Juridiskā uzraudzība Nr. 74 — 2024. gada augusts.  

Telegram, Signal, Whatsapp… Cik labi ir tūlītējās ziņojumapmaiņas pakalpojumi profesionālā kontekstā?

Plašsaziņas līdzekļos ir bijusi dažāda reakcija uz ziņojumapmaiņas lietotnes dibinātāja Pāvela Durova arestu Francijā. Telegramma.

Neatkarīgi no politiskajām debatēm par šo tēmu, šī lieta dod mums iespēju izvērtēt tūlītējās ziņojumapmaiņas uzticamību.

Cik lielā mērā apmainītā informācija ir patiesi konfidenciāla? Vai šīs lietojumprogrammas ir salīdzināmas, un vai tās var izmantot profesionālā kontekstā?

Lielākā daļa tūlītējās ziņojumapmaiņas pakalpojumu mūsdienās lepojas ar savu saziņas šifrēšanu.

Tomēr prakse atšķiras atkarībā no ziņojumapmaiņas pakalpojuma.

Daudzi Telegram lietotāji pēdējās dienās ir uzzinājuši, ka viņu saziņa pēc noklusējuma nav aizsargāta.

Aizsargāta ir tikai tieša saziņa starp diviem dalībniekiem, kuri sarunu opcijās ir manuāli aktivizējuši šifrēšanu.

Jāatzīmē, ka Telegram neizmanto atvērtā koda šifrēšanu, piemēram, Signal protokolu, bet gan paļaujas uz "vietējo" tehnoloģiju, kuru nav iespējams pārbaudīt. 

Grupu diskusijas (vai tērzēšanas kanālus) nevar šifrēt, un tāpēc Telegram var piekļūt to saturam, kā arī informācijai par šo grupu dalībniekiem un administratoriem.

Šeit notiekošā apmaiņa vairāk līdzinās sociālā tīkla, nevis ziņojumapmaiņas pakalpojuma apmaiņai.

Telegram jau gadiem ilgi tiek kritizēta par diskusiju kanālu moderācijas trūkumu, daudzu valdību pieprasījumu ignorēšanu noņemt nelegālu saturu un atteikšanos dalīties ar informāciju par iespējamiem likumpārkāpējiem.

Šīs moderācijas un sadarbības ar tiesībaizsardzības iestādēm saistības ir paredzētas Francijas tiesību aktos un Eiropas digitālo pakalpojumu regulā.

Tieši šajā kontekstā tās dibinātājs tika arestēts par sadarbības trūkumu un līdzdalību organizētajā noziedzībā.

Tomēr šim pienākumam sadarboties ir ierobežojumi: tādējādi pilnībā šifrēta saziņa paliek konfidenciāla un to nevar pārtvert trešā persona, neatkarīgi no tā, vai tas ir ziņojumapmaiņas pakalpojumu sniedzējs, valdība vai hakeris.

Dažas valstis ir noraizējušās par šifrēšanas plašo izmantošanu un lobē par normatīvo aktu izmaiņām, kas ļautu to apiet.

Tas jo īpaši attiecas uz ierosināto Eiropas regulu par bērnu seksuālu izmantošanu (CSA).

Šis spiediens vājināt saziņas konfidencialitāti izraisa daudzas reakcijas no individuālo brīvību aizstāvju un datu aizsardzības iestāžu puses, kurām tas nozīmētu plašu privātās saziņas uzraudzību, apdraudētu digitālo drošību, pārkāpjot šifrēšanu, un nesniegtu nekādus pierādījumus tam, ka tas vispār sasniegtu savu mērķi aizsargāt bērnus.

Ņemot vērā pašreizējo tiesību aktu un tehnoloģiju stāvokli, profesionālo ziņojumu apmaiņai ir stingri ieteicams izmantot pilnībā šifrētu ziņojumapmaiņu, īpaši, ja ziņojuma saturs ir sensitīvs (piemēram, medicīniski vai finanšu dati).

