Kwestie prywatności i zarządzanie danymi osobowymi. Czy AI jest bezpieczne?

Producent AV, jako administrator danych, wyznacza inspektora ochrony danych (IOD) i przeprowadza odpowiednią ocenę skutków dla ochrony danych (DPIA), w tym regularne audyty ochrony danych. Wymagania te nie są nieodłącznie związane z pojazdami AV, ale także z konwencjonalnymi pojazdami podłączonymi do sieci. Co do zasady większość danych, o których mowa powyżej, zbierana jest w celu poprawy bezpieczeństwa systemu, a tym samym bezpieczeństwa osób fizycznych (np. osób, których dane dotyczą). Można argumentować, że może to mieć związek z żywotnym interesem osoby, której dane dotyczą, zwłaszcza w przypadku zewnętrznych użytkowników dróg, których nie można poinformować lub poprosić o zgodę. Pojęcie żywotnego interesu jest jednak rozumiane głównie jako rozwiązanie awaryjne, gdy nie są dostępne żadne inne podstawy (np. gdy osoba, której dane dotyczą, jest nieprzytomna lub znajduje się pod opieką prawną). W kontekście AV, prawo do prywatności danych można postrzegać jako przeciwieństwo prawa do bezpieczeństwa ruchu drogowego i można argumentować, że bezpieczeństwo ruchu drogowego powinno mieć pierwszeństwo przed prawem do ochrony danych. Wyzwaniem jest opracowanie odpowiednich ram prawnych w celu pogodzenia ochrony danych z innymi interesami publicznymi, takimi jak bezpieczeństwo ruchu drogowego. Takie ramy prawne mogłyby na przykład nakładać na producentów pewne obowiązki w zakresie przetwarzania niektórych danych związanych z bezpieczeństwem. Spośród różnych środków mających na celu zapewnienie prywatności w fazie projektowania minimalizacja danych może nie mieć pełnego zastosowania na tym etapie rozwoju. Ideą minimalizacji danych wspieraną przez ramy ochrony danych jest zapewnienie, że gromadzone i przetwarzane są tylko dane niezbędne do zamierzonego celu. Jednak złożoność, różnorodność i wymiarowość problemów rozwiązywanych przez różne systemy sztucznej inteligencji AV są tak duże, że wciąż daleko nam do punktu, w którym możemy odrzucić niektóre dane (lub zebrać dane na wypadek, gdyby mogły być później przydatne ), ponieważ nie są one istotne z punktu widzenia poprawy bezpieczeństwa. 

Chociaż istnieje wiele prac, które próbują odpowiedzieć na pytanie, ile danych jest wystarczające i wydaje się rozsądne założenie, że systemy AI powinny być analizowane w celu zapewnienia, że zostały wykorzystane tylko ściśle niezbędne dane, główny problem polega na tym, że analizy te pojawiają się po zebraniu i przetworzeniu danych. Co więcej, nawet jeśli chodzi o ustalenie, jaka ilość danych jest bezwzględnie konieczna, nadal nie ma jasnego górnego limitu, od którego można by zacząć. Istnieją jednak inne środki, które mogą umożliwić osiągnięcie celów w zakresie ochrony danych bez poświęcania ciągłego zapotrzebowania na dane złożonych systemów sztucznej inteligencji AV. Jak ustanowiła Europejska Rada Ochrony Danych (EROD, 2021), anonimizacja danych w taki sposób, że osoba, której dane dotyczą, nie jest lub przestała być możliwa do zidentyfikowania, może być dobrą strategią zachowania korzyści i w celu złagodzenia ryzyka związanego z AV. Gdy zbiór danych zostanie rzeczywiście zanonimizowany, a osoby nie będą już identyfikowane, europejskie prawo o ochronie danych przestanie obowiązywać. Innymi słowy, zasady ochrony danych nie mają zastosowania do informacji anonimowych. Jednym z najczęstszych podejść do zagwarantowania anonimowości jest automatyczne zamazywanie twarzy, ciał i tablic rejestracyjnych na obrazach rejestrowanych przez przednią, tylną i boczną kamerę. Jest to na przykład klasyczne podejście stosowane w narzędziu Google Street View do spełniania kryteriów prywatności na dużą skalę. Rozmycie obrazu to tylko jedna z wielu możliwych technik, między innymi takich jak pikselacja, mozaika, rysowanie, maskowanie, wypaczanie, morfing itp.

