Veštačka inteligencija možda jeste vaš najbolji prijatelj, ali nije vaš saučesnik u nezakonitim radnjama. Za razliku od razgovora sa lekarom, advokatom ili sveštenikom, razgovori sa veštačkom inteligencijom ne ostaju nužno privatni i pod određenim uslovima mogu biti dostupni i nadležnim organima.
Poslednjih godina sve je više sudskih slučajeva u Sjedinjenim Američkim Državama u kojima su razgovori sa veštačkom inteligencijom poslužili kao ključni dokaz u krivičnim postupcima i doveli do osuđujuće presude.
U aprilu 2026. godine na Floridi, Hišam Abugarbije je optužen za dvostruko ubistvo. Policija je u sudskim dokumentima objavila njegove razgovore sa ChatGPT-om u kojima je postavljao pitanja: koja temperatura vode izaziva trenutne opekotine, da li komšije mogu da čuju pucanj i kako najbolje sakriti telo? Ovi četovi postali su deo dokaza koji su doprineli njegovom hapšenju i optužbi.
U cara Trojana kozije uši
Za razliku od razgovora sa lekarom, advokatom ili sveštenikom, razgovori sa veštačkom inteligencijom ne ostaju nužno privatni. Kako je u jednom intervjuu za The Guardian rekao Sem Altman, korisnici često imaju pogrešnu predstavu o tome ko i pod kojim uslovima može da im pristupi.
Unosi koje korisnici šalju (promptovi) i odgovori koje generišu LLM sistemi tretiraju se kao podaci koji se određeno vreme čuvaju i koriste u različite svrhe, najčešće za trening i unapređivanje modela, a pod određenim uslovima mogu biti dostupni i nadležnim organima. Čak i kada korisnik obriše razgovor, podaci ne nestaju odmah. Podaci se po pravilu čuvaju najmanje 30 dana u rezervnim kopijama (backup) kompanije, a u određenim slučajevima taj rok može biti produžen.
Na primer, nadležni organi mogu zatražiti da se podaci privremeno sačuvaju i ne brišu, ukoliko postoji potreba za njihovim korišćenjem u sudskom postupku. Drugim rečima, „brisanje” u korisničkom interfejsu ne znači i trenutno uklanjanje podataka iz sistema kompanije.
Pojedini korisnici koji žele da prikriju svoj identitet, pri upotrebi LLM sistema koriste virtuelnu privatnu mrežu (Virtual Private Network – VPN) ili uključuju „incognito” režim razgovora.
U praksi, međutim, VPN može da sakrije IP adresu, ali ne i korisnički nalog. Samim tim moguće je identifikovati korisnika i bez direktnog pristupa njegovoj mrežnoj lokaciji. Drugim rečima, VPN može otežati, ali ne i onemogućiti identifikaciju korisnika.
Takođe, „incognito” ili „privatni” u ovom slučaju ne znači anonimni. Osnovna svrha ovih režima je da ograniče korišćenje podataka za trening i unapređenje modela, a ne da u potpunosti spreče njihovo čuvanje i pristup razgovorima. Drugim rečima, i podaci iz „privatnih” razgovora prolaze kroz servere, privremeno se čuvaju i mogu biti dostupni nadležnim organima.
Kolateralna šteta po privatnost u SAD
Koliko će vremena policiji i sudovima biti potrebno da dođu do vaših najintimnijih tajni zavisi od pravnog sistema zemlje u kojoj se nalazi osumnjičeni, od toga pod kojim zakonima posluje kompanija i gde se fizički čuvaju podaci.U Sjedinjenim Američkim Državama, gde posluje većina vodećih AI kompanija (OpenAI, xAI, Anthropic i dr.) pristup podacima osumnjičenih je najlakši. Sudski nalog izdati od strane američkog suda obavezuju kompaniju da u relativno kratkom roku dostavi tražene podatke, vrlo često u roku od nekoliko dana. Ono što je posebno problematično je da prema američkom zakonu kompanije moraju da predaju kompletne podatke, i kada se pristup podacima odobri, ne radi se nužno o jednom problematičnom četu, već o celokupnom korisničkom nalogu.
Upravo tu dolazi do takozvane „kolateralne štete po privatnost”; istraga usmerena na jedan događaj otvara uvid u širok spektar ličnih podataka, uključujući zdravstvene, finansijske ili privatne informacije koje nemaju nikakve veze sa predmetom postupka.
U EU samo podaci neophodni za istragu
Kakav je slučaj u Evropskoj uniji? Evropske kompanije poput Mistral AI i Aleph Alpha su takođe dužne da predaju podatke lokalnom tužilaštvu, ali uz velika ograničenja.
