W sieci dostępne są dwie aplikacje: barbieselfie.ai i bairbie.me – obie stanowią duże zagrożenie dla naszych danych – wskazał resort i wyliczał, że instalując aplikację, użytkownik daje jej dostęp m.in. do historii płatności, aparatu, czy danych o lokalizacji. Ministerstwo Cyfryzacji dało znać, że aplikacja nie spełnia wymagań Ogólnego rozporządzenia Parlamentu Europejskiego i Rady (UE) o ochronie danych osobowych (RODO). Ale dane użytkowników zbierają nie tylko aplikacje, często robią to także zabawki i to nie tylko te przeznaczone dla dzieci.

Deepfake - ofiara realistycznej przeróbki może mieć problem z dochodzeniem swoich praw>>

Nie taki diabeł straszny, ale trzeba uważać

Komunikat MC skrytykował portal Niebezpiecznik - wskazał w komunikacie na Twitterze, że żadna z podawanych przez resort aplikacji nie wymaga aż tak szerokich uprawnień. Portal wskazuje, że pierwsza z aplikacji zadziała bez rejestracji, a dane o płatnościach wspomniane w komunikacie, to dane zbierane od lat przez wiele stron, bez pytania o zgodę użytkownika.

- Cytowana przez MC polityka prywatności jest szerszym, globalnym dokumentem Warner Bros, bo nie dotyczy działania tylko Barbi-apki - wskazuje Niebezpiecznik w komunikacie na Twitterze. Dodaje jednak przy tym, że korzystając z aplikacji, należy zapoznać się z polityką prywatności i zaleca daleko posuniętą ostrożność. Osobom, które czują, że nie obejdą się bez przerobienia swojego zdjęcia na Barbie lub Kena, zaleca skorzystanie ze zdjęć, które i tak już są publicznie dostępne.
 

  Dokładne zapoznanie się z polityką prywatności zaleca również Aneta Sieradzka z Sieradzka Partners. Wskazuje, że warto przemyśleć choćby to,
jakie mogą być dalsze losy zdjęcia udostępnionego na potrzeby fotomontażu. - Można sobie tylko wyobrazić, jak gigantyczna ilość danych
nieświadomych użytkowników aplikacji zostanie zmonetyzowana. Sztuka gromadzenia i wykorzystywania danych daje przewagę w świecie biznesu,
który dostrzega wartość cyfrowych kanałów. Bez wątpienia Barbie i Ken są tutaj znakomitym przykładem data driven marketingu, czy legalnym? Tu
pojawia się sporo wątpliwości prawnych i wyzwanie dla rodzimego organu nadzoru. Jak często drżymy kiedy musimy podać PESEL, a jak
bezrefleksyjnie karmimy naszymi danymi światowe biznesy, dla których prywatność bywa niewidzialnym bytem?  - wskazuje Sieradzka.

Szpiegolalka podsłuchuje dzieci

Nie jest to jednak pierwsza sytuacja, w której imię popularnej lalki przewija się w kontekście podejrzeń o możliwe naruszanie prywatności. W 2015 r. firma Mattel wypuściła model Barbie, która miała wbudowany mikrofon i głośnik. Dziecko naciskało odpowiedni przycisk, lalka zadawała mu pytanie, a odpowiedź przesyłała do chmury - dane, zgodnie z polityką prywatności, mogły być wykorzystywane przez Mattel do udoskonalenia systemu rozpoznawania mowy. Dodatkowo lalka umożliwiała rodzicom monitorowanie zabaw ich dzieci - przesyłała im na maila raport z podsumowaniem nagranej rozmowy. Wzbudziło to spore kontrowersje. Postęp technologiczny, a zwłaszcza rozwój sztucznej inteligencji tylko ten problem pogłębia.

