Europejski Inspektor Ochrony Danych o nowym projekcie dyrektywy dotyczącej kredytów konsumenckich

Znalazło się tam też kilka rozwiązań, które umożliwiają w zasadzie nieskrępowany dostęp do informacji o potencjalnych kredytobiorcach, także ze źródeł znajdujących się w innych jurysdykcjach. Generalnie zmian jest sporo, choć nie wszystkie będą zaskoczeniem.

Projekt zakłada możliwość czy nawet konieczność korzystania z zewnętrznych źródeł informacji, a EDPS chciałby tutaj, aby było jasno określone jakie to źródła

Dzisiaj zajmę się jednak innym dokumentem, a mianowicie stanowiskiem Europejskiego Inspektora Ochrony Danych (EDPS), który pod koniec sierpnia wydał ciekawą opinię w tym zakresie. Ciekawą m.in. dlatego, że odnosi się on do projektu rozporządzenia w sprawie sztucznej inteligencji. Zobaczmy, co tam znajdziemy.

Problem bardziej wrażliwych danych

Na wstępie chciałbym zaznaczyć, że omawiana opinia nie jest korzystna z punktu widzenia obowiązków pożyczko- czy kredytobiorców, którzy chcieliby wykorzystywać bardziej wrażliwe dane, jak np. dane z serwisów społecznościowych czy dane o zdrowiu, dla dokonywania oceny zdolności do spłaty zobowiązań. Mamy tutaj raczej konserwatywne stanowisko, że takie dane nie powinny być brane pod uwagę przy takiej ocenie, a wręcz powinny być zakazane.

Chodzi o to, aby podmioty kredytujące (…) nie dokonywały arbitralnych i dyskryminujących decyzji w oparciu o bardzo uznaniowe kryteria

Czy to dobry kierunek? Pewnie zależy. Z punktu widzenia wykluczonych osób (np. ze względu na brak historii finansowej) nie jest to dobra wiadomość. W niektórych rozwijających się krajach możliwość stosowania niestandardowych danych przyczyniła się do poprawy tzw. financial inclusion, czyli włączenia finansowego.

A z drugiej strony chodzi o to, aby podmioty kredytujące (będę tutaj zamiennie stosował określenie pożyczka i kredyt, choć nie są one tożsame) nie dokonywały arbitralnych i dyskryminujących decyzji w oparciu o bardzo uznaniowe kryteria, a raczej o twarde dane. W sumie tak źle, i tak niedobrze.

Zewnętrzne źródła informacji czyli jakie?

Powiązane to jest też z innym zagadnieniem dotyczącym wykorzystywanych danych. Projekt zakłada możliwość czy nawet konieczność korzystania z zewnętrznych źródeł informacji, a EDPS chciałby tutaj, aby było jasno określone jakie to źródła.

Miałyby się tutaj też znaleźć bardziej szczegółowe informacje odnośnie roli i zadań czy kompetencji różnych biur informacji kredytowej i pokrewnych podmiotów.

Czytaj także: AI w Finansach, i w zawodach prawniczych

Jasna informacja o parametrach wyceny

Projekt zakłada, że w przypadku kredytów czy pożyczek spersonalizowanych (bazujących na profilowaniu albo zautomatyzowanych procesach przetwarzania danych osobowych) konieczne będzie przekazanie odpowiednich informacji o tym fakcie, tj. że podlegać będzie on określonemu zabiegowi, który nie jest stricte ludzki.

EPDS idzie o krok dalej rekomendując dodanie obowiązku przekazania jasnej informacji dotyczącej parametrów, które zostały wykorzystane do wyceny danej oferty, jak również wskazanie kategorii danych osobowych, które mogą posłużyć do personalizacji. Innymi słowy EDPS chciałby, żeby ryzyko dyskryminacyjnego traktowania określonych grup było zminimalizowane.

Marketing i reklama

Istotną uwagą wskazaną przez Inspektora jest także ta dotycząca możliwości wykorzystania danych zebranych na potrzeby oceny zdolności kredytowej do marketingu i reklamy. Tutaj miałby być również wyraźny zakaz wykorzystywania takich danych.

Czy to oznacza, że również konsument nie mógłby wyrazić na to zgody? Jednoznacznej odpowiedzi nie znalazłem.

