Pravna ura št. 58 – april 2023.

ChatGPT: Kakšen pravni okvir za nove aplikacije umetne inteligence?

ChatGPT, Google Bard, Stable Diffusion in Dall-E so Veliki jezikovni modeli (LLM) podkategorija obstoječih jezikovnih modelov.

Jezikovni modeli so računalniški programi, zasnovani za obdelavo in ustvarjanje besedila na način, podoben človeškemu bitju.

Vključujejo na primer prepoznavanje govora, strojno prevajanje, pretvorbo besedila v govor in ustvarjanje vsebin. LLM-ji so večji in bolj kompleksni kot tradicionalni modeli.

Usposabljajo se na zelo velikih besedilnih korpusih, ki včasih obsegajo milijone strani besedila, in uporabljajo arhitekture globokih nevronskih mrež za učenje obdelave jezika.

LLM lahko tako ponudi neskončno raznolikost vsebin na zahtevo, pa naj bo to pesem, filmski scenarij, računalniška programska koda ali glasbena skladba.

Vendar informacije niso posodobljene: ChatGPT je bil usposobljen z uporabo informacij, ki so bile na voljo na internetu do leta 2021.

Zato ga ni smiselno prositi za posodobitev glede prenosa podatkov v Združene države ali komentar glede najnovejše sankcije CNIL.

Študiji LLM sprožajo številna pravna in etična vprašanja, zlasti glede avtorskih pravic, varstva podatkov, dezinformacij in diskriminacije.

V zadnjih tednih so se mnogi regulatorji začeli odzivati, vodilni italijanski organ za varstvo podatkov.

Slednji je 31. marca izdal odredbo proti OpenAI, s katero je blokiral ChatGPT v Italiji, ker 

• zaradi pomanjkanja preglednosti vloge,
• zaradi neobstoja legitimnega razloga za obdelavo,
• zaradi nezagotavljanja točnosti obdelanih podatkov,
• pomanjkanje preverjanja starosti in
• splošne kršitve načela "vgrajene zasebnosti".

Tesno ji je sledila Nemčija, ki je začela preučevati skladnost ChatGPT z GDPR: zvezna država Schleswig-Holstein je OpenAI poslala vprašalnik, na katerega naj bi ta odgovoril pred 11. junijem.

Evropski odbor za varstvo podatkov je skupaj s svojimi nacionalnimi člani sledil temu zgledu in ustanovil delovno skupino na to temo, Evropska organizacija potrošnikov (BEUC) pa je pisala mreži organov za varstvo potrošnikov in mreži organov za varstvo potrošnikov (mreži CPC in CSN) in ju pozvala, naj preiščeta LLM.

Na drugi strani Atlantika Zvezna komisija za trgovino (FTC) prav tako navaja, da obstoječi ameriški zakoni na ravni sektorjev zajemajo generativno umetno inteligenco, hkrati pa podjetja opozarja, naj dosledno upoštevajo interese potrošnikov in tveganja, povezana s tekočimi uvajanji.

Po teh preiskavah je OpenAI sprejel določene ukrepe:

• Izvajanje pravice do ugovora obdelavi podatkov;
• Razširitev in izboljšana vidnost politike zasebnosti, informacije o izvedenih posodobitvah;
• Izvajanje mehanizmov za brisanje netočnih informacij;
• Dodani obrazci, ki omogočajo kateremu koli evropskemu uporabniku filtriranje klepetov in zgodovine podatkov, uporabljenih za učenje in izboljšanje algoritmov učenja.
• Dodana je možnost izvoza podatkov in preverjanja shranjenih informacij.

Čeprav je ChatGPT v Italiji spet dostopen, ostaja še veliko vprašanj.

Zaščitni ukrepi, ki jih zagotavlja Open AI, omogočajo uporabnikom aplikacije, da popravijo ali izbrišejo svoje podatke, vendar nimajo vpliva na obdelavo podatkov vseh tistih, ki aplikacije ne uporabljajo, kar vzbuja resne pomisleke glede ugleda.

