2025-12-15

იტალიის მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება ხელოვნური ინტელექტის სისტემის (“AI”) გამოყენებით შექმნილი ყალბი აუდიო-ვიზუალური მასალის (“Deepfake”) შესახებ

კომპანიებს, რომლებიც გენერაციულ ხელოვნურ ინტელექტს (“Generative AI”) იყენებენ აუდიო-ვიზუალური მასალის შექმნის ან მანიპულაციის მიზნით, ეკისრებათ ვალდებულება, უზრუნველყონ პერსონალური მონაცემების დამუშავება განსაკუთრებული სიფრთხილით და სრულად დაიცვან სამართლიანობისა და გამჭვირვალობის პრინციპები. 2025 წლის 1-ელ ოქტომბერს იტალიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ (“Garante”) მიიღო მნიშვნელოვანი გადაწყვეტილება, რომელიც შეეხება აპლიკაცია “ClothOff”-ის მიერ ხელოვნური ინტელექტის (“AI”) გამოყენებით ყალბი აუდიო-ვიზუალური მასალის (“Deepfake”) შექმნის პროცესში პერსონალური მონაცემების უკანონო დამუშავებასა და მონაცემთა სუბიექტების უფლებების დარღვევას.[1]

ფაქტობრივი გარემოებები

იტალიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ საკუთარი ინიციატივით (“ex officio”) განახორციელა აპლიკაცია - “ClothOff”-ის შემოწმება.[2]

აპლიკაცია მომხმარებლებს სთავაზობდა “AI”-ის გამოყენებით ყალბი აუდიო-ვიზუალური მასალის (“Deepfake”) შექმნის სერვისს. კერძოდ, “ClothOff” მომხმარებელს აძლევდა საშუალებას, სისტემაში ატვირთული ფოტოსურათებიდან ტანსაცმლის „ვირტუალური მოცილების” გზით შეექმნა ახალი - ყალბი გამოსახულება. სერვისი ფუნქციონირებდა როგორც უფასო, ასევე ფასიანი მოდელებით და მომხმარებლებს სთავაზობდა მანიპულაციის სხვადასხვა ფუნქციას.

აღნიშნული აპლიკაცია ეკუთვნოდა დიდი ბრიტანეთისა და ჩრდილოეთ ირლანდიის გაერთიანებულ სამეფოში რეგისტრირებულ კომპანიას - “AI/Robotics Venture Strategy 3 Ltd”. კომპანიის ვებგვერდზე განთავსებული იყო გაფრთხილება, რომ სერვისის გამოყენება დაშვებული იყო მხოლოდ სრულწლოვანი პირებისთვის და აკრძალული იყო მესამე პირების გამოსახულების დამუშავება მათი თანხმობის გარეშე. აღნიშნულის მიუხედავად, “ClothOff”-ის სერვისის ბუნებიდან გამომდინარე ბუნდოვანი იყო, როგორ ხორციელდებოდა აღნიშნული აკრძალვების შესრულების მონიტორინგი.

ზემოაღნიშნულის გათვალისწინებით, “Garante”-მ 2025 წლის 6 აგვისტოს წერილობით მიმართა კომპანიას და, როგორც მონაცემთა დამუშავებისთვის პასუხისმგებელ პირს, მოსთხოვა ინფორმაცია იმის შესახებ, თუ რა ზომებს იღებდა კომპანია არასრულწლოვანთა პერსონალური მონაცემების დასაცავად და როგორ უზრუნველყოფდა ისეთი მასალის შექმნის თავიდან აცილებას, რომელიც არღვევდა გამოსახული პირების ღირსებასა და რეპუტაციას.

კომპანიამ საზედამხედველო ორგანოს მოთხოვნა უგულებელყო და შესაბამისი ინფორმაცია არ მიაწოდა.

საზედამხედველო ორგანოს შეფასება

ტერიტორიული მოქმედების სფერო

საზედამხედველო ორგანომ უპირველესად დაადგინა, რომ ვინაიდან “ClothOff”-ის გამოყენება შესაძლებელი იყო იტალიის ტერიტორიაზე, „მონაცემთა დაცვის ძირითადი რეგულაციის“ (“GDPR”) მე-3 (2)(ა) მუხლის მიხედვით მასზე ვრცელდებოდა “Garante”-ს ტერიტორიული იურისდიქცია.

მონაცემების კანონიერად, სამართლიანად და გამჭვირვალედ დამუშავება

„მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-5 (1)(a) მუხლის მიხედვით, პერსონალური მონაცემები უნდა დამუშავდეს კანონიერად, სამართლიანად და გამჭვირვალედ. ამავე მუხლის მე-2 პუნქტის მიხედვით, მონაცემთა დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია, დაიცვას დამუშავების პრინციპები და შეეძლოს მათთან შესაბამისობის დემონსტრირება.

