pašlaik Briselē un Londonā izraisa lielu reakciju to uzmācīgā rakstura dēļ.

Eiropas līmenī vislielāko kritiku izpelnās CSAM regulējuma priekšlikums.

Teksta mērķis ir apkarot bērnu pornogrāfiju tiešsaistē, atklājot nelegāla satura izplatīšanu.

Lai gan pastāv vienprātība par šī mērķa ārkārtīgi lielo nozīmi, daudzas ieinteresētās personas apšauba ierosināto pasākumu efektivitāti, nepieciešamību un samērīgumu.

Nopietnas bažas ir paudušas ES datu aizsardzības iestādes, Eiropas iestāžu eksperti, kā arī bērnu aizsardzības organizācijas, akadēmiķi, kiberdrošības eksperti un bērnu seksuālas izmantošanas upuri.

Papildus riskam pārslogot tiesībaizsardzības iestādes ar viltus pozitīviem rezultātiem, tās kritiķi baidās no pārāk liela soļa ceļā uz sabiedrību, kurā katrs no mums dzīvos pastāvīgas uzraudzības sajūtā.

Vairāk nekā simts vadošajiem pētniekiem šajā jomā beidzot ir tehniski neiespējami ieviest satura skenēšanu, nevājinot pilnīgu šifrēšanu un nepārkāpjot lietotāju privātumu.

Daudzi eksperti piekrīt, ka pašreizējie jaunākie tehnoloģiskie risinājumi nav pietiekami uzticami un ir arī neaizsargāti pret kiberuzbrukumiem.

Pie šāda secinājuma nonāca arī Apple, kas šovasar paziņoja par atteikšanos no sava algoritmu projekta, un Meredita Vitakere, ziņojumapmaiņas pakalpojuma Signal prezidente: "Ja policija var iekļūt, to var arī hakeri, naidīgas valstis, Putins, Irānas valdība un ikviens, kurš vēlas nodarīt ļaunumu (...). Tāpēc ir svarīgi, lai mēs saglabātu šo sistēmu drošību un integritāti."

Šajā ziņā Lielbritānijas valdība, šķiet, ir mīkstinājusi savu nostāju attiecībā uz jauno likumu par drošību tiešsaistē, kas tika pieņemts 26. oktobrī (“Tiešsaistes drošības likumprojekts”).

Ministri tomēr neatcēla pretrunīgi vērtēto uzraudzības klauzulu, bet gan padarīja tās īstenošanu atkarīgu no tehniskās iespējamības.

Apvienotās Karalistes tehnoloģiju regulators (Ofcom) saglabā tiesības pieprasīt tehnoloģiju uzņēmumiem izstrādāt skenēšanas programmatūru atbilstoši tehnoloģiju attīstībai.

Ja šī tehnoloģija kļūs pieejama, vēl jāredz, kā tiks izvērtēts līdzsvars starp iestāžu represīvajiem mērķiem un indivīdu privātumu.

 

• 12. oktobrī CNIL uzlika CANAL+ GROUP 600 000 eiro sodu.

Sods jo īpaši attiecas uz informācijas sniegšanas pienākuma pārkāpumiem, attiecīgo personu tiesību īstenošanu, drošības problēmām saistībā ar uzņēmuma darbinieku parolēm, apakšuzņēmuma līgumiem un to, ka uzņēmums nepaziņoja CNIL par nopietnu personas datu pārkāpumu, kas notika 2020. gadā.

• CNIL 28. novembrī organizē ētikas pārdomu pasākumu ar nosaukumu "Mākslīgais intelekts un brīva griba: vai mēs esam digitālās avis?".

Pētnieki, eksperti un vizuālie mākslinieki apmainīsies viedokļiem par svarīgiem ētikas jautājumiem saistībā ar mākslīgā intelekta ietekmi uz indivīda izvēlēm.

• Arī mākslīgā intelekta tēmā CNIL 11. oktobrī publicēja praktiskas rokasgrāmatas par mākslīgā intelekta sistēmu apmācības datubāzu izveidi.

