Infolge der declaración conjunta Die von Regulierungsbehörden von einem Dutzend internationaler Datenschutzbehörden, darunter dem britischen ICO, dem kanadischen OPC und dem Hongkonger OPCCD, unterzeichnete Initiative fordert große Social-Media-Plattformen auf, die öffentlichen Beiträge der Nutzer vor Scraping zu schützen, und warnt davor, dass sie dafür in den meisten Märkten rechtlich haftbar gemacht werden.
„In den meisten Gerichtsbarkeiten unterliegen personenbezogene Daten, die im Internet ‚öffentlich zugänglich‘, ‚öffentlich zugänglich‘ oder ‚öffentlicher Natur‘ sind, den Datenschutzgesetzen“, kommentieren sie. „Daher sind Einzelpersonen und Unternehmen, die solche personenbezogenen Daten sammeln, dafür verantwortlich, sicherzustellen, dass sie diese und andere geltende Gesetze einhalten. Aber auch Social-Media-Unternehmen und Betreiber anderer Websites, die öffentlich zugängliche personenbezogene Daten hosten (SMC und andere Websites), unterliegen Datenschutzpflichten im Hinblick auf die Datenextraktion durch Dritte aus ihren Diensten. online. Diese Verpflichtungen gelten im Allgemeinen für personenbezogene Daten, unabhängig davon, ob diese Informationen öffentlich zugänglich sind oder nicht. Die Massenextraktion personenbezogener Daten kann in vielen Gerichtsbarkeiten einen meldepflichtigen Datenschutzverstoß darstellen.“
Der Zeitpunkt der Erklärung, die auch von Datenschutzbehörden in Australien, der Schweiz, Norwegen, Neuseeland, Kolumbien, Jersey, Marokko, Argentinien und Mexiko unterzeichnet wurde, allesamt Mitglieder der Arbeitsgruppe für internationale Zusammenarbeit bei der Strafverfolgung der Global Privacy Assembly, fällt zeitlich zusammen mit dem aktuellen Hype um generative KI-Modelle, die typischerweise große Datenmengen für das Training erfordern und mehr Unternehmen dazu ermutigen könnten, das Internet zu erkunden, um Datensätze zu erwerben, und auf den generativen KI-Zug aufzuspringen.
Prominente Beispiele für solche Systeme, wie das große ChatGPT-Sprachmodell von OpenAI, haben sich (zumindest teilweise) auf online veröffentlichte Daten verlassen, um ihre Systeme zu trainieren, und im Juni wurde eine Sammelklage gegen das US-Unternehmen eingereicht worüber CNN Business berichtete behauptet, er habe heimlich „riesige Mengen personenbezogener Daten aus dem Internet“ entnommen.
Zu den von den Aufsichtsbehörden hervorgehobenen Datenschutzrisiken zählen der Einsatz von Data Mining für gezielte Cyberangriffe wie Social Engineering und Phishing; Identitätsbetrug; und für die Verfolgung, Profilerstellung und Überwachung von Personen, wie etwa die Verwendung von Daten zur Befüllung von Gesichtserkennungsdatenbanken und zur Gewährung unbefugten Zugriffs auf Behörden, ein klarer Schlag für Clearview AI, das einer Reihe von Kontrollen durch internationale Regulierungsbehörden ausgesetzt war, darunter mehrere in der gesamten EU, wegen der Nutzung der gewonnenen Daten zur Nutzung eines Gesichtserkennungs-Identifikationstools, das es an Behörden und andere Nutzer verkaufte.
Sie warnen außerdem davor, dass die extrahierten Daten für unbefugte politische oder nachrichtendienstliche Zwecke verwendet werden könnten, auch von ausländischen Regierungen oder Geheimdiensten. Darüber hinaus können sie auch zur Generierung von Direktmarketing oder unerwünschtem Spam genutzt werden.
Sie nennen das Trainieren von KI-Modellen nicht direkt als eines dieser „wichtigsten“ Datenschutzrisiken, aber generative KI-Tools, die ohne deren Wissen oder Zustimmung auf den Daten von Menschen trainiert wurden, könnten für mehrere dieser Fälle zweckentfremdet werden. Verwenden Sie böswilliges Zitieren. einschließlich der Nachahmung von Personen für gezielte Cyber-Angriffe, Identitätsbetrug oder zur Überwachung/Überwachung von Personen.
