L’IA dans tous ses états.

Umetna inteligenca v vseh njenih oblikah

Pravna ura št. 52 – Oktober 2022

CNIL je 17. oktobra 2022 je s sankcijami proti podjetju Clearview AI v višini 20 milijonov evrov potrdila svojo pristojnost kot regulator na področju umetne inteligence.

Ta sankcija sledi uradnemu obvestilu, na katerega se ni odzvalo, in nesodelovanju podjetja med inšpekcijskim postopkom.

Sprejet po postopku posvetovanja na evropski ravni se pridružuje sankcijam, ki jih je več njenih kolegov izreklo proti istemu podjetju.

  • CNIL ugotavlja, da ni pravne podlage za sistematično in široko razširjeno zbiranje dvajsetih milijard slik obrazov, ki so javno dostopne na milijonih spletnih mest, slik, ki jih podjetje trži zlasti organom pregona.
  • CNIL meni, da bi moralo biti zbiranje podatkov zaradi posebej vsiljive narave in biometrične narave podatkov predmet predhodnega soglasja zadevnih oseb.
  • Prav tako ugotavlja, da podjetje ne spoštuje pravic dostopa in izbrisa zadevnih oseb.

Ta odločitev prihaja v kontekstu vse natančnejšega nadzora umetne inteligence na nacionalni in mednarodni ravni.

Državni svet zato je konec poletja sprejel dva dokumenta, v katerih se izreka o upravljanju prihodnje evropske uredbe o umetni inteligenci:

Državni svet v svojem dokumentu z dne 30. avgusta 2022 obravnava vprašanje kakovosti javnih storitev in postavlja temelje za francosko strategijo za umetno inteligenco.

Med drugim spodbuja krepitev pristojnosti CNIL in njeno formalno odgovornost za regulacijo sistemov umetne inteligence.

Zato priporoča preoblikovanje CNIL, ki bi postal "nacionalni nadzorni organ, odgovoren za regulacijo sistemov umetne inteligence, zlasti javnih, da bi utelešal in ponotranjil dvojni izziv varovanja temeljnih pravic in svoboščin na eni strani ter inovacij in javnega delovanja na drugi strani."

Državni svet je 27. septembra objavila je tudi študijo o nadzoru družbenih omrežij v kontekstu razvoja umetne inteligence, v kateri podaja 17 priporočil za ponovno uravnoteženje sil v korist uporabnikov, opremljanje javnih organov v njihovi vlogi regulatorja in razmislek o družbenih omrežjih prihodnosti.

S svoje strani, Parlament preučuje vprašanje video nadzora in prepoznavanja obrazov: Pravna komisija Državnega zbora je 13. septembra začela misijo za ugotavljanje dejstev, ki jo je zaupala poslancu in članu kolegija CNIL Philippu Latombeju.

Poslanci bodo morali razumeti "izzive uporabe varnostnih posnetkov v javni domeni za boj proti negotovosti" in se bodo posebej posvetili prepoznavanju obrazov.

To bo vključevalo pregled nedavno odobrenih naprav, kot so telesne kamere in droni, ter preučitev morebitnih novosti, kot so obogatene kamere, z namenom priprave zakonodajnega predloga.

Omenimo še začetek pogajanj za konvencijo Svet Evrope o umetni inteligenci, človekovih pravicah, demokraciji in pravni državi.

To bi bil prvi pravno zavezujoč mednarodni instrument o umetni inteligenci.

Ta konvencija bi dopolnila uredbo o umetni inteligenci, ki jo je predlagala Evropska komisija, z okrepitvijo varstva temeljnih pravic posameznikov.

TA Evropski nadzornik za varstvo podatkov pozdravil je to pobudo, hkrati pa opozoril na sisteme umetne inteligence, ki po njegovem mnenju predstavljajo nesprejemljiva tveganja in bi jih bilo treba prepovedati, in sicer:

  • Socialno točkovanje,
  • Biometrična identifikacija v javnih prostorih,
  • Kategorizacija posameznikov na podlagi biometričnih podatkov
  • Kategorizacija posameznikov na podlagi njihovih zaznanih čustev.

Ne smemo pozabiti, da uredba o umetni inteligenci, ki jo je predlagala Evropska komisija, podpira ta pristop s prepovedjo najbolj vsiljivih tehnik umetne inteligence, kot so tiste, ki manipulirajo s posamezniki ali omogočajo socialno točkovanje.

Še vedno nezadostno za zagovornike svoboščin in pretirano za njene nasprotnike.

