Uudised

.ee ja domeenindusega seotud uudised

Tagasi

Juristid arutlesid CENTRi töögrupi kohtumisel uue AI õigusakti mõjudest ja muudel põnevatel teemadel

Seekordne Legal&Regulatory (L&R) 71. juristide töögrupi kohtumine toimus Oxfordis, mis korraldati .uk registri Nomineti poolt. Kohtumise saab kokku võtta kolme olulise teemaga: süvitsi arutleti tippdomeenide registrite pilve mineku õiguslikke aspekte, NIS2ga seotud küsimusi ehk kuidas andmeid verifitseerida ja kas olla edaspidi selle valguses nö “õhuke vs paks” (thin or thick) register kui ka uuest Euroopa AI õigusaktist. Nii otsisid juristid selgust selles, kuidas hakkab uus AI õigusakt tulevikus mõjutama registrite tööd.
Juristid arutlesid CENTRi töögrupi kohtumisel uue AI õigusakti mõjudest ja muudel põnevatel teemadel

71. CENTR Legal & Regulatory töögrupi kohtumine.

L&R töörühm tegeleb tippdomeenide registritega seotud erinevate õigusküsimustega ja esimene kohtumise päev möödus pilveprojektidega seotud küsimuste üle arutlemisega. Hollandi register SIDN tegi ettekande oma AWS (Amazon Web Services) pilve minekust ja nende sõnul on see täna kriitilise tähtsusega, sest enda infrastruktuuri hooldamisega seotud murekohad vajavad lahendamist ja järjest keerulisemaks muutuvad ka turvalisusega seotud küsimused. Samuti on neil täna raske leida uusi võtmetöötajaid, sest kõik insenerid soovivad pilvevaldkonnas olla tugevad ja oma infrastruktuuriga tegelevaid administraatoreid on väidetavalt keeruline leida. Samas ei kavatse SIDN oma teenustega kolida täielikult AWS pilve - nii DNS kui DNSSECi allkirjastamine jääb AWSist välja ning selle haldamisega tegelevad tulevikus nad jätkuvalt ise.

AWSi kolimise puhul anti soovitus varundada jätkuvalt oma andmeid ka väljaspool pilve. Samuti arutleti AWSi lepingutingimuste üle, sest tegemist on suurkorporatsiooniga, kelle lepingupõhimõtted on kõigile ühetaolised, hoolimata nende valdkonnast või tegevustest. Väidetavalt on hollandlased saanud AWSiga kokkuleppele nt vaidluste korral valida kohtuks mõlemale poolele sobilik Luksemburgi kohus. Samuti kinnitas SIDN, et kõik andmed, mida AWS hakkab seoses domeenidega haldama, jäävad Euroopasse ja neid ei viida üle USAsse (kasutatakse Frankfurdi ja Dublini andmekeskusi). Hollandi ettekande järgselt toimus sisuline arutelu ka pilveteemalises paneelis, kus keskenduti suuresti andmekaitsele. Seal kinnitasid enamik tippdomeeni registreid, nagu Belgia, Norra ja Sloveenia, et kõik pilves salvestatud domeeniga seotud andmed tuleks krüpteerida ja krüpteerimisvõtmete ainuõigus anda ainult tippdomeeni registrile. Ka meie .ee registrina teeme tööd selle nimel, et kolida pilve ning kõik kogutud tarkused L&R töögrupist tulevad selle tööprotsessi raames väga kasuks.

Thin vs thick ehk õhuke vs paksu tippdomeeni registri arutelul keskenduti sellele, kas registreerijaga seotud andmeid peaks NIS2 uute nõuete valguses hoidma register enda juures või tuleks kogu vastutus anda registripidajale. Esitluse tegi .org register ning räägiti peaasjalikult gTLD mudelist ja sellest, kuidas neil on plaan NIS2te rakendada. Nimelt puudub gTLD registritel otsene lepinguline suhe registreerija kui lõppkasutajaga ja kõik õigusvaidlused, nagu WIPO, viiakse enamasti läbi ilma gTLD registrit kaasamata. Samuti on gTLD teenus globaalne, mitte ühele turule suunatud, nagu tippdomeenide puhul, mistõttu on .org hinnangul raske tagada nt Aasia turul NIS2 nõuete täitmist. 