 Nedavno je ChatGPT obtožil profesorja prava spolnega nadlegovanja, domnevni vir pa je članek, ki ni bil nikoli napisan.

Možne so tudi rasne ali etnične pristranskosti. ChatGPT je bil usposobljen na internetnih podatkih in zato verjetno odraža in ohranja družbene predsodke, ki obstajajo na spletu.

Prediktivni algoritem, ki se uporablja za medicinsko odločanje, je tako sprejemal pristranske odločitve v škodo temnopoltih pacientov.

Čeprav so oblikovalci algoritma pri delovanju sistema izključili raso kot merilo merjenja, je algoritem še naprej ohranjal pristranskosti do temnopoltih pacientov z upoštevanjem določenih ekonomskih dejavnikov in stroškov zdravstvenega varstva.

Nenazadnje se povečujejo tudi tveganja kibernetske kriminalitete, kot je ustvarjanje prepričljivejših lažnih e-poštnih sporočil ali učenje novih tehnik napadov, kot je poudarjeno v poročilu britanskega Nacionalnega centra za kibernetsko varnost in Zvezne trgovinske komisije Združenih držav.

Morda se kdo vpraša, zakaj oblikovalci ChapGPT niso vključili varstva podatkov že v fazi načrtovanja aplikacije, temveč od primera do primera na podlagi odzivov regulatorjev.

Odprta umetna inteligenca ni novinec: razvija se že od leta 2016, vodijo jo izkušeni soustanovitelji, in je bila predmet šestih krogov financiranja.

Njegova trenutna vrednost je 29 milijard dolarjev, njegova orodja, ki temeljijo na umetni inteligenci, pa so prek partnerstva z Microsoftom integrirana v izdelke, ki niso zasnovani na umetni inteligenci in jih milijoni ljudi dnevno uporabljajo.

Načela "vgrajene zasebnosti" v takšnem kontekstu niso le zaželena, temveč so tudi sestavni del zahtev GDPR.

Njihovo izvajanje bi bilo treba še okrepiti s sprejetjem prihodnje evropske uredbe o umetni inteligenci, v skladu s katero bi morali sistemi z visokim tveganjem izpolnjevati strožji režim, vključno z zahtevami glede obvladovanja tveganj, preglednosti in upravljanja podatkov.

Najnovejša različica uredbe, o kateri so razpravljali poslanci Evropskega parlamenta, zahteva tudi, da vsi modeli umetne inteligence izpolnjujejo načela nadzora, tehnične robustnosti in varnosti, varstva zasebnosti, upravljanja podatkov, preglednosti, socialne in okoljske blaginje, raznolikosti, nediskriminacije in pravičnosti.

 

In tudi

URSSAF

Med vikendom 1. maja, Urssaf je naredil računalniško napako kar je privedlo do objave podatkov več tisoč samozaposlenih delavcev.

Nekateri člani trdijo, da so prejeli dokumente, ki vsebujejo plačilne urnike "osemnajstih drugih ljudi" ali celo, v najpomembnejših primerih, "301 strani plačilnih urnikov Urssaf, ki jih ne zadevajo".

Te datoteke vsebujejo občutljive osebne podatke, kot so bančni podatki, dohodek, naslovi ali polne identitete. 

Ljudje, ki jih te napake prizadenejo pri oddajanju, kar jih je po prvih ugotovitvah notranje preiskave skupno 10.640, bi morali kmalu prejeti sporočilo, ki jih bo na to opozorilo.

Urssaf je o varnostni kršitvi poročal CNIL.

DRON

Od 19. aprila Policisti in žandarji so pooblaščeni za snemanje zborovanj z neba.

Tako je bilo na stadionu Stade de France, na Mayotteu, v Le Havru in med prvomajskimi demonstracijami v Parizu.

Odlok policijske prefekture z dne 28. aprila dovoljuje prelet demonstrantov v prestolnici s pomočjo kamer na krovu, da bi preprečili "napade na varnost oseb in premoženja" ter "ohranili ali vzpostavili javni red".