Inne podejścia koncentrują się na automatycznym wykrywaniu i usuwaniu obiektów dynamicznych (np. pieszych, pojazdów itp.). Wykryte poruszające się obiekty są usuwane, a regiony są zamalowywane informacjami z innych widoków, aby uzyskać realistyczne obrazy, w których obiekty nie są już widoczne. Wszystkie te podejścia mogą być wystarczające i odpowiednie dla niektórych systemów percepcji, takich jak systemy lokalizacji oparte na wizji, gdzie dynamiczne informacje o obiekcie nie są istotne (cechy wykorzystywane do oszacowania pozycji pojazdu zwykle odpowiadają obiektom statycznym) i można je modyfikować (np. zamazywać, pikselować itp.), a nawet usuwać i malować bez większych konsekwencji. Jednak podejścia te nie nadają się do zadań takich jak wykrywanie pieszych i pojazdów, ponieważ psują charakter danych i mogą negatywnie wpływać na zdolność uogólniania procesu uczenia się. To samo dotyczy przypadków, w których konieczne jest wykrycie kierunku spojrzenia (Lorenzo i in., 2020), pozycji ciała lub wewnętrznych cech czynników, takich jak płeć, wiek, odcień skóry, a nawet ekspresje emocjonalne.

Według omawianego raportu najważniejszym wyzwaniem jest anonimizacja danych przy jednoczesnym zachowaniu istotnych informacji dla systemów percepcji i HMI. Jest to szczególnie ważne dla percepcji predykcyjnej, czyli przewidywania działań, w tym intencji oraz ruchów agentów drogowych. Jest to też główny cel metod deidentyfikacji obrazu, które próbują zastąpić bezpośrednio identyfikujące cechy, takie jak twarze lub tablice rejestracyjne, syntetycznymi i realistycznymi cechami, przy jednoczesnym zachowaniu odpowiednich, nieidentyfikujących atrybutów. Na przykład numery tablic rejestracyjnych można zastąpić innym, ale realistycznym numerem. Jeśli zastosuje się inne nierealistyczne przekształcenia w celu deidentyfikacji tablic rejestracyjnych, systemy wykrywania pojazdów mogą nauczyć się syntetycznych cech, które nie będą istniały w rzeczywistych warunkach, co może skutkować ryzykiem uzyskania nieprzewidywalnych wyników, a także obniżoną wydajnością.

Raport wskazuje w dalszej treści, że dobrze nadają się do deidentyfikacji sieci generatywnych przeciwników (GAN), ponieważ mogą wytwarzać naturalnie wyglądające zsyntetyzowane obrazy dowolnego danego obiektu za pomocą treningu kontradyktoryjnego, a ostatnio pojawiła się nawet znaczna liczba podejść, takich jak Ochrona prywatności-GAN, AnonymousNet, DeepPrivacy lub AnonFACES. Kiedy te techniki są stosowane do deidentyfikacji pojazdów, transformacja może wiązać się z określonymi wymaganiami zachowania niektórych atrybutów i zastąpienia innych. Podobne techniki można zastosować, aby uniknąć identyfikacji głosu w interfejsach przetwarzania mowy. Dodatkowym środkiem do osiągnięcia prywatności w fazie projektowania jest zagwarantowanie, że wszystkie dane, urządzenia pamięci masowej i kanały komunikacji V2X są szyfrowane za pomocą najnowocześniejszych algorytmów. Jak sugeruje EROD dla (konwencjonalnie) podłączonych pojazdów, dla każdego pojazdu należy ustanowić unikalny system zarządzania kluczami szyfrowania, w tym regularne odnawianie kluczy szyfrowania. Ważne jest również przeanalizowanie roli zgody w przetwarzaniu danych osobowych AV. Zgoda stanowi prawną podstawę przetwarzania danych osobowych (art. 7. RODO).  Raport konkluduje, że najwłaściwszym podejściem do utrzymania realistycznej transformacji byłoby zastąpienie numeru tablicy rejestracyjnej liczbą losową, przy zachowaniu jego struktury.