Un šajā ziņā ne visas lietojumprogrammas ir vienādas. Lai gan ziņojumu saturs var būt aizsargāts, šifrēšana neliedz vākt noteiktus lietotāja identifikācijas un/vai savienojuma datus.

Izmantojot diskusiju grupas, visos gadījumos ieteicams ievērot īpašu piesardzību.

Grupu izmantošana WhatsApp Tādējādi sensitīvu datu apmaiņa profesionālā kontekstā ir novedusi pie tā, ka datu aizsardzības iestāde ir noteikusi sankcijas datu pārzinim.

Signāls tiek vispārēji atzīts par augsta aizsardzības līmeņa nodrošinātāju, taču tas nav vienīgais.

Piemēram, mēs varam pieminēt Trīsma Un Olvids Šiem pakalpojumiem ir priekšrocība, ka tie ir Eiropas līmeņa pakalpojumi. Tomēr tiem ir trūkums, jo tie joprojām ir relatīvi nezināmi. Uzņēmumā šādas ziņojumapmaiņas sistēmas tomēr var būt interesanta alternatīva.

Piezīme / Daudzās analīzēs ir sīki aprakstītas ziņojumapmaiņas lietojumprogrammu stiprās un vājās puses. Piemēram, skatiet Orange Cyberdefense analīzi: https://www.orangecyberdefense.com/fr/insights/blog/data/securite-et-vie-privee-comparatif-des-apps-de-messagerie-instantanee.

Lai iegūtu visaptverošāku analīzi par to, ko tiesībaizsardzības iestādes var iegūt no ziņojumapmaiņas pakalpojuma, skatiet šo FBI apmācības dokumentu, kas iegūts, pamatojoties uz Informācijas brīvības likuma pieprasījumu, ko veica organizācija “Property of the People”, amerikāņu bezpeļņas organizācija, kas veltīta valdības pārredzamībai: https://propertyofthepeople.org/document-detail/?doc-id=21114562

 

        

SOS médecins 2. septembrī norādīja, ka CNIL ir devusi savu piekrišanu asociācijas datu noliktavas ar nosaukumu "Contact" izveidei.

Saskaņā ar SOS médecins teikto, Contact ir "veltīts neplānotai aprūpei un aprūpes pieejamības uzlabošanai, (un) veicinās pētniecību un inovācijas veselības aprūpes jomā".

Tas droši un konfidenciāli apkopos datus par miljoniem pacientu, kuri katru gadu tiek ārstēti federācijas 64 asociācijās.

Saskaņā ar federācijas teikto, šie dati būtu atkārtoti jāizmanto pacientu labā, lai uzlabotu praksi un optimizētu aprūpi.

Parīzes-Saklā universitāte paziņoja, ka tā 11. augustā kļuva par izspiedējvīrusa uzbrukuma mērķi. Šis incidents notika nedēļu pēc cita kiberuzbrukuma, kas bija vērsts pret vairāk nekā 40 kultūras iestādēm Francijā: kibernoziedznieki, kā ziņots, iefiltrējās datorsistēmā, kas ir kopīga ar "Réunion des musées nationaux – Grand Palais" un centralizēti apkopo visus šo iestāžu finanšu datus, un draudēja publiskot datus 48 stundu laikā, ja netiks samaksāta izpirkuma maksa.

Saskaņā ar L'Usine Digitale sniegto informāciju, tika ietekmēti 36 tīkla pārvaldītie veikali un sistēmas tika atvienotas. Parīzes prokuratūra ir uzsākusi izmeklēšanu.

 

Eiropas iestādes un struktūras

Eiropas Komisija ir uzsākusi apspriešanu līdz 30. septembrim par nepilngadīgo aizsardzību tiešsaistē. jo īpaši Digitālo pakalpojumu likuma (DSA) un bērnu pornogrāfijas materiālu ziņošanas (CSAM) kontekstā.