To je eno prvih dovoljenj, izdanih v skladu z nedavno odredbo ministrstva za notranje zadeve kot del novega zakona o kazenski odgovornosti in notranji varnosti.

CNIL je o teh novih zakonskih določbah izdal dve mnenji (januarja in julija 2021) in ob tej priložnosti pozval k strogi regulaciji uporabe dronov glede na tveganja kršitev javnih svoboščin in zasebnosti posameznikov.

KIBERNETSKA VARNOST

Zakon z dne 3. marca 2022, ki bo začel veljati 1. oktobra 2023, uvaja certificiranje kibernetske varnosti za digitalne platforme, namenjene širši javnosti.

Upravljavci spletnih platform in ponudniki medosebnih komunikacijskih storitev, ki ne temeljijo na številki, bodo morali izvesti revizijo kibernetske varnosti, ki bo zajemala varnost in lokacijo podatkov, ki jih gostijo, ter lastno varnost.

V skladu z osnutkom odloka o izvajanju kibernetske ocene bodo revizijski postopki vključevali uporabo referenčnega okvira SecNumCloud za izpostavljenost podatkov ekstrateritorialni zakonodaji, evropsko lokacijo gostiteljske infrastrukture in državljanstvo podizvajalcev.

CNIL

CNIL je 3. aprila objavil nova različica priročnika o varnosti osebnih podatkov.

Nova različica upošteva predvsem najnovejša priporočila CNIL glede gesel in beleženja.

 

Evropske institucije in organi

EVROPSKI PARLAMENT

• Prenos podatkov med EU in Združenimi državami Amerike Resolucija, ki so jo 13. aprila sprejeli člani Odbora za državljanske svoboščine, meni, da je okvir za varstvo podatkov, ki sta ga predlagali EU in Združene države Amerike, "izboljšava", vendar napredek ni "zadosten" za utemeljitev odločitve o ustreznosti prenosa osebnih podatkov.

Komisija ugotavlja, da okvir še vedno omogoča množično zbiranje osebnih podatkov v določenih primerih in zagotavlja pritožbeni mehanizem, ki morda ni neodvisen (sodnike bi lahko razrešil ameriški predsednik, ki bi lahko tudi razveljavil njegove odločitve).

Državljanom EU bi lahko preprečili tudi uveljavljanje pravic do dostopa do svojih podatkov in njihovega popravka, saj bi odločitve ostale tajne.

Poslanci pozivajo Komisijo, naj "zagotovi, da bo prihodnji okvir kos pravnim izzivom in bo državljanom in podjetjem EU zagotavljal pravno varnost".

• Poslanci Evropskega parlamenta so 27. aprila premagali nesoglasja in dosegli začasni politični dogovor o Predpisi o umetni inteligenci.

Besedilo bo vključevalo strožje obveznosti glede LLM in programske opreme za biometrično identifikacijo: ta programska oprema za prepoznavanje, ki bo sprva prepovedana v realnem času, se bo lahko uporabljala le naknadno za huda kazniva dejanja in s predhodnim dovoljenjem.

Besedilo bi lahko bilo še vedno predmet manjših tehničnih prilagoditev pred ključnim glasovanjem v odboru, ki je predvideno za 11. maj, in predvidoma bo o njem glasovano na plenarnem zasedanju sredi junija.

• Poslanci Evropskega parlamenta so 20. aprila odobrili prvo zakonodajno besedilo EU za sledenje prenosom kripto sredstev kot so bitcoini in žetoni elektronskih valut.

Besedilo, ki so ga pogajalci Parlamenta in Sveta začasno odobrili junija 2022, si prizadeva zagotoviti, da je mogoče prenose kriptovalut, tako kot vse druge finančne transakcije, vedno izslediti in sumljive transakcije blokirati.