W dalszej części raport wylicza, że dane w AV wiążą się z kilkoma kwestiami, typami użytkowników i wymiarami, które należy wziąć pod uwagę.

• Po pierwsze, model zgody nie powinien wiązać się z żadnym ryzykiem dla bezpieczeństwa kierowców lub pasażerów na pokładzie. W związku z tym należy unikać wszelkiego podejścia, w którym podczas podróży stosuje się wymóg wyrażenia zgody, w szczególności w przypadku automatyzacji poziomu 3, gdzie kierowca rezerwowy musi być w stanie wznowić kontrolę nad pojazdem w sytuacji awaryjnej. Najmniej skomplikowany przypadek dotyczy użytkowników w pojeździe, tj. (zapasowego) kierowcy i/lub pasażerów, w zależności od poziomu automatyzacji, gdzie model zgody może zostać zmaterializowany wcześniej na różne sposoby (np. ze smartfona lub poprzez interfejs użytkownika z pojazdem) przed rozpoczęciem podróży. Zgoda musi obejmować wymianę niektórych danych z innymi pojazdami oraz z infrastrukturą umożliwiającą funkcjonowanie systemów komunikacji V2V i V2I, a także może obejmować przetwarzanie danych przez inne AV, które posiadają systemy przetwarzania danych o tym samym charakterze. Scenariusz ten wymagałby umów i jednolitych modeli zgody wśród wszystkich administratorów danych AV, ale umożliwiłby spełnienie warunków zgody dla wszystkich użytkowników CAV bez szkody dla stosowania wyżej wymienionych środków ochrony prywatności w fazie projektowania (np. szyfrowanie, de -identyfikacja itp.).
• Kolejną kwestią do rozwiązania jest to, czy zgoda może być tutaj postawiona jako warunek wstępny posiadania lub użytkowania AV. Można argumentować, że skoro zgoda jest ważna tylko wtedy, gdy jest wyrażona dobrowolnie, nie można do niej podchodzić w ten sposób. Można jednak przewidywać, że zgoda dla użytkowników pojazdu (kierowców lub pasażerów) nie będzie poważnym problemem, ponieważ istnieją inne podstawy prawne, które nie wyrażają zgody, wspierające przetwarzanie danych. Na przykład, jeśli dane są ściśle niezbędne do bezpiecznego i autonomicznego działania autonomicznego systemu jazdy lub pojazdu, można oczekiwać, że zostaną one nałożone na kontroler jako obowiązkowy wymóg. Chociażby obecne przepisy Organizacji Narodów Zjednoczonych dotyczące homologacji pojazdów w odniesieniu do zautomatyzowanych systemów utrzymania pasa ruchu (ALKS) (UNECE WP.29 GRVA, 2021c) wyraźnie określają, że system powinien wykrywać uwagę kierowcy poprzez wykrywanie spojrzenia kierowcy i ruchów głowy. Chociaż nie oznacza to identyfikacji kierowcy, jest to obowiązek prawny.

Można zastosować różne przekształcenia, zachowując niektóre atrybuty i zastępując inne, w zależności od kontekstu. administratora nie będzie to uzależnione od zgody. Oczywiście, jeśli administrator wykorzystuje dane osobowe użytkowników do innych celów niezwiązanych bezpośrednio z bezpieczną obsługą systemu lub bez obowiązku prawnego, warunkiem wstępnym musi być zgoda, jak w każdym innym przypadku niespecyficznym dla AV.

