Nie krzycz głośno swojego hasła do Google Assistant czy Alexy, czyli wytyczne EDPB w sprawie Voice Assistants

Na łamach mojego bloga dość często piszę o potencjalnej możliwości wykorzystania głosu do obsługi finansów (więcej tutaj). Poza tym, że przetwarzanie języka naturalnego (NLP) nie jest jeszcze doskonałe, pojawiają się także wątpliwości w zakresie prawno-regulacyjnym, w tym dotyczące silnego uwierzytelniania czy ochrony danych osobowych (i w ogóle możliwości wykorzystania danych wrażliwych). Dosłownie kilka dni temu Europejska Rada Ochrony Danych opublikowała bardzo cenne wytyczne w sprawie tzw. Virtual Voice Assistants (VVAs), czyli tych rozwiązań wykorzystujących NLP umożliwiających wykonywanie przez systemy IT komend głosowych, czyli np. SIRI czy Alexa. Przejdźmy sobie szybko przez najważniejsze elementy dokumentu (dzisiaj tylko część).

Na początek warto zwrócić uwagę na wyzwania jakie mogą wiązać się z przetwarzaniem ludzkiej mowy, bo korzyści wydają się oczywiste (mniej – czynności – znaczy więcej). Oczywiście nie zmieścimy ich tutaj wszystkich, ale problemem przed jakim stoją twórcy takich rozwiązań, to przykładowo rozpoznawanie emocji, „odsiewanie” szumu informacyjnego czy „rozumienie” przez algorytm kontekstu. Mówimy oczywiście o tych wyzwaniach, które są istotne dla bardziej rozbudowanych VVAs, których nie ma na rynku jeszcze zbyt wiele. Uczenie algorytmu to nie jest łatwa sprawa, podobnie jak jego zaprojektowanie, bo nie mówimy tutaj wyłącznie o aspektach „technicznych”, ale zasadach gramatyki czy znaczeniu (dwuznaczności) niektórych słów.

A skoro mówimy o emocjach…

W finansach są to elementy niezwykle ważne, bo nie możemy zapominać, że sfera finansowa wymaga bardzo dobrych zabezpieczeń i niemal pewności co do dyspozycji użytkownika. NLP może mieć więc zastosowanie do dokonywania płatności czy pozyskania kredytu, ale także – a może przede wszystkim – przeciwdziałaniu fraudom (oszustwom). Połączenie „front-endowego” rozwiązania musi więc być ściśle powiązane z tymi pozwalającymi na odsiewanie (i alertowanie) podejrzanych zachowań w czasie rzeczywistym.

Co pisze EDPB?

Pozostawmy część ogólną oraz załącznik, choć dość dobrze opisują one w jaki sposób działają VVAs.

Pierwsze i najważniejsze – o ile zasadniczo nie musimy uzyskiwać uprzedniej zgody użytkownika (i wypełniać obowiązku z art. 5 ust. 3 dyrektywy e-privacy – nie zapominajmy też o projektowanym rozporządzeniu e-privacy) na wykonanie określonego żądania, to jednak każde dalsze czynności wymagają od nas jej pozyskania zgodnie z art. 6 Rozporządzenia 2016/679 (RODO). EDPB wskazuje tutaj, że taka zgoda będzie wystarczająca, ale i konieczna, dla przechowywania i wykorzystania już posiadanych danych do wykonania określonej operacji.

Innymi słowy, uwzględniając złożoność VVAs i fakt, że wykorzystują one urządzenia końcowe (smartfon, wspomniana już Alexa), które mogą już zawierać istotne dane osobowe, poszukiwać powinniśmy co do zasady zgody użytkownika. No i smutna – choć chyba oczekiwana informacja – dane powinny zostać usunięte po wykonaniu żądania (chyba, że mamy inną podstawę prawną), a oczekiwanie na request użytkownika o ich wykasowanie jest zdaniem EDPB praktyką niewłaściwą. Jest to o tyle istotne, że nie możemy powoływać się „chęć podnoszenia jakości naszej usługi”, jeżeli nie znajdujemy konkretnej podstawy prawnej – to był chyba też jeden z powodów dla którego SIRI długo nie „uczyła” się nas.

Oczywiście musimy pamiętać o DPIA, czyli ocenie skutków dla ochrony danych (art. 35 RODO).

A co z osobami trzecimi?

