Právny prehľad č. 58 – apríl 2023.

ChatGPT: Aký je právny rámec pre nové aplikácie umelej inteligencie?

ChatGPT, Google Bard, Stable Diffusion a Dall-E sú Modely veľkých jazykov (LLM) podkategória existujúcich jazykových modelov.

Jazykové modely sú počítačové programy určené na spracovanie a generovanie textu podobným spôsobom ako človek.

Zahŕňajú napríklad rozpoznávanie reči, strojový preklad, prevod textu na reč a generovanie obsahu. LLM sú väčšie a komplexnejšie ako tradičné modely.

Sú trénovaní na veľmi rozsiahlych textových korpusoch, niekedy pozostávajúcich z miliónov strán textu, a na učenie sa spracovania jazyka používajú architektúry hlbokých neurónových sietí.

LLM teda môže poskytovať nekonečnú škálu obsahu na požiadanie, či už ide o báseň, filmový scenár, počítačový programovací kód alebo hudobnú skladbu.

Informácie však nie sú aktuálne: ChatGPT bol trénovaný s využitím informácií dostupných na internete do roku 2021.

Preto je zbytočné žiadať ho o aktualizáciu o prenosoch údajov do Spojených štátov alebo o komentár k najnovšej sankcii CNIL.

Titul LLM vyvoláva mnoho právnych a etických otázok, najmä pokiaľ ide o autorské práva, ochranu údajov, dezinformácie a diskrimináciu.

V posledných týždňoch začali mnohé regulačné orgány reagovať, taliansky úrad na ochranu údajov v čele.

Dňa 31. marca vydala táto vláda príkaz proti OpenAI, ktorým zablokovala ChatGPT v Taliansku, pretože 

• kvôli nedostatočnej transparentnosti v aplikácii,
• z dôvodu absencie legitímneho dôvodu na spracovanie,
• z dôvodu nezabezpečenia presnosti spracovávaných údajov,
• nedostatok overenia veku a
• všeobecného porušenia zásady „ochrany súkromia už v štádiu návrhu“.

Tesne za ním nasledovalo Nemecko, ktoré začalo skúmať súlad ChatGPT s GDPR: spolková krajina Šlezvicko-Holštajnsko poslala spoločnosti OpenAI dotazník, na ktorý mala spoločnosť odpovedať do 11. júna.

Európsky výbor pre ochranu údajov nasledoval tento príklad spolu so svojimi národnými členmi a zriadil pracovnú skupinu pre túto tému a Európska organizácia spotrebiteľov (BEUC) napísala sieti orgánov na ochranu spotrebiteľa a sieti orgánov pre bezpečnosť spotrebiteľov (siete CPC a CSN) so žiadosťou o prešetrenie LLM.

Federálna obchodná komisia (FTC) na druhej strane Atlantiku tiež uvádza, že existujúce zákony USA na úrovni jednotlivých sektorov sa vzťahujú na generatívnu umelú inteligenciu, pričom spoločnosti varuje, aby dôrazne zohľadňovali záujmy spotrebiteľov a riziká spojené s prebiehajúcim nasadzovaním.

Po týchto vyšetrovaniach spoločnosť OpenAI prijala určité opatrenia:

• Uplatňovanie práva namietať proti spracovaniu údajov;
• Rozšírenie a zlepšená viditeľnosť zásad ochrany osobných údajov, informácie o vykonaných aktualizáciách;
• Implementácia mechanizmov na vymazanie nepresných informácií;
• Pridané formuláre umožňujúce každému európskemu používateľovi filtrovať svoje chaty a históriu údajov použitých na trénovanie a vylepšovanie tréningových algoritmov.
• Pridaná možnosť exportu údajov a overovania uložených informácií.

Hoci je ChatGPT v Taliansku opäť dostupný, zostáva veľa otázok.

Záruky poskytované platformou Open AI umožňujú ľuďom, ktorí aplikáciu používajú, opraviť alebo vymazať svoje vlastné údaje, ale nemajú žiadny vplyv na spracovanie údajov všetkých tých, ktorí aplikáciu nepoužívajú, čo vyvoláva vážne obavy o ich reputáciu.

