FaceApp και προσωπικά δεδομένα: Είναι δικαιολογημένες οι ανησυχίες των χρηστών;

Η εφαρμογή επεξεργασίας φωτογραφιών FaceApp βρίσκεται στο επίκεντρο της διεθνούς επικαιρότητας το τελευταίο διάστημα, αναδεικνύοντας, μεταξύ άλλων, ορισμένες από τις πιο ουσιώδεις προκλήσεις στην προστασία προσωπικών δεδομένων στη σύγχρονη εποχή.

Καλώντας τους χρήστες να κοιτάξουν στο μέλλον και συγκεκριμένα στον τρόπο που ο χρόνος θα αλλάξει την εμφάνισή τους, το FaceApp μας βοηθά να αντιληφθούμε τη σύγχρονη  πραγματικότητα: η τεχνητή νοημοσύνη επηρεάζει με διαρκώς αυξανόμενους ρυθμούς όλες τις πτυχές της καθημερινότητάς μας και τα προσωπικά μας δεδομένα αποτελούν, σε πολλές περιπτώσεις, την πρώτη ύλη για τη λειτουργία τους.

Οι προβληματισμοί που ανακύπτουν σε σχέση με τέτοιου είδους τις επεξεργασίες είναι πολυάριθμοι και καλύπτουν ένα ευρύτατο φάσμα ζητημάτων, από αμιγώς νομικά, όπως η καταλληλότητα της νομικής βάσης και η τήρηση των αρχών επεξεργασίας, έως τεχνικά, όπως η λειτουργία και η επεξηγησιμότητα των συστημάτων τεχνητής νοημοσύνης, αλλά και κοινωνιολογικά, όπως η τάση των χρηστών να παρέχουν προσωπικά δεδομένα με αντάλλαγμα ψηφιακές υπηρεσίες.

Είναι οι ανησυχίες των χρηστών δικαιολογημένες;

Μία από τις βασικές παραμέτρους προβληματισμού σε σχέση με το FaceApp αφορά στο είδος, την έκταση και τα μέσα της επεξεργασίας προσωπικών δεδομένων.

Σύμφωνα με τα μέσα ενημέρωσης, περισσότερες από 150 εκατομμύρια φωτογραφίες προσώπων έχουν ήδη μεταφορτωθεί στο FaceApp, ενώ, όπως αναφέρεται στους όρους χρήσης της εφαρμογής, οι δυνατότητες επεξεργασίας των φωτογραφιών αυτών είναι ευρύτατες και διαρκείς, βασίζονται δε σε τεχνολογίες Τεχνητής Νοημοσύνης.

Η συζήτηση που αναπτύχθηκε σε διεθνές επίπεδο σχετικά με τα ζητήματα που ανακύπτουν για την προστασία των δεδομένων των χρηστών, οδήγησε την ιδιοκτήτρια εταιρεία, Wireless Lab, να διευκρινίσει ότι οι περισσότερες φωτογραφίες υφίστανται επεξεργασία σε servers που φιλοξενούνται στις υπηρεσίες cloud της Amazon και της Google, για διάστημα που δεν ξεπερνά τις 48 ώρες, ενώ μετά διαγράφονται. Η εταιρεία υποστήριξε ότι δεν λαμβάνει άλλα στοιχεία από τους χρήστες που επιτρέπουν την ταυτοποίησή τους, ενώ δεν διαβιβάζει δεδομένα σε τρίτα μέρη.^[1]

Αν δεχτούμε τους παραπάνω ισχυρισμούς, τότε δύσκολα θα μπορούσε κανείς να υποστηρίξει ότι τα δεδομένα στο FaceApp θα μπορούσαν να χρησιμοποιηθούν για την αναγνώριση προσώπων. Αυτό δεν σημαίνει, όμως, ότι δεν υπάρχει μία σειρά εναλλακτικών τρόπων αξιοποίησης των δεδομένων αυτών στο πλαίσιο εκπαίδευσης αλγορίθμων μηχανικής μάθησης (εντοπισμός ή ανάλυση προσώπου, deepfake generation κ.α.).^[2]

Σε κάθε περίπτωση, η επεξεργασία μίας τόσο εκτενούς βάσης δεδομένων με τεχνολογίες αιχμής, όπως η Μηχανική Μάθηση, γεννά – πέρα από εύλογες ανησυχίες – σημαντικές υποχρεώσεις στην εταιρεία – υπεύθυνο επεξεργασίας με βάση το σχετικό νομικό πλαίσιο.

