De eerste specifieke wetgeving die deepfakes regelt krijgt uitwerking en wel vandaag (10 januari). Niet bij ons in de EU, maar wel in China. Het is meer bepaald de Cyberspace Administration of China die de naleving van de nieuwe regels zal afdwingen.
Het belang van gepaste regelgeving
Deepfakes worden gemaakt door video’s en afbeeldingen te manipuleren met behulp van artificiële intelligentie om inhoud te genereren die fake is, maar er wel zeer realistisch uitziet. Het hoeft eigenlijk geen verdere uitleg dat dit kan leiden tot grote nadelige gevolgen.
Zo kunnen mensen – waaronder acteurs, politici, maar ook jij en ik – gelinkt worden aan uitspraken of bepaalde acties die in werkelijkheid nooit hebben plaatsgevonden. Op microniveau raakt dat alvast aan het privéleven en de gegevensbescherming van de betrokken individuen. Op macroniveau kan dit dan weer grote maatschappelijke complicaties teweegbrengen wanneer mensen grootschalig via media misleid worden. Vandaar het belang aan passende regelgeving.
Terwijl wij in de Europese Unie nog ongeduldig aan het wachten zijn op de finalisering en inwerkingtreding van de algemene Artificial Intelligence Act, is er in China wel al specifieke wetgeving voor het gebruik van deepfakes.
Hebben wij dan op dit moment niks om op terug te vallen? Toch wel, hoor. Gelukkig hebben we bij ons de technologie neutrale GDPR die momenteel, gedeeltelijk althans, het een en ander opvangt.
Wat regelt China zoal inzake deepfakes?
Om de potentiële inbreuken op het privéleven, alsook om maatschappelijke misleiding te voorkomen, legt China een aantal specifieke verplichtingen op. Twee belangrijke daartoe zijn:
- Vooraleer men een deepfake van een persoon maakt, moet men daarvoor de toestemming krijgen van de betrokkene. Daartoe moet men ook de echte identiteit van de betrokken persoon verifiëren. Zo niet, wordt die vereiste van de toestemming natuurlijk uitgehold.
- Voor de transparantie vereist de regelgeving ook dat aanbieders van deepfake toepassingen een handtekening of watermerk moeten toevoegen om aan te tonen dat het om een kunstmatig werkt gaat. Dit, om publieke verwarring of foutieve identificatie te voorkomen.
Let op: deepfakes en GDPR
Het is niet omdat er in de Europese Unie op dit moment (nog) geen specifieke regelgeving bestaat voor deepfakes, dat je nu in het wilde weg deepfakes mag maken en verspreiden. Los van andere bestaande aanknopingspunten in het recht die verbonden zijn met het gebruik van deepfakes, vinden we op vlak van gegevensbeschermingsrecht wel degelijk een algemene houvast.
Foto’s of video’s van een persoon zijn immers persoonsgegevens. Het manipuleren of bewerken daarvan, inclusief aan de hand van artificiële intelligentie, is een verwerking van persoonsgegevens. Bijgevolg is de GDPR dus van toepassing, tenzij één van de uitzonderingsgronden toepasselijk zou zijn (bv. binnen strikt huishoudelijke activiteiten).
Los van de andere verplichtingen die de GDPR jou oplegt, moet je dus zeker rekening houden met het volgende:
- Ga na of je wel een geldige rechtsgrond hebt om de foto’s of video’s van een persoon te gaan verwerken. In eerste instantie om dat beeldmateriaal te verkrijgen, maar vervolgens ook voor het ‘bewerken’ daarvan via AI om een deepfake te maken en voor al het verdere gebruik je daarvan maakt (inclusief de verspreiding).
- Aangezien het analyseren van bv. gezichtsuitdrukkingen of het stemgeluid van een persoon, een verwerking is van biometrische gegevens, zijnde “gevoelige persoonsgegevens”, vereist de GDPR dat je naast een geldige rechtsgrond, bijkomend beroep kan doen op een uitzonderingsgrond die het verwerkingsverbod kan opheffen.
In de meeste gevallen zal een uitdrukkelijke toestemming van de betrokken persoon dus onvermijdbaar zijn om deepfakes te mogen maken. Dit alles in afwachting uiteraard van eventuele specifieke nieuwe regelgeving rond deepfakes.
- Let op met het algemeen beginsel van de juistheid van gegevens. Als verwerkingsverantwoordelijke moet je ervoor zorgen dat de gegevens die je verwerkt juist zijn. Een contradictio in terminis in verhouding met het concept deepfakes, is het niet? Het laatste is hierover zeker niet gezegd.
- Wees ook voldoende transparant naar betrokkenen toe conform de informatievereisten van de GDPR.
Conclusie
China loopt enigszins voor op de Europese Unie door de inwerkingtreding van specifieke wetgeving rond deepfakes. Maar dat betekent niet dat er bij ons nog geen algemene regelgeving bestaat die ook voor deepfakes geldt. Een voorbeeld daarvan is de GDPR, althans op het vlak van gegevensbescherming.
Vragen hierover? Je kan ons steeds contacteren via hallo@dejuristen.be.
Geschreven door Larissa De Keyser, CIPT, Legal adviser deJuristen