Saskaņā ar DSA Komisijai ir jāizstrādā vadlīnijas, lai palīdzētu attiecīgajām tiešsaistes platformām ievērot prasības attiecībā uz nepilngadīgo privātuma un drošības aizsardzību.

“Šīs vadlīnijas sniegs nepilnīgu labas prakses un ieteikumu sarakstu tiešsaistes platformu pakalpojumu sniedzējiem, lai palīdzētu tiem samazināt ar nepilngadīgo aizsardzību saistītos riskus. Vadlīnijas arī palīdzēs Komisijai un digitālo pakalpojumu koordinatoriem uzraudzīt platformas un īstenot DSA.”

Eiropas Komisija šoruden publicēs savu pirmo ziņojumu par Eiropas Savienības un Amerikas Savienoto Valstu "Datu privātuma regulējuma" (DPF) darbību. Jūlijā par šo tēmu notika divpusēja novērtējuma sanāksme, un Komisija ir arī uzsākusi sabiedrisko apspriešanu, kurā komentārus varēja iesniegt līdz 6. septembrim.

Ķīna un ES ir sākušas diskusijas par datu pārsūtīšanu saskaņā ar jaunu "pārrobežu datu plūsmas komunikācijas mehānismu". Saskaņā ar Eiropas Komisijas sniegto informāciju, mehānisma mērķis ir rast veidus, kā atvieglot nepersonisku datu pārrobežu pārsūtīšanu Eiropas uzņēmumiem, kā arī to atbilstību Ķīnas datu likumiem.

 

Ziņas no Eiropas dalībvalstīm.

Vācijā Frankfurtes Apelācijas tiesa lika Microsoft atturēties no sīkfailu izvietošanas un glabāšanas attiecīgās personas ierīcēs bez viņu piekrišanas, pat ja tas nozīmē, ka Microsoft pārtrauc jebkādu izsekošanas sīkfailu izvietošanu.

Šķiet, ka šis lēmums atbilst nesen pieņemtajam Nīderlandes tiesas lēmumam, kas aizliedza Microsoft, LinkedIn un Xandr izvietot izsekošanas sīkfailus bez lietotāja piekrišanas un noteica 1000 eiro sodu katram uzņēmumam par katru lēmuma neievērošanas dienu (izmantojot GDPRhub).

Beļģijas Datu aizsardzības iestāde (DPA) ir noraidījusi datu subjekta iesniegto sūdzību pēc datu pārkāpuma. Tā uzskatīja, ka datu pārziņa veiktie tehniskie un organizatoriskie pasākumi saskaņā ar VDAR 32. pantu bija atbilstoši.

Dānijas oficiālā attīstības palīdzība (OAP) uzskatīja, ka, lai varētu iegūt brīvu un nepārprotamu piekrišanu sejas atpazīšanas izmantošanai piekļuvei fitnesa centram, attiecīgajai personai ir jābūt pieejamām citām verifikācijas metodēm, kas neietver biometrisko datu apstrādi.

Spānijā Datu aizsardzības iestāde (APD) sodīja datu pārzini ar 145 000 eiro sodu pēc tam, kad tika zādzīta nešifrēta USB diska, kurā bija ar krimināllietu saistīti personas dati.Viņa konstatēja konfidencialitātes principa pārkāpumu, lai gan nebija pierādījumu, ka datiem ir piekļūts.

Itālijā APD uzlika pašvaldībai 20 000 eiro naudas sodu, kas bija nelikumīgi publicējusi publiskā atlases procesā neveiksmīgo pretendentu vārdus. Turklāt pašvaldība nebija noslēgusi saistošu līgumu ar savu apakšuzņēmēju, kas ir VDAR 28. panta (3) punkta pārkāpums.

APD arī sodīja telekomunikāciju pakalpojumu sniedzēju ar viena miljona eiro sodu par sazināšanos ar saviem klientiem komerciālas izpētes nolūkos, nesaņemot derīgu piekrišanu. Datu aizsardzības iestāde uzskatīja, ka datu pārzinis nevar atsaukties uz leģitīmām interesēm, lai veiktu telefona zvanus saviem klientiem mārketinga nolūkos.