Głównym pytaniem jest jednak, w jakim stopniu konieczne jest uzyskanie zgody od potencjalnych osób trzecich spoza pojazdu, które nie korzystają z innych AV (tj. VRU). Niemożliwe jest uzyskanie zgody na przetwarzanie danych od wszystkich osób, które pojawiają się w pobliżu AV w trakcie jego ruchu. Nie jest również możliwe bezpośrednie przekazanie tożsamości i danych kontaktowych administratora danych tym zewnętrznym użytkownikom dróg. Możliwe są tylko metody pośrednie, które pozwalają tym użytkownikom z jednej strony wyraźnie i łatwo zidentyfikować, że pojazd jest autonomiczny (np. kod koloru), producenta (np. logo) lub firmę transportową (np. napis na pojeździe) , a także inne charakterystyczne szczegóły, takie jak numer rejestracyjny, model, kolor itp. Z drugiej strony w grę wchodzi posiadanie informacji publicznej (np. na stronach internetowych) ze wszystkimi danymi wymaganymi przez rozporządzenie, aby umożliwić łatwe ustalenie kim jest administrator danych.

W każdym razie istnieją scenariusze, które mogą złagodzić, a nawet całkowicie uniknąć wymogu zgody od użytkowników zewnętrznych. Na przykład, jeśli obrazy są przetwarzane tylko w czasie rzeczywistym w celu wygenerowania nieidentyfikowalnych metadanych, takich jak wolna przestrzeń, anonimowe lokalizacje pojazdów i pieszych oraz przyszłe ruchy itp., to nie są one ani przechowywane (tylko czas potrzebny na ich przetworzenie, i nigdy nie docierają do trwałego przechowywania) ani nie są przesyłane, co ogranicza inwazyjność. Administratorzy mogą również w niektórych przypadkach twierdzić, że opierają się na innych podstawach legalności przetwarzania niż zgoda. Wreszcie, jeżeli do przetwarzania, przechowywania lub przesyłania obrazów bez danych osobowych zostaną wdrożone odpowiednie podejścia uwzględniające ochronę prywatności na etapie projektowania, w tym metody deidentyfikacji obrazu, przepisy o ochronie danych nie będą miały już zastosowania.

Wreszcie ważne jest odróżnienie danych skoncentrowanych na poprawie bezpieczeństwa systemów AV od danych dotyczących innych celów podłączonych pojazdów, które mogą, ale nie muszą być autonomiczne lub zautomatyzowane. Chodzi o dane osobowe, które mogą być przetwarzane wewnątrz pojazdu, wymieniane między pojazdem a podłączonymi do niego urządzeniami osobistymi (np. smartfony) lub przechwytywane wewnątrz pojazdu i eksportowane do podmiotów zewnętrznych w celu przetwarzania. Raport wskazuje, że w tym sensie można odnieść się do wytycznych opracowanych przez Europejską Radę Ochrony Danych (EROD) dotyczących przetwarzania danych osobowych w kontekście pojazdów podłączonych do sieci i aplikacji związanych z mobilnością, które obejmują jako ogólne zalecenia minimalizację danych, ochronę danych zgodnie z projektem i domyślnie (np. lokalne przetwarzanie danych osobowych, anonimizacja i pseudonimizacja itp.), informacje dla osób, których dane dotyczą, bezpieczeństwo i poufność.

Przypomnijmy, że ocena skutków dla ochrony danych (DPIA) opisuje proces mający na celu identyfikację zagrożeń wynikających z przetwarzania danych osobowych oraz minimalizację tych zagrożeń tak dalece, jak to możliwe. DPIA to ważne narzędzia do negacji ryzyka i wykazania zgodności z RODO. Dokument ten zakłada, że DPIA zostanie przeprowadzona dla określonego projektu, a nie dla całej działalności organizacji. Poszczególną funkcję organizacji lub program zmian w działalności organizacji jako całości można postrzegać jako projekt. Zgodnie z założeniami przeprowadzenie DPIA zwiększa świadomość w organizacji na temat zagrożeń związanych z ochroną danych związanych z projektem. Pomaga to ulepszyć projekt i poprawić komunikację na temat zagrożeń związanych z prywatnością danych z odpowiednimi interesariuszami. Niektóre z korzyści płynących z przeprowadzenia DPIA są następujące:

