2023. október 30-án Joe Biden kibocsátotta „A biztonságos és megbízható AI fejlesztéséről és használatáról” szóló elnöki rendeletét („Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence” – „Rendelet”). A Rendelet célja az AI-rendszerek biztonságának és megbízhatóságának garantálása, a potenciális kockázatok kezelése, az amerikaiak magánéletének tiszteletben tartása, a méltányosság, a polgári jogok, az innováció és a verseny előmozdítása, a fogyasztók és a munkavállalók védelme, valamint az USA globális vezető szerepének elősegítése. Két részes cikkünkben összefoglaljuk a Rendelet legfőbb előírásait, valamint összehasonlítjuk a szabályozás irányát az Európai Unió mesterséges intelligenciáról szóló rendelettervezetével („AI Act”).
Cikkünk első részében – mely ITT elérhető – már részleteztük a Rendelet egy pár fontos előírását. Alábbiakban pedig ezek mellett többek között a Rendelet és az EU AI Act közötti főbb eltérésekre is.
1. A magánélet védelmét szolgáló technológiák az AI fejlesztése során
A Rendelet felszólítja a Kongresszus képviselőit, hogy az amerikaiak magánéletének védelme érdekében fogadjanak el átfogó, szövetségi szintű adatvédelmi szabályozást. A Rendelet e körben több konkrét ajánlást is megfogalmaz a minisztériumok és szövetségi kormányzati ügynökségek számára, például hangsúlyozza a kriptográfiai megoldások és a „magánélet védelmét erősítő technológiák” („privacy–enhancing technology” vagy „privacy-preserving technology”) fejlesztése és alkalmazása felgyorsítását, amelyek lehetővé teszik az AI-rendszerek képzését az alapul szolgáló adatok magas szintű védelme mellett.
A „magánélet védelmét szolgáló technológia” az adatvédelmi kockázatok csökkentésére szolgáló szoftver- vagy hardvermegoldást, technikai folyamatot, technikát vagy egyéb technológiai eszközt jelent, többek között a kiszámíthatóság, kezelhetőség („manageability”), szétválaszthatóság („disassociability”), tárolás, biztonság és bizalmas jelleg fokozása révén.
A Rendelet szerint többek között ilyen technológiai eszközök:
- Biztonságos többszereplős számítás („secure multiparty computation”) – lehetővé teszi, hogy az előre meghatározott funkciók szerint két fél közösen különféle műveleteket végezzen egymás adathalmazain, anélkül, hogy a kimeneti adatokon kívül megismernék a másik fél konkrét adatait.
- Homomorfikus titkosítás („homomorphic encryption”) – lehetővé teszi, hogy titkosított adatokon közvetlenül és a titkosítás felfejtése nélkül lehessen adatkezelési műveleteket végrehajtani, és a titkosító kulcsok is az adatokat küldő félnél maradnak.
- Zéró-ismeret bizonyítás („zero-knowledge proofs”) – lényege, hogy egy meghatározott kérdést (pl. meghatározott személy nagykorú-e) nagy valószínűséggel igazoljon anélkül, hogy az igazolásához szükséges tényleges adatokat az igazolást kérő félnek meg kelljen ismernie.
- Federált tanulás („federated learning”) – a tanuló algoritmus egy lokális másolata minden, a tanulási rendszerben részt vevő eszközön megtalálható. Az algoritmus tanítása helyben, önállóan történik, anélkül, hogy a tanulóadatok megosztásra kerülnének egy központi szerverrel. A lokálisan tanított, egymástól eltérő algoritmusokat az AI rendszer fejlesztője konszolidálja központilag, és a rendszer szereplői számára elérhetővé teszi a tanuló algoritmus legfrissebb verzióját.
- Biztonságos enklávék („secure enclaves”) – a fizikai memória egy olyan védett régióját jelentik, amelyek elszigetelik a tárolt kódot és adatokat az operációs rendszertől.
- Differenciális adatvédelem („differential privacy”) – célja, hogy olyan eredmény álljon elő az egyes adatműveletek végrehajtását követően, amelyekből további adatösszekapcsolásokkal se lehessen az eredeti, azonosított vagy azonosítható személyre vonatkozó adatokat kinyerni.
- Szintetikus adatok generálására szolgáló eszközök („synthetic-data-generation tools”) – céljuk, hogy az eredeti adatokon, adathalmazon megfigyelhető mintázatok, rendszerszerűségek alapján az eredeti adatok jellemzői szerint véletlenszerű, de ugyanazon mintázatokkal és rendszerszerűségekkel bíró adatokat állítsanak elő.
