A „hóvihar” trend online felháborodást keltett: riasztó mértékű az arckifejezési adatok kiszivárgásának kockázata

Személyes adatok harmadik feleknek történő átadása

A Nemzeti Kiberbiztonsági Szövetség szerint a mesterséges intelligencia (MI) segítségével készített „hó” fotók trendje robbanásszerűen terjed a közösségi hálózatokon, több ezer vietnami szelfit romantikus jelenetekké változtatva, mint a koreai filmplakátok. De ezek mögött a csillogó fotók mögött a biometrikus adatok szivárgásának kockázata rejlik: a teljes arcot ábrázoló portréfotók olyan platformokra, alkalmazásokba és szerverekre kerülnek, amelyek eredete és tárolási szabályzata nem egyértelmű. Éberség és szigorú adatvédelmi szabályozások nélkül ez a szórakoztató trend utat nyithat a deepfake-eknek, a személyes adatokkal való visszaélésnek, a zsarolásnak, valamint a kiszámíthatatlan biztonsági és társadalmi következményeknek.

Az „AI hóvihar” trend vonzó az azonnalisága és a figyelemfelkeltő eredményei miatt: A fotó feltöltésével és az effekt kiválasztásával mindössze néhány lépésben megkapják a felhasználók a feldolgozott fotót havas háttérrel, megvilágítással és digitális sminkkel. Az MI-szolgáltatások azonban gyakran kiváló minőségű eredeti fotókat, tiszta arcszögeket, jó megvilágítást, tökéletes kritériumokat igényelnek az arcfelismeréshez és a modell betanításához. A portréfotók nem egyszerűen „egy fényképek”, hanem biometrikus adatok, amelyek azonosíthatják és ellenőrizhetik a témát, vagy újra felhasználhatók hamis tartalmak létrehozására.

Vietnámban a legtöbb felhasználó, aki kapcsolatba kerül ezekkel az alkalmazásokkal, gyakran nem olvassa el figyelmesen a felhasználási feltételeket vagy az adatvédelmi irányelveket. Személyes fényképeket osztanak meg a „szórakozás, kísérletezés” mentalitásával, vagy azért, mert „követni akarják a trendeket”, hogy növeljék az interakciókat a közösségi hálózatokon. Eközben az olyan homályos kifejezések, mint a „platform felhasználói adatok felhasználásával használhatja, tárolhatja és fejlesztheti a szolgáltatásokat”, lehetővé teszik a platform számára, hogy adatokat gyűjtsön és továbbítson MI-képző raktáraknak vagy harmadik fél partnereknek, amelyek külföldi szervezetek, eltérő adatvédelmi szabályozással. Miután az adatok elhagyták az eszközt és a szerverre kerültek, a felhasználók szinte elveszítik az irányítást: a fényképeket lemásolhatják, terjeszthetik, eladhatják az illegális piacon, vagy felhasználhatják képzési adatként, hogy ugyanazt a népességcsoportot célzó deepfake-sorozatokat hozzanak létre.

Meglévő kockázatok és gyakori támadási formák: A fényképek hamisított videóinak és érzékeny klipeknek a zsarolási célú felhasználásától kezdve egészen a gyenge eKYC rendszerek fotóhitelesítési mechanizmusainak megkerüléséig illegális számlák megnyitásáig. Bár a nagyobb bankok több rétegű hitelesítést alkalmaztak, számos rendszer és online szolgáltatás továbbra is sebezhető a mesterséges intelligencia által generált hamis fényképekkel szemben. Minőségi arcképadatokkal a rosszfiúk a hangtechnológiát kombinálva videókat hozhatnak létre, amelyekben „beszélnek” a hamis karakterrel.

Megjegyzések

A mesterséges intelligencia trendjeiből adódó kockázatok csökkentése érdekében intézkedésekre van szükség: Platformfelelősség, felhasználói tudatosság és egyértelmű jogi keretrendszer. Egyéni szinten a felhasználóknak óvatosnak kell lenniük: Ne tegyenek közzé valós arcképeket ismeretlen eredetű vagy átlátható jogi identitás nélküli alkalmazásokban és szolgáltatásokban; részesítsék előnyben az offline eszközökön keresztüli tesztelést (csak az eszközön történő feldolgozás), vagy használjanak részben szerkesztett fotókat (pl. a képkocka levágása, a szemek eltakarása), ha mégis ki szeretnének próbálni a trendet. Ha valaha is feltöltöttek fotókat egy megbízhatatlan platformra, a felhasználóknak ellenőrizniük kell és vissza kell vonniuk a hozzáférést, ha a szolgáltatás támogatja, törölniük kell a fotókat az albumból, vagy fel kell venniük a kapcsolatot az adminisztrátorral az adatok törlésének kéréséhez.

A mesterséges intelligencia szolgáltatóinak oldalán maximális átláthatóságra van szükség az adatgyűjtés, -tárolás és -megosztás mechanizmusával kapcsolatban. A platformoknak nyilvánosságra kell hozniuk tárolási szabályzataikat: hogy az eredeti képeket tárolják-e, melyik ország szerverén, hogy az adatokat a modell betanítására használják-e fel, vagy harmadik félnek adják-e el, és mennyi a tárolási időszak. Ha az adatokat betanításra használják, a vállalkozásoknak egyértelmű „beleegyezési” lehetőséget kell biztosítaniuk a felhasználók számára az alapértelmezett hozzájárulás helyett. Ugyanakkor szükség van egy technikai mechanizmus bevezetésére, amely lehetővé teszi az adatok teljes törlését, amikor a felhasználók kérik („elfeledtetéshez való jog”), valamint olyan biztonsági intézkedésekre, mint a titkosítás és a szigorú hozzáférés-ellenőrzés.

A személyes adatok védelméről szóló 13/2023/ND-CP rendelet az első olyan jogi dokumentum, amely egyértelműen meghatározza: A biometrikus adatok, beleértve az arcképmásokat is, az érzékeny személyes adatok csoportjába tartoznak, és a legmagasabb szinten kell védeni őket. A szabályozás szerint az adatfeldolgozó szervezeteknek átláthatónak kell lenniük a gyűjtés célját illetően, az érintettek egyértelmű hozzájárulásával kell rendelkezniük, nem továbbíthatnak adatokat külföldre a biztonsági szabványok biztosítása nélkül, és rendelkezniük kell egy olyan mechanizmussal, amely lehetővé teszi az adatok törlését a felhasználók kérésére.

A ma divatos MI-alkalmazások többségének azonban nincsenek szerverei Vietnámban, nincsenek átlátható feltételeik, és nem biztosítanak mechanizmust az adatok visszavonására. Ez sürgős igényt támaszt az irányító szervekkel szemben: meg kell erősíteniük az ellenőrzést és a felügyeletet, valamint részletesebb iránymutatást kell adniuk a határokon átnyúló MI-platformok számára, különösen a vietnami emberek biometrikus adatainak mennyiségének felgyorsuló és a digitális környezetben példátlan sebességgel történő terjedésével összefüggésben.

A mesterséges intelligencia által generált trendek azonnali kényelmet és szórakozást kínálnak, de hosszú távú következményekkel járhatnak, ha a felhasználók nem vértezik fel magukat tudással. Az adatkorszakban minden arckép értékes és kockázatos digitális eszköz, amelyet védeni kell, mint egy bankszámlát vagy személyazonosító okmányt. A felhasználóknak ébernek kell lenniük, hogy elkerüljék a biometrikus adatok szivárgásának hullámát, amelynek széles körű következményei lehetnek.