.org hindab, et nad ei jõua olla vastutavad ega tagada kontrolli kõikide enda haldusalas olevate registripidajate üle, mistõttu on nende soov muuta registri töömudelit andmekogumise osas. See tähendab nende jaoks õhukesele registrimudelile üleminekut – iga registripidaja hoiab enda juures .org domeeni registreerija andmeid ning iga registripidaja võtab enda andmete osas eraldi vastutuse, sh kliendi verifitseerimise ees, luues tippdomeeni registri tasemel minimaalse “andmekogumi”. Sellega vähendab .org enda juures hoitavaid andmeid, mida register konkreetse domeeninime registreerimisel vastu võtab, salvestab ja kuvab. Uue mudeli vastuvõtmine tähendab, et registripidaja kogub ja salvestab registreerijaga seotud andmeid ja vastutab täielikult nii GDPRist kui NIS2st tulenevate õiguslike nõuete täitmise eest. .org näeb end täitmas aga tehnilisi nõudeid, et kogu süsteem töötaks efektiivselt. Muidugi tekitas antud arutelu diskussiooni, sest mudel erineb täielikult ccTLDde tänasest lahendusest, olles ise justkui keskregister. Isiklikult tundub, et mõte lahendada selliselt turu olukorda ja NIS2 nõuete täitmist, pole ju ilmtingimata vale, kuid ilmselgelt on see ccTLDde jaoks võõras ja kauge. Täna näevad ccTLDd end vastutavana kõikide GDPRist kui NIS2t tulenevate nõuete täitmises, tagades terviklikult enda tsooni turvalisuse ja minimaalsed kuritarvitamise võimalused.

Seoses uue AI õigusaktiga tutvustas .eu register, et kui 01.08.24 võttis EU vastu sellesisulise õigusraamistiku, siis sisuliselt hakkavad enamik uutest AI reeglitest kohalduma alates 02.08.2026. AI akt põhineb tooteohutusel ja riskipõhisel lähenemisel ning puudutab suuremal või vähesemal määral enamikke AI kasutajaid. Nii on jaotatud AI süsteemiriskid kolmeks: minimaalne, kõrge või vastuvõetamatu riskiga AI. Minimaalne risk tähendab, et kodaniku õigustele ja turvalisusele ei ole AI ohtlik ning ettevõtted võivad seda vabatahtlikult kasutada. See-eest kõrge riskitasemega AI peab vastama rangetele nõuetele, kvaliteedile, logimisele, kasutajateabele jms. Vastuvõetamatu riskiga AI kujutab suurt ohtu inimese põhiõigustele manipuleerides inimese käitumist. Selle alusel keelatakse nt ettevõtetes biomeetriliste AIde kasutamist, näiteks emotsioonide tuvastamise süsteemid, inimesi “sotsiaalselt” kategoriseeriv AI või reaalajas inimest tema biomeetriliste tunnuste põhjal analüüsiv AI. 

Euroopa Komisjon teostab AI nõuete täitmise üle järelevalvet ja rikkumiste trahvid on päris karmid. AIga seotud keelatud tegevused ja rikkumiste trahvid on kuni 7% ettevõtte ülemaailmsest aastakäibest või kuni 35 miljonit eurot. Enamik muid rikkumisi kuni 3% ettevõtte ülemaailmsest aastakäibest või kuni 15 miljonit eurot. Ilmselgelt mõjutab Komisjon läbi trahvide seda, et AI õigusakt saaks sellele kohalduvate osapoolte poolt kasutusele võetud.

Seoses AI õigusaktiga toimus kohtumisel ka meeskonniti arutelu, millises kategoorias näevad end tippdomeenide registrid. Nimelt selekteerib AI õigusakt ka seda, millised asutused kuuluvad selle reguleerimisalasse. AI reguleerib nimelt “deployer” ja “provider” poolt ehk kas AI süsteemide osas ollakse pigem selle “kasutaja” või “pakkuja”. Enamik registreid näeb end AI süsteemide kasutajana. Kasutaja on AI akti kontekstis “füüsiline või juriidiline isik, asutus, avalik-õiguslik juriidiline isik või muu organ, kes kasutab AId oma alluvuses, välja arvatud juhul, kui seda kasutatakse isiklikult või mittekutselises tegevuses”. Nii reguleerib AI akt eraldi ka seda, kui “kasutaja” on kriitilise infosüsteemi valdaja ehk registrid NIS2 kontekstis elutähtsa teenuse üksused. See paneb registritele AI akti valguses uue kohustuse reguleerides selle kasutust asutuses - nagu nt seda, kuidas toimub andmete logimine, sellega seotud andmekasutus (mida võib töötaja AId kasutades teha ja mida mitte), kasutaja enda õiguste kaitse jms. Seega tööd AI akti konkreetseks mõistmiseks ja vastavusse viimiseks ootab tippdomeenide registreid ees veel küllaga.

Järgmine juristide kohtumine on plaanis juba veebruaris ja seda Brüsselis. Kui lugejal tekkis mõtteid või huvi arutleda mõne teema üle rohkem, kirjutage meile ja saame omavahel juba edasi mõtiskleda!

Kommentaarid

Email again:

Veel uudiseid, sündmusi ja blogipostitusi