Deel 1: mogelijke Privacyrisico’s
De deepfake-technologie is de voorbije jaren enorm in populariteit gestegen. Met dit wijdverbreide gebruik van deepfake-inhoud komen problemen zoals manipulatie van het publiek, aanvallen op persoonlijke rechten, schendingen van intellectuele eigendomsrechten en bescherming van persoonsgegevens steeds vaker voor. Wetgevers en Big Tech bedrijven zoeken naar een effectieve oplossing tegen de toenemende problemen van deepfakes. In het eerste deel van deze blog zullen we u uitleggen wat deepfake is en welke risico’s het op GDPR vlak met zich meebrengt.
Wat is Deepfake?
Deepfakes zijn audiovisuele versies van nepnieuws. Deepfake-films beginnen met bestaande beelden, die vervolgens door Artificiële intelligentie (AI) worden bewerkt of gemanipuleerd. Als zodanig zijn deepfakes ook een vorm van synthetische media. Deepfakes gaan verder dan gewone nepnieuwsartikelen en vereisen geavanceerde technieken Een deepfake maken doe je niet zomaar. Je hebt er zogenaamde ‘deep learning’ software voor nodig: software die via kunstmatige intelligentie nepvideo’s of valse audiofragmenten kan produceren.
Indien het gaat om beelden van mensen, zal de software zichzelf aanleren hoe de persoon in kwestie praat en beweegt. Nadien kan je met die software en de vergaarde kennis die de software heeft een fake filmpje maken waarin je deze persoon eender welke uitspraak of actie kan laten doen.
Van Reddit Experiment naar Trend – Toegankelijker dan Ooit!
Het fenomeen ontstond in 2017 op het online platform Reddit. Een softwareontwikkelaar plaatste op het platform foto’s en video’s waarin hij de gezichten van pornoacteurs verving door de gezichten van enkele Hollywood-beroemdheden.
Nadat deze creaties zich op Reddit en daarbuiten snel verspreidden, is deepfake een ware trend geworden. Daarnaast in de software ook simpeler en toegankelijker geworden Zo moet men tegenwoordig om een deepfake te creëren geen enorme datasets meer voorzien, één enkele foto van een bron is voldoende om deepfake-inhoud te creëren.
Overtuigende Voorbeelden en Duistere Gevolgen voor Persoonsgegevens en Intellectuele Eigendomsrechten
Enkele bekende voorbeelden van deepfakes gaan over Obama, Trump, Zuckerberg en Dalí. Bovendien zijn ze behoorlijk overtuigend. Met andere woorden, het is moeilijk te onderscheiden welke afbeelding echt is en welke werd aangepast met deepfake.
Echter heeft Deepfake ook een duistere kant. Zo wordt het in de recentste jaren vaak gebruikt voor wraakporno en zelfs kinderpornografie.
Het is dan ook niet verrassend dat het op juridisch vlak ook allerlei problemen met zich brengt zoals schendingen van de rechten op de bescherming van persoonsgegevens en intellectuele eigendomsrechten. Hoewel er veel problemen zijn met deepfakes, zullen we ons voornamelijk richten op intellectuele eigendomsrechten en rechten op de bescherming van persoonsgegevens met betrekking tot deepfake-inhoud.
Deepfakes en hun onverenigbaarheid met de GDPR?
Daarnaast bepaalt de GDPR ook dat afbeeldingen persoonsgegevens zijn als een natuurlijk persoon op basis van deze beelden geïdentificeerd of geauthentiseerd kan worden.
Om persoonsgegevens te mogen verwerken dient er in de eerste plaats een gepaste rechtsgrond aanwezig te zijn.
Dit betekent dat het nemen van foto’s of filmpjes maken een verwerking van persoonsgegevens is zoals beschreven in de GDPR.
Als je een deepfake van iemand wil maken zal je het AI-algoritme moeten voorzien van foto’s van die persoon.
Een eerste vraag die we ons hierbij moeten stellen is of we de foto van die persoon zonder zijn toestemming mogen gebruiken en of we zodus foto’s moeten kwalificeren als persoonsgegevens zoals beschreven in artikel 4 van de GDPR.
Het is hier belangrijk om eerst het recht op afbeelding aan te halen. Dit recht bepaalt dat voor elke menselijke afbeelding en het gebruik daarvan toestemming vereist is.