Šo faktu lapu mērķis ir palīdzēt profesionāļiem apvienot inovācijas ar individuālo tiesību ievērošanu. Tās ir pieejamas sabiedriskai apspriešanai līdz 2023. gada 16. novembrim.

• NVO noyb 14. septembrī Francijā iesniedza trīs sūdzības pret Fnac, nekustamo īpašumu lietotni SeLoger un fitnesa lietotni MyFitnessPal.

Šo uzņēmumu lietotnes nelikumīgi piekļūtu lietotāju personas datiem un kopīgotu tos ar trešajām personām sarežģītas analīzes nolūkos, tiklīdz lietotne tiktu atvērta, neinformējot vai nesaņemot attiecīgo personu piekrišanu.

NVO plāno iesniegt turpmākas sūdzības pret mobilo lietotņu uzņēmumiem.

 

Eiropas iestādes un struktūras

• Pēc tam, kad 12. oktobrī Eiropas Komisija uzsāka izmeklēšanu par X atbilstību Digitālo pakalpojumu regulai (DSA), tā izskata arī Meta un TikTok.

Kopš kara sākuma starp Izraēlu un Hamasu sociālo mediju uzņēmumi, kā ziņots, ir saņēmuši oficiālus informācijas pieprasījumus par to, kā tie rīkojas ar nelegālu saturu un dezinformāciju.

• Daži kritizē Eiropas Komisiju par to, ka tā neievēro savus noteikumus attiecībā uz mikromērķauditorijas atlasi sociālajos tīklos.

Šodien prese, NVO un Eiropas parlamenta deputāti viņu apsūdz par to, ka savā komunikācijā ar auditoriju valstīs, kas skeptiski vērtē viņas ierosināto regulu par bērnu pornogrāfiju (CSAM), viņa ir mērķējusi uz noteiktiem interneta lietotāju profiliem.

• 2023. gada septembrī Eiropas Komisija publicēja divus mākslīgā intelekta līguma klauzulu paraugus, kurus var brīvprātīgi izmantot mākslīgā intelekta publiskajos iepirkumos gan apstrādei ar augstu risku, gan bez tā.

Šīs klauzulas ir paredzētas publiskām iestādēm, kas vēlas iegādāties ārēja piegādātāja izstrādātu mākslīgā intelekta sistēmu.

• Eiropas Datu aizsardzības uzraudzītājs (EDAU) 23. oktobrī publicēja ieteikumus ES likumdevējiem trialogiem par mākslīgā intelekta regulu.

Jo īpaši tā atbalsta to, lai regulējumā tiktu iekļautas personas, kuras skar mākslīgā intelekta sistēmu izmantošana, tiesības iesniegt sūdzību kompetentajā iestādē un izmantot efektīvu tiesisko aizsardzību pret tās lēmumiem.

Viņš atkārtoti aicina datu aizsardzības iestādes iecelt par valsts uzraudzības iestādēm.

Viņš atbalsta arī nepieciešamību pēc Eiropas pieejas, jo īpaši pārrobežu lietās ar būtisku ietekmi, un Eiropas Parlamenta iesniegto priekšlikumu izveidot "Eiropas mākslīgā intelekta biroju".

• EDAU 11. oktobrī arī sniedza atzinumu par divām ierosinātajām vadlīnijām attiecībā uz mākslīgā intelekta atbildības noteikumiem.
• Eiropas Datu aizsardzības kolēģija (EDAK) un EDAU 19. septembrī pieņēma kopīgu atzinumu par priekšlikumu regulai par papildu procedūras noteikumiem GDPR piemērošanai.

Šī priekšlikuma mērķis ir nodrošināt ātru korektīvu pasākumu īstenošanu attiecībā uz personām pārrobežu lietās.

EDAK un EDAU aicina visaptveroši saskaņot pieņemamības prasības, ierosina uzlabot vienprātības veidošanu, vairāk iesaistot attiecīgās uzraudzības iestādes, un aicina likumdevējus saglabāt pašreizējo pieeju pušu tiesībām tikt uzklausītām strīdu izšķiršanas procesā.

