04/02/2019
Inleiding
Onlangs publiceerde Shane Dawson op Youtube een video met daarin een aantal scenario’s van hoe deep fakes gebruikt en misbruikt kunnen worden. Deep fakes zijn een vorm van cognitieve hacking en komen in de buurt van een hoax. Concreet houdt het in dat een deep learning algoritme bewegende beelden verwerkt en de vorm van een gezicht analyseert en distilleert. Daarna word het gezicht van een derde op het gezicht van de persoon in de geanalyseerde video geplaatst, zodat het lijkt alsof een persoon een ander gezicht heeft. Maar hoe wordt dit onderwerp juridisch geregeld? En wat kunnen sociale media of de wetgever preventief doen? De belangen zijn niet klein omdat deep fakes een van de essentiële elementen van ons bestaan raakt, namelijk onze identiteit. Om de juridische oplossing te begrijpen, overlopen we eerst een aantal IT oplossingen.
IT oplossingen
In de IT wereld zijn ‘deep fakes’ zijn een voorbeeld van cognitieve hacking. Je zou dit ook wel kunnen zien als een vorm van spoofing of augmented reality. Er zijn een aantal (technische) oplossingen om de negatieve effecten van deep fakes in te dammen: (a) collaborative filtering en reliability reporting: de website die een bepaalde video host zou een score kunnen weergeven die de getrouwheid van de beelden kan duiden, onder meer via input van gebruikers. (b) linguïstische analyse: software die een stemopname analyseert om na te gaan of deze gegeneerd is of daadwerkelijk echt is en (c) authenticatie: de uploader van een video zal zichzelf moeten authenticeren bv. met een certificaat en PKI technologie. De conclusie is hierbij dat er wel degelijk technische oplossingen mogelijk zijn voor deep fakes.
FakeApp en GDPR
Vanuit een data protection perspectief is het gebruik van de app in de EU als volgt samen te vatten: op basis van de GDPR is het in principe niet toegelaten om in Europa de FakeApp te gebruiken op andere mensen, tenzij met hun uitdrukkelijke, vrije en specifieke toestemming. De verwerking van de foto’s door een specifiek technologisch middel dat unieke identificatie of authenticatie toelaat (zoals FakeApp), leidt tot de kwalificatie van verwerking van bijzondere gegevens (zie considerans nr. 51 van de GDPR). Daarbij is het van belang om te weten dat de GDPR in principe de verwerking van bijzondere gegevens verbiedt, maar aan de lidstaten de mogelijkheden geeft om uitzonderingen te maken.
Preventie van deep fakes
Naast het gebruik is de volgende vraag of er wetgeving is die deep fakes effectief kan voorkomen. Hier zijn al een aantal issues:
Strafrecht
Ten eerste is er het strafwetboek: er is geen autonome incriminatie van identiteitsfraude. Het is dus op zich geen misdrijf volgens ons huidig Strafwetboek. Er zijn wel andere strafbepalingen die in zekere context kunnen helpen om te strijden tegen identiteitsfraude, maar deze zijn niet perfect afgelijnd voor alle mogelijkheden die met deep fakes mogelijk zijn. Informaticabedrog vereist bijvoorbeeld een bedrieglijk opzet wat de dader betreft om een onrechtmatig economisch voordeel voor zichzelf of een ander te verwerven. Deep fakes zouden immers gebruikt kunnen worden om gelden, roerende goederen of verbintenissen te laten afgeven. Ook aanranding van de eer of de goede naam zou een mogelijkheid zijn om op te treden tegen deep fakes. Het in een video plaatsen van het gezicht van een persoon op het gezicht van een andere persoon kan beide personen krenken of hen aan openbare verachting blootstellen, zonder dat de video ook maar iets bewijst. Hierbij is wel kwaadwillig opzet vereist. Naast de strafrechtelijke aspecten worden deep fakes hieronder vanuit GDPR perspectief besproken.
Vitaal belang
Ten tweede zou linguïstische analyse als technische oplossing kunnen impliceren dat het platform een controle-versie van jou stem heeft om op deep fakes en fake audio opnames te controleren. Dit zou een dan ook een verwerking van biometrische gegevens zijn. Daarbij kan je oordelen dat dit in het vitaal belang van het slachtoffer is, omdat anders zijn identiteit wordt aangetast. Hetzelfde zou kunnen gelden voor een gezicht, waarvoor elk platform een authentieke variant moet hebben, waarmee ze kan controleren op fakes. Maar wat als de authentieke variant gestolen wordt of lekt bij een data breach?
Fake news
Je zou deep fakes ook kunnen zien in de context van fake news, een soort van subonderdeel. Om fake news te bestrijden stelde Macron in Frankrijk onlangs een wet voor, maar die werd door het publiek teruggefloten wegens strijdigheid met de vrijheid van meningsuiting. In elk geval zullen de media platformen niet blij zijn met zo’n wet, want dat zou meer restricties inhouden, meer kosten en minder winst. Op basis van de algoritmes die werken op de achtergrond van sociale media, zullen deep fakes op zich enkel toegejuicht een worden, want naar alle waarschijnlijkheid zullen deze veel views genereren. Het spreekt dan ook zich niet elk sociale media platform zomaar zo’n waardevolle assets zal laten varen. Verwijzend naar de voorgestelde fake news wet, zou de bestrijding van deep fakes en de maatregelen die daarvoor nodig zijn op de sociale media structurele en ingrijpende wijzigen.
Biometrics, GDPR en anti-deep fake maatregelen
Dat er bepaalde technische oplossingen zijn om de negatieve aspecten van deep fakes tegen te houden, wil echter nog niet zeggen dat sociale media deze mogen implementeren! Net omwille van de huidige wetgeving lukt dat trouwens niet zomaar . Als je een video op sociale media plaatst, mag een sociale media platform GDPR-gewijs de video niet diepgaand analyseren want dan kan het gaan om een verwerking van biometrische gegevens. De GDPR laat wel toe aan de lidstaten om te regelen wanneer biometrische gegevens mogen en niet mogen verwerkt worden. Elk sociale media platform zal dus concreet moeten gaan kijken hoe biometrische gegevens in elk land van de EU geregeld worden. Wederom lijkt dit een bijkomende juridische last waar de sociale media niet mee opgezet zullen zijn en waarschijnlijk niet zullen terugdeinzen om een lobby op te zetten.
Belgische GDPR-wetgeving
De Belgische wetgeving is het aldus artikel 34 GDPR-wet ook niet doorzichtig: Biometrische gegevens mogen verwerkt worden indien strikt noodzakelijk en met inachtneming van passende waarborgen voor de rechten en vrijheden van de betrokkene, en enkel in een van de volgende gevallen: (a) als een wet/KB het oplegt, (b) voor de bescherming vitale belangen van betrokkene en (c) van gegevens die kennelijk openbaar zijn gemaakt.
Conclusie
Conclusie is dus dat er bijkomende wetgeving vereist is, minstens op nationaal niveau. In België zou dit bv. specifieke strafwetgeving kunnen zijn, en een verfijning van de GDPR-wet bv. via een KB. Optimaal zou dit op supranationaal niveau geregeld moeten worden bv. in een verdrag of een EU-verordening. Er zou dus een kaderwet kunnen komen, dat op termijn doorsijpelt in de nationale wetgeving. In elk geval moet er rekening gehouden worden met de IT mogelijkheden van sociale media platformen en de kosten of risico’s daarvan alsook met de belangen van potentiële slachtoffers.
Geschreven door Ivan Verstraeten