22. jūlijā sadarbībā ar CNIL Nīderlandes Datu aizsardzības iestāde (APD) piesprieda 290 miljonu eiro sodu uzņēmumiem Uber BV (Nīderlandē) un Uber technologies INC. (Amerikas Savienotajās Valstīs) par personas datu pārsūtīšanu ārpus ES bez pietiekamiem drošības pasākumiem.

CNIL (Francijas Datu aizsardzības iestāde) saņēma kolektīvu sūdzību no Cilvēktiesību līgas, kas pārstāv vairāk nekā 170 autovadītājus platformā. Nīderlandes Datu aizsardzības iestāde (APD) konstatēja, ka autovadītāju personas datu apstrāde, par kuru Uber BV un Uber Technologies Inc. ir kopīgi atbildīgas, ietver datu pārsūtīšanu uz Amerikas Savienotajām Valstīm. Laikā no 2021. gada 6. augusta līdz 2023. gada 21. novembrim (datumam, kad Uber tika pievienots Datu privātuma regulējumam) šī pārsūtīšana netika veikta atbilstoši drošības pasākumi. APD secināja, ka ir pārkāpts GDPR 44. pants. Uber paziņoja par savu nodomu pārsūdzēt šo lēmumu, ko tā uzskata par nepamatotu.

Nīderlandes Datu aizsardzības iestāde (APD) 3. septembrī arī uzlika Clearview AI 30,5 miljonu eiro sodu, kā arī vēl 5 miljonu eiro sodu par neatbilstību. Clearview bija izveidojis nelikumīgu datubāzi, kurā bija miljardiem sejas attēlu, tostarp Nīderlandes pilsoņu sejas attēli. APD arī noteica aizliegumu izmantot Clearview pakalpojumus. Tā kā uzņēmums nav izrādījis vēlmi mainīt savu praksi, APD norādīja, ka tā pēta dažādus juridiskos ceļus, tostarp iespēju saukt uzņēmuma vadītājus personīgi pie atbildības par šiem pārkāpumiem.

Norvēģijas Zinātnes un tehnoloģiju universitāte (NTNU) Norvēģijas Datu aizsardzības iestādes "smilškastes" ietvaros ir publicējusi ziņojumu ar nosaukumu "Microsoft 365 koppilota izmēģinājuma versija".

Universitāte testēja Microsoft mākslīgā intelekta pakalpojumu Copilot un 2024. gada vasaras sākumā publicēja 8 galvenos atklājumus, kas bija noderīgi pirms šī jaunā pakalpojuma izmantošanas uzsākšanas.

Slovēnijas Datu aizsardzības iestāde (APD) uzskatīja, ka skola var daļēji atteikties izpildīt vecāku iesniegto piekļuves pieprasījumu, ja noteiktu datu izpaušana varētu kaitēt nepilngadīgā interesēm.

14. augustā Šveice pieņēma lēmumu par atbilstību attiecībā uz Amerikas Savienotajām Valstīm, kas ļauj pārsūtīt datus uzņēmumiem, kas sertificēti saskaņā ar Šveices un ASV "datu privātuma regulējumu".

Tādējādi Šveice pievienojas Eiropas Savienībai un Apvienotajai Karalistei, kas ļauj organizācijām pārsūtīt savu iedzīvotāju personas datus uz Amerikas Savienotajām Valstīm ar līdzīgiem nosacījumiem.

NVO noyb 12. augustā brīdināja plašsaziņas līdzekļus par sociālo tīklu "X", kas ir sācis nelikumīgi izmantot vairāk nekā 60 miljonu lietotāju personas datus ES/EEZ, lai apmācītu savu mākslīgā intelekta tehnoloģiju ("Grok") bez viņu piekrišanas.

