wtorek, Sierpień 11

EDPS ocenia i rekomenduje zmiany do Białej Księgi ws. sztucznej inteligencji. Będzie głębsza debata?

Google+ Pinterest LinkedIn Tumblr +

Pod koniec czerwca unijny odpowiednik Urzędu Ochrony Danych Osobowych (EDPS) opublikował bardzo ważną opinię do Białej Księgi Sztucznej Inteligencji opracowanej przez Komisję (UE) – więcej w tym artykule. Dokument jest o tyle istotny, że pokazuje nie tylko jakie podejście mają organy odpowiedzialne za ochronę danych, ale jakie wyzwania mogą pojawić się w tym kontekście. W opinii znajdziemy m.in. wskazanie luk prawno-regulacyjnych wymagających „wypełnienia” czy wyraźne potwierdzenie stanowiska dot. czasowego zakazu wprowadzania rozwiązań pozwalających na automatyczną identyfikację osób w przestrzeni publicznej (z użyciem biometrii). Przejdźmy przez najistotniejsze elementy opinii. Zaczynamy! 

Potrzeba zmian w prawie jest zdaniem EDPS jest w zasadzie kluczowym elementem opinii, choć znajdziemy też wyraźne stwierdzenie, że obowiązujące przepisy dot. ochrony danych osobowych są (na tyle) neutralne technologicznie, że nie powinny stanowić przeszkody dla rozwoju nowych technologii, a w szczególności AI. Zwróćmy jednak uwagę na fakt, że przepisy dot. ochrony danych osobowych podlegają nieustannie opiniowaniu przez urzędy odpowiedzialne za tą ochronę co z jednej strony zwiększa pewność prawną, a z drugiej stoi nieco w sprzeczności z ideą neutralności (w tym zakresie, że wiele stanowisk może ograniczać wspomniany rozwój).

Jednocześnie EDPS wskazuje, że regulacje dot. AI przyjęte w przyszłości powinny zostać opracowane w taki sposób, aby chroniły przed „jakimkolwiek negatywnym wpływem nie tylko na osoby fizyczne, ale także zbiorowości i społeczeństwo”. Konia z rzędem temu, kto przewidzi wszelkie możliwe scenariusze. No i mamy wyraźne stwierdzenie, że musi być zapewniony odpowiedni poziom audytowalności, jakości danych wejściowych (tutaj mamy konkretne rekomendacje dotyczące trenowania algorytmów) oraz nadzoru człowieka. Autonomiczność? Chyba jeszcze nie teraz.

Podejście oparte na ryzyku wystarczy? Rozporządzenie obejmie więcej rozwiązań?

No alt text provided for this image

Zdaniem EDPS obecnie obowiązujące przepisy są wystarczające, przytaczając tutaj art. 32 i 35 Rozporządzenia 2016/679 i nie wymagają zmiany. Jednocześnie unijny nadzorca wskazuje na pewne braki w projekcie regulacji dot. Hi-Risk AI (i pomysłów Komisji co do uregulowania obszaru odpowiedzialności za AI), o którym pisałem m.in. tutaj. EDPS rekomenduje kilka istotnych zmian w zakresie tej regulacji, co ma związek m.in. z jej „podpięciem” wyłącznie do tych rozwiązań, które generują znaczne ryzyko.

Unijny nadzorca proponuje więc m.in. rozszerzenie zakresu rozwiązań z obszaru sztucznej inteligencji o takie, które wykraczają poza regulacyjne pojęcie High-risk AI – jednocześnie EDPS wskazuje, że sposób oceny czy dane rozwiązanie należy kwalifikować do tej kategorii jest obecnie zbyt wąskie. Jest to o tyle ciekawe, że znajdziemy tutaj propozycję objęcia regulacją m.in. zautomatyzowanych narzędzi scoringowych czy profilowania. EDPS podkreśla także, że należy brać pod uwagę szereg innych kryteriów, jak np. wpływ na społeczeństwo i ochronę praw podstawowych czy środowisko. Mam wrażenie, że EDPS zmierza tutaj w kierunku rozszerzenia regulacji na praktycznie wszystkie obszary, w których AI może generować ryzyko, a chyba nie do końca o to chodziło Komisji.