2. A Rendelet végrehajtása
A Rendelet elsősorban a minisztériumokat és szövetségi ügynökségeket bízza meg azzal, hogy a hatáskörükbe tartozó területeken vizsgálják meg az AI alkalmazását (pl. igazságügy, fogyasztóvédelem, lakhatás stb.), és dolgozzák ki a részletszabályokat.
Ennek megfelelően
- A legfőbb ügyész („Attorney General”) legjobb gyakorlatokat dolgoz ki az AI-nak a büntető igazságszolgáltatási rendszer keretében történő felhasználása vonatkozásában (helyszínelés, rendfenntartás, ítélethozatal).
- Az Egészségügyi és Szociális Minisztérium („Department of Health and Human Services”) programot hoz létre az AI egészségügyi felhasználásával kapcsolatos kockázatok kezelésére, valamint támogatja az AI alapú megoldások eszközök terjesztését az oktatásban.
- A Munkaügyi Minisztérium („Department of Labor”) támogatja az AI-nak a munkaerőpiacra gyakorolt lehetséges hatásaival kapcsolatos kutatásokat, valamint jó gyakorlatokat dolgoz ki a munkahelyek átalakulása (munkaügyi előírások, munkahelyi egészségvédelem és biztonság, munkahelyi adatkezelés) vonatkozásában.
- A Mezőgazdasági Minisztérium („Department of Agriculture”) iránymutatást ad ki az állami, helyi, törzsi és területi állami juttatások kezelői számára az automatizált vagy algoritmikus rendszerek alkalmazásáról a juttatások nyújtása vagy a juttatási programok ügyféltámogatása során.
3. A Rendelet és az EU AI Act főbb eltérései
A Rendelet és az AI Act közötti fontosabb különbségek az alábbiak:
- Az AI Act-tel szemben a Rendelet nem tiltja a technológia legkockázatosabb felhasználási módjait.
- Az AI Act horizontális (szektoroktól és felhasználási helyzetektől független) szabályokat állapít meg, míg a Rendelet a minisztériumokra és szövetségi ügynökségekre bízza a részletszabályok kidolgozását. A szektorális megközelítés hatékonyságát ugyanakkor korlátozhatják az állami szervek meglévő hatáskörei és forrásai. Miközben a prioritások, az elvek és a legjobb gyakorlatok, a keretrendszerek és az iránymutatások elfogadása fontos részét képezhetik egy egységes szövetségi AI szabályozásnak, a Rendelet nagy része további szabályalkotást és egyéb közigazgatási intézkedéseket igényel, amelyek időigényesek, bírósági felülvizsgálat tárgyát képezik, és amelyeket egy következő kormányzat bármikor visszavonhat.
- A Rendelet továbbá nem írja elő a tanulási adatokra és a modell méretére vonatkozó részletek közzétételét, ami szükséges lehet a technológia megértéséhez és a lehetséges kockázatok előrejelzéséhez. Az AI Act ezzel szemben részletes szabályokat tartalmaz az adatkormányzásról, valamint arról, hogy a modellek adatokkal való tanítását magukban foglaló technikákat használó nagy kockázatú AI-rendszereket meghatározott minőségi kritériumoknak megfelelő tanulóadat-, érvényesítésiadat- és tesztadatkészletek alapján kell fejleszteni. A generatív AI megoldások fejlesztői a parlamenti szövegtervezet alapján pedig kötelesek lennének a szerzői jogra vonatkozó uniós vagy nemzeti jogszabályok sérelme nélkül dokumentálni és nyilvánosan hozzáférhetővé tenni a szerzői jog alapján védett tanulóadatok felhasználásának kellően részletes összefoglalóját.
- A Rendelet nem tartalmaz szankciókra vonatkozó előírásokat. Az AI Act ezzel szemben a figyelmeztetésen túl legfeljebb 40 000 000 EUR, illetve vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 7%-át kitevő összegű közigazgatási bírságot irányoz elő. A bírságon túl az AI Act részletes előírásokat tartalmaz a nemzeti felügyeleti hatóságok kijelölésére, a hatóságok közötti együttműködésre és közös vizsgálatokra, a hatóságokhoz történő panasztételhez való jogra, valamint a hatósággal szembeni bírósági jogorvoslathoz jogra vonatkozóan.
- A Rendelet kiemelkedő hangsúlyt fektet a „piros csapatos biztonsági tesztekre” mint az AI-rendszerek biztonságának és hibáinak felderítésére szolgáló jó gyakorlatra, ez azonban háttérbe szoríthat más szükséges AI-elszámoltathatósági mechanizmusokat. Ilyen például az algoritmikus hatásvizsgálat és a részvételen alapuló (a résztvevőket, az érintetteket, vagy a közösség tagjait a döntéshozatali folyamatokba bevonó) irányítás („participatory governance”).