Trend „sněhové bouře“ vyvolává na internetu rozruch: Riziko úniku dat o obličejích je alarmující.

Poskytování osobních údajů třetím stranám

Podle Národní asociace pro kybernetickou bezpečnost (National Cyber ​​Security Association) se na sociálních sítích rozmáhá trend vytváření „sněhových“ fotografií pomocí umělé inteligence (AI), který proměňuje tisíce vietnamských selfie v romantické scény podobné korejským filmovým plakátům. Za těmito třpytivými fotografiemi se však skrývá riziko úniku biometrických údajů: Portrétní fotografie s celou tváří jsou přenášeny na platformy, aplikace a servery s nejasným původem a zásadami ukládání. Bez ostražitosti a přísných předpisů o ochraně osobních údajů by tento zábavný trend mohl vydláždit cestu pro deepfake, impersonace, vydírání a nepředvídatelné bezpečnostní a sociální důsledky.

Trend „sněhové bouře s umělou inteligencí“ je atraktivní díky své bezprostřednosti a poutavým výsledkům: Stačí jen pár kroků nahrání fotografie, výběru efektu a uživatelé okamžitě obdrží zpracovanou fotografii se zasněženým pozadím, osvětlením a digitálním make-upem. Služby umělé inteligence však často vyžadují vysoce kvalitní originální fotografie, jasné úhly obličeje, dobré osvětlení, perfektní kritéria pro rozpoznávání obličeje a trénování modelu. Portrétní fotografie nejsou jen „fotografie“, ale biometrická data, která mohou identifikovat, ověřit subjekt nebo být znovu použita k vytvoření falešného obsahu.

Ve Vietnamu si většina uživatelů, kteří přicházejí do styku s těmito aplikacemi, často pečlivě nepřečte podmínky používání ani zásady ochrany osobních údajů. Sdílejí osobní fotografie s mentalitou „baví se, experimentují“ nebo proto, že chtějí „zachytit trend“ a zvýšit tak interakce na sociálních sítích. Vágní pojmy jako „platforma může používat, ukládat a vylepšovat služby pomocí uživatelských dat“ mezitím umožňují platformě shromažďovat a přenášet data do školicích skladů AI nebo externím partnerům, což jsou organizace v zahraničí s odlišnými předpisy o ochraně osobních údajů. Jakmile data opustí zařízení a jsou na serveru, uživatelé téměř ztrácejí kontrolu: Fotografie lze kopírovat, distribuovat, prodávat na podzemním trhu nebo použít jako školicí data k vytvoření série deepfakes zaměřených na stejnou skupinu obyvatelstva.

Stávající rizika a běžné formy útoku: Od používání fotografií přes falešná videa projevů a citlivé klipy k vydírání až po obcházení mechanismů ověřování fotografií v některých slabých systémech eKYC k otevírání nelegálních účtů. Přestože velké banky nasadily více vrstev ověřování, mnoho systémů a online služeb má stále zranitelnosti, pokud čelí falešným fotografiím generovaným umělou inteligencí. Díky kvalitním údajům o obličeji mohou zločinci kombinovat hlasovou technologii a vytvářet videa, která „mluví“ s falešnou postavou.

Poznámky

Pro snížení rizik plynoucích z trendů umělé inteligence jsou zapotřebí následující opatření: odpovědnost platformy, povědomí uživatelů a jasný právní rámec. Na individuální úrovni by uživatelé měli být opatrní: Nezveřejňujte fotografie reálných obličejů do aplikací a služeb neznámého původu nebo bez transparentní právní identity; upřednostňujte testování efektů prostřednictvím offline nástrojů (zpracování pouze na zařízení) nebo používejte částečně upravené fotografie (např. oříznutí rámečku, zakrytí očí), pokud chcete tento trend stále vyzkoušet. Pokud jste někdy nahráli fotografie na nedůvěryhodnou platformu, uživatelé si musí ověřit a zrušit přístup, pokud jej služba podporuje, smazat fotografie z alba nebo kontaktovat administrátora a požádat o smazání dat.

Na straně poskytovatelů služeb umělé inteligence je nutná maximální transparentnost ohledně mechanismu shromažďování, ukládání a sdílení dat. Platformy by měly zveřejňovat své zásady ukládání: zda jsou uloženy původní obrázky, na serveru které země, zda jsou data použita k trénování modelu nebo prodána třetí straně a jak dlouho trvá uchovávání. Pokud jsou data použita k trénování, musí firmy uživatelům poskytnout jasnou možnost „opt-in“ namísto výchozího souhlasu. Zároveň je nutné zavést technický mechanismus pro úplné smazání dat, když o to uživatelé požádají („právo být zapomenut“), a bezpečnostní opatření, jako je šifrování a přísná kontrola přístupu.

Vyhláška 13/2023/ND-CP o ochraně osobních údajů je prvním právním dokumentem, který jasně definuje: Biometrické údaje, včetně zobrazení obličeje, patří do skupiny citlivých osobních údajů a musí být chráněny na nejvyšší úrovni. Podle předpisů musí být organizace zpracovávající údaje transparentní, pokud jde o účel shromažďování, mít jasný souhlas subjektů údajů, nesmí převádět údaje do zahraničí bez zajištění bezpečnostních standardů a musí mít mechanismus pro smazání údajů na žádost uživatelů.

Většina dnešních trendových aplikací umělé inteligence však nemá servery ve Vietnamu, nemá transparentní podmínky a neposkytuje mechanismus pro stahování dat. To představuje naléhavou potřebu pro řídící orgány: posílit inspekce, dohled a poskytovat podrobnější pokyny pro přeshraniční platformy umělé inteligence, zejména v kontextu zrychlujícího se objemu biometrických údajů Vietnamců, které se šíří do digitálního prostředí nebývalou rychlostí.

Trendy generované umělou inteligencí nabízejí okamžité pohodlí a zábavu, ale mohou mít dlouhodobé důsledky, pokud se uživatelé nevyzbrojí znalostmi. V datovém věku je každý snímek obličeje cenným a rizikovým digitálním aktivem, které je třeba chránit, stejně jako bankovní účet nebo průkaz totožnosti. Uživatelé musí být ostražití, aby se vyhnuli vlně úniků biometrických údajů, které by mohly mít rozsáhlé následky.