Atšķirībā no Meta (kuram nesen nācās pārtraukt mākslīgā intelekta apmācību ES), Twitter, pēc NVO domām, iepriekš neinformēja savus lietotājus. Īrijas Datu aizsardzības komisija ir uzsākusi tiesvedību pret X, un noyb ir iesniegusi sūdzības deviņās Eiropas valstīs, lai apturētu šo praksi. X apņemšanās pārtraukt šo datu izmantošanu beidzot tika pieņemta, kad tagad ir pieejama jaunā Grok versija. Pēc NVO domām, mākslīgā intelekta modelis tikmēr patiešām tika apmācīts, izmantojot ES datus.

 

Apvienotajā Karalistē datu pārzinis tika aizrādīts par to, ka pirms sejas atpazīšanas sistēmas ieviešanas skolā nebija veicis ietekmes uz privātumu novērtējumu, kā to pieprasa Apvienotās Karalistes GDPR 35. pants. Datu pārzinis arī nebija ieguvis derīgu piekrišanu.

Apvienoto Nāciju Organizācija un Starptautiskā Darba organizācija ir publicējušas ziņojumu ar nosaukumu "Ņemiet vērā mākslīgā intelekta radīto plaisu – veidojot globālu perspektīvu par darba nākotni".

Cita starpā ziņojumā minēts, ka tehnoloģiju attīstība apdraud darbavietas tādās nozarēs kā zvanu centri un cita veida biznesa procesu ārpakalpojumi, kas ir plaši izplatīti dažās jaunattīstības valstīs.

Lai gan dažus uzdevumus šajās profesijās potenciāli varētu automatizēt, dokumentā piebilsts, ka lielākajai daļai joprojām ir nepieciešama cilvēka iejaukšanās. "Šāda daļēja automatizācija varētu palielināt efektivitāti, ļaujot cilvēkiem veltīt vairāk laika citām darba jomām."

ASV federālais tiesnesis 5. augustā lēma, ka uzņēmumam Google ir nelikumīgs monopols interneta meklēšanas jomā. Tiesa secināja, ka "Google ir pārkāpis Šermana likuma 2. pantu, saglabājot savu monopolu divos produktu tirgos Amerikas Savienotajās Valstīs — vispārējos meklēšanas pakalpojumos un vispārīgā teksta reklāmā —, izmantojot savus ekskluzīvos izplatīšanas līgumus."

Nigērija pagājušā gada augustā publicēja savu "nacionālo mākslīgā intelekta stratēģiju".

Tajā jo īpaši norādīts: “Nigērijai un plašākam Āfrikas kontinentam ir dažas no visizteiktākajām un pārliecinošākajām problēmām un iespējām, ko mākslīgais intelekts varētu risināt. Sākot ar lauksaimniecības optimizāciju dažādos klimatiskajos apstākļos un beidzot ar sabiedrības veselības infrastruktūras uzlabošanu, vietēji izstrādāti mākslīgā intelekta risinājumi, kas pielāgoti vietējām realitātēm, ir daudz labāk sagatavoti šo problēmu risināšanai nekā ārēji uzspiesti modeļi, kas izveidoti pilnīgi citam kontekstam un cilvēkiem. (...) Daudzas datu kopas Nigērijā cieš no neprecizitātēm, nepilnībām un standartizācijas trūkuma. Ir jāuzlabo datu kvalitāte, lai nodrošinātu mākslīgā intelekta algoritmu uzticamību un efektivitāti, kuriem optimālai darbībai nepieciešami tīri un precīzi dati.”

“X” ir apturējis savu darbību Brazīlijā pēc vairāku mēnešu konflikta ar Augstākās tiesas tiesnesi.

31. augustā tiesnesis noteica aizliegumu X un Elona Maska kosmosa uzņēmuma Starlink aktīvu iesaldēšanu. Šis lēmums seko vairākus mēnešus ilgai izmeklēšanai par nepatiesas un apmelojošas informācijas izplatīšanu sociālajā tīklā, kā arī turpmākai izmeklēšanai pret Masku par iespējamu tiesu iestāžu darbības traucēšanu.