Czytaj w LEX: RODO w IT: sztuczna inteligencja a dane osobowe - czy RODO definiuje AI oraz ML? >

- Inteligentne zabawki są często projektowane w taki sposób, aby nawiązywać z dziećmi „ indywidualną więź” w celu jak najgłębszej personalizacji zabawy. Dzięki wbudowanym sensorom (mikrofony) oraz połączeniu z siecią rozwiązania te potrafią coraz płynniej zbierać informacje o dzieciach  i aktywnie reagować na ich codzienne zachowania - mówi Prawo.pl Mateusz Kupiec z Instytutu Nauk Prawnych Polskiej Akademii Nauk, specjalizujący się w ochronie danych osobowych. - Istnieje ryzyko, że takie szczegółowe monitorowanie dzieci od najmłodszych lat może przyczynić się do zwiększenia ich akceptacji jako przyszłych dorosłych dla stosowania technik cyfrowego nadzoru przez państwo lub podmioty komercyjne - podkreśla.
 

Zobacz nagranie szkolenia w LEX: Audyt aplikacji mobilnych pod kątem RODO >

Dane atrakcyjne również dla hakera

Nie wszystkie inteligentne zabawki są też dobrze zabezpieczone - zdarza się, że mają możliwość podłączenia przez Bluetooth, a nie wymagają przy tym żadnego hasła, co oznacza, że jeśli zostaną zhakowane, to zabawki mogą być używane do podsłuchiwania dzieci, a nawet do komunikacji z nimi. Jak wynika z raportu U.S. PIRG Education Fund, która co roku podsumowuje dane na temat bezpieczeństwa zabawek, taką lukę miała lalka My Friend Cayla, smartfony automatycznie rozpoznawały ją jako zestaw głośnomówiący, a nie wymagały hasła, by się z nią połączyć. W 2021 r. U.S. PIRG Education Fund znalazł podobny problem zabezpieczeń z The Singing Machine, mikrofonem karaoke Bluetooth który pozwalał użytkownikom na połączenie go z dowolną aplikacją lub platformą muzyczną. Można było połączyć się z zabawką nawet przebywając ok. 10 metrów od domu.

Czytaj w LEX: Wpływ rozwoju sztucznej inteligencji na proces stanowienia prawa w Polsce >

Fundacja wskazuje też, że zdarzało się, że dochodziło do wycieków danych zebranych przez zabawki. Jedna z firm w 2015 r. padła ofiarą cyberataku cybernetycznego i doszło do wycieku danych co najmniej 6,4 milionów dzieci, obejmujących ich imiona, daty urodzenia i płeć, a w niektórych przypadkach zdjęcia, nagrania i zapisy czatów. Podobnie było z firmą produkującą pluszaki, które pozwalały na wymianę nagranych wiadomości pomiędzy rodzicami  i dziećmi online - wyciek 800 tys. haseł sprawił, że hakerzy zyskali dostęp do ponad 2 milionów nagranych wiadomości.

E-usługi a RODO

Małgorzata Ciechomska

Sprawdź  

Unijne rozporządzenie uporządkuje rynek?

Mateusz Kupiec podkreśla również, że wpływ na dalszy rozwój inteligentnych zabawek w UE może mieć przyszłe unijne rozporządzenie ws. sztucznej inteligencji. - Część takich rozwiązań, szczególnie te wykorzystujące oprogramowanie oparte o algorytmy uczenia maszynowego do dostosowania w czasie rzeczywistym swojego działania do zachowania dziecka, mogą zostać uznane za rozwiązania mieszczące się w definicji systemów sztucznej inteligencji zaproponowanej przez unijnego prawodawcę - mówi Mateusz Kupiec.    

Wskazuje, że w projekcie proponuje się zakaz wprowadzenia do obrotu, oddawania do użytku lub wykorzystywania systemu sztucznej inteligencji, który stosuje techniki podprogowe lub wykorzystuje dowolne słabości określonej grupy osób (ze względu na np. ich wiek) w celu wywarcia wpływu na zachowanie tej osoby w sposób, który powoduje lub może powodować szkodę fizyczną lub psychiczną. - Dla producentów inteligentnych zabawek może oznaczać to konieczność weryfikacji, czy do ich rozwiązań znajdzie zastosowanie AI Act a także dokonanie niezależnej oceny, czy system umożliwiający zabawce „komunikację” z dzieckiem nie działa w taki sposób jakby dążył do zmiany jego zachowania - podsumowuje.