• EDAK un EDAU 17. oktobrī sniedza kopīgu atzinumu par priekšlikumu regulai par digitālo eiro.

Regulatori īpaši atbalsta to, lai lietotājiem tiktu saglabāta izvēle norēķināties digitālajos eiro vai skaidrā naudā.

Tomēr tās sniedz vairākus novērojumus, lai nodrošinātu, ka tiek apstrādāti tikai nepieciešamie personas dati, jo īpaši krāpšanas apkarošanas kontekstā, un lai izvairītos no pārmērīgas personas datu centralizācijas no Eiropas Centrālās bankas vai valstu centrālo banku puses.

• Oktobra plenārsesijā EDAK izvēlējās tēmu savai trešajai koordinētajai GDPR īstenošanas darbībai: kā uzņēmumi īsteno personu piekļuves tiesības.

Šī darbība ir plānota 2024. gadā, un tai tiks piemērota mērķtiecīga uzraudzība valstu un Eiropas līmenī.

• 31. oktobrī Norvēģijas Datu aizsardzības iestāde (DPA) publicēja paziņojumu, kurā norādīja, ka tās lēmums pret Meta tiks attiecināts uz ES/EEZ.

Preses relīzē teikts, ka EDAK tikko ir apstiprinājusi Norvēģijas uzvedības mārketinga aizlieguma pastāvīgu pagarināšanu uz visu Eiropu Facebook un Instagram.

• Pēc atklāsmēm un Eiropas Parlamenta izmeklēšanas par Pegasus spiegprogrammatūru Amnesty International un Eiropas Izmeklēšanas sadarbības (EIC) ziņojumā tiek aplūkota Predator lieta un uzsvērta ES nespēja regulēt spiegprogrammatūras ļaunprātīgu izmantošanu savā teritorijā.

Ziņojumā galvenā uzmanība pievērsta Eiropā bāzētai grupai ar nosaukumu Intellexa Alliance, kas laika posmā no 2007. līdz 2022. gadam "izstrādāja, pārvaldīja un tirgoja" "uzraudzības produktu komplektu". 

Šie produkti ļauj nosūtīt klusus inficēšanas mēģinājumus sadarbojošos interneta pakalpojumu sniedzēju lietotājiem vai visā valstī, ja spiegprogrammatūras operatoram ir tieša piekļuve interneta datplūsmai.

• 6. septembrī Eiropas farmācijas nozares (EPFIA) pārstāvji iebilda pret atteikšanās mehānisma ieviešanu veselības datu vākšanai sekundārai izmantošanai ierosinātajā regulā par topošo Eiropas veselības datu telpu (EHDS).

Grupas nostāja atspoguļo pētnieku un tehnoloģiju izstrādātāju bažas, kuri baidās, ka atteikšanās ieviešana sistēmā apdraudēs datu izmantošanu pētniecībai un inovācijām.

• 2023. gada 5. septembra preses relīzē TikTok paziņoja, ka stiprina savu Eiropas lietotāju datu aizsardzību.

Papildus datu centram Dublinā uzņēmums plāno divus jaunus datu centrus Eiropā.

TikTok ir arī nolīgis trešās puses Eiropas drošības uzņēmumu, lai veiktu neatkarīgu datu apstrādes auditu.

 

Ziņas no Eiropas dalībvalstīm.

• Beļģijas Datu aizsardzības iestāde (APD) 20. oktobrī publicēja kontrolsarakstu, lai palīdzētu organizācijām nodrošināt, ka to prakse attiecībā uz sīkdatnēm un citiem izsekošanas mehānismiem atbilst spēkā esošajiem noteikumiem.

Dokuments ļauj soli pa solim iepazīties ar labām un sliktām praksēm.

APD atgādina, ka tikai stingri nepieciešamās sīkdatnes ir atbrīvotas no piekrišanas un ka visas pārējās sīkdatņu kategorijas var ievietot un nolasīt tikai tad, ja lietotājs ir devis iepriekšēju, brīvu, konkrētu, informētu, nepārprotamu un aktīvu piekrišanu.