Evropski parlament in države članice EU trenutno potekajo pogajanja o Zakon o kibernetski odpornosti (CRA), nova uredba, katere cilj je okrepiti digitalno varnost povezanih naprav v EU.

ARC predlaga zahteve glede revizije in certificiranja za proizvajalce programske in strojne opreme povezanih naprav ter določa minimalno obdobje, v katerem morajo zagotavljati varnostne popravke programske opreme za svoje izdelke.

 

Evropski odbor za varstvo podatkov

• Evropski odbor za varstvo podatkov (EDPB) je 27. aprila objavil Vodnik za mala in srednje velika podjetja, ki podrobno opisuje načela, ki se uporabljajo pri obdelavi podatkov zaposlenih, strank in poslovnih partnerjev.

Priročnik pojasnjuje tudi bistvena varnostna pravila, ki jih je treba upoštevati, in kako ravnati v primeru kršitve varnosti osebnih podatkov.

• EOVP je 19. aprila objavil poročilo o rezultatih dela projektne skupine glede 101 pritožbe, ki jo je vložila nevladna organizacija NOYB po sodbi Sodišča EU v zadevi Schrems II.

Te pritožbe se nanašajo na orodja »Google Analytics« in »Facebook Business Tools« ter na prenos osebnih podatkov v Združene države Amerike.

Poročilo predstavlja skupna stališča projektne skupine in vsebuje informacije o rezultatih prvih zadevnih primerov.

Več organov za varstvo podatkov je upravljavcem spletnih mest odredilo, naj ustavijo zadevne prenose podatkov. 

• 4. aprila je EOVP objavil končno različico svojega smernice št. 9/2022 o obveščanju o kršitvah varnosti osebnih podatkov.

 

CVRIA

• Sodišče Evropske unije je v sodbi z dne 4. maja razsodilo, da pravica zadevne osebe do dostopa vključuje pravico do pridobitve celotnih dokumentov ali izvlečkov dokumentov ali izvlečkov podatkovnih zbirk, če je to bistveno za učinkovito uveljavljanje pravice zadevne osebe.

V tem konkretnem primeru je podjetje CRIF, specializirano za komercialne informacije, pritožniku posredovalo povzetek svojih podatkov.

• Sodišče EU je prvič odločilo tudi o dodelitvi odškodnine za nepremoženjsko škodo v skladu z GDPR.

Čeprav sodišče v svoji sodbi z dne 4. maja potrjuje, da GDPR ne zahteva "praga" za uveljavljanje odškodnine, kljub temu opozarja, da morajo obstajati kršitev, odškodnina in vzročna zveza ter da ni zahtevka brez dejanske škode.

Primer se je začel, ko je avstrijska poštna služba ustvarila statistične podatke o verjetnih političnih prepričanjih milijonov ljudi.

Pritožniku je bil dodeljen verjeten delež v skrajno desničarski stranki, vendar ni bilo gotovo, ali so bile te informacije razkrite tretji osebi, ker je bil na seznamu oseb, ki jim je bilo prepovedano oglaševanje po pošti.

• V podobnem kontekstu je generalni pravobranilec Sodišča EU 27. aprila podal svoje mnenje o naslednjem vprašanju: ali lahko nezakonito razširjanje osebnih podatkov, ki jih hrani bolgarska nacionalna agencija za prihodke, po računalniškem vdoru povzroči odškodnino za moralno škodo v korist zadevne osebe zgolj zato, ker se slednja boji morebitne zlorabe svojih podatkov?

Po mnenju Generalne skupščine moralne škode, kot je opredeljena v 82. členu GDPR, ne smemo zamenjevati z zgolj neprijetnostmi.

Škodo je treba objektivno dokazati in ne sme biti odvisna izključno od subjektivne predstavitve tožnika.