“Garante”-მ დაადგინა, რომ აპლიკაცია “ClothOff”-ის მიერ მონაცემთა დამუშავება არსებითად არღვევდა ზემოაღნიშნულ პრინციპებს:

აღნიშნული სერვისი თავისი ბუნებით ქმნიდა მაღალ რისკს მონაცემთა სუბიექტთა ღირსებისა და პირად ცხოვრების ხელყოფის თვალსაზრისით, განსაკუთრებით მაშინ, როდესაც საქმე ეხებოდა არასრულწლოვანთა გამოსახულების გამოყენებას;
მიუხედავად იმისა, რომ აპლიკაციის წესებსა და პირობებში მითითებული იყო აკრძალვა არასრულწლოვანთა გამოსახულების გამოყენებაზე და მონაცემთა სუბიექტის თანხმობის გარეშე სრულწლოვანი პირების გამოსახულების დამუშავებაზე - აღნიშნული მხოლოდ ფორმალურ ხასიათს ატარებდა და ვერ უზრუნველყოფდა რეალურ დაცვას;
ამასთან, კომპანიამ ვერ უზრუნველყო ისეთი ტექნიკური ზომების მიღება, რომ სერვისის მეშვეობით წარმოებული გამოსახულებები მკაფიოდ ყოფილიყო მონიშნული, როგორც ხელოვნურად შექმნილი ან შეცვლილი. აპლიკაციაში გამოყენებული ნიშანი (“watermark”) იყო ძნელად აღქმადი და ტექნიკურად მარტივად მოსაცილებელი. შესაბამისად, მომხმარებლებს შეეძლოთ ხელოვნურად შექმნილი სურათების გავრცელება ისე, რომ მათი წარმოშობის დადგენა შეუძლებელი იყო.

ზემოაღნიშნულის გათვალისწინებით საზედამხედველო ორგანომ დაადგინა “GDPR”-ის მე-5 მუხლის 1-ელი პუნქტის „ა“ ქვეპუნქტისა და მე-2 პუნქტის დარღვევა.

ახალი პროდუქტის შექმნის პროცესში მონაცემთა დაცვის სტანდარტების გათვალისწინება

“GDPR”-ის 25-ე მუხლის მიხედვით, ახალი ტექნოლოგიების შექმნის დროს მონაცემთა დამუშავებისთვის პასუხისმგებელმა პირმა უნდა გაატაროს სათანადო ტექნიკური და ორგანიზაციული ზომები, მონაცემთა მინიმიზაციის, ეფექტიანი იმპლემენტაციისა და დამუშავების პროცესში დაცვის მექანიზმების ინტეგრირებისთვის.

“Garante”-მ აღნიშნა, რომ მონაცემთა დაცვის პრინციპები უნდა ყოფილიყო „ჩაშენებული“ აპლიკაციის ტექნიკურ სტრუქტურაში ისე, რომ თავიდანვე გამოერიცხა მონაცემთა უკანონო ან არაეთიკური დამუშავება. მაშინ როდესაც წინამდებარე შემთხვევაში:

კომპანიას არ გააჩნდა მექანიზმები, რომლებიც შეამოწმებდა მონაცემთა სუბიექტის თანხმობას ატვირთულ გამოსახულებებზე;
ვერ ხდებოდა მომხმარებლების ასაკის გადამოწმება;
გამოყენებული ნიშანი (“watermark”) იმდენად სუსტად ჩანდა, რომ ფაქტობრივად ვერ უზრუნველყოფდა აუდიო-ვიზუალური მასალის ხელოვნური/ყალბი წარმომავლობის იდენტიფიცირებას.

შესაბამისად, საზედამხედველო ორგანომ დაადგინა, რომ კომპანიამ ვერ უზრუნველყო მონაცემთა დაცვის სტანდარტების გათვალისწინება ახალი პროდუქტის შექმნის პროცესში (“Privacy by Design”) “GDPR”-ის 25-ე მუხლის შესაბამისად.

აღნიშნული დარღვევები მიუთითებდა კომპანიის მიერ მონაცემთა დაცვის პრინციპების სისტემურ უგულებელყოფაზე როგორც ტექნიკური, ისე ორგანიზაციული თვალსაზრისით.

გადაწყვეტილება

ზემოაღნიშნული გარემოებების გათვალისწინებით, საზედამხედველო ორგანომ დაადგინა “GDPR”-ის მე-5 (1)(a)-(2) და 25-ე მუხლების დარღვევა. “Garante”-მ ხაზი გაუსვა, რომ მსგავსი აპლიკაციები წარმოშობს განსაკუთრებულ რისკებს ადამიანის ღირსებისა და რეპუტაციის დაცვის თვალსაზრისით.

ვინაიდან კომპანია უარს აცხადებდა საზედამხედველო ორგანოსთან თანამშრომლობაზე, “Garante”-მ გამოიყენა “GDPR”-ის 58-ე მუხლით გათვალისწინებული უფლებამოსილება და კომპანიას დაუწესა დროებითი შეზღუდვა იტალიელი მომხმარებლების პერსონალური მონაცემების დამუშავებაზე.

ორგანომ ხაზი გაუსვა, რომ აღნიშნული ზომა იყო დროებითი ხასიათის, სრულმასშტაბიანი შეფასების დასრულებამდე, თუმცა მისი შეუსრულებლობა გამოიწვევდა ადმინისტრაციულ პასუხისმგებლობას “GDPR”-ის 83-ე და იტალიის პერსონალურ მონაცემთა დაცვის კოდექსის 170-ე მუხლის შესაბამისად.

იტალიის საზედამხედველო ორგანოს გადაწყვეტილება ხაზს უსვამს, რომ გენერაციული ხელოვნური ინტელექტის სფეროში აუცილებელია გამჭვირვალობისა და ანგარიშვალდებულების მკაცრი სტანდარტების დამკვიდრება.

[1] DigWatch, “Italy bans deepfake app that undresses people” (13 October 2025), ხელმისაწვდომია შემდეგ ბმულზე: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10174164 [22.10.2025].

[2] Italian Data Protection Authority (Garante), Doc-Web 10174164 (1 October 2025), ორიგინალი ვერსია ხელმისაწვდომია შემდეგ ბმულზე: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10174164 [22.10.2025].