• Zapewnienie i wykazanie, że organizacja przestrzega RODO i unika sankcji.
• Wzbudzanie zaufania publicznego poprzez poprawę komunikacji w kwestiach ochrony danych.
• Zapewnienie, że użytkownicy nie są narażeni na naruszenie ich praw do ochrony danych.
• Umożliwienie organizacji włączenia „ochrony danych już w fazie projektowania” do nowych projektów.
• Obniżenie kosztów operacyjnych poprzez optymalizację przepływu informacji w ramach projektu oraz eliminację niepotrzebnego gromadzenia i przetwarzania danych.
• Zmniejszenie zagrożeń związanych z ochroną danych dla organizacji.
• Obniżenie kosztów i zakłócenia ochrony danych poprzez włączenie ich do projektu na wczesnym etapie.

Ochrona danych już w fazie projektowania oznacza wbudowanie funkcji ochrony danych i technologii zwiększających prywatność danych bezpośrednio w projektach na wczesnym etapie. Pomaga to zapewnić lepszą i bardziej opłacalną ochronę prywatności danych osobowych. Domyślna ochrona danych oznacza zaś, że ustawienia usługi muszą być automatycznie przyjazne dla ochrony danych. Obie te zasady są od dawna zalecane jako dobra praktyka, ale są zapisane w prawie na mocy RODO (art. 25).

Zgodnie z RODO DPIA jest obowiązkowa, gdy przetwarzanie danych „może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych”. Jest to szczególnie istotne, gdy wprowadzana jest nowa technologia przetwarzania danych. W przypadkach, w których nie jest jasne, czy DPIA jest ściśle obowiązkowa, przeprowadzenie DPIA jest nadal dobrą praktyką i użytecznym narzędziem pomagającym administratorom danych w przestrzeganiu przepisów o ochronie danych.

RODO przytacza kilka niewyczerpujących przykładów sytuacji, w których przetwarzanie danych „może powodować wysokie ryzyko”:

• „Systematyczna i kompleksowa ocena aspektów osobowych dotyczących osób fizycznych oparta na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i na podstawie której podejmowane są decyzje wywołujące wobec osoby fizycznej skutki prawne lub w podobny sposób istotnie na nią oddziałujące.”
• „Przetwarzanie na dużą skalę szczególnych kategorii danych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i przestępstw, o których mowa w art. 10.”.
• „Systematyczny monitoring ogólnodostępnego terenu na dużą skalę.”

Przypomnijmy też, że w informatyce generatywne sieci kontradyktoryjne (GAN) to grupa algorytmów do uczenia nienadzorowanego. Generacyjne sieci kontradyktoryjne składają się z dwóch sztucznych sieci neuronowych wykonujących grę o sumie zerowej. Jedna z nich tworzy kandydatów (generator), druga sieć neuronowa ocenia kandydatów (dyskryminator). Zazwyczaj generator odwzorowuje wektor zmiennych ukrytych na pożądaną przestrzeń wynikową. Zadaniem generatora jest nauczenie się generowania wyników według określonego rozkładu. Dyskryminator natomiast jest nauczony odróżniania wyników generatora od danych od rzeczywistego, danego rozkładu. Zadaniem generatora jest wówczas generowanie wyników, których dyskryminator nie może rozróżnić. Powinno to stopniowo dopasowywać wygenerowaną dystrybucję do dystrybucji rzeczywistej. Z tego powodu do trenowania takiego modelu wymagany jest odpowiednio duży zbiór danych składający się z danych rzeczywistych. Służy to do trenowania dyskryminatora, aż osiągnie on akceptowalny poziom dokładności. Podczas kolejnego treningu generator otrzymuje losową próbkę wybraną z wcześniej zdefiniowanego zakresu zmiennych latentnych. Na tej podstawie generator próbuje wygenerować nową dystrybucję. Rozkład ten jest następnie prezentowany dyskryminatorowi, który próbuje go odróżnić od rzeczywistego. Wagi obu modeli są niezależnie poprawiane przez propagację wsteczną, dzięki czemu generator może tworzyć lepsze rozkłady, a dyskryminator lepiej je rozpoznawać. Dzięki tej grze oba modele stale się poprawiają, co przy odpowiednim czasie treningu prowadzi do generowania rozkładów, których nie można odróżnić od rzeczywistych.

