Unia Europejska ureguluje zasady ochrony prywatności użytkowników AI
Według raportu „KPMG global tech report 2023” liderzy technologiczni uważają sztuczną inteligencję i uczenie maszynowe za najważniejszą technologię do osiągnięcia swoich celów biznesowych w najbliższym czasie. Jednak podobnie, jak w przypadku każdej nowej technologii, diagnozowane są również ryzyka.
Badanie „Trust in artificial intelligence” przeprowadzone kilka miesięcy temu przez KPMG w Australii wykazało, że 61% ludzi nieufnie podchodzi do systemów technicznych opartych na sztucznej inteligencji, a tylko połowa uważa, że korzyści płynące z AI przewyższają ryzyko.
Ponadto 55% liderów technologicznych twierdzi, że ich postępy w automatyzacji są opóźnione z powodu obaw o sposób podejmowania decyzji przez narzędzia oparte na sztucznej inteligencji.
Powszechne i nieuregulowane wykorzystanie tej technologii budzi też pytania o jej wpływ na prawa człowieka i prywatność. Algorytmy są nieprzewidywalne, złożone i trudne do wyjaśnienia. Biorąc pod uwagę ich zastrzeżony charakter brakuje im przejrzystości, a wyniki generowane przez AI powstają w oparciu o przetwarzanie na dużą skalę danych z Internetu, zwiększając ryzyko wycieku poufnych danych i naruszenia prawnie chronionych danych osobowych.
Aby firmy mogły maksymalnie wykorzystywać potencjał sztucznej inteligencji, potrzebują być na bieżąco z informacjami na temat wpływu AI na prywatność i bezpieczeństwo danych.
Czytaj także: GenAI w banku
EU AI Act – ochrona prywatności użytkowników sztucznej inteligencji
Unia Europejska podejmuje pierwszą na świecie próbę ustanowienia przepisów, które mogą okazać się najbardziej surowymi regulacjami dotyczącymi ochrony prywatności użytkowników AI. Rada, Parlament i Komisja Europejska zaproponowały ustawę o sztucznej inteligencji (EU AI Act).
Dokument opiera się na przepisach dotyczących prywatności zawartych w ogólnym rozporządzeniu o ochronie danych osobowych (RODO), które obejmują zasady dotyczące otwartości, uczciwości, algorytmicznego podejmowania decyzji i godności ludzkiej.
Już w 2019 roku OECD, opierając się na tych zasadach, stworzyła podstawy zarządzania godną zaufania sztuczną inteligencją, które stanowią, że systemy sztucznej inteligencji powinny być niezawodne i bezpieczne przez cały cykl życia. Ustawa EU AI Act dodatkowo wzmacnia te zasady nakazując, aby sztuczna inteligencja spełniała wspomniane warunki pod względem prawnym, etycznym i technicznym, przy jednoczesnym poszanowaniu wartości demokratycznych, praw człowieka i praworządności.
– Wiele z zasad OECD dotyczących sztucznej inteligencji można przyporządkować do zasad ochrony prywatności w kontekście ochrony danych osobowych i rozszerzyć na zasady privacy by design, czyli uwzględnienie bezpieczeństwa danych osobowych już w fazie projektowania rozwiązania.
Przyjęcie tego podejścia może wzmocnić poczucie pewności klientów, organów regulacyjnych i innych zainteresowanych stron o wiarygodności sztucznej inteligencji oraz zminimalizować wszelkie negatywne skutki wynikające z jej funkcjonowania. Privacy by design może pomóc organizacjom w budowaniu prywatności w systemach AI.
Dla prawidłowego wykorzystania sztucznej inteligencji niezbędna jest ocena wpływu na ochronę prywatności i kwestie zgodności już na etapie tworzenia pomysłu, a następnie przez cały cykl jego życia – poprzez Privacy Impact Assessment (PIA) lub Data Protection Impact Assessment (DPIA) – mówi Michał Kurek, partner, szef Zespołu Cyberbezpieczeństwa w KPMG w Polsce i Europie Środkowo-Wschodniej.
Czytaj także: IT@BANK 2023: jak ograniczyć ryzyka towarzyszące wprowadzaniu AI?
AI musi funkcjonować zgodnie z istniejącymi standardami
Ustawodawcy, niezależne organy regulacyjne i inni decydenci konsekwentnie podkreślają konieczność dostosowania systemów sztucznej inteligencji do uznanych standardów. Dlatego istotne jest, aby zidentyfikować ramy regulacyjne mające zastosowanie w konkretnej branży i organizacji oraz zaplanować sposób wdrożenia sztucznej inteligencji.
Niezbędne jest stworzenie punktu odniesienia dla wykorzystania AI, który spełnia różne standardy i odpowiednie usprawnienie rozwoju zarówno niej samej, jak i związanych z nią działań biznesowych.
– Bezpieczeństwo danych może być związane zarówno z opracowywaniem wewnętrznych rozwiązań AI, jak i z korzystaniem z publicznych modeli, trenowanych na ogólnodostępnych danych.
Istotna jest kontrola zgodności tych modeli z najnowszymi standardami, przepisami i najlepszymi praktykami.
Wymóg ten dotyczy nie tylko dostawców, ale też klientów, którzy mogą prosić deweloperów o dokumentację dotyczącą oceny ryzyka prywatności – mówi Łukasz Dylewski, dyrektor, Data Science & AI Leader w KPMG w Polsce.