Treba je opozoriti, da so Združene države konec oktobra več prestolnicam in Evropski komisiji poslale neuradni dokument, s katerim so jih želele prepričati, naj omejijo področje uporabe prihodnjih predpisov in razširijo njihove izjeme, da bi ohranile večjo prožnost pri morebitni uporabi umetne inteligence.

Združene države Amerike prav tako sami pripravljajo predpise o umetni inteligenci: 4. oktobra je predsednik Joe Biden predstavil »List of AI Rights«, ki opisuje pet jamstev, od katerih bi morali imeti koristi Američani:

  • Varni in učinkoviti sistemi,
  • Zaščita pred algoritemsko diskriminacijo,
  • Zaupnost podatkov,
  • Obvestila in pojasnila o delovanju umetne inteligence,
  • Človeške alternative avtomatiziranim odločitvam.

Nazadnje je treba opozoriti, da so se regulatorji za varstvo podatkov iz več kot 120 držav dogovorili o okviru za uporabo prepoznavanja obrazov v 44. svetovna skupščina o zasebnosti ki je potekal konec oktobra v Istanbulu.

Resolucija zahteva, da subjekt, ki uporablja tehnologijo

  • Ugotoviti „njegov razumen, potreben in sorazmeren značaj“,
  • Ocenjuje spoštovanje pravic posameznikov
  • Zagotavlja nemoteno uporabo tehnologije.

Vzpostaviti je treba tudi jasne in učinkovite mehanizme odgovornosti.

In tudi

Francija:

Kibernetska kriminaliteta: Minister za digitalne zadeve in minister za zdravje sta napovedala proračun v višini 20 milijonov evrov v korist ANSSI za okrepitev podpore zdravstvenim ustanovam, ki so žrtve izsiljevalske programske opreme.

CNIL na svoji spletni strani objavlja izobraževalne vire za boljšo zaščito otrok, starih od 8 do 10 let, na internetu.

Ti viri so namenjeni staršem, otrokom, učiteljem in vzgojiteljem.

CNIL je 17. oktobra posodobil tudi svoje priporočilo glede preverjanja pristnosti z geslom.

V kontekstu povečanih groženj spletni varnosti CNIL razvija zlasti uporabnost rešitev za močno ali večfaktorsko avtentikacijo in elektronskih potrdil.

Evropa:

Evropski odbor za varstvo podatkov (EDPB) je sprejel posodobljene smernice o obveščanju o kršitvah varnosti podatkov, odprto za javno obravnavo do 29. 11. 2022.

Posodobljeni oddelek se nanaša na obveščanje o kršitvi varnosti s strani upravitelja s sedežem zunaj Evropske unije.

Dejstvo, da je ta vodja imenoval predstavnika v eni od držav EU, ga po mnenju Evropskega odbora za varstvo podatkov ne odvezuje obsežnih obveznosti: besedilo zdaj določa, da „zgolj prisotnost predstavnika v državi članici ne sproži delovanja enotnega okenca“.

Zato bo treba kršitev sporočiti vsakemu organu, za katerega posamezniki, na katere se nanašajo osebni podatki, prebivajo v njihovi državi članici.

Sodišče Evropske unije je v sodbi z dne 20. oktobra razsodilo, da je nadaljnja obdelava ki obsega ustvarjanje baze podatkov iz obstoječe baze podatkov za izvajanje testov in odpravljanje napak, je dovoljeno, če

  1. obstaja „konkretna, logična in dovolj tesna povezava med nameni začetnega zbiranja in nadaljnjo obdelavo“; in
  2. nadaljnja obdelava ne odstopa od legitimnih pričakovanj naročnikov.

V obravnavani zadevi je Sodišče menilo, da taka tesna povezava obstaja. Opozarja, da je treba podatke izbrisati, ko je izpolnjen (sekundarni) namen obdelave.

V sodbi z dne 27. oktobra v zvezi z belgijskim podjetjem ProximusSodišče odloča o obveznostih ponudnikov imenikov, kadar naročnik prekliče soglasje za obdelavo svojih podatkov.

Sodišče meni, da lahko organ za varstvo podatkov od ponudnika javno dostopnih telefonskih imenikov kot upravljavca podatkov zahteva, da sprejme ustrezne ukrepe za obveščanje drugih upravljavcev podatkov (vključno s ponudnikom telekomunikacijske storitve, od katerega so bili podatki sporočeni) o preklicu naročnikove privolitve.

Uredba o evropskih digitalnih trgih (DMA) je bila objavljena 12. oktobra 2022.

To besedilo, katerega cilj je "odpraviti nepoštene prakse podjetij, ki delujejo kot "vratarji" v gospodarstvu spletnih platform", bo začelo veljati 2. maja 2023.

