Zapisz się do newslettera!

Chcesz być zawsze na bieżąco z tematyką bloga? Interesuje Cię praktyczna wiedza i jej źródła? Raz w miesiącu przesyłam informację o nowych wpisach z bloga oraz o praktycznych rozwiązaniach pojawiających się problemów. Żadnych obcych reklam.

Share this:

Wpływ RODO na sztuczną inteligencję – wnioski z badań Parlamentu Europejskiego

Parlament Europejski opublikował pod koniec czerwca br. wyniki badań przeprowadzonych na wniosek Zespołu ds. Przyszłości Nauki i Technologii (STOA) zarządzany przez Europejską Służbę ds. Badań Parlamentarnych (EPRS). Rezultatem przeprowadzonych badań jest raport zamykający się w ponad 100 stronach:

 

Click to access EPRS_STU(2020)641530_EN.pdf

a tutaj znajduje się jego krótkie podsumowanie.

Cele i wyzwania sztucznej inteligencji w zakresie RODO.

Autorzy badania stawiają pytania dotyczące tego jak zgodnie z neutralnie technologicznymi i ogólnymi przepisami RODO wykorzystać możliwości sztucznej inteligencji. Nie będę się skupiał na tym czym jest sztuczna inteligencja. W omawianym raporcie jest ona definiowana przez rodzaj maszyny, której zachowanie będzie podobne do ludzkiego np. w zakresie predykcji.

W swojej pracy wskazali oni cele (odpowiedzialność; techniczna wytrzymałość i bezpieczeństwo; zachowanie prywatności w kontekście danych rządowych; transparentność, różnorodność; brak dyskryminacji; rzetelność) i wyzwania (minimalizacja danych; limity przechowywania danych; specyficzny rodzaj zgody na przetwarzanie/wykorzystanie danych; informowanie, wytłumaczenie i przejrzystość; działania niedyskryminujące i rzetelne; specjalna ochrona danych wrażliwych; ograniczenie celu) sztucznej inteligencji dla RODO:

Warto tutaj wskazać, że w tekście RODO nie odnajdziemy odesłania do przetwarzania danych przez sztuczną inteligencję, co zdecydowanie utrudnia budowanie modeli służących do przetwarzania danych osobowych, a wykorzystujących sztuczną inteligencję. Za to Rozporządzenie 2018/1807 w sprawie ram swobodnego przepływu danych nieosobowych w UE w motywie 1 oraz 9 podkreśla, że takie dane powinny służyć do rozwijania sztucznej inteligencji.

Niebezpieczeństwa przetwarzania danych przez sztuczną inteligencję.

Autorzy badania wskazują, że jednym z głównych niebezpieczeństw wykorzystywania sztucznej inteligencji jest możliwość odwrócenia anonimizacji danych. Naukowcy podają przykład badania, które doprowadziło do poznania historii przeglądania stron internetowych 3 milionów obywateli Niemiec wraz z ujawnieniem danych dotyczących ich zdrowia i preferencji seksualnych. Wskazują także przykład, w którym Ministerstwo Zdrowia w Australii opublikowało dane, które uznało za wystarczająco zanonimizowane, jednak wykorzystanie podstawowych danych geograficznych oraz prosta analiza struktury opublikowanych danych pozwoliła na pełną identyfikację osób:

Więcej przykładów dotyczących fascynującej gałęzi nauki, jaką jest odwracanie anonimizacji (re-identifications), możesz znaleźć w moim wpisie na ten temat:

Jak niebezpieczne dla prywatności są „zanonimizowane” zbiory danych?

Sztuczna inteligencja w profilowaniu.

Dotykamy tutaj jednego z głównych celów zastosowania sztucznej inteligencji, a więc profilowania:

Jak widać autorzy badania słusznie wskazują, że sztuczna inteligencja i duże zbiory danych w połączeniu z dostępnością rozległych zasobów komputerowych ogromne zwiększyło możliwości profilowania. Sztuczna inteligencja ma zrobić to czego człowiek nie jest wstanie, a więc przewidzieć zachowanie drugie człowieka.

Efektem wnioskowania mogą być nowe informację na temat konkretnej osoby fizycznej. Naukowcy zastanawiają się w swojej pracy, czy wywnioskowane dane należy traktować jako dane osobowe tej konkretnej osoby. Podają przykład, w którym sztuczna inteligencja wywnioskuje na podstawie rysów twarzy osoby jej orientację seksualną. Jeżeli tak powstałe dane będą danymi osobowymi to ich przetwarzanie prowadzi w konsekwencji do zastosowania RODO, a co za tym idzie do np. poszukiwania podstawy prawnej przetwarzania takich danych, zasad przetwarzania, praw osób, których dane dotyczą.