EDPS jest zdania, że choć zarówno propozycje Komisji, jak i przepisy o ochronie danych oparte są na analizie ryzyka, to jednak RODO nie przewiduje takiego pojęcia jak „zero-risk” w odniesieniu do przetwarzania danych osobowych. Zdaniem ekspertów każde przetwarzanie będzie niosło ze sobą jakieś ryzyka, a w szczególności w przypadku rozwiązań automatycznych i wykorzystujących nowe technologie. Powinniśmy więc zawsze przyjmować podejście, które można streścić tak, że im większe ryzyko, tym większe obowiązki, a zaproponowane w rozporządzeniu rozwiązania odnoszą się wyłącznie do sztucznej inteligencji wysokiego ryzyka.

No alt text provided for this image

Ciekawe jest przy tym to, że EDPS stoi na stanowisku, że już sam fakt, że AI może wyrządzić szkodę powinno skutkować nałożeniem dodatkowych obowiązków na operatora (głównie technicznych i organizacyjnych, np. w kontekście przejrzystości algorytmów). I taka też jest rekomendacja EDPS.

Sztuczna inteligencja wysokiego ryzyka powinna być zakazana?

Niekiedy tak. EDPS w swoim dokumencie podkreśla, że powinno to mieć miejsce w przypadku, gdy jasno widać, że takie rozwiązanie jest „niekompatybilne” z prawami podstawowymi. Tutaj niestety zabrakło przykładów, choć z pewnością można tutaj wskazać te obszary, które nadmiernie ingerują w naszą prywatność i nie zapewniają odpowiedniej ochrony, jak np. identyfikacja biometryczna w przestrzeni publicznej. EDPS oczekuje także, że podmioty prywatne zostaną zobowiązane do dokonywania odpowiedniego due diligence, dokumentowania procesów i podejmowanie wszelkich działań w zakresie ochrony praw podstawowych. Innymi słowy, załącznik z hi-risk AI może nie ostać się w pierwotnej wersji.

Art. 35 Rozporządzenia 2016/679

No alt text provided for this image

Głównym „zarzutem” do projektowanej regulacji jest brak wyraźnego odniesienia do oceny skutków dla ochrony danych, czyli popularne DPIA (Data Protection Impact Assessment). EDPS zaproponował nawet jakie zagadnienia „do rozstrzygnięcia” mogłyby się znaleźć w takiej ocenie i wskazał przykładowo na to jakie prawa podstawowe mogą zostać naruszone czy jakie jest prawdopodobieństwo wystąpienia określonych ryzyk. Ja zaś zastanawiam się czy jest to w ogóle potrzebne, skoro mamy już art. 35, który stosujemy niezależnie od tego jaką technologię stosujemy.

Audytowalność

EDPS podkreśla, że w przypadku przetwarzania danych osobowych przez sztuczną inteligencję potrzeba przejrzystych zasad dotyczących testowania i audytu (procesu podejmowania decyzji). Te zasady powinny być publicznie dostępne, aby nie było wątpliwości jakie są oczekiwania. Jestem jak najbardziej za, bo obecnie nie ma jasności „co i jak” powinniśmy robić w kontekście oceny tego procesu. Z drugiej strony mam wrażenie, że rekomendacje EDPS zmierzają w kierunku bardzo szczegółowej analizy, której powinien dokonać operator (wskazać coś więcej niż tylko dane wejściowe i uproszczoną drogę decyzyjną), co może być bardzo trudne do wykonania w przypadku bardziej złożonych rozwiązań.

Co więcej? 

No alt text provided for this image

Mamy kilka „standardowych” zagadnień, które pojawiają się przy okazji dyskusji nad AI. Mamy więc kwestię wymagań w zakresie kontroli i nadzoru czy zakaz niedyskryminacji (tutaj wyraźne odniesienie m.in. do grup LGBTQIA+), a także problematykę dostępu do danych. EDPS „wezwał” tutaj Komisję (UE) m.in. do jak najszybszego wprowadzenia rozwiązań (standaryzacji) dostępu poprzez API. To rzeczywiście niezwykle ważna kwestia wymagającego pilnego uregulowania.

Udostępnij.

Zostaw komentarz