Zusätzlich zur Veröffentlichung der Erklärung weisen die Aufsichtsbehörden darauf hin, dass eine Kopie direkt an die Muttergesellschaft von YouTube, Alphabet, gesendet wurde; ByteDance, Muttergesellschaft von TikTok; Meta (Inhaber von Instagram, Facebook und Threads); Microsoft (LinkedIn); Sina Corp (Weibo); und
Natürlich kam es auf einigen Plattformen bereits zu großen Datenskandalen im Zusammenhang mit Datendiebstahl, wie zum Beispiel dem Datenmissbrauchsskandal von Cambridge Analytics im Jahr 2018, der Facebook traf, nachdem ein Entwickler auf seiner Plattform in der Lage war, Daten von Millionen von Nutzern ohne deren Wissen oder Zustimmung zu extrahieren ein Ergebnis der laxen Genehmigungen, die das Unternehmen beantragt hat; oder die Geldstrafe in Höhe von 275 Millionen US-Dollar, die im vergangenen Jahr gegen Facebook im Zusammenhang mit einem Data-Mining-Vorfall verhängt wurde, von dem 530 Millionen Nutzer aufgrund unsicheren Produktdesigns betroffen waren. Dieser jüngste Vorfall ist auch Gegenstand einer Klage einer irischen Gruppe für digitale Rechte, die die Schlussfolgerung der Datenschutzbehörde anfechtet, dass keine Sicherheitsverletzung vorliege.
Während die gemeinsame Erklärung der Regulierungsbehörden ein klares Signal für die Notwendigkeit enthält, proaktiv beim Schutz von Benutzerinformationen vor Scraping vorzugehen, gibt es keine verhältnismäßig klare Warnung, die die Botschaft begleitet, nicht zu handeln und Daten zu schützen Es besteht die Gefahr, dass die Wirkung der Erklärung etwas abgeschwächt wird.
Stattdessen fordern die Aufsichtsbehörden die Plattformen auf, „die Rechtmäßigkeit verschiedener Arten des Data Mining in den für sie geltenden Rechtsordnungen sorgfältig zu prüfen und Maßnahmen zum Schutz vor illegalem Data Mining zu ergreifen“.
„Techniken zur Wertschöpfung aus öffentlich zugänglichen Daten entstehen und entwickeln sich ständig weiter. Datensicherheit ist eine dynamische Verantwortung und Wachsamkeit ist von größter Bedeutung“, kommentieren sie weiter. „Da kein Schutz ausreichend vor allen potenziellen Datenschutzschäden im Zusammenhang mit Data Mining schützt, sollten SMCs und andere Websites mehrschichtige technische und verfahrenstechnische Kontrollen implementieren, um Risiken zu mindern.“
Zu den empfohlenen Maßnahmen zur Begrenzung der im Schreiben erwähnten Data-Mining-Risiken der Benutzer gehört die Festlegung interner Teams/Rollen, die sich auf Data-Mining-Risiken konzentrieren; „Ratenbegrenzung“ für die Anzahl der Besuche pro Stunde oder Tag von einem Konto zu anderen Kontoprofilen und Beschränkung des Zugriffs, wenn ungewöhnliche Aktivitäten festgestellt werden; und überwachen Sie, wie schnell und aggressiv ein neues Konto mit der Suche nach anderen Benutzern beginnt und Maßnahmen ergreift, um auf ungewöhnliche Aktivitäten zu reagieren.
Sie schlagen außerdem vor, dass Plattformen Maßnahmen ergreifen, um Scraper zu erkennen, indem sie Muster in der Bot-Aktivität identifizieren, beispielsweise über Systeme zur Erkennung verdächtiger Aktivitäten auf IP-Adressen.
Eine weitere Empfehlung sind jedoch Maßnahmen zur Erkennung von Bots, wie die Implementierung von CAPTCHA und das Blockieren der IP-Adresse, an der Data-Mining-Aktivitäten identifiziert werden Bots können CAPTCHAs lösen, so dass dieser Rat bereits veraltet erscheint.