 

Nacionalne novice

• ITALIJA: Italijanski organ za varstvo podatkov (APD) je 2. marca upravljavcu podatkov naložil globo v višini 5000 evrov zaradi pošiljanja neželenih komercialnih sporočil na e-poštne naslove, ki jih je ustvarila programska oprema z avtomatskim združevanjem podatkov, zbranih na internetu.
• AVSTRIJA: Avstrijski organ za varstvo podatkov (APD) je 29. marca po pritožbi, ki jo je vložil noyb, izjavil, da pasica s piškotki »sprejmi ali plačaj« na spletni strani časopisa ni skladna z GDPR glede na zahteve glede podrobnosti soglasja.
• NIZOZEMSKA: Nizozemsko pritožbeno sodišče je 4. aprila odredilo podjetju Uber, naj voznikom zagotovi dostop do njihovih osebnih podatkov in pojasnil v zvezi z avtomatiziranim odločanjem. Sodišče je upravljavcu podatkov naložilo tudi kazen v višini 4000 evrov na dan.
• ŠPANIJA: Katalonski organ za varstvo podatkov je uporabo sistemov za prepoznavanje obrazov za preprečevanje goljufij pri spletnih univerzitetnih izpitih ocenil kot nesorazmerno. Upravljavcu podatkov je naložil globo v višini 20.000 evrov zaradi kršitve členov 5(1)(a) in 9 GDPR.
• ZDRUŽENO KRALJESTVO: Skoraj 50 britanskih poslancev je pisalo podjetju, ki je lastnik trgovin House of Fraser in Sports Direct, v katerem obsojajo uporabo kamer za prepoznavanje obrazov v trgovinah skupine.

Parlamentarci so tehnologijo opisali kot "invazivno in diskriminatorno" ter pozvali skupino, naj preneha uporabljati te kamere po vsej državi.

• Britanski organ za varstvo podatkov (DPA) je 4. aprila začel preiskavo proti TikToku in mu naložil globo v višini 12.700.000 funtov zaradi zlorabe podatkov otrok.
• Predsednik podjetja Signal, aplikacije za šifrirano sporočanje, je izrazil zaskrbljenost glede predloga britanske vlade o spletni varnosti, ki bi lahko oslabil šifriranje in prisilil podjetja, da skenirajo šifrirana sporočila za nezakonito vsebino.

Meredith Whittaker nakazuje, da bi Signal lahko v tem primeru zapustil Združeno kraljestvo. Podobne pomisleke so izrazila tudi druga podjetja za sporočanje, kot sta WhatsApp in Element.

 

• VIETNAM: Vietnamska vlada je 17. aprila 2023 objavila Odlok št. 13/2023/ND o varstvu osebnih podatkov (»PDPD«), ki je prvi celovit dokument, ki ureja varstvo osebnih podatkov v državi.
• TANZANIJA: Novi zakon o varstvu osebnih podatkov je začel veljati 1. maja.
• CBPR: Združeno kraljestvo je 17. aprila zaprosilo za pridružitev skupini držav, ki se držijo Pravil čezmejne varnosti (CBPR), v kateri trenutno sodelujejo Avstralija, Kanada, Japonska, Republik Koreja, Mehika, Filipini, Singapur, Kitajski Tajpej in Združene države Amerike. CBPR, ki ga je ustanovilo ameriško ministrstvo za trgovino, omogoča kateri koli jurisdikciji, da zaprosi za pridruženi status in izkoristi prosto izmenjavo podatkov s sodelujočimi državami, če ima zakone, ki varujejo osebne podatke, in ima "vsaj eno javno agencijo, odgovorno za izvrševanje zakona(-ov) in/ali predpisov(-ov)."
• IAP:Infografika Mednarodnega združenja strokovnjakov za varstvo zasebnosti (IAPP) navaja jurisdikcije, ki dajejo organu za varstvo podatkov ali vladnemu organu pooblastilo, da druge jurisdikcije označi kot jurisdikcije z "ustreznimi" standardi zasebnosti.

Dopolnjevala jo bo še ena infografika s podrobnostmi o mehanizmih in smernicah, ki urejajo prenose glede na jurisdikcije (pogodbene klavzule, soglasje itd.).