China cierra un número récord de violaciones de datos personales, propone una ley de reconocimiento facial

China cierra récord de violaciones de datos, propone ley de reconocimiento facial

China ha cerrado un número récord de violaciones de datos personales y está buscando comentarios públicos sobre proyectos de leyes para regular el uso de datos de reconocimiento facial.

En los últimos tres años, la policía china cerró 36,000 casos relacionados con infracciones de datos personales, deteniendo a 64,000 sospechosos en el proceso, según el Ministerio de Seguridad Pública. Los arrestos fueron parte de los esfuerzos del gobierno desde 2020 para regular Internet, lo que también resultó en la incautación de más de 30 millones de tarjetas SIM y 300 millones de cuentas de Internet “ilegales”, según informó el medio estatal Global Times, citando al ministerio en una conferencia de prensa el jueves.

También: La IA puede descifrar tu contraseña escuchando los clics de tu teclado

La policía había estado investigando un número creciente de casos criminales relacionados con violaciones de datos personales en los últimos años, dirigidos a varias industrias, incluyendo la salud, la educación, la logística y el comercio electrónico.

El ministerio informó que los casos criminales reportados que involucraban inteligencia artificial (IA) también habían aumentado, citando un incidente de abril de 2023 en el que una empresa en la provincia de Fujian perdió 4.3 millones de yuanes ($596,510) debido a hackers que utilizaron IA para alterar sus rostros.

Hasta la fecha, las agencias encargadas de hacer cumplir la ley han resuelto 79 casos de “cambio de rostro con IA”.

También: No estamos preparados para el impacto de la IA generativa en las elecciones

Con el reconocimiento facial ahora ampliamente utilizado junto con los avances en tecnología de IA, los funcionarios gubernamentales señalaron la aparición de casos que aprovechan dichos datos. En estos casos, los ciberdelincuentes utilizan fotos, especialmente aquellas que se encuentran en las tarjetas de identificación, junto con nombres y números de identificación personal para facilitar la verificación de reconocimiento facial.

Los departamentos de seguridad pública de China están trabajando con instalaciones estatales para realizar evaluaciones de seguridad de reconocimiento facial y otras tecnologías relevantes, así como para identificar posibles riesgos en los sistemas de verificación de reconocimiento facial, según el ministerio.

Con ecosistemas de ciberdelincuencia ampliamente conectados, que van desde el robo hasta la reventa de datos y el lavado de dinero, los funcionarios del gobierno chino dijeron que estos criminales han establecido un importante “mercado subterráneo de big data” que representa riesgos graves para los datos personales y el “orden social”.

Propuestas de leyes a nivel nacional para regular el reconocimiento facial

La Administración del Ciberespacio de China (CAC) publicó esta semana proyectos de leyes que se ocupan específicamente de la tecnología de reconocimiento facial. Según Global Times, es la primera vez que se proponen regulaciones a nivel nacional para esta tecnología.

También: Zoom está envuelto en un lío de privacidad relacionado con la IA

Las reglas propuestas requerirán obtener el consentimiento explícito o por escrito del usuario antes de que las organizaciones puedan recopilar y usar información facial personal. Las empresas también deben indicar la razón y el alcance de los datos que están recopilando y utilizar los datos solo para el propósito establecido.

Sin el consentimiento del usuario, ninguna persona u organización está autorizada a utilizar la tecnología de reconocimiento facial para analizar datos personales sensibles, como etnia, creencias religiosas, raza y estado de salud. Existen excepciones para el uso sin consentimiento, principalmente para mantener la seguridad nacional y la seguridad pública, así como para proteger la salud y propiedad de las personas en emergencias.

Las organizaciones que utilizan la tecnología deben tener medidas de protección de datos para evitar el acceso no autorizado o las filtraciones de datos, según el documento de la CAC.

Los proyectos de leyes también indican que cualquier persona u organización que retenga más de 10,000 conjuntos de datos de reconocimiento facial debe notificar a las autoridades gubernamentales cibernéticas relevantes en un plazo de 30 días hábiles.

También: IA generativa y la cuarta razón: Construir confianza con tus clientes

Las reglas propuestas establecen las condiciones bajo las cuales se deben utilizar los sistemas de reconocimiento facial, incluyendo cómo procesan los datos faciales personales y para qué fines.

Los proyectos de leyes también obligan a las empresas a priorizar el uso de herramientas de reconocimiento no biométricas alternativas si estas proporcionan resultados equivalentes a la tecnología basada en biometría.

El público tiene un mes para enviar comentarios sobre los proyectos de leyes.

En enero, China implementó regulaciones que tenían como objetivo prevenir el abuso de la tecnología de “síntesis profunda”, incluyendo deepfakes y realidad virtual. Cualquier persona que utilice estos servicios debe etiquetar las imágenes correctamente y abstenerse de utilizar la tecnología para actividades que infrinjan las regulaciones locales.

También: 4 formas de detectar la exageración de la IA generativa frente a la realidad

También entrarán en vigor leyes provisionales la próxima semana para gestionar los servicios de IA generativa en el país. Estas regulaciones establecen diversas medidas que buscan facilitar el desarrollo sólido de la tecnología al tiempo que protegen los intereses nacionales y públicos, así como los derechos legales de los ciudadanos y las empresas, según informó el gobierno chino. 

Por ejemplo, los desarrolladores de IA generativa deberán asegurarse de que sus procesos de preentrenamiento y optimización del modelo se realicen cumpliendo con la ley. Esto incluye utilizar datos de fuentes legítimas que cumplan con los derechos de propiedad intelectual. Si se utilizan datos personales, se deberá obtener el consentimiento del individuo o hacerlo de acuerdo con las regulaciones existentes. También se deben tomar medidas para mejorar la calidad de los datos de entrenamiento, incluyendo su precisión, objetividad y diversidad. 

Según las leyes provisionales, los proveedores de servicios de IA generativa asumen la responsabilidad legal de la información generada y su seguridad. Deberán firmar acuerdos de nivel de servicio con los usuarios de su servicio, aclarando así los derechos y obligaciones de cada parte.