 ChatGPT nedávno obvinil profesora práva zo sexuálneho obťažovania, pričom údajným zdrojom bol článok, ktorý nikdy nebol napísaný.

Možné sú aj rasové alebo etnické predsudky. ChatGPT bol vyškolený na internetových dátach, a preto pravdepodobne odráža a udržiava spoločenské predsudky, ktoré na webe existujú.

Prediktívny algoritmus používaný na lekárske rozhodovanie tak urobil skreslené rozhodnutia v neprospech černošských pacientov.

Aj keď tvorcovia algoritmu pri spustení systému vylúčili rasu ako kritérium merania, algoritmus naďalej prehlboval predsudky voči černošským pacientom tým, že zohľadňoval určité ekonomické faktory a náklady na zdravotnú starostlivosť.

Napokon, riziká kybernetickej kriminality, ako je vytváranie presvedčivejších phishingových e-mailov alebo učenie sa nových útočných techník, sa zvyšujú, ako zdôrazňuje správa Národného centra kybernetickej bezpečnosti Spojeného kráľovstva a Federálnej obchodnej komisie Spojených štátov.

Človek by sa mohol čudovať, prečo dizajnéri ChapGPT neintegrovali ochranu údajov už od fázy návrhu jej aplikácie, ale individuálne na základe reakcií regulačných orgánov.

Otvorená umelá inteligencia nie je nováčikom: vyvíja sa od roku 2016 pod vedením skúsených spoluzakladateľov a bola predmetom šiestich kôl financovania.

Jeho súčasná hodnota je 29 miliárd dolárov a jeho nástroje založené na umelej inteligencii sú integrované do produktov, ktoré nie sú založené na umelej inteligencii a ktoré denne používajú milióny ľudí prostredníctvom partnerstva so spoločnosťou Microsoft.

Zásady „ochrany súkromia už v štádiu návrhu“ nie sú v takomto kontexte len žiaduce, ale sú aj neoddeliteľnou súčasťou požiadaviek GDPR.

Ich implementácia by sa mala ďalej posilniť prijatím budúceho európskeho nariadenia o umelej inteligencii, podľa ktorého by systémy predstavujúce vysoké riziká mali spĺňať prísnejší režim vrátane požiadaviek na riadenie rizík, transparentnosť a správu údajov.

Najnovšia verzia nariadenia, o ktorej diskutovali poslanci Európskeho parlamentu, tiež vyžaduje, aby všetky modely umelej inteligencie spĺňali zásady dohľadu, technickej robustnosti a bezpečnosti, ochrany súkromia, správy údajov, transparentnosti, sociálneho a environmentálneho blahobytu, rozmanitosti, nediskriminácie a spravodlivosti.

 

A tiež

URSSAF

Počas víkendu 1. mája, Urssaf urobil počítačovú chybu čo viedlo k zverejneniu údajov od niekoľkých tisíc samostatne zárobkovo činných osôb.

Niektorí členovia tvrdia, že dostali dokumenty obsahujúce splátkové kalendáre „osemnástich ďalších ľudí“ alebo dokonca v najvýznamnejších prípadoch „301 strán splátkových kalendárov Urssaf, ktoré sa ich netýkajú“.

Tieto súbory obsahujú citlivé osobné informácie, ako sú bankové údaje, príjem, adresy alebo úplné identity. 

Ľudia postihnutí týmito chybami vo vysielaní, ktorých je podľa počiatočných zistení interného vyšetrovania celkovo 10 640, by mali čoskoro dostať správu s upozornením na túto skutočnosť.

Urssaf nahlásil narušenie bezpečnosti CNIL.

DRONY

Od 19. apríla Policajti a žandári sú oprávnení natáčať zhromaždenia z neba.

Tak to bolo na Stade de France, na Mayotte, v Le Havre a počas prvomájových demonštrácií v Paríži.

Nariadenie policajnej prefektúry z 28. apríla povoľuje prelety demonštrantov v hlavnom meste pomocou palubných kamier s cieľom zabrániť „útokom na bezpečnosť osôb a majetku“ a „udržať alebo obnoviť verejný poriadok“.