• Amsterdamas apgabaltiesa 18. oktobrī pieņēma svarīgu lēmumu kopsavilkuma tiesvedībā par reklāmas tehnoloģijām (AdTech) un izsekošanas sīkfailiem.

Francijas uzņēmums Criteo nevar vienkārši atsaukties uz savu klientu (tīmekļa vietņu izdevēju) līgumsaistībām iegūt interneta lietotāju piekrišanu: tas ir atbildīgs arī par derīgas piekrišanas iegūšanu sīkfailu izvietošanai, pretējā gadījumā (un ja izdevējs nav saņēmis piekrišanu) sīkfailu izvietošana ir nelikumīga.

Lēmums ir balstīts uz Romas II konvenciju (Tiesas jurisdikcija), "ePrivātuma" direktīvu un VDAR.

Tiesa atzīst CNIL lēmumu un noraida Criteo aizstāvību, ka prasītājs nebija konfigurējis savu pārlūkprogrammu sīkfailu noraidīšanai.

Tā arī noraida argumentu, ka prasītāja prasības kaitētu tā uzņēmējdarbības modelim, ņemot vērā, ka prasītāja privātuma intereses ir svarīgākas.

Tiesa tālāk piemēro Tiesas spriedumu Österreichische Post lietā (C-154/21), lemjot, ka Criteo ir jāsniedz pilnīgs pārskats par trešajām personām, ar kurām dati ir tikuši kopīgoti.

• Grieķijas Datu aizsardzības iestāde (DAI) ir sodījusi Atēnu Pilsētas transporta organizāciju (OASA) ar 50 000 eiro par VDAR 5. panta (1) punkta (e) apakšpunkta pārkāpumu, jo tās elektroniskā biļešu pārdošanas sistēma neatbilda glabāšanas ierobežojuma principam.

Viņa arī aizrādīja OASA par VDAR 35. panta 1. punkta pārkāpumu, jo tās datu aizsardzības ietekmes novērtējums attiecībā uz elektronisko biļešu pārdošanas sistēmu nebija pietiekams.

• Zviedrijas Datu aizsardzības iestāde (APD) ir piespriedusi Stokholmas pilsētas Izglītības pārvaldei 800 000 Zviedrijas kronu (aptuveni 68 324 eiro) sodu par novērošanas kameru izmantošanu skolā, pārkāpjot GDPR 5. panta (1) punkta (a) un (c) apakšpunktu, 6. panta (1) punktu un 13. pantu.
• Itālijas Datu aizsardzības iestāde (APD) saskaņā ar GDPR 10. panta un Itālijas Privātuma kodeksa 2octies panta kombinētajiem noteikumiem ir piemērojusi Itālijas advokātu asociācijai 20 000 eiro sodu par informācijas publicēšanu savā tīmekļa vietnē par diviem sūdzības iesniedzējiem bez likumīga juridiska pamata.
• Horvātijas Datu aizsardzības iestāde (APD) ir piemērojusi visu laiku augstāko administratīvo sodu 5 470 000 eiro apmērā parādu piedziņas uzņēmumam EOS Matrix doo par vairākiem GDPR pārkāpumiem.
• Apvienotajā Karalistē Clearview AI uzvarēja apelācijā pret Apvienotās Karalistes Datu aizsardzības iestādes (DPA) sodu Pirmās instances tribunālā (FTT).

Tiesa lēma, ka "Apvienotās Karalistes GDPR" nav piemērojama, apgalvojot, ka Clearview apstrādes darbības ietvēra pakalpojuma sniegšanu trešā valstī esošu tiesībaizsardzības iestāžu vārdā, kas neietilpst GDPR un "Apvienotās Karalistes GDPR" darbības jomā.

Tiesa tālāk uzskata Clearview un tā klientus par kopīgiem datu pārziņiem attiecībā uz apstrādi šim represīvajam mērķim.

Tiesas argumentācija ir izraisījusi plašas diskusijas datu aizsardzības ekspertu vidū par kopīgu pārziņu kvalifikāciju un Eiropas un/vai Lielbritānijas tiesību aktu nepiemērošanu konkrētajā lietā.