U praksi, nadležni organ pokreće postupak u okviru krivične istrage i podnosi zahtev sudu za pristup podacima. Sud zatim procenjuje da li su ispunjeni zakonski uslovi, pre svega da li je zahtev opravdan i neophodan u cilju istrage. Tek nakon toga sud izdaje obavezujući nalog kompaniji koja upravlja podacima.
Kompanija je dužna da postupi po nalogu ako je izdat u skladu sa važećim pravom. Međutim, ključnu ulogu ima Opšta uredba o zaštiti podataka o ličnosti (General Data Protection Regulation – GDPR), koja postavlja osnovna pravila obrade ličnih podataka. Ona uvodi princip minimizacije, prema kom se prikupljaju samo podaci koji su neophodni, i u pitanju je najčešće pojedinačni čet koji je predmet istrage.
Sam proces traje nekoliko nedelja, dakle znatno duže nego u Sjedinjenim Američkim Državama. Važno je reći da do sada nije javno zabeležen nijedan slučaj u kojem je sud u nekoj državi članici EU direktno tražio i dobio sadržaj četova sa LLM-ovima u krivičnom postupku.
„Pozovi DeepSeek radi ubistva“
Šta se dešava kada su sud i optuženi u jednoj zemlji, a kompanija koja je razvila LLM u drugoj? Na primer, kada je optuženi u nekoj državi Evropske unije, a kompanija je američka?
U takvim slučajevima, pristup podacima mora da prođe kroz dodatne pravne filtere. Čak i kada američke kompanije imaju evropske filijale, evropski zakoni zahtevaju stroge procedure i evropski sudovi ne mogu direktno tražiti od američke kompanije da im preda podatke. Najčešće se u takvim slučajevima koristi Sporazum o međunarodnoj pravnoj pomoći (Mutual Legal Assistance Treaty – MLAT). Reč je o međunarodnom ugovoru između SAD i evropskih zemalja koji reguliše kako jedna država može zatražiti podatke od kompanije koja se nalazi u drugoj državi.
Nakon što lokalno tužilaštvo podnese zahtev preko MLAT mehanizama, nadležni sud detaljno procenjuje da li je zahtev opravdan i da li je u potpunosti u skladu sa strogim pravilima GDPR-a. Tek nakon što sud odobri zahtev, on se prosleđuje kompaniji, koja je obavezna da preda tražene podatke. Ceo proces obično traje par meseci.
Za korisnike u Srbiji, situacija je još složenija. Za razliku od zemalja Evropske unije, koje imaju dugogodišnje iskustvo, razvijenu praksu i efikasne institucije za obradu ovakvih zahteva, u Srbiji je ova oblast još uvek relativno nova. Zbog toga je administracija sporija, a procedure duže traju i birokratski su zahtevnije. Domaće institucije i sudovi moraju da uključe Ministarstvo pravde koje tek onda pokreće postupak po MLAT-u.
Iako ceo proces traje duže, podaci koje srpski sudovi mogu da dobiju od kompanija su znatno obimniji, pa institucije mogu da imaju uvid i u četove korisnika koji nisu relevantni za sudski predmet. Srpski Zakon o zaštiti podataka o ličnosti formalno je usaglašen sa GDPR-om, ali u praksi pruža slabiju zaštitu. To je pre svega posledica znatno nižih kazni za kompanije koje nepravilno postupaju sa podacima, kao i činjenice da Poverenik za zaštitu podataka o ličnosti ima daleko manja ovlašćenja i ograničene resurse u poređenju sa regulatorima u Evropskoj uniji.
Poseban slučaj predstavljaju kineske kompanije. Za zapadne, ali i srpske institucije, pristup tim podacima je otežan zbog političkih i pravnih barijera, pa zahtevi često ostaju bez odgovora. Drugim rečima, četove korisnika sa DeepSeek-om je skoro pa nemoguće dobiti!
Veštačka inteligencija je čovekov „najbolji prijatelj“, ali…
Veštačka inteligencija nam je promenila živote, značajno ubrzala poslovne procese, oslobodila nas brojnih rutinskih zadataka, omogućila brže donošenje odluka i donela uštede koje su još donedavno delovale gotovo nemoguće. Postala je naš terapeut, finansijski savetnik, advokat, lekar, pa čak i sveštenik.
Međutim, važno je da ovoga budemo svesni: veštačka inteligencija možda jeste vaš najbolji prijatelj, ali nije vaš saučesnik.
Autor: Milena Šović AI Implementation Specialist & Content Trainer
Foto: artoleshko, Depositphotos