De GDPR somt 6 rechtsgronden op, op basis waarvan je persoonsgegevens mag verwerken, namelijk:
- toestemming;
- noodzaak (een verwerking vormt een uitzondering op de bescherming van persoonsgegevens en de beperkingen ervan moeten binnen de grens van het strikt noodzakelijke blijven, wat niet meer is dan de toepassing van principe van de minimale gegevensverwerking vermeld in artikel 5.c) GDPR):
- de uitvoering van een overeenkomst;
- wettelijke verplichting;
- bescherming van de vitale belangen van een persoon;
- algemeen belang of de uitoefening van het openbaar gezag;
- behartiging van een gerechtvaardigd belang.
Slechts één van rechtsgronden kan in goede orde gebruikt worden in de context van deepfakes het gebruik van afbeeldingen van een persoon kan rechtvaardigen, namelijk de voorafgaande expliciete toestemming van de betrokkene.
Een nuance tussen gerichte en niet-gerichte beelden
Betekent dit dat je altijd voor toestemming moet vragen als je de foto van iemand anders wilt gebruiken? Nee, er moet een kleine nuance worden gemaakt. Als het gerichte beelden betreft heb je steeds toestemming nodig om foto’s te maken en te gebruiken. Gerichte beelden zijn beelden waarbij de persoon of personen in kwestie gericht in beeld zijn genomen en zeer duidelijk herkenbaar zijn, denk bijvoorbeeld aan pasfoto’s. Journalisten hoeven geen toestemming te vragen voor deze gerichte beelden als deze beelden gebruikt worden in het kader van nieuws/verslaggeving. Voor niet gerichte beelden, dit zijn beelden die die niet de intentie hebben bepaalde personen duidelijk in beeld te brengen en zijn eerder sfeerbeelden, heb je geen uitdrukkelijke toestemming nodig.
Uitdagingen en Verplichtingen voor Gebruikers
Naast het bekomen van toestemming legt de GDPR nog veel meer verplichtingen op waar de gebruiken van deepfake rekening mee moeten houden Zo moeten de gepaste veiligheidsmaatregelen voor de gebruikte data gegarandeerd worden, transparantie naar de personen wiens gegevens verwerkt worden, beperking van de termijn waarvoor deze gegevens bewaard worden en over het algemeen respect voor de rechten van betrokkenen om hun toestemming in te trekken, recht tot toegang tot hun gegevens, hun recht om vergeten te worden, ..
Al deze dingen maken het creëren van deepfakes in Europa uitdagend. Onder de GDPR is het in principe enkel toegelaten om deepfakes te maken als de betrokkene vooraf akkoord is gegaan.
De Grijze Zone van Deepfakes als Persoonsgegevens onder de GDPR
Toch is de situatie niet zo zwart-wit. Sommige zijn echter van mening dat de nepafbeeldingen of -video’s niet in kunnen worden gezien als persoonsgegevens omdat het in sommige gevallen niet meer aan individuen kunnen worden toegeschreven. Echter vergeet men met dit statement dat persoonsgegevens op grond van de GDPR niet objectief hoeven te zijn. Subjectieve informatie zoals meningen, oordelen of schattingen kunnen ook persoonsgegevens zijn. Daarom zouden deepfakes wel persoonsgegeven kunnen bevatten binnen de bredere classificatie van persoonsgegevens zoals gedefinieerd in de GDPR.
GDPR-uitzonderingen en Morele Overwegingen
Een ander belangrijk punt is het feit dat de GDPR enkel van toepassing is op informatie die betrekking heeft op een identificeerbaar levend persoon en daarom is informatie met betrekking tot een overleden persoon niet persoonlijk en valt het daarom niet onder de GDPR.
Dit is een probleem bij deepfakes van overledenen. Je rechten onder GDPR vervallen na overlijden. Dit betekent dat de GDPR geen extra bescherming biedt als er respectvolle deepfakes worden gemaakt van een overledene. Men kan zich vragen stellen over de moraliteit hiervan.
Conclusie
Op GDPR vlak zijn er nog een hoop onbeantwoorde vragen rond deepfake, deze vragen kunnen geplaatst worden in de grotere context van de AI-discussie. In het tweede deel van deze blog zullen we de problematiek rond auteursrechten, portretrechten en consumentenrechten bespreken.
