Dirbtinio intelekto reglamentas ir BDAR: įgimta trintis?

Nors Europoje dirbtinio intelekto (DI) reglamentas įsigalios tik birželį, jau seniai nerimaujama, kad jis stabdys technologijų vystymąsi senajame žemyne. Kritikos jis sulaukia dar ir dėl to, kad yra įžvelgiama potencialių prieštaravimų su bendruoju duomenų apsaugos reglamentu (BDAR). Iš kur atsiranda ši trintis ir ar ji pagrįsta?

BDAR ir DI reglamentą vienija esminis komponentas – tai asmens duomenys. BDAR reguliuoja asmens duomenų panaudojimą, nes šis teisės aktas yra paremtas privatumo, kaip esminės žmogaus teisės ir vertybės, gynyba ir apsauga. Ir nors DI reglamente kertiniu aspektu laikoma pati technologija, duomenys ir čia yra ne mažiau svarbūs. Kodėl? Todėl, kad be jų neįmanoma apmokyti DI atkartoti žmogišką elgesį.

Duomenų apsaugos iššūkiai

BDAR turi labai aiškų asmens duomenų apibrėžimą – tai yra informacija, kuri tiesiogiai arba netiesiogiai identifikuoja asmenį. Tuo tarpu, DI reglamente atsiranda nauja sąvoka – sintetiniai duomenys. Tai tokie išvestiniai duomenys, kurie buvo sukurti DI, apmokyto naudojant realius asmens duomenis. Pagal BDAR apibrėžimą tokie duomenys neturėtų būti laikomi asmens duomenimis, tačiau praktika rodo priešingai.

Jau yra pasitaikę atvejų, kai sintetiniai arba pusiau sintetiniai duomenys leido re-identifikaciją ir juos panaudojus buvo įvykdyti sukčiavimo nusikaltimai finansų įstaigose. Vienas tokių – asmuo iš finansinės įmonės paėmė kreditą ir tik tada, kai jis nebuvo grąžintas laiku, buvo išsiaiškina, jog kredito gavimui panaudota re-identifikuoti sintetiniai duomenys. Taip atsitiko todėl, kad pagal išvesties parametrus buvo galima numanyti, kokie realūs duomenys buvo panaudoti apmokyti algoritmą. Deja, bet finansinės įstaigos algoritmai šio sukčiavimo atvejo neidentifikavo.

DI entuziastai neslepia, kad duomenų saugumas kuriant DI paremtus produktus yra nemažas iššūkis. Tačiau kartu pabrėžia ir tai, kad jau yra atsiradusios technologijos, kurios padeda saugumo ir privatumo rizikas sumažinti. Pavyzdžiui, „duomenų triukšmo“ atveju į duomenų imtį, kuri apmoko DI, yra įdedami kontroliuojami papildomi duomenys, kurie neiškreipia matuojamų parametrų, tačiau incidento atveju neleidžia arba stipriai trukto identifikuoti konkretų asmenį. Taip pat gana nauja „Federacinio mokymosi“ (angl. „Federated learning“) technologija, kurios esmė, kad keli skirtingi kūrėjai DI modeliams apmokyti naudoja savo vietinius duomenų rinkinius ir vėliau dalį išvesties rezultatų sudeda į vieną bendrą modelį. Tai leidžia pasiekti gerus DI išvesties rezultatus, nors ir be konkrečių duomenų pasidalinimo.

Mažiau yra saugiau?

Viena ryškiausių priešpriešų tarp dviejų teisės aktų – duomenų kiekis. Minimizavimo ir tikslo ribojimo principai yra vieni iš kertinių BDAR principų, akcentuojančių, kad duomenų reikia rinkti tik tiek, kiek yra būtina. Tai yra svarbu norint užtikrinti, kad į žmogaus privatumą būtų skverbiamasi, o duomenų nutekėjimo atveju žalos būtų padaryta kuo mažiau.

Dirbtinis intelektas, kaip technologija, priešingai, yra paremta itin didelių duomenų kiekių naudojimu algoritmų apmokymui. Tik didelių kiekių duomenų naudojimas gali užtikrinti, kad DI pateiks teisingus ir, svarbiausia, nešališkus išvestinius atsakymus. Tad, šiuo klausimu atsirandanti takoskyra kelia klausimus, kaip šie du prieštaringi interesai gali sugyventi tarpusavyje.

Nepaisant tokios, atrodytų iš anksto nulemtos trinties, argumentų, kad duomenų minimizavimo principas neprieštarauja DI tikslams yra pakankamai. Pirmiausia, reikia pasakyti, kad BDAR minimizavimo principas nedraudžia rinkti duomenų, taip pat nesako ir to, kad jeigu tvarkysi jų daug, automatiškai pažeisi teisės aktą. Šio principo esmė yra netvarkyti daugiau duomenų negu reikia. Tačiau, kaip nustatyti, kokio kiekio duomenų reikia ir kas būtų adekvati duomenų aibė – kitas svarbus klausimas, kuris yra fakto dalykas ir kiekvieno DI produkto kūrimo atveju turi būti vertinamas atskirai.

Įprastai DI kūrėjų mąstymas yra paremtas požiūriu: kuo daugiau duomenų – tuo geriau. Tačiau, organizacijos, kurios nori kurti DI tuo pačiu laikydamosi ir BDAR minimizavimo pricipo privalo užtikrinti, kad šis požiūris būtų pažabotas ir jau produkto kūrimo etape būtų identifikuojama, kokių tiksliai duomenų ir kiek jų reikia, kad būtų gaunamas statistiškai patikimas atsakymas (išvestis). Pavyzdžiui, galbūt vertinant finansines rizikas nėra būtina demografinė informacija. Taip pat ir įsigyjant produktą, kurio veikimas paremtas DI technologija – reikia domėtis, kaip jis buvo sukurtas, ar buvo laikomasi minimizavimo principo.

Asmenų sutikimai – DI galvos skausmas

Naudojant realius asmens duomenis DI apmokymui reikia turėti teisinį pagrindą, kuris dažnu atveju gali būti viršesnis įmonės interesas. Tačiau tais atvejais, kai DI algoritmo apmokymui turės būti panaudoti sveikatos, lytinės orientacijos, politinių pažiūrų, biometriniai, priklausymo profesinei sąjungai ir kiti ypatingi duomenys, bus reikalingas asmenų sutikimas. Turint omenyje didelius kiekius duomenų, kurie reikalingi DI apmokyti, pareiga gauti visų algoritmo apmokyme dalyvaujančių asmenų sutikimus, atrodo kaip sunkiai įgyvendinama misija.

Tad DI vystytojai turės spręsti šią problemą, kuri ypač išryškėja, kai yra kuriamos DI sistemos, skirtos sveikatos arba civilinės saugos sritims. Čia reikalingi tikri istoriniai sveikatos, genetiniai ar biometriniai duomenys. Kol kas sutikimo gavimo problema būdavo sprendžiama stengiantis nuasmeninti apmokymui naudojamus duomenis, tačiau tai ne visada įmanoma.

Tiesa, svarbu paminėti, kad teisinio pagrindo problemos gali ir nebūti jeigu bus naudojami valstybės turimi ištekliai: Registrų centro, meteorologinė ar kita informacija iš valstybės ir savivaldybių resursų. Tą užtikrina 2019 metų Atvirų duomenų direktyva.

Teisių gynimas skiriasi

Tiek BDAR, tiek DI reglamentas yra pirmieji rimti bandymai pasaulyje atitinkamai reguliuoti asmens duomenų panaudojimą ir DI technologijas. Abu teisės aktai įgyvendina į žmogų orientuotą požiūrį, tačiau šių aktų teisių gynimas labai skiriasi.

BDAR kiekvienam žmogui, kurio duomenys yra tvarkomi, suteikia aiškias teises ir galimybę jas pačiam tiesiogiai ginti remiantis šiuo reglamentu. Tačiau DI reglamentas jokių teisių žmogui nesuteikia. Naudojant DI, žmogaus teisės yra ginamos remiantis produktų saugos mechanizmu. Tai reiškia, jog naudotojų teisėmis, saugumu ir interesais rūpinasi priežiūros institucijos, kurios užtikrina, kad produktas, pateikiamas į rinką, yra saugus ir tinkamas naudoti pagal paskirtį.

DI aktas stabdys DI plėtrą?

Jau tapo įprasta, kad kalbant apie bet kokį technologijų reguliavimą kyla pasipiktinimo banga, jog tai stabdys pačios technologijos ir kartu visos ES ekonomikos vystymąsi. BDAR veikimo pradžioje buvo analogiškų nuogąstavimų, kad didieji JAV paslaugų tiekėjai kaip „Meta“, „Microsoft“, „Twitter“, „Amazon“ pasitrauks iš Europos. Buvo kalbama, kad duomenų naudojimo apribojimai sukels nesaugumą darbo rinkoje, padidins sukčiavimo atvejus finansų sistemoje ir, kad praktikoje neįmanoma pasiekti BDAR tikslų.

Vis tik, nepaisant kritikos, BDAR per šešis metus įrodė priešingai, kad jokios pažangos jis nestabdo, kaip tik priešingai, tapo savo srities flagmanu, pagal kurį daugelis kitų pasaulio valstybių sukūrė savo analogiškus duomenų saugos įstatymus. Nors Europos Sąjunga nėra laikoma dirbtinio intelekto lydere, tikėtina, kad ir DI reglamentas pakartos BDAR sėkmę ir taps vartotojų saugumo ir interesų apsaugos pavyzdžiu visam pasauliui.