Ιδιαίτερο ενδιαφέρον συγκέντρωσε και ο τόπος στον οποίο εδρεύει η εταιρεία, η οποία είναι υπεύθυνη για την επεξεργασία.Η εφαρμογή FaceApp ανήκει στην εταιρεία Wireless Lab με έδρα στη Ρωσία, μία χώρα γνωστή για το ιδιαιτέρως υψηλό επίπεδο των επιστημόνων πληροφορικής που διαθέτει, όχι όμως και για το επίπεδο προστασίας ανθρωπίνων δικαιωμάτων, όπως το δικαίωμα στην προστασία των προσωπικών δεδομένων και της ιδιωτικής ζωής.^[3]

Φυσικά, αυτό δε σημαίνει ότι η Ρωσία δεν διαθέτει νομικό πλαίσιο για την προστασία δεδομένων, το οποίο μάλιστα φαίνεται να επηρεάζεται θετικά από την εφαρμογή του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR). Ωστόσο, βασικό στοιχείο του πλαισίου αποτελεί η υποχρέωση αποθήκευσης των δεδομένων των Ρώσων πολιτών σε βάσεις δεδομένων εντός της χώρας, πρακτική που φαίνεται μάλλον αντιφατική σε σχέση με τη δέσμευση της Wireless Lab πως τα δεδομένα των χρηστών δεν διαβιβάζονται στη Ρωσία, ακόμα και αν η ομάδα των ερευνητών της βρίσκεται εκεί.

Τέλος, θα πρέπει να διευκρινιστεί πως, ακόμα και αν η εταιρεία έχει την έδρα της εκτός Ευρωπαϊκής Ένωσης (Ε.Ε.), ο GDPR εφαρμόζεται κανονικά, καθώς οι υπηρεσίες της παρέχονται σε χρήστες – υποκείμενα δεδομένων στην Ε.Ε., ανεξαρτήτως μάλιστα από το γεγονός ότι δεν απαιτείται πληρωμή για τη χρήση της εφαρμογής.^[4]

Η κορυφή του παγόβουνου;

Το FaceApp βρέθηκε στο επίκεντρο της επικαιρότητας εν μέρει δικαίως, τόσο λόγω της έκτασης που έλαβε η χρήση του όσο και άλλων παραγόντων, όπως η αδιαφάνεια στους όρους χρήσης του. Εντούτοις, αποτελεί μόνο ένα δείγμα επεξεργασίας προσωπικών δεδομένων με τεχνολογίες Τεχνητής Νοημοσύνης, φαινόμενο το οποίο εγείρει ήδη προβληματισμούς που αγγίζουν τον πυρήνα εννοιών και θεωριών της νομικής επιστήμης.^[5]

Η αξιοσημείωτη ευκολία με την οποία οι χρήστες παρέχουν τα δεδομένα τους ως αντάλλαγμα για την παροχή υπηρεσιών, αλλά και η πιθανή σύνδεση της επιλογής αυτής προς την ελλιπή τους ενημέρωση δεν είναι καινοφανές ζήτημα.

Ωστόσο, οι διαρκώς αυξανόμενες δυνατότητες επεξεργασίας δεδομένων με τη χρήση τέτοιων συστημάτων, προσδίδουν στις παραμέτρους αυτές νέες και, πιθανώς, απρόβλεπτες διαστάσεις, θέτοντας πρωτοφανείς προκλήσεις στην θεωρητική σύλληψη και πρακτική εφαρμογή του νομικού πλαισίου.^[6]

Υποσημειώσεις:

^[1] https://techcrunch.com/2019/07/17/faceapp-responds-to-privacy-concerns/

^[2] https://www.technologyreview.com/f/613983/faceapp-ai-could-use-your-face-not-for-face-recognition/

^[3] https://www.echr.coe.int/Documents/Facts_Figures_2018_ENG.pdf

^[4] Βλέπε άρθρο 3 GDPR

^[5] Βλέπε σχετικά και Σπύρο Τάσση, Το Δίκαιο στην εποχή της Τεχνητής Νοημοσύνης

^[6] Βλέπε και ανάλυση Λίλιαν Μήτρου IS THE GENERAL DATA PROTECTION REGULATION (GDPR) “ARTIFICIAL INTELLIGENCE-PROOF”

Βασίλης Καρκατζούνης
Δικηγόρος, LLM, CIPP/E, Μέλος της Διαρκούς Επιστημονικής Επιτροπής του Υπουργείου Δικαιοσύνης για τις επιπτώσεις της τεχνητής νοημοσύνης στο δικαστικό σύστημα.