• Oktobra sākumā Snap mākslīgā intelekta tērzēšanas robots piesaistīja ICO uzmanību.

APD paziņoja, ka ir izdevusi iepriekšēju paziņojumu par izpildes sniegšanu pret Snap par to, ko tā raksturo kā "potenciālu nespēju pienācīgi novērtēt privātuma riskus, ko rada tās tērzēšanas robots "My AI"".

Arvien vairāk datu aizsardzības iestāžu, piemēram, Apvienotajā Karalistē un Itālijā, pārņem mākslīgā intelekta regulatoru pienākumus.

 

• Globālā privātuma asambleja (GPA) savu ikgadējo konferenci rīkoja oktobra vidū Bermudu salās.

Varas iestādes apsprieda privātuma noteikumu piemērošanu mākslīgajam intelektam un 20. oktobrī pieņēma rezolūciju par ģeneratīvo mākslīgo intelektu.

Rezolūcija tika pieņemta laikā, kad G7 valstu vadītāji 30. oktobrī Hirosimas mākslīgā intelekta (MI) procesa ietvaros pieņēma starptautiskus vadlīniju principus un brīvprātīgu rīcības kodeksu MI izstrādātājiem.

• Amerikas Savienotās Valstis 30. oktobrī publicēs arī mākslīgā intelekta dekrētu un mākslīgā intelekta riska pārvaldības rokasgrāmatu, savukārt Apvienotā Karaliste 2. novembrī organizēs mākslīgā intelekta drošības samitu.
• Jaunzēlandes Privātuma komisāra birojs ir publicējis rokasgrāmatu par mākslīgā intelekta sistēmu izstrādi un izmantošanu saskaņā ar privātuma principiem (PPP).
• Kanāda septembrī publicēja arī rīcības kodeksu progresīvu ģeneratīvo mākslīgā intelekta sistēmu izstrādātājiem un vadītājiem.

Kodekss nosaka pasākumus, kas jāievieš, lai mazinātu ar šīm sistēmām saistītos riskus, pamatojoties uz sešiem pamatprincipiem: atbildību, drošību, taisnīgumu/godīgumu, pārredzamību, cilvēka uzraudzību, sistēmu derīgumu/robustumu.

• Amerikas Savienotās Valstis: 41 ASV štata ģenerālprokurori ir apvienojuši spēkus, lai iesniegtu prasību pret uzņēmumu Meta, apgalvojot, ka tā sociālo mediju platformas Instagram un Facebook rada atkarību un ir kaitīgas bērniem.

Prasībā Meta tiek apsūdzēta par atkārtotu un sistemātisku informācijas vākšanu par bērniem, kas jaunāki par 13 gadiem, kā arī par to, ka tā nav informējusi vecākus vai saņēmusi viņu piekrišanu par šīs informācijas izmantošanu.

• Kalifornija 2023. gada 12. oktobrī publicēja likumprojektu, kas regulē datu brokerus un groza spēkā esošo 2018. gada likumu (CCPA).

Tekstā ir noteikts, ka datu brokeriem ir jāreģistrējas privātuma aģentūrā un jāsniedz tai detalizētāka informācija par individuāliem pieprasījumiem, noteiktas informācijas vākšanu un obligāto revīziju par to atbilstību likumam.

Projekts arī izveido mehānismu, kas ļauj indivīdiem pieprasīt, lai visi datu brokeri dzēstu viņu personisko informāciju.

• Ģenētisko testu pakalpojums 23andMe ir cietis datu noplūdi.

Hakeris kibernoziegumu forumā BreachForums publicēja četru miljonu lietotāju ģenētisko informāciju.

Šis incidents seko citai noplūdei, kas notika oktobra sākumā.

• Apvienotajos Arābu Emirātos Mākslīgā intelekta, digitālās ekonomikas un attālinātā darba lietojumprogrammu ministrija publicē informatīvo dokumentu ar nosaukumu "Atbildīgas metaverses pašpārvaldes ietvars".