Nie mając pewności czy same twierdzenia dotyczące osób fizycznych można uznać za dane osobowe badacze przygotowujący raport wskazują, że ETS w wyroku w połączonych sprawa C-141/12 i C-372/13 przyznał „kwalifikację” danych osobowych informacją przypisanym danej osobie przez funkcjonariusza migracyjnego, ale już nie zakwalifikował tak danych pośrednich służących do ostatecznego zaopiniowania wniosku o udzielenie zezwolenia na pobyt czasowy.

Podstawa prawna przetwarzania danych przy użyciu sztucznej inteligencji.

Autorzy badania zastanawiają się, czy oprócz takiej podstawy jak zgoda – co do której możliwości zastosowania nie ma wątpliwości, o ile administrator podała bardzo trudnemu zadaniu – musi w sposób przewidziany w motywie 43 RODO oraz art. 4 pkt 11 RODO opisać cele przetwarzani danych.

Ciekawie prezentuję się koncepcja wykorzystania podstawy przetwarzania danych osobowych jaką jest prawnie uzasadniony interes administratora. Naukowcy wskazują, że należy rozróżnić wykorzystanie danych osobowych niezbędnych do szkolenia/uczenia się modelu algorytmicznego i ich wykorzystanie jako danych wejściowych do danego modelu. W pierwszym przypadku, o ile przyjmowane są silne środki bezpieczeństwa – które zwykle powinny obejmować pseudonimizację danych oraz ich anonimizację natychmiast po ukończeniu modelu – wydaje się, że nie ma to znacznego wpływu na interesy osoby, której dane dotyczą. Jeżeli administrator dąży do interesu dozwolonego przez prawo (w tym do interesów ekonomicznych) wydaje się, że można spełnić standard określony w art. 6 ust. 1 lit. f RODO.

Sytuacja wygląda zupełnie inaczej, gdy dane osobowe są wykorzystywane w modelu algorytmicznym w celu wyciągnięcia wniosków dotyczących tych osób. Osoba, której dane dotyczą, powinna zostać poproszona o wyrażenie zgody i mieć możliwość jej wycofania.

Wnioski

  • RODO dostarcza bardzo ogólnych wskazówek w zakresie ochrony danych w odniesieniu do sztucznej inteligencji, co może prowadzić do niepewności u przedsiębiorców (administratorów danych), co do możliwości wykorzystania sztucznej inteligencji w swoich usługach;
  • RODO można tak interpretować, aby nie przeszkadzało w korzystaniu z rezultatów działania sztucznej inteligencji i nie stawia przedsiębiorców z UE w niekorzystnej sytuacji w porównaniu z konkurentami spoza UE;
  • Potrzebna jest szeroka debata, w której udział wezmą nie tylko władze UE, ale także osoby zainteresowane jak i środowisko akademickie. Należy w debacie dążyć do ustalenia standardów jakimi powinny odpowiadać rozwiązania wykorzystujące sztuczną inteligencję;
  • Krajowe organy nadzorcze oraz Europejska Rada Ochrony Danych powinny zapewnić administratorom wykorzystującym rozwiązania sztucznej inteligencji wskazówki dotyczące konkretnych postępowań związanych np. z realizacją praw osób, których dane dotyczą.
  • Podstawowe zasady ochrony danych takie jak ograniczenie celu i zasada minimalizacji danych powinny być tak interpretowane, aby nie wykluczały użycia danych osobowych do celów uczenia sztucznej inteligencji.
  • Treść obowiązku informacyjnego powinna w pewnych przypadkach zawierać informację na temat „logiki” systemu sztucznej inteligencji wraz z odpowiednimi przykładami.
  • Należy podjąć zdecydowane środki przeciwko firmom i organom publicznym, które to umyślnie nadużywają zaufania osób, których dane dotyczą i niewłaściwie wykorzystują ich dane osobowe poprzez przetwarzanie ich danych osobowych w aplikacje, które mogą manipulować lub wprowadzać w błąd osoby, których dane dotyczą.

 

Podsumowanie

Administratorzy zajmujący się przetwarzaniem danych osobowych poprzez wykorzystanie algorytmów matematycznych (sztucznej inteligencji) powinni przyjąć odpowiedzialne i zorientowane na ryzyko podejście. Biorąc jednak pod uwagę złożoność sprawy oraz obecne niejasności w interpretacji RODO, administratorzy nie powinni być pozostawieni sami sobą – tutaj potrzebna jest realna współpraca między krajowymi organami nadzorczymi, EROD czy także z EDPS.