Ide o jedno z prvých povolení vydaných na základe nedávneho nariadenia ministerstva vnútra ako súčasti nového zákona týkajúceho sa trestnej zodpovednosti a vnútornej bezpečnosti.

CNIL vydala dve stanoviská (v januári a júli 2021) k týmto novým právnym ustanoveniam a pri tejto príležitosti vyzvala na prísnu reguláciu používania dronov vzhľadom na riziká porušenia verejných slobôd a súkromia jednotlivcov.

KYBERNETICKÁ BEZPEČNOSŤ

Zákon z 3. marca 2022, ktorý nadobudne účinnosť 1. októbra 2023, zavádza certifikácia kybernetickej bezpečnosti pre digitálne platformy určené pre širokú verejnosť.

Prevádzkovatelia online platforiem a poskytovatelia interpersonálnych komunikačných služieb bez číslovania budú musieť vykonať audit kybernetickej bezpečnosti, ktorý sa bude týkať bezpečnosti a umiestnenia údajov, ktoré uchovávajú, ako aj ich vlastnej bezpečnosti.

Podľa návrhu nariadenia, ktorým sa vykonáva kybernetické skóre, budú audítorské postupy zahŕňať použitie referenčného rámca SecNumCloud pre vystavenie údajov extrateritoriálnym právnym predpisom, európske umiestnenie hostiteľských infraštruktúr a štátnu príslušnosť subdodávateľov.

CNIL

CNIL uverejnil 3. apríla novú verziu svojej príručky týkajúcej sa bezpečnosti osobných údajov.

Nová verzia zohľadňuje najmä najnovšie odporúčania CNIL týkajúce sa hesiel a protokolovania.

 

Európske inštitúcie a orgány

EURÓPSKY PARLAMENT

• Prenos údajov medzi EÚ a Spojenými štátmi V uznesení, ktoré 13. apríla prijali členovia Výboru pre občianske slobody, sa rámec ochrany údajov navrhnutý EÚ a Spojenými štátmi považuje za „zlepšenie“, ale pokrok nie je „dostatočný“ na odôvodnenie rozhodnutia o primeranosti prenosu osobných údajov.

Komisia poznamenáva, že rámec stále umožňuje hromadné zhromažďovanie osobných údajov v určitých prípadoch a stanovuje mechanizmus odvolania, ktorý nemusí byť nezávislý (sudcov by mohol odvolať americký prezident, ktorý by tiež mohol zrušiť jeho rozhodnutia).

Občania EÚ by tiež mohli byť znemožnení v uplatňovaní svojich práv na prístup k svojim údajom a ich opravu, pretože rozhodnutia by zostali utajené.

Poslanci Európskeho parlamentu naliehavo žiadajú Komisiu, „aby zabezpečila, že budúci rámec odolá právnym výzvam a poskytne právnu istotu občanom a podnikom EÚ“.

• Poslanci Európskeho parlamentu prekonali svoje nezhody 27. apríla a dosiahli predbežnú politickú dohodu o Predpisy o umelej inteligencii.

Text bude obsahovať prísnejšie povinnosti týkajúce sa LLM a softvéru na biometrickú identifikáciu: tento rozpoznávací softvér, ktorý bol spočiatku zakázaný v reálnom čase, bude možné použiť až dodatočne na závažné trestné činy a s predchádzajúcim povolením.

Text by mohol byť ešte predmetom menších technických úprav pred kľúčovým hlasovaním vo výbore, ktoré je naplánované na 11. mája, a očakáva sa, že sa o ňom bude hlasovať na plenárnom zasadnutí v polovici júna.

• Poslanci Európskeho parlamentu 20. apríla schválili prvý legislatívny text EÚ pre sledovanie prevodov kryptoaktív ako sú bitcoiny a tokeny elektronických mien.

Cieľom textu – ktorý predbežne schválili vyjednávači Parlamentu a Rady v júni 2022 – je zabezpečiť, aby bolo možné prevody kryptomien, rovnako ako akékoľvek iné finančné transakcie, vždy vysledovať a podozrivé transakcie zablokovať.

Európsky parlament a členské štáty EÚ v súčasnosti rokujú o Zákon o kybernetickej odolnosti (CRA), nové nariadenie zamerané na posilnenie digitálnej bezpečnosti pripojených zariadení v EÚ.

ARC navrhuje požiadavky na audit a certifikáciu pre výrobcov softvéru a hardvéru pripojených zariadení a stanovuje minimálne obdobie, počas ktorého musia poskytovať bezpečnostné záplaty softvéru pre svoje produkty.

 

EDPB

• Európsky výbor pre ochranu údajov (EDPB) zverejnil 27. apríla Sprievodca pre malé a stredné podniky, ktorý podrobne opisuje zásady platné pri spracovaní údajov zamestnancov, zákazníkov a obchodných partnerov.

Sprievodca tiež vysvetľuje základné bezpečnostné pravidlá, ktoré treba dodržiavať, a ako riešiť porušenie ochrany osobných údajov.

• EDPB zverejnil 19. apríla správa o výsledkoch práce pracovnej skupiny týkajúce sa 101 sťažností podaných mimovládnou organizáciou NOYB po rozhodnutí Súdneho dvora EÚ vo veci Schrems II.

Tieto sťažnosti sa týkajú nástrojov „Google Analytics“ a „Facebook Business Tools“ a prenosu osobných údajov do Spojených štátov.

Správa uvádza spoločné pozície pracovnej skupiny a obsahuje informácie o výsledkoch prvých dotknutých prípadov.

Niekoľko orgánov na ochranu údajov nariadilo prevádzkovateľom webových stránok, aby zastavili príslušné prenosy údajov. 

• Dňa 4. apríla EDPB zverejnil konečnú verziu svojho usmernenia č. 9/2022 o oznamovaní porušení ochrany osobných údajov.

 

CVRIA

• Súdny dvor Európskej únie vo svojom rozsudku zo 4. mája rozhodol, že právo dotknutej osoby na prístup zahŕňa právo získať celé dokumenty alebo výpisy z dokumentov alebo výpisy z databáz, ak je to nevyhnutné na to, aby dotknutá osoba mohla účinne uplatniť svoje právo.

V tomto konkrétnom prípade spoločnosť CRIF, ktorá sa špecializuje na obchodné informácie, poskytla sťažovateľovi súhrnnú verziu svojich údajov.

• Súdny dvor EÚ tiež po prvýkrát rozhodol o priznaní nemajetkovej ujmy podľa GDPR.

Hoci Súd vo svojom rozsudku zo 4. mája potvrdzuje, že GDPR nevyžaduje „prah“ na uplatnenie nároku na náhradu škody, napriek tomu pripomína, že musí existovať porušenie, škoda a príčinná súvislosť a že bez skutočnej škody neexistuje nárok.

Prípad vznikol, keď rakúska poštová služba vygenerovala štatistiky o pravdepodobných politických sklonoch miliónov ľudí.

Sťažovateľovi bol pridelený pravdepodobný podiel v krajne pravicovej strane, ale nebolo isté, či táto informácia bola poskytnutá tretej strane, pretože bol na zozname osôb vylúčených z poštovej reklamy.

• V podobnej súvislosti generálny advokát Súdneho dvora EÚ 27. apríla predniesol svoje stanovisko k nasledujúcej otázke: môže protiprávne šírenie osobných údajov, ktoré má v držbe bulharská Národná daňová agentúra, po útoku na počítač viesť k nároku na náhradu morálnej ujmy v prospech dotknutej osoby len preto, že sa táto osoba obáva možného zneužitia svojich údajov?

Podľa Valného zhromaždenia by sa morálna ujma, ako je definovaná v článku 82 GDPR, nemala zamieňať s obyčajnými nepríjemnosťami.

Škody musia byť objektívne preukázateľné a nesmú závisieť výlučne od subjektívneho vyjadrenia žalobcu.