Sieci GAN były wykorzystywane między innymi do tworzenia fotorealistycznych obrazów do wizualizacji różnych obiektów, modelowania wzorców ruchu w filmach, do tworzenia modeli 3D obiektów z obrazów 2D oraz do edycji obrazów astronomicznych. Sieci GAN są również wykorzystywane do tego, aby interakcja użytkownika z chatbotami była naturalna. Ponadto sieci GAN są wykorzystywane w fizyce cząstek elementarnych, aby przyspieszyć czasochłonne symulacje detektorów. Co więcej, narzędzia takie jak Real-ESRGAN mogą być używane do skalowania własnych obrazów i zdjęć za pośrednictwem sieci GAN. W zależności od początkowej struktury skalowanie działa lepiej lub gorzej. Struktury systematyczne lub geometryczne można dobrze skalować, ale tekstury rozproszone lub struktury organiczne nadal powodują problemy. GAN są również wykorzystywane w różnych atakach na sieci neuronowe. Obejmuje to między innymi generowanie tzw. Unrestricted Adversarial  lub Model Inversion Attacks, które próbują wydobyć informacje o danych uczących lub wyuczonych klasach z wytrenowanego modelu.

Dodajmy, że techniki analizy danych obrazowych, takie jak rozpoznawanie twarzy, mogą zagrażać prywatności osób. Podczas gdy zagrożenia prywatności często można zmniejszyć poprzez dodanie szumu do danych, takie podejście zmniejsza użyteczność obrazów. Z tego powodu techniki anonimizacji obrazu zazwyczaj zastępują obecne w danych cechy bezpośrednio identyfikujące (np. twarze, tablice rejestracyjne samochodów) cechami syntetycznymi, przy jednoczesnym zachowaniu innych cech nieidentyfikujących. Na dzień dzisiejszy istniejące techniki koncentrują się głównie na poprawie naturalności generowanych syntetyzowanych obrazów, bez kwantyfikacji ich wpływu na prywatność. Przykładowo projekt systemu może być podzielony na trzy komponenty, które dotyczą oddzielnych, ale uzupełniających się wyzwań. Obejmuje to dwuetapowy komponent analizy skupień do wyodrębniania niskowymiarowych wektorów cech reprezentujących obrazy (osadzanie) i grupowania obrazów w skupienia o stałych rozmiarach. Podczas gdy w wielu koncepcjach znaczenie dobrego klastrowania bywa w większości zaniedbane, podejście polegające na użyciu niskowymiarowych wektorów cech może poprawić kompromis między prywatnością a narzędziami dzięki lepszemu grupowaniu podobnych obrazów. Zastosowanie tych osadzeń okazuje się szczególnie przydatne, gdy chcemy zapewnić wysoką naturalność i użyteczność generowanych syntetycznie obrazów. Łącząc ulepszone klastrowanie i włączając najnowocześniejszą generatywną sieć neuronową, można stworzyć bardziej realistyczne zsyntetyzowane twarze niż w poprzednich pracach, jednocześnie lepiej zachowując właściwości, takie jak wiek, płeć, odcień skóry, a nawet wyrażenia emocjonalne. Wreszcie, iteracyjna metoda dostrajania wykorzystuje nieliniowe relacje między prywatnością a użytecznością w celu zidentyfikowania dobrych kompromisów między prywatnością a narzędziami. Warto też zwrócić uwagę, że przykładową korzyścią z tych ulepszeń jest to, że takie  rozwiązanie umożliwia producentom samochodów szkolenie ich autonomicznych pojazdów przy jednoczesnym przestrzeganiu przepisów dotyczących prywatności.

