2024. augusztus 1-én hatályba lépett az EU Mesterséges Intelligencia Rendelete (AI Act), és elkezdődött a felkészülés az új jogszabálynak való megfelelésre. Az előkészületek során az egyik leggyakrabban felmerülő kérdés, hogy az AI Act követelményei mellett a GDPR milyen konkrét elvárásokat támaszt az AI-rendszerek adatvédelmi megfelelőségével kapcsolatban.
A belga adatvédelmi hatóság (Autorité de protection des données / Gegevensbeschermingsautoriteit) nemrégiben „Mesterséges Intelligencia Rendszerek és a GDPR” címmel kifejezetten az AI rendszerek fejlesztésére és telepítésére vonatkozó iránymutatást tett közzé, amely több hasznos gyakorlati példát is tartalmaz, elsősorban a banki, a biztosítási és az egészségügyi szektorból.[1] Az alábbiakban ismertetjük a legfontosabbakat, hogy segítséget nyújtsunk abban, hogy az AI Act-nek való megfelelés során milyen szempontokat érdemes megvizsgálni és dokumentálni a GDPR-ral való összhang érdekében. A példák alapján érdemes lehet átnézni az adatkezelésekkel kapcsolatos belső nyilvántartásokat és külső adatkezelési tájékoztatókat, a bevezetett adatbiztonsági intézkedéseket, valamint az érintetti kérelmek és az adatvédelmi incidensek kezelésére szolgáló belső eljárásokat.
Az iránymutatás elérhető francia francia nyelven ITT és angol nyelven ITT.
1. Hogyan lehet pontosan meghatározni az AI-rendszerek körét?
Az AI Act pontos definíciót tartalmaz az „AI-rendszerekre”: “gépi alapú rendszer, amelyet különböző autonómiaszinteken történő működésre terveztek, és amely a bevezetését követően alkalmazkodóképességet tanúsíthat, és amely a kapott bemenetből – explicit vagy implicit célok érdekében – kikövetkezteti, miként generáljon olyan kimeneteket, mint például előrejelzéseket, tartalmakat, ajánlásokat vagy döntéseket, amelyek befolyásolhatják a fizikai vagy a virtuális környezetet”.
A definíció elméletibb megfogalmazása és a hatósági gyakorlat hiánya miatt az AI Act-nek való megfelelésre készülő szervezetek számára sokszor nehézséget okoz rendszereik pontos kategorizálása. A hatóság iránymutatása az alábbi értelmezési szempontok meghatározásával igyekszik segítséget nyújtani:
- AI-rendszer például egy adatok elemzésére, mintázatok azonosítására és ennek a tudásnak a felhasználásával döntések vagy előrejelzések meghozatalára tervezett számítógépes rendszer.
- Az AI-rendszer képes lehet tanulni az adatokból, idővel alkalmazkodóképességet tanúsíthat, és ennek a tanulási képességnek a felhasználásával javíthatja teljesítményét, különböző adatkészletek között összetett mintázatokat azonosíthat, valamint pontosabb vagy árnyaltabb döntéseket hozhat.
A fenti két szemponton túl a hatóság iránymutatása négy konkrét AI-rendszer példáján keresztül mutatja be, milyen szempontok alapján érdemes vizsgálni és dokumentálni az egyes rendszerek működését:
- Spamszűrők: elemzik az e-mailek tartalmát, spamre utaló mintázatokat azonosítanak, és eldöntik, hogy az e-mailek spamek-e, vagy sem. A felhasználói visszajelzések alapján az AI-rendszer képes tanulni és javítani a szűrési pontosságát.
- Ajánlórendszerek: elemzik a felhasználók tartalomfogyasztási szokásait, mintázatokat azonosítanak a hasonló profilú felhasználók preferenciáiban, és eldöntik, milyen további tartalmakat ajánlanak.
- Virtuális asszisztensek: elemzik a felhasználói kéréseket, mintázatokat azonosítanak a beszédben a kérések megértése céljából, és eldöntik, hogyan reagáljanak a felhasználói kérésekre; adott esetben pedig alkalmazkodnak – a tanult felhasználói preferenciák szerint alakítják válaszaikat.
- Orvosi képalkotó rendszerek: elemzik a feltöltött digitalizált képeket (például röntgenfelvételek), rendellenességre utaló mintázatokat azonosítanak, és eldöntik, mik lehetnek a lehetséges problémás területek, segítve ezzel a pontosabb diagnózis felállításával összefüggő döntéshozatalt.
2. Hogyan lehet biztosítani a GDPR egyes alapelveinek való megfelelést?
A GDPR 5. cikkében meghatározott, a személyes adatok kezelésére vonatkozó elveknek való gyakorlati megfelelés dokumentálása az AI-rendszerek használata során is kulcsfontosságú. Ennek a gyakorlati megvalósítását a hatóság iránymutatása az alábbi példák segítségével szemlélteti:
- Célhoz kötött adatkezelés. A „célhoz kötöttség” alapelvével ellentétes lehet, ha egy bank természetes személyek hitelképességének értékeléséhez vagy hitelpontszámuk megállapításához használt AI-rendszere az ügyfélazonosítási adatok és a hitelminősítő információk mellett az érintett személy földrajzi helyadatait (például korábban felkeresett helyek) és közösségi média adatait (például barátok profiljai és érdeklődési körei) is felhasználja.
