Sztuczna inteligencja a RODO: niedyskryminacja i równość. Czy to w ogóle możliwe?
Dyskusja pod jednym z ostatnich artykułów o sztucznej inteligencji skłoniła mnie do przybliżenia zagadnienia przetwarzania danych osobowych (i nieosobowych) przez algorytmu AI. Nie jest to zagadnienie łatwe i nadal mamy wiele niewiadomych. Pomocne przy ocenie czy Rozporządzenie 2016/679 (RODO) uzasadnia zgodne z prawem wykorzystanie sztucznej inteligencji będą Wytyczne OECD w sprawie AI oraz ochrony danych. Te posłużą też za punkt wyjścia do dalszej analizy. Ponieważ jednak polemika nadal trwa, nie traktujmy jej jako próby zamknięcia tematu, a raczej głos w dyskusji. Zaczynamy pierwszą część, którą poświęcę poszanowaniu praw podstawowych.
Wspomniane już wytyczne OECD określają 5 lub 6 podstawowych zasad, które muszą być spełnione, aby mówić o bezpiecznej i efektywnej AI:
- Zapewnienie poszanowania praw podstawowych, w tym w zakresie ochrony prywatności (i samych danych osobowych);
- Zapewnienie przetwarzania danych przez AI w zgodności z prawem, zasadami uczciwości, celowości, proporcjonalności, odpowiedzialności oraz z poszanowaniem zasady privacy by default (więcej w tym artykule);
- Risk-based approach (punkty 4 i 5 wytyczych OECD);
- Zapewnienie ochrony praw osób, których dane są przetwarzane oraz
- Umożliwienie sprawowania efektywnej kontroli nad procesem decyzyjnym AI.
Przejdźmy więc na grunt Rozporządzenia 2016/679.
Można używać AI, które nie dyskryminuje (na 100%?)
Podstawą jest tutaj bez wątpienia art. 22 RODO, który dopuszcza zautomatyzowane przetwarzanie (w tym profilowanie) m.in. w przypadku, gdy osoba, której dane dotyczą wyrazi na to wyraźną zgodę czy też jest to niezbędne do zawarcia lub wykonania umowy (tutaj warto poczytać o zautomatyzowanej ocenie zdolności kredytowej – klik).
W przypadku wykorzystywania takich rozwiązań administrator (operator AI) musi wdrożyć dodatkowe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą. Jako absolutne minimum Rozporządzenie 2016/679 wskazuje:
- prawo do uzyskania interwencji ludzkiej ze strony administratora;
- prawo do wyrażenia własnego stanowiska oraz
- prawo do zakwestionowania tej decyzji.
Patrząc przez pryzmat wytycznych OECD oznacza to także konieczność zapewnienia, że decyzje podejmowane przez AI nie będą dyskryminowały konkretnych osób (lub grup), a także że będą one etyczne (warto przeczytać o tych planach Komisji). Będzie to szczególnie istotne w przypadku wykorzystywania danych, o których mowa w art. 9 ust. 1 RODO, czyli m.in. danych biometrycznych, dotyczących seksualności czy poglądów.
Należy podkreślić, że choć co do zasady przetwarzanie tego typu danych jest zabronione przy wykorzystaniu sztucznej inteligencji czy uczenia maszynowego, to jednak wyraźna zgoda danej osoby „wyłączą” to wyłączenie. Oczywiście pod warunkiem zapewnienia ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą.
Ale jak to zrobić?
W tym miejscu pojawia się jednak zasadnicze pytanie. Jednym ze środków ochrony praw (w szczególności w kontekście dyskryminacji) jest obowiązek udostępnienia informacji odnośnie podstaw stanowiących podstawę podjęcia decyzji przez zautomatyzowane narzędzie (np. art. 105a ust. 1a Prawa bankowego). Etyka, moralność, wartości to pojęcia bardzo niedookreślone i ocenne. Jak więc ocenić, czy AI podjęła decyzję nieetyczną czy dyskryminującą? Skomplikujmy też sytuację. Wyłączmy z zestawu danych, które bierze (powinna) sztuczna inteligencja, te które mogą prowadzić do dyskryminacji. Czy to oznacza, że AI na pewno nie podejmie takiej decyzji? I czy wyjaśnienie, że tego typu dane nie są wykorzystywane przez algorytm będzie „załatwiało” nam sprawę?
