Wobec szybkiego rozwoju technologii, w tym sztucznej inteligencji, coraz bardziej powszechne staje się zjawisko tzw. deepfake’ów, czyli wygenerowanych lub zmanipulowanych treści wizualnych lub dźwiękowych. Rozwój tej technologii rodzi istotne wyzwania prawne i społeczne, w szczególności w zakresie dezinformacji, wiarygodności przekazu, czy też ochrony praw jednostek, w tym prawa do wizerunku.
Czym jest deepfake?
„Deepfake” to zgodnie z art. 3 pkt 60 Rozporządzenia dotyczącego sztucznej inteligencji (AI Act), wygenerowane przez AI lub zmanipulowane przez AI obrazy, treści dźwiękowe lub treści wideo, które przypominają istniejące osoby, przedmioty, miejsca, podmioty lub zdarzenia, które odbiorca mógłby niesłusznie uznać za autentyczne lub prawdziwe.
Niestety, brak jest kompleksowych regulacji prawnych dotyczących walki ze zjawiskiem deepfake’ów, zarówno na poziomie unijnym, jak i krajowym. Nie istnieje również skuteczna wielopłaszczyznowa ochrona przed konsekwencjami związanymi z deepfake’ami, która gwarantowałaby np. szybkie usuwanie nielegalnych materiałów.
Wybiórcze regulacje dotyczące Deepfake’ów
Zgodnie z Art. 50 ust. 4 AI Act , podmioty stosujące system AI, który generuje obrazy, treści audio lub wideo stanowiące treści deepfake lub który manipuluje takimi obrazami lub treściami, ujawniają, że treści te zostały sztucznie wygenerowane lub zmanipulowane. Celem ww. przepisu jest ochrona osób przed ryzykiem wprowadzenia w błąd, gdy system sztucznej inteligencji generuje lub manipuluje treściami graficznymi, dźwiękowymi lub wideo czy podszywa się pod inne osoby. Podmioty stosujące systemy AI, które generują lub manipulują treściami wideo, audio lub obrazami, tworząc deepfake są zobowiązane do ujawniania, że treści te zostały sztucznie wygenerowane lub zmodyfikowane.
Z kolej, w DSA (Akt o usługach cyfrowych), został przyjęty nakaz podjęcia działań przeciwko nielegalnym treściom. Art. 33-43 DSA dotyczą obowiązków dotyczących zarządzania ryzykiem systemowym w odniesieniu do bardzo dużych platform internetowych (VLOP) oraz bardzo dużych wyszukiwarek internetowych (VLOSE). Z kolei art. 35 ust. 1 pkt k DSA wskazuje na informację o pochodzeniu treści jako jeden z zasadniczych sposobów zmniejszania tzw. systemowych ryzyk[1].
Już w czwartek premiera kolejnego odcinka #RODOłamacza
Zgodnie z motywem 136 preambuły DSA, wymóg oznakowania treści generowanych przez systemy AI na podstawie DSA pozostaje bez uszczerbku dla określonego w art. 16 ust. 6 (…) obowiązku rozpatrywania przez dostawców usług hostingu zgłoszeń dotyczących nielegalnych treści otrzymanych na podstawie art. 16 ust. 1 (…) i nie powinien mieć wpływu na ocenę i decyzję w sprawie niegodności z prawem konkretnych treści. Ocena ta powinna być dokonywana wyłącznie w odniesieniu do przepisów regulujących zgodność treści z prawem. Oznacza to, że nieoznaczenie syntetycznych treści nie powinno przesądzać o niezgodności z prawem w rozumieniu DSA, o ile sama treść nie pozostaje w niezgodzie z prawem. Art. 6 ust. 1 DSA stanowi, że dostawca usług hostingu nie ponosi odpowiedzialności za informacje przechowywane na wniosek odbiorcy usługi, pod warunkiem że dostawca nie ma faktycznej wiedzy o nielegalnej działalności lub nielegalnych treściach, a w odniesieniu do roszczeń odszkodowawczych – nie wie o stanie faktycznym lub okolicznościach, które w sposób oczywisty świadczą o nielegalnej działalności lub nielegalnych treściach lub podejmuje bezzwłocznie odpowiednie działania w celu usunięcia lub uniemożliwienia dostępu do nielegalnych treści, gdy uzyska taką wiedzę lub wiadomość. Analogiczne rozwiązanie zawarte jest w art. 14 ust. 1 ustawy o świadczeniu usług drogą elektroniczną.
Ustalenie sprawców jest znacznie utrudnione
Brak szczegółowych przepisów odnoszących się wprost do deepfake’ów utrudnia ściganie sprawców oraz skuteczne dochodzenie praw przez ofiary. Osoba, której wizerunek został wykorzystany w fałszywych materiałach, powinna wiedzieć w jaki sposób i gdzie może zgłosić naruszenie jej praw, żądać usunięcia treści lub uzyskać rekompensatę za wyrządzoną jej szkodę. Czas ma tutaj kluczowe znaczenie.
Zidentyfikowanie osoby, która utworzyła deepfake`a jest bardzo utrudnione. Procedury sądowe są czasochłonne, a brak regulacji w tym zakresie powoduje, że ofiary deepfake`ów nie mogą skutecznie dochodzić swoich praw. Konieczna może być tu jak najszybsza nowelizacja ustawy o świadczeniu usług drogą elektroniczną (która wprowadza do polskiego porządku prawnego przepisy DSA), w celu określenia zasad odpowiedzialności zarówno karnej, jak i cywilnej twórców deepfake’ów. Niezbędne jest też jasne sprecyzowanie obowiązków podmiotów, które administrują platformami internetowymi.
Warto zwrócić uwagę, że DSA zobowiązuje dostawców platform internetowych dostępnych dla dzieci, do prowadzenia odpowiednich i proporcjonalnych środków, aby zapewnić wysoki poziom prywatności, bezpieczeństwa i ochrony małoletnich w ramach świadczonych przez siebie usług. Europejska Rada Ochrony Danych (EROD) przyjęła 11 lutego 2025 r. oświadczenie 1/2025 w sprawie weryfikacji wieku. Obecnie trwają prace nad wytycznymi EROD w sprawie przetwarzania danych osobowych dzieci. Istotne działania podjęte zostały również przez Komisję Europejską w zakresie wytycznych dotyczących środków służących zapewnieniu wysokiego poziomu prywatności, bezpieczeństwa i ochrony małoletnich w internecie na podstawie art. 28 ust. 4 rozporządzenia (UE) 2022/2065 (C/2025/5519).
WAŻNE! – kwestie walki z deepfake w kontekście syntetycznej pornografii AI i pomoc ofiarom uregulowane zostały w unijnej dyrektywie ws. zwalczania przemocy domowej i przemocy wobec kobiet. Przepisy tej dyrektywy nakazują penalizację niedozwolonych praktyk. Polska ma czas na implementację tych przepisów do 14 czerwca 2027 r. Warto przy tej okazji zwrócić uwagę na ostatnią sprawę, w której zainterweniował Prezes UODO[2]. Sprawa dotyczyła właśnie problemu deepfake`a – wygenerowanego wizerunku nauczycielki (wygenerowania przez AI „rozebranego zdjęcia”). Szczegóły tej sprawy można znaleźć na stronie internetowej organu nadzorczego: https://uodo.gov.pl/pl/138/4182.
[1] Zob. art. 34 DSA.
[2] W doniesieniu do Prokuratury Rejonowej Warszawa-Śródmieście organ nadzorczy wskazał, że doszło do naruszenia art. 107 ustawy o ochronie danych osobowych.