 

Národné správy

• TALIANSKO: Taliansky úrad na ochranu údajov (APD) udelil 2. marca prevádzkovateľovi údajov pokutu 5 000 eur za odosielanie nevyžiadaných obchodných oznámení na e-mailové adresy vytvorené softvérom prostredníctvom automatickej kombinácie údajov zhromaždených na internete.
• RAKÚSKO: Na základe sťažnosti podanej spoločnosťou noyb rakúsky úrad na ochranu údajov (APD) 29. marca uviedol, že banner s textom „prijmi alebo zaplať“ na webovej stránke novín nie je v súlade s GDPR vzhľadom na požiadavky na podrobnosti súhlasu.
• HOLANDSKO: Holandský odvolací súd 4. apríla nariadil spoločnosti Uber, aby poskytla vodičom prístup k ich osobným údajom a vysvetleniam týkajúcim sa automatizovaného rozhodovania. Súd tiež uložil prevádzkovateľovi údajov pokutu vo výške 4 000 eur denne.
• ŠPANIELSKO: Katalánsky úrad na ochranu údajov vyhlásil používanie systémov rozpoznávania tváre na predchádzanie podvodom pri online univerzitných skúškach za neprimerané. Prevádzkovateľovi údajov udelil pokutu 20 000 eur za porušenie článku 5(1)(a) a článku 9 GDPR.
• SPOJENÉ KRÁĽOVSTVO: Takmer 50 britských poslancov napísalo spoločnosti, ktorá vlastní obchody House of Fraser a Sports Direct, aby odsúdili používanie kamier na rozpoznávanie tváre v obchodoch skupiny.

Poslanci označili túto technológiu za „invazívnu a diskriminačnú“ a naliehali na skupinu, aby ukončila používanie týchto kamier v celej krajine.

• Britský úrad na ochranu údajov (DPA) začal 4. apríla vyšetrovanie proti TikToku a udelil mu pokutu 12 700 000 libier za zneužitie údajov detí.
• Prezident spoločnosti Signal, aplikácie na šifrované zasielanie správ, vyjadril obavy z návrhu britskej vlády týkajúceho sa online bezpečnosti, ktorý by mohol oslabiť šifrovanie a prinútiť spoločnosti skenovať šifrované správy a hľadať nelegálny obsah.

Meredith Whittaker naznačuje, že Signal by mohol opustiť Spojené kráľovstvo, ak by sa tak stalo. Podobné obavy vyjadrili aj iné spoločnosti zaoberajúce sa odosielaním správ, ako napríklad WhatsApp a Element.

 

• VIETNAM: Vietnamská vláda 17. apríla 2023 zverejnila dekrét č. 13/2023/ND o ochrane osobných údajov („PDPD“), ktorý je prvým komplexným dokumentom upravujúcim ochranu osobných údajov v krajine.
• TANZÁNIA: Nový zákon o ochrane osobných údajov nadobudol účinnosť 1. mája.
• CBPR: Spojené kráľovstvo 17. apríla požiadalo o vstup do skupiny krajín, ktoré dodržiavajú pravidlá cezhraničnej bezpečnosti (CBPR), medzi ktoré v súčasnosti patria Austrália, Kanada, Japonsko, Kórejská republika, Mexiko, Filipíny, Singapur, Čínsky Tchaj-pej a Spojené štáty. CBPR, ktoré zriadilo Ministerstvo obchodu USA, umožňuje akejkoľvek jurisdikcii požiadať o pridružený status a využívať výhody voľnej výmeny údajov so zúčastnenými krajinami za predpokladu, že má zákony na ochranu osobných údajov a má „aspoň jeden verejný orgán zodpovedný za presadzovanie zákona (zákonov) a/alebo nariadenia (nariadení)“.
• IAP:Infografika od Medzinárodnej asociácie odborníkov na ochranu súkromia (IAPP) uvádza zoznam jurisdikcií, ktoré dávajú orgánu na ochranu údajov alebo vládnemu orgánu právomoc označiť iné jurisdikcie za jurisdikcie s „primeranými“ štandardmi ochrany súkromia.

Doplní ho ďalšia infografika s podrobnými informáciami o mechanizmoch a usmerneniach upravujúcich prenosy podľa jurisdikcií (zmluvné doložky, súhlas atď.).