Cyberbezpieczeństwo | Komentarze ekspertów

Czy Rozporządzenie RODO uzasadnia zgodne z prawem wykorzystanie sztucznej inteligencji?

12.03.2020 11:34 Michał Nowakowski

Fot. Stock.Adobe.com / phonlamaiphoto

Udostępnij

Dyskusja o sztucznej inteligencji skłoniła mnie do przybliżenia zagadnienia przetwarzania danych osobowych (i nieosobowych) przez algorytm AI. Nie jest to zagadnienie łatwe i nadal mamy wiele niewiadomych.

#MichałNowakowski: Na gruncie obowiązujących przepisów – możemy korzystać z AI i będzie to zgodne z RODO. Przepisy są jednak bardzo ogólne i niedopasowane do specyfiki AI ze względu na wiele możliwych interpretacji #NoweTechnologie #SztucznaInteligencja #AI #RODO @FinregtechPL

Pomocne przy ocenie, czy Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. − RODO − uzasadnia zgodne z prawem wykorzystanie sztucznej inteligencji − będą Wytyczne OECD w sprawie AI oraz ochrony danych.

Te Wytyczne posłużą też za punkt wyjścia do dalszej analizy. Ponieważ jednak polemika nadal trwa, nie traktujmy jej jako próby zamknięcia tematu, a raczej głos w dyskusji.

Wspomniane już wytyczne OECD określają 5 lub 6 podstawowych zasad, które muszą być spełnione, aby mówić o bezpiecznej i efektywnej AI:

− zapewnienie poszanowania praw podstawowych, w tym w zakresie ochrony prywatności (i samych danych osobowych);

− zapewnienie przetwarzania danych przez AI w zgodności z prawem, zasadami uczciwości, celowości, proporcjonalności, odpowiedzialności oraz z poszanowaniem zasady privacy by default;

− risk-based approach (punkty 4 i 5 wytycznych OECD);

− zapewnienie ochrony praw osób, których dane są przetwarzane;

− umożliwienie sprawowania efektywnej kontroli nad procesem decyzyjnym AI.

Przejdźmy więc na grunt Rozporządzenia 2016/679.

Można używać AI, które nie dyskryminuje (na 100%?)

Podstawą jest tutaj bez wątpienia art. 22 RODO, który dopuszcza zautomatyzowane przetwarzanie, w tym profilowanie, m.in. w przypadku, gdy osoba, której dane dotyczą − wyrazi na to wyraźną zgodę, czy też jest to niezbędne do zawarcia lub wykonania umowy.

W przypadku wykorzystywania takich rozwiązań administrator (operator AI) musi wdrożyć dodatkowe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą. Jako absolutne minimum Rozporządzenie 2016/679 wskazuje:

− prawo do uzyskania interwencji ludzkiej ze strony administratora;

− prawo do wyrażenia własnego stanowiska;

− prawo do zakwestionowania tej decyzji.

Patrząc przez pryzmat wytycznych OECD oznacza to także konieczność zapewnienia, że decyzje podejmowane przez AI nie będą dyskryminowały konkretnych osób (lub grup), a także − że będą one etyczne. Będzie to szczególnie istotne w przypadku wykorzystywania danych, o których mowa w art. 9 ust. 1 RODO, czyli m.in. danych biometrycznych, dotyczących seksualności czy poglądów.

Czytaj także: RODO a cyberbezpieczeństwo: pseudonimizacja wg ENISY

Należy podkreślić, że choć co do zasady przetwarzanie tego typu danych jest zabronione przy wykorzystaniu sztucznej inteligencji czy uczenia maszynowego, to jednak wyraźna zgoda danej osoby „wyłącza” to wyłączenie.

Oczywiście pod warunkiem zapewnienia ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą.

Ochrona musi być zapewniona. Ale jak to zrobić?

W tym miejscu pojawia się jednak zasadnicze pytanie. Jednym ze środków ochrony praw, w szczególności w kontekście dyskryminacji, jest obowiązek udostępnienia informacji odnośnie podstaw stanowiących o możliwości podjęcia decyzji przez zautomatyzowane narzędzie (np. art. 105a ust. 1a Prawa bankowego).