Warto też nadmienić, że Europejska Rada Ochrony Danych (EROD) jest niezależnym organem europejskim, którego celem jest zapewnienie spójnego stosowania ogólnego rozporządzenia o ochronie danych (RODO) w Unii Europejskiej (UE), a także w Norwegii, Liechtensteinie i Islandii oraz promowanie współpraca między organami ochrony danych państw UE. 25 maja 2018 r. wraz z wejściem w życie RODO EROD zastąpiła Grupę Roboczą Artykułu 29.

Kompetencje EROD:

• Może przyjąć ogólne wytyczne w celu wyjaśnienia warunków europejskiego prawodawstwa o ochronie danych, zapewniając wszystkim zainteresowanym stronom spójną interpretację ich praw i obowiązków.
• Posiadaja również zdolność na podstawie RODO do podejmowania wiążących uchwał wobec krajowych organów nadzorczych w celu zagwarantowania spójnego stosowania przepisów.
• Przyjmuje wytyczne, rekomendacje i identyfikuje najlepsze praktyki związane z interpretacją i stosowaniem RODO.
• Doradza Komisji Europejskiej we wszelkich sprawach związanych z ochroną danych osobowych w Europejskim Obszarze Gospodarczym (EOG).
• Wydaje opinie w celu zapewnienia spójnego stosowania RODO przez krajowe organy nadzorcze, w szczególności decyzji mających skutki transgraniczne.
• Działa jako organ rozstrzygający spory w sporach między organami krajowymi współpracującymi w sprawach transgranicznych.
• Promuje opracowywanie kodeksów postępowania i ustanawiaj mechanizmy certyfikacji w dziedzinie ochrony danych.
• Promuje współpracę i skuteczną wymianę informacji i dobrych praktyk między krajowymi organami nadzorczymi.

Dodajmy też, że określenie morphing oznacza generowany komputerowo efekt specjalny w przetwarzaniu dźwięku i obrazu, którego celem jest generowanie przejść między dyskretnymi dźwiękami lub informacjami o obrazie. Podczas edycji filmów nowe obrazy pośrednie (klatki) są obliczane z dwóch pojedynczych obrazów. W przypadku dźwięków generowane jest czasowe przejście profilu widmowego. W przeciwieństwie do crossfadingu, morfing przekształca obraz w inny obraz za pomocą dodatkowych, ukierunkowanych zniekształceń. Czyniąc to, podejmuje się próbę stworzenia przejścia do obrazu docelowego, które jest jak najbardziej realistyczne, zaczynając od obrazu źródłowego. Typowy proces morfingu polega zatem na wybraniu widocznych elementów obrazu (np. rysów twarzy, takich jak usta i oczy lub krawędzie obiektu) w obrazie źródłowym i docelowym oraz zniekształceniu ich w taki sposób, aby można było dopasować ich kontury. Aby uzyskać jak najbardziej realistyczne efekty, ważne jest, aby obraz źródłowy i docelowy nie różniły się zbytnio od siebie; na przykład łatwiej jest przekształcić ludzką twarz w inną ludzką twarz niż w obraz żelazka. Te obrazy, zagrane jako film, sprawiają wrażenie nieustannej transformacji.

Na początku 2020 roku w Niemczech zaplanowano, że przy ubieganiu się o dowód osobisty lub paszport, zdjęcie paszportowe musi w przyszłości zostać zrobione bezpośrednio przez odpowiedzialny organ pod nadzorem urzędnika, aby zapobiec oszustwom poprzez morfing zdjęć paszportowych . Przestępcy mogliby wykorzystać tę procedurę do wygenerowania wspólnego zdjęcia paszportowego ze zdjęć dwóch różnych osób, które w konsekwencji zawiera rysy twarzy obu osób. Dowód tożsamości może teoretycznie być używany przez obie osoby do identyfikacji, ponieważ rysy twarzy i widoczne obszary pasują do siebie. Po krytyce ze strony studiów fotograficznych, Federalne Ministerstwo Spraw Wewnętrznych chce zezwolić na robienie zdjęć paszportowych fotografom również w przyszłości, pod warunkiem, że zostaną one bezpiecznie przesłane przez internet do władz. Dyskutowana jest również oficjalna aprobata godnych zaufania fotografów dla odpowiednich nagrań.