Velike spletne platforme opredeljuje kot "varuhe vrat" in določa seznam prepovedi in obveznosti, katerih namen je "zagotavljanje poštenih in odprtih digitalnih trgov".

Predlog evropske uredbe o spolni zlorabi otrok (CSAR) je predmet številnih kritik civilne družbe in začetek kampanje »nehajte me skenirati«.

Po mnenju zadevnih nevladnih organizacij predlog kljub hvalevrednim ciljem grozi, da bo "temeljito ogrozil varno spletno komunikacijo in naredil internet manj varen za vse".

Organi pregona nameravajo uporabiti avtomatizirano spletno skeniranje zasebnih komunikacij za ciljanje vsebin, povezanih s spolno zlorabo otrok.

Vendar pa preiskava Irskega sveta za državljanske svoboščine (ICCL) razkriva, da irska policija hrani osebne podatke – e-pošto, uporabniško ime, IP-naslov – tudi v primeru lažnih alarmov.

Ogromno število lažno pozitivnih rezultatov – domnevno je uporabnih manj kot 10 poročil % – bi lahko policiji preprečilo tudi reševanje bistva problema.

Italijanski organ za varstvo podatkov odpira preiskavo aplikacije, ki ustvarja umetne glasove (»deep fake«).

Oblasti so začele preiskavo aplikacije Fakeyou, ki naj bi besedilne datoteke pretvarjala v glasove znanih ljudi, zlasti italijanskih.

Poleg tega je italijanski organ za varstvo potrošnikov razsodil, da znak s stilizirano kamero ni zadosten za obveščanje o uporabi video nadzornih kamer, in upravljavcu naložil globo v višini 2000 evrov.

Irska oblast Organ za varstvo podatkov je na svojem spletnem mestu objavil zbirko več kot 30 konkretnih študij primerov, ki jih je obravnaval in niso vključene v njegova letna poročila. Publikacija omogoča boljše razumevanje pristopa organa k temam, kot so spremljanje zaposlenih, video nadzor, pojem legitimnega interesa in združljivost namenov obdelave.

Nizozemsko pritožbeno sodišče v Arnhem-Leeuwardenu potrdil odredbo, da regulator avtorskih pravic ne more prisiliti ponudnika internetnih storitev, da pošilja opozorilna pisma domnevnim kršiteljem avtorskih pravic: ponudnik internetnih storitev nima pravne podlage za obdelavo osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški.

Agencija za varstvo podatkov Združenega kraljestva (ICO) sporoča o biometričnih tehnologijah, kot so tehnologije za analizo čustev, za katere pravi, da so nezrele in tvegajo diskriminacijo.

Med ugotovljenimi tveganji so spremljanje fizičnega zdravja delavcev z uporabo prenosnih orodij za pregledovanje ter vizualno in vedenjsko opazovanje, vključno z držo telesa, govorom, gibi oči in gibi glave, za prijavo študentov na izpite.

ICO objavlja tudi osnutek smernic o spremljanju zaposlenih.

Komisija opozarja zlasti na naraščajoči trend "dela od doma" in problem spremljanja produktivnosti, saj so pričakovanja delavcev glede zasebnosti verjetno večja doma kot na delovnem mestu.

ICO tudi ugotavlja, da se »spremljanje pritiskov tipk uvršča med vedenjske biometrične podatke, kadar je delavca mogoče prepoznati na podlagi njegovega edinstvenega vzorca in ritma tipkanja.« Osnutek je odprt za posvetovanje do 11. januarja 2023.

Mednarodno:

Prenos podatkov v Združene države AmerikePomemben mejnik je bil dosežen 7. oktobra, ko je predsednik Biden podpisal izvršni odlok o okrepitvi zaščitnih ukrepov za dejavnosti obveščevalnih dejavnosti Združenih držav Amerike na področju signalov.

Namen te uredbe je omogočiti izvajanje novega okvira za varstvo podatkov med Evropsko unijo in Združenimi državami Amerike po sodbi Sodišča EU v zadevi Schrems II, zaradi katere je zasebnostni ščit postal zastarel.

Sporazum bi lahko bil dokončno sklenjen v začetku leta 2023, po mnenju Evropskega odbora za varstvo podatkov (EDPB) in sprejetju sklepa o ustreznosti s strani Evropske komisije.

Negotovost glede sporazuma se nanaša na obseg nadzornih pooblastil ameriških oblasti in na pravna sredstva, ki jih imajo evropski državljani na voljo zoper ukrepe ZDA, sprejete proti njim.

Dodajmo še, da je ta odlok, ker nima zakonske veljave, mogoče razveljaviti, kar še povečuje pravno negotovost.

Odkrijte Viqtor®
sl_SISL
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL