Przerobienie cudzego wizerunku przez AI może oznaczać bezprawne przetwarzanie danych

Prezes Urzędu Ochrony Danych Osobowych, Mirosław Wróblewski, skierował do Komendanta Policji w Krakowie pismo dotyczące prawnej oceny technologii deepfake. Wystąpienie ma związek ze sprawą 17-latki, która miała przy użyciu narzędzi AI przerobić zdjęcie młodszej koleżanki i stworzyć materiał mogący być postrzegany jako pornograficzny.

Prezes UODO wskazał, że choć polskie przepisy nie zawierają odrębnej definicji deepfake’u, pomocne znaczenie ma definicja przyjęta w AI Act. Zgodnie z art. 3 ust. 60 Aktu w sprawie sztucznej inteligencji deepfake oznacza wygenerowane lub zmanipulowane przez AI obrazy, treści dźwiękowe lub wideo, które przypominają istniejące osoby, przedmioty, miejsca, podmioty lub zdarzenia i które odbiorca mógłby błędnie uznać za autentyczne.

Pamiętajmy że użycie technologii deepfake może wiązać się z przetwarzaniem danych osobowych, w tym danych dotyczących wizerunku, a niekiedy również danych szczególnych kategorii lub danych osób małoletnich.

Prezes UODO podkreślił, że przerobienie cudzego wizerunku w celu stworzenia materiału pornograficznego albo „nagiego” zdjęcia stanowi przetwarzanie danych osobowych. Wizerunek osoby fizycznej, jeżeli pozwala na jej identyfikację lub możliwa jest identyfikacja tej osoby, jest informacją o osobie fizycznej, a więc daną osobową w rozumieniu RODO.

Znaczenie ma również samo działanie polegające na modyfikacji zdjęcia. Przerobienie, wykorzystanie, utrwalenie, rozpowszechnienie lub przechowywanie takiego materiału może mieścić się w pojęciu przetwarzania danych osobowych. Aby takie przetwarzanie było zgodne z prawem, musi istnieć odpowiednia podstawa prawna z art. 6 ust. 1 RODO, a w określonych sytuacjach również spełnione muszą być przesłanki dotyczące danych szczególnych kategorii, o których mowa w art. 9 RODO.

Prezes UODO zaakcentował przy tym, że dla oceny bezprawności przetwarzania nie przesądza fakt, czy pierwotny wizerunek pochodził z publicznie dostępnego źródła. Samo publiczne udostępnienie zdjęcia nie oznacza dowolności jego dalszego wykorzystywania, zwłaszcza w celu stworzenia zmanipulowanego materiału naruszającego prawa osoby przedstawionej.

Definicja deepfake’u zawarta w AI Act może być istotna nie tylko dla organów ścigania, lecz także dla inspektorów ochrony danych. Pozwala bowiem lepiej kwalifikować przypadki, w których narzędzia sztucznej inteligencji są wykorzystywane do tworzenia realistycznych, lecz fałszywych treści przedstawiających konkretną osobę.

Prezes UODO zwrócił uwagę, że technologia deepfake jest sama w sobie neutralna, ale może być wykorzystywana do działań naruszających prawa osób fizycznych. Wśród potencjalnych zagrożeń wymienił m.in.:

• naruszenie prawa do wizerunku,
• kradzież tożsamości,
• szantaż,
• nękanie,
• oszustwa,
• wyłudzanie danych lub pieniędzy,
• manipulację behawioralną,
• preparowanie dowodów, a nawet
• wpływanie na procesy wyborcze.

Z perspektywy IOD oznacza to potrzebę uwzględniania ryzyk związanych z AI i deepfake’ami w analizach ryzyka, procedurach reagowania na incydenty, działaniach edukacyjnych oraz politykach korzystania z narzędzi sztucznej inteligencji w organizacji.

Prezes UODO wskazał, że używanie deepfake’ów może być oceniane także przez pryzmat art. 107 ustawy o ochronie danych osobowych. Przepis ten penalizuje przetwarzanie danych osobowych, gdy ich przetwarzanie nie jest dopuszczalne albo gdy osoba przetwarzająca nie jest do tego uprawniona.

W praktyce oznacza to, że stworzenie deepfake’u z wykorzystaniem wizerunku innej osoby bez podstawy prawnej może nie być wyłącznie naruszeniem dóbr osobistych czy problemem etycznym. Może stanowić również czyn zabroniony związany z bezprawnym przetwarzaniem danych osobowych.

Prezes UODO przypomniał również, że niektóre zachowania związane z deepfake’ami mogą wypełniać znamiona przestępstw określonych w Kodeksie karnym. W zależności od okoliczności mogą wchodzić w grę m.in. przepisy dotyczące kradzieży tożsamości, zmuszania do określonego zachowania, rozpowszechniania wizerunku nagiej osoby bez zgody, przestępstw związanych z treściami pornograficznymi, zniesławienia, zniewagi lub oszustwa.

Szczególny nacisk w stanowisku Prezesa UODO położono na ochronę osób małoletnich. Dane osobowe dzieci i młodzieży wymagają podwyższonego poziomu ochrony, ponieważ osoby małoletnie mogą być mniej świadome ryzyk, konsekwencji naruszenia prywatności oraz dostępnych środków ochrony prawnej.

Deepfake przedstawiający osobę małoletnią, zwłaszcza w kontekście seksualnym, może wywoływać poważne skutki dla jej prywatności, godności, wizerunku, relacji społecznych oraz zdrowia psychicznego. Prezes UODO podkreślił, że trudność w odróżnieniu sztucznie wygenerowanego materiału od autentycznego zdjęcia lub nagrania zwiększa szkodliwość tego zjawiska.

Prezes UODO zaapelował do organów ścigania o stanowczą reakcję w sprawach dotyczących wykorzystania deepfake’ów, zwłaszcza gdy pokrzywdzonymi są osoby małoletnie. W ocenie organu ściganie takich czynów ma znaczenie nie tylko dla ochrony konkretnych ofiar, ale również dla budowania świadomości społecznej, że tworzenie i wykorzystywanie zmanipulowanych materiałów z cudzym wizerunkiem może wiązać się z odpowiedzialnością prawną.

Źródło: UODO