Hmm. EDPB tutaj nie zaskakuje – VVAs mogą przecież przetwarzać dane osobowe wielu osób, w tym nie tylko użytkownika. Operatorzy czy twórcy tych rozwiązań powinni więc zapewnić odpowiednie mechanizmy kontrolne zapewniające ochronę danych, w tym integralność czy dostępność. Tutaj rekomendacja jest następująca – filtrujcie te dane i rejestrujcie tylko głos użytkownika. Brzmi groźnie – podobnie jak rekomendacje EDPB w sprawie silent parties „pod PSD2”, o których pisałem tutaj. Ah, byłbym zapomniał:

„Data controllers providing VVA services should ensure users can exercise their data subject rights using easy-to-follow voice commands. VVA providers/designers, as well as app developers should at the end of the process inform users that their rights have been duly factored, by voice or by providing a writing notification to the user’s mobile, account or any other mean chosen by the user”

EDPB poruszyła też kwestię wykorzystania urządzeń końcowych przez różnych użytkowników – w tym „incydentalnych”. Tutaj również należy być „uważnym” w kontekście przetwarzania danych. Uwaga odnośnie usuwania danych wydaje się tutaj aktualna. Warto zwrócić jednak uwagę na jedno stwierdzenie ze strony EDPB. Mianowicie, w przypadku „przypadkowego obudzenia” urządzenia przez osobę trzecią – omyłkowo – nie znajdą zastosowania wyłączenia z art. 5 ust. 3 dyrektywy e-Privacy, a sama aktywacja nie powinna być uznana za poprawną zgodę… Ufff, twórcy tych rozwiązań będą w Unii Europejskiej mieć ciężką robotę.

Tutaj wrzucę również cytat:

„VVA controllers should make transparent what kind of information a VVA can derive about its surroundings, such as but not limited to other people in the room, music running in the background, any processing of the voice for medical or marketing other reasons, pets, etc.”

Żądanie to żądanie, ale to nie wszystko

EDPB podkreśla, że pierwotne żądanie użytkownika, np. ustawienie przypomnienia może „generować” i wykorzystywać inne dane, w tym dane osobowe. Rada wskazuje, że przykładowo może to być informacja już przechowywana na urządzeniu czy też dane pochodzące z profilowania, które jak wiemy wymaga spełnienia dodatkowych obowiązków.

Szczególną uwagę przywiązuje tutaj się oczywiście do danych biometrycznych (do których zaliczamy również głos), a więc art. 9 RODO znajduje i tutaj zastosowanie. Jeżeli z nich „korzystamy”, to oczywiście musimy mieć pewność, że wyłączenie (którekolwiek) z ust. 2 znajduje zastosowanie (np. zgoda).

A więc obowiązek informacyjny

Jakżeby inaczej. Spełniamy go m.in. na poziomie polityki prywatności czy innych dokumentów “zlinkowanych” z naszym kontem (urządzeniem). EDPB rekomenduje tutaj, aby w odniesieniu do przetwarzania danych przez VVAs w polityce znalazła się odrębna sekcja. Same informacje powinny być bardzo szczegółowe i przekazywane w sposób zrozumiały i jasny, również w kontekście obecnego statusu urządzenia, tj. np. trybu nasłuchu. Nie możemy też zapominać, aby te informacje były dostępne dla osób z niepełnosprawnościami, w tym np. daltonizmem (jak rozumiem czerwona lub zielona lampka już nie wystarczy – musi być komenda głosowa + efekt wizualny).

Dobra, na dzisiaj tyle. Postaram się niedługo wrócić z dalszą analizą, bo temat jest ciekawy.

Flash News

Europejski Urząd Nadzoru Bankowego o platformach w sektorze finansowym. Idzie nowe, a chyba nie wszyscy są gotowi

Etyka i uprzedzenie, czyli algorytmy korporacji przewozowych w praktyce

Zmiany do Rozporządzenia 2015/847 w sprawie transferu środków są znaczące. Szczególnie dla fanów kryptoaktywów

Open Banking “pod” PSD2 nadal sprawia trudności. EBA publikuje kolejne wyjaśnienia

Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem rozwoju rynku finansowego oraz ochrony inwestorów na tym rynku

Wytyczne BaFin w sprawie sztucznej inteligencji dla sektora finansowego. Dobry przykład, dobre praktyki

Z kim pójdziesz na randkę? Czy algorytm zadecyduje za Ciebie?

To instytucje finansowe i dostawcy RegTech muszą “popracować nad sobą”, czyli raport EBA w sprawie rozwiązań RegTech. Są i rekomendacje

Emitent kryptoaktywów jest administratorem danych. Europejski Inspektor Ochrony Danych o projekcie w sprawie kryptoaktów (MICA)

EBA bierze się za obniżenie kosztów nadzorczych. Duży nacisk na technologię RegTech oraz SupTech