Rola AI pod ścisłą kontrolą

W opinii znajdziemy także wyraźne nawiązania do projektu rozporządzenia o AI, o którym pisałem już wielokrotnie, więc nie będę się powtarzał. EDPS przypomina tutaj, że systemy oceny zdolności kredytowej dla osób fizycznych ‒ jak dobrze pójdzie ‒ będą systemami wysokiego ryzyka, co oznacza, że poddane będą szeregowi wymogów prawnych, operacyjnych oraz zasobowych.

Kwestia zakazu social scoringu została tutaj wyraźnie podkreślona. I może słusznie

Podobnie będzie z tzw. price personalization, o której wspomniałem już powyżej. Rekomendacja jest tutaj raczej mało istotna, a dotyczy dopracowania referencji do stosownych przepisów. Trudno tylko na razie robić takie referencje, jeżeli nie wiemy jaki kształt przyjmie ostatecznie rozporządzenie w sprawie AI.

EDPS chodzi ‒ moim zdaniem – przede wszystkim o wyraźne nawiązanie do praktyk zakazanych i innych ograniczeń wynikających z tej propozycji, tym bardziej, że kwestia zakazu social scoringu została tutaj wyraźnie podkreślona. I może słusznie.

Czytaj także: Jak szybko algorytmy zastąpią analityków finansowych?

Weryfikacja ex ante

To co jednak budzi mój spory, jeżeli nie ogromny, sprzeciw to propozycja, aby systemy oceny zdolności kredytowej wykorzystujące sztuczną inteligencję poddawane były weryfikacji ex ante (uprzedniej) ‒ głównie pod kątem spełnienia wymogów z rozporządzenia w sprawie AI ‒ dokonywanej przez właściwy organ (nota bene może nim być EDPS) przy współpracy z organem, który ma wiedzę i doświadczenie w zakresie kredytów konsumenckich.

Moim zdaniem to absurd i brak zrozumienia w jaki sposób działają dzisiaj modele oceny ryzyka, np. w bankach. Oczywiście, zasady są zróżnicowane i nie wszystkie modele mogą być tzw. modelami wewnętrznymi opartymi o metodę wewnętrznych ratingów, jednak kontrola systemów oceny zdolności kredytowej ex ante jest chyba jednak sporym przegięciem. Nawet w projekcie rozporządzenia w sprawie AI tak surowej propozycji nie mamy.

To co jednak budzi mój spory, jeżeli nie ogromny, sprzeciw to propozycja, aby systemy oceny zdolności kredytowej wykorzystujące sztuczną inteligencję poddawane były weryfikacji ex ante (uprzedniej) ‒ głównie pod kątem spełnienia wymogów z rozporządzenia w sprawie AI

Nawiązując już do samego projektu dyrektywy w sprawie kredytu konsumenckiego, to warto tylko podkreślić, że dodano obowiązkowi, który mamy już np. w art. 105a Prawa bankowego, czyli prawo do uzyskania interwencji (EDPS ‒ oceny) i rewizji decyzji dokonanej przez automat, uzyskanie wyjaśnień co do decyzji ‒ tutaj trzeba uważać, bo projekt wskazuje na logikę i ryzyka związane z oceną oraz ich rzeczywisty wpływ na ostateczną decyzję oraz możliwość wyrażenia swojego punktu widzenia w tej sprawie. Nic nadzwyczajnego.

EDPS skorzystał także z okazji do tego, żeby przypomnieć o konieczności integracji podstawowych zasad ochrony danych do projektowanego rozporządzenia w sprawie AI, w szczególności w kontekście certyfikacji systemów AI dla oceny zdolności kredytowej.

Więcej grzechów nie pamiętam, choć gdybyśmy weszli w szczegóły, to pewnie coś by się znalazło. Ogólnie widać wyraźnie, że EDPS ma bardzo pro-konsumenckie podejście i stawia na prawa podstawowe, co jest oczywiście całkowicie zrozumiałe.

Czytaj także: Wytyczne BaFin dla sektora finansowego w sprawie AI, to dobry przykład i dobre praktyki

Nie do końca jednak popieram niektóre propozycje, które niepotrzebnie zaostrzają i tak już spore wymogi prawne oraz nakładają niekiedy ‒ moim zdaniem ‒ nieproporcjonalne wymogi w zakresie przejrzystości, tym bardziej, że ich skuteczność jest co najmniej dyskusyjna.

Zobaczymy jednak, jak Komisja lub kolejny poziom decyzyjny w procesie legislacyjnym, podejdzie do tych rekomendacji. Ja obstawiam jednak, że tylko część z uwag zostanie inkorporowana.