Najbardziej zaawansowane algorytmy bardzo szybko się uczą i wyciągają wnioski na podstawie możliwie najszerszego zakresu danych – m.in. w celu uniknięcia dyskryminacji. Jeżeli jednak mamy „twarde” dane dotyczące konkretnej grupy osób (bez znaczenia czy przynależnych do konkretnej grupy zawodowej, światopoglądowej czy etnicznej), które wpływać mogą na podjęcie określonej decyzji, to czy będziemy tutaj mieli do czynienia z dyskryminacją, jeżeli algorytm uwzględni ten fakt w procesie „myślowym”?
Punkt 44 wytycznych Komisji (UE) w sprawie AI godnego zaufania i duża zagwozdka
Eksperci Komisji idą nawet dalej niż OECD. Ich zdaniem „trustworthy” AI powinno „zapewnić równe poszanowanie wartości moralnej i godności wszystkich ludzi”, co de facto wykracza poza zasadę niedyskryminacji, która dopuszcza się doszukiwania różnic między różnymi sytuacjami (co pewnie uzasadniałoby podjęcie decyzji w oparciu o dane na które wskazałem powyżej).
W wytycznych Komisji mamy jednak dość niepokojące stwierdzenie. Niepokojące, bo może być trudne do spełnienia w niektórych warunkach:
„W kontekście sztucznej inteligencji równość oznacza, że działania systemu nie mogą generować stronniczych wyników (…). Wymaga to również odpowiedniego poszanowania dla osób wymagających szczególnego traktowania i grup potencjalnie szczególnie wrażliwych”.
Wśród tych grup eksperci Komisji wymieniają m.in. pracowników, konsumentów czy osoby niepełnosprawne, ale również kobiety. Czy to de facto nie oznacza, że wdrażając niedyskryminacyjne zasady do algorytmu de facto wprowadzamy dyskryminację? I znów. Jak udowodnić spełnienie tej zasady w kontekście obowiązków informacyjnych? Oczywiście, możemy zajrzeć do motywu 71 preambuły RODO, gdzie znajdziemy rekomendację, że pewną formą zabezpieczenia będzie tutaj zastosowanie matematycznych lub statystycznych procedur profilowania, wdrożenie środków technicznych i organizacyjnych, które mogą pewne błędy korygować, ale czy o to do końca chodzi w automatyzacji związaną z AI?
No i pozostaje pytanie o granice autonomii AI. Jeżeli będziemy interpretować ją bardzo wąsko i dążąc do uzależniania od decyzji człowieka, to może okazać się, że istotnie ograniczymy rozwój AI. Oczywiste dla mnie jest, że poszanowanie podstawowych praw człowieka jest kluczowe, ale nawet w tak wrażliwej sferze potrzeba zasady proporcjonalności oraz rozsądku.
Co więc możemy zrobić?
Na gruncie obowiązujących przepisów wiem jedno – możemy korzystać z AI i co do zasady będzie to zgodne z RODO. Przepisy są jednak bardzo ogólne i nieco niedopasowane do specyfiki sztucznej inteligencji ze względu na (zbyt) wiele możliwych interpretacji. Brakuje albo bardziej precyzyjnych przepisów, albo jasnych wytycznych jak należy je rozumieć i stosować dla tej szybko rozwijającej się technologii.
Również tworzenie przepisów na poziomie krajowym (jak wspomniany art. 105a PrBank) powinno być rozważne. Nadmierne obowiązki po stronie producentów czy operatorów AI mogą „zabić” ten biznes lub przynajmniej wyhamować jego rozwój.