Weitere empfohlene Maßnahmen bestehen darin, dass Plattformen geeignete rechtliche Schritte gegen Scraper einleiten, beispielsweise durch das Versenden von Unterlassungserklärungen; die Löschung gelöschter Informationen verlangen; eine Bestätigung der Löschung einholen; und andere rechtliche Schritte einleiten, um Bedingungen durchzusetzen, die Data Mining verbieten.
Plattformen könnten auch verpflichtet sein, betroffene Einzelpersonen und Datenschutzbehörden gemäß den geltenden Gesetzen zu Datenschutzverletzungen zu benachrichtigen, warnen diese Aufsichtsbehörden.
Social-Media-Giganten, denen eine Kopie des Briefes zugesandt wurde, werden aufgefordert, innerhalb eines Monats mit Kommentaren zu antworten und zu zeigen, wie sie den Erwartungen der Regulierungsbehörden gerecht werden.
Die Menschen werden aufgefordert, „langfristig zu denken“
Der Brief enthält auch einige Ratschläge für die Menschen, Maßnahmen zu ergreifen, um sich vor den Risiken des Scrapings zu schützen, einschließlich der Empfehlung, dass Webbenutzer die Datenschutzrichtlinien der Plattformen beachten sollten; Überlegen Sie sorgfältig, was sie online teilen möchten. und nutzen Sie alle Einstellungen, mit denen Sie die Sichtbarkeit Ihrer Beiträge steuern können.
„Letztendlich ermutigen wir die Menschen, langfristig zu denken“, fügen sie hinzu. „Wie würde sich eine Person Jahre später über die Informationen fühlen, die sie heute weitergibt? Während SMCs und andere Websites möglicherweise Tools zum Entfernen oder Verbergen von Informationen anbieten, können dieselben Informationen für immer im Web verbleiben, wenn sie indiziert oder entfernt und dann geteilt werden.“
Personen, die befürchten, dass ihre Daten „illegal oder unsachgemäß“ entnommen wurden, werden in dem Schreiben außerdem aufgefordert, sich an die betreffende Plattform oder Website zu wenden. Sollten sie keine zufriedenstellende Antwort erhalten, wird ihnen empfohlen, eine Beschwerde bei der zuständigen Datenschutzbehörde einzureichen. Die Regulierungsbehörden fordern Benutzer daher auf, beim Scraping wachsamer zu sein, was letztendlich zu einem Anstieg führen könnte Untersuchungen und Kontrollen in diesem Bereich Bereich.
Die Dutzend internationalen Regulierungsbehörden, die die gemeinsame Erklärung unterzeichnet haben, kommen alle aus Märkten außerhalb der Europäischen Union. Aber wie oben erwähnt, sind die Datenschutzbehörden der EU bereits aktiv gegen Data-Mining-Risiken vorgegangen, und zwar durch Maßnahmen, die im Rahmen der DSGVO des Blocks ergriffen wurden.
Sie beobachten auch aufmerksam die Entwicklung der Sicherheitsdienste. künstliche Intelligenz generativ, daher scheinen die in dem Brief geäußerten Bedenken weitgehend mit Themen übereinzustimmen, die bereits auf dem Radar der Datenschutzbehörden der Union stehen.
Bemerkenswert ist, dass die italienische Datenschutzbehörde ChatGPT Anfang des Jahres eine lokale Anordnung zur Einstellung der Verarbeitung auferlegte, was zu einem kurzen Dienstausfall führte, während OpenAI sich mit Offenlegungen und Überprüfungen herumschlug. Die Einführung des Google-Chatbots Bard AI dauerte in der EU länger als in anderen Regionen, nachdem die oberste EU-Datenschutzbehörde in Irland ähnliche Bedenken geäußert hatte. Gleichzeitig koordinieren die EU-Datenschutzbehörden jedoch, wie die lokalen Datenschutzvorschriften am besten auf diese neuartigen KI-Chatbots angewendet werden können, auch im Hinblick auf die entscheidende Frage der Rechtmäßigkeit der Datenverarbeitung, die zum Trainieren der Modelle verwendet wird. GPRD-Framework Light. Entscheidungen über die grundsätzliche Rechtmäßigkeit von Tools wie ChatGPT stehen daher in der EU weiterhin aus.
Anfang des Jahres warnte auch die französische Datenschutzbehörde CNIL, dass der Schutz vor Datendiebstahl ein Schlüsselelement eines im Mai angekündigten KI-Aktionsplans sein werde.