- Adatpontosság. A „pontosság” alapelvével ellentétes lehet, ha egy bank AI-rendszerének betanítása során használt adatok (például: jövedelem, hitelmúlt és irányítószám) olyan időszakból származnak, amikor egy magasabb átlagjövedelemmel bíró városrészben a természetes személyek könnyebben kaptak hitelt. Emiatt a historikus torzítás alapján az AI-rendszer egy alacsonyabb átlagjövedelemmel rendelkező városrészből érkező hitelkérelmeket a megfelelő pénzügyi mutatók ellenére esetleg elutasíthatja. Pontosabb tanítóadat-készletek használatával ez elkerülhető lehet.
- Tisztességes adatkezelés. A „jogszerűség, tisztességes eljárás és átláthatóság” alapelvének való megfelelés érdekében egy gépjármű-biztosítási díjak kiszámításához használt AI-rendszer működtetése során el kell kerülni az egyes személyek csoportjait hátrányosan érintő, elfogult eredményeket. A biztosítónak az adatforrások (például: irányítószám, nem, életkor) áttekintése során ezért azonosítania és csökkentenie kell a lehetséges torzításokat. Az AI-rendszer rendszeres tesztelése segíthet ebben – például, a gépjármű-biztosítási díjakat hasonló ügyfélprofilok esetében folyamatosan össze kell hasonlítani egymással, és azonosítani kell a szokatlan eltérések okát. Az AI-rendszer által hozott, jelentős hatású döntések esetén (például nagyobb díjemelés vagy szerződéskötési kérelem elutasítása) biztosítani kell az emberi felügyeletet.
- Elszámoltathatóság: Az „elszámoltathatóság” alapelvének való megfelelés során lényeges az AI-rendszerek tervezésének és megvalósításának egyértelmű dokumentálása, továbbá formális az AI-rendszer szokatlan működése, vagy meghibásodása esetére incidenskezelési folyamat kialakítása. A gépjármű-biztosítási díjak kiszámításához használt AI-rendszer bevezetését megelőzően az AI Act 27. cikke alapján alapvető jogi hatásvizsgálatot kell végezni, elsősorban a tisztességes és megkülönböztetés-mentes díjszámítás megvalósítása céljából.
3. Milyen adatbiztonsági intézkedéseket kell alkalmazni az AI-rendszerek működése során?
A GDPR 32. cikkében meghatározott technikai és szervezési adatbiztonsági intézkedések AI-rendszerek használata során történő alkalmazását a hatóság iránymutatása egy tüdőrák diagnosztizálására használt, egészségügyi adatokat kezelő nagy kockázatú AI-rendszer példáján keresztül szemlélteti. Egy ilyen AI-rendszer esetében egy adatvédelmi incidens vagy hibás (pontatlan vagy téves adatokon alapuló) kimenet súlyos következményekkel járhat a páciensek egészségére nézve – az adatbiztonsági kockázatok csökkentése érdekében ezért fontos a páciens adatainak titkosítása, a hozzáférés és az adatok módosításának szigorú szabályozása, a rendszer biztonsági gyengeségeit feltáró penetrációs tesztelés, valamint a gyanús tevékenységek nyomonkövetését és kivizsgálását segítő naplózás.
Specifikus intézkedéseket kell tenni a tanítóadat-készletek védelmére:
- Az adatok figyelemmel kísérése segít a tanítóadat-készletekben előforduló esetleges torzítások vagy manipulációk (például a röntgenképek hibás címkézése) eredetének azonosításában.
- Elengedhetetlen a tanítóadat-készletekben előforduló, rosszindulatú beavatkozásra utaló szokatlan mintázatok (anomáliák – például hirtelen megjelenő, szokatlan tulajdonságokkal rendelkező röntgenképek) azonosítása és megjelölése.
- Szükséges továbbá a nagy kockázatú adatpontok emberi ellenőrzése: például egészségügyi szakemberek bevonása az AI-rendszer betanítására használt kritikus (szokatlan jellemzőket mutató vagy a diagnózist jelentősen befolyásoló) röntgenképek felülvizsgálata során.
4. Hogyan biztosíthatók az érintettek adatvédelmi jogai az AI-rendszerek működése során?
Az AI-rendszerek működése által érintett személyeknek a GDPR III. fejezetében meghatározott adatvédelmi jogai érvényesülését a hatóság iránymutatása az alábbi két példával szemlélteti:
- Az érintett hozzáférési joga. Egy gépjármű-biztosítási díjak kiszámításához használt AI-rendszer működésével kapcsolatban az ügyfél jogosult információt kérni a díj számításának módjával kapcsolatban. Válaszában a biztosító el kell magyarázza, milyen adatokat kezel az AI-rendszer működése során (például éves futásteljesítmény, baleseti előzmények, a gépjármű munkavégzési célú használata), és ügyfélbarát formában (például vizuális elemeket vagy gyakori kérdéseket és válaszokat tartalmazó) tájékoztatást kell adjon az AI-rendszer által végzett számítási folyamatról.
- A helyesbítéshez való jog. A kockázatértékeléshez és az árképzéshez való használatra szánt AI-rendszerek használata esetén a gépjármű biztosítók online portálon, mobilalkalmazáson keresztül, vagy dedikált telefonvonalon keresztül kell, hogy biztosítsák ügyfeleik számára a biztosítási díjak kiszámításához használt adataik ellenőrzését, illetve frissítését. Ezen túlmenően, az adott biztosító az ügyfélprofilokban jelenítsen meg figyelmeztetéseket a hiányzó vagy esetleg pontatlan adatpontokra vonatkozóan, az adatfrissítésekkel kapcsolatban pedig maga is proaktívan keresse fel ügyfeleit.