Etyka, moralność, wartości to pojęcia bardzo niedookreślone i ocenne. Jak więc ocenić, czy AI podjęła decyzję nieetyczną czy dyskryminującą? Skomplikujmy teraz sytuację. Wyłączamy z zestawu danych, które bierze, czy powinna brać sztuczna inteligencja te, które mogą prowadzić do dyskryminacji.

Czy to oznacza, że AI na pewno nie podejmie takiej decyzji? I czy wyjaśnienie, że tego typu dane nie są wykorzystywane przez algorytm będzie „załatwiało” sprawę?

Czytaj także: Czy sztuczna inteligencja będzie zdolna odróżnić dane prawdziwe od nieprawdziwych?

Najbardziej zaawansowane algorytmy bardzo szybko się uczą i wyciągają wnioski na podstawie możliwie najszerszego zakresu danych – m.in. w celu uniknięcia dyskryminacji. Jeżeli jednak mamy twarde dane dotyczące konkretnej grupy osób, bez znaczenia czy przynależnych do konkretnej grupy zawodowej, światopoglądowej czy etnicznej, które wpływać mogą na podjęcie określonej decyzji, to czy będziemy tutaj mieli do czynienia z dyskryminacją, jeżeli algorytm uwzględni ten fakt w procesie „myślowym”?

Punkt 44 wytycznych ws. AI godnego zaufania − i duża zagwozdka

Eksperci Komisji Europejskiej idą nawet dalej niż OECD. Ich zdaniem „trustworthy” AI powinno „zapewnić równe poszanowanie wartości moralnej i godności wszystkich ludzi”, co de facto wykracza poza zasadę niedyskryminacji, która dopuszcza się doszukiwania różnic między różnymi sytuacjami, co pewnie uzasadniałoby podjęcie decyzji w oparciu o dane, wskazane powyżej.

W wytycznych Komisji mamy jednak dość niepokojące stwierdzenie. Niepokojące, bo może być trudne do spełnienia w niektórych warunkach:

„W kontekście sztucznej inteligencji równość oznacza, że działania systemu nie mogą generować stronniczych wyników (…). Wymaga to również odpowiedniego poszanowania dla osób wymagających szczególnego traktowania i grup potencjalnie szczególnie wrażliwych”.

Wśród tych grup eksperci Komisji wymieniają m.in. pracowników, konsumentów czy osoby niepełnosprawne, ale również kobiety. Czy to de facto nie oznacza, że wdrażając niedyskryminacyjne zasady do algorytmu − de facto wprowadzamy dyskryminację?

I znów. Jak udowodnić spełnienie tej zasady w kontekście obowiązków informacyjnych? Oczywiście, możemy zajrzeć do motywu 71 preambuły RODO, gdzie znajdziemy rekomendację, że pewną formą zabezpieczenia będzie tutaj zastosowanie matematycznych lub statystycznych procedur profilowania, wdrożenie środków technicznych i organizacyjnych, które mogą pewne błędy korygować, ale czy o to do końca chodzi w automatyzacji związaną z AI?

Czytaj także: Kto odpowie za błędy sztucznej inteligencji: producent czy operator?

No i pozostaje pytanie o granice autonomii AI. Jeżeli będziemy interpretować ją bardzo wąsko i dążąc do uzależniania od decyzji człowieka, to może okazać się, że istotnie ograniczymy rozwój AI. Oczywiste dla mnie jest, że poszanowanie podstawowych praw człowieka jest kluczowe, ale nawet w tak wrażliwej sferze potrzeba zasady proporcjonalności oraz rozsądku.

Co więc możemy zrobić?

Na gruncie obowiązujących przepisów wiem jedno – możemy korzystać z AI i co do zasady będzie to zgodne z RODO. Przepisy są jednak bardzo ogólne i nieco niedopasowane do specyfiki sztucznej inteligencji ze względu na (zbyt) wiele możliwych interpretacji. Brakuje albo bardziej precyzyjnych przepisów, albo jasnych wytycznych jak należy je rozumieć i stosować dla tej szybko rozwijającej się technologii.

Również tworzenie przepisów na poziomie krajowym (jak wspomniany art. 105a Prawa bankowego) powinno być rozważne. Nadmierne obowiązki po stronie producentów czy operatorów AI mogą „zabić” ten biznes lub przynajmniej wyhamować jego rozwój.