-
Отвъд Общият регламент за защита на личните данни: ефекта на мозайката при използването на изкуствения интелект
Системите за изкуствен интелект и тяхното приложение е гореща тема в почти всички сфери на модерния свят – технологиите са около нас и чрез изкуствения интелект те преминават на съществено ново ниво, което създава необходимост от анализиране на ефектите и последиците от използването му.
Европа и Европейския съюз като водещи фактори при формиране на политики и правила за регулиране на обществените отношения спрямо актуалните тенденции, дадоха ясен сигнал, че системите за изкуствен интелект (ИИ) и използването им следва да се регулират не само бързо, но и ефективно.
Скорошни проучвания сред търговски предприятия по света показват, че всеки три от четири компании очакват системите за изкуствен интелект да подпомогнат дейността им, но все още забраняват използването им, поне докато технологичните решения не бъдат регулирани не само на договорно ниво (чрез общи условия, политики и договори), но и на нормативно равнище.
Целеният ефект при регулацията на тези отношения всъщност не е ограничаване на системите за изкуствен интелект, а изпозлването на технологични решения, които отговарят на законовите изисквания, така че организациите да могат да използват силата на ИИ без да компроментират сигурността и поверителността на данните и обществените отношения.
В крайъгълен камък при развитието на този процес от юридическа гледна точка се превърна Решението на Съда на ЕС от 04.07.2023 г. по дело C-252/21 [1] (Решението на Съда на ЕС от 04.07.2023 г.), което също е обект на различни анализи и дискусии. Цитираното съдебно решение оказа съществено влияние на тристранните преговори между ЕК, Съвета и Парламента в процеса на финализиране на Закона за изкуствения интелект като постави и очаквана времева рамка – да бъде приет преди изборите за Парламент през 2024 г.[2]
Обект на решението са досегашните практики относно рекламите на Мета и други подобни платформи, но всъщност съдържащите се в него изводи достигат доста по-далеч. С решението се пояснява, че Общият регламент за защита на данните (GDPR и/или Регламента) въвежда минимални изисквания относно използването на данни, които сами по себе си са задължителни от една страна, а от друга създават необходимост от обосноваване на различни правни основания за законосъобразно обработване на лични данни от ЕС. Така изводите на решението се използваха като фундамент за преговарящите в тристранния диалог, предоставяйки критичните съображения, които формират гръбнака на основания на риска подход на Закона за изкуствения интелект на ЕС.
Предвижда се Законът за изкуствения интелект на ЕС (Закона за ИИ) да се превърне в международен стандарт в сферата на регулирането на ИИ, залагайки именно на подход, основан на риска като задълженията за всяка система ще са пропорционални на едно от четирите нива на риск:
- Системи с нисък риск
- Системи с ограничен или минмален риск
- Системи с висок риск – при които се оказва значимо влияние върху потребителите. В тази категория са включени осем типа системи, за които се въвеждат строги задължения и ще подлежат на оценки за съответствие, преди да бъдат допускани на пазара на ЕС;
- Системи с неприемлив риск – няма да бъде разрешено изпозлването/ продажбата на такива системи в ЕС.
Какво представлява „ефектът на мозайката“ и как той би засегнал вашата компания?
Очаква се, че чрез въвеждането на подобна регулация ще се предви възможността за използване на адекватни технологични и изпълними мерки, с които да се ограничат рисковете при обработването на данни от ИИ. Това е така, тъй като тук основният фокус е върху количеството обработвани данни и присъщата способност на ИИ да намира връзки в тези данни. Тази способност на ИИ при обработването на данни е т. нар. от редица експерти „ефект на мозайката“. Той се проявява когато множество набори от данни се комбинират за идентифициране на лица в тези набори от данни, дори ако те са били анонимизирани във всеки отделен набор. Именно чрез възможностите на ИИ рискът от незаконна и неоторизирана повторна идентификация чрез сливане на различни набори от данни, които, когато се комбинират от всички почти неограничени източници на данни (вкл. разпознаване на образи), уникално идентифицират дадено лице, дори ако нито един набор от данни не съдържа лична информация, е новото предизвикателство, което до този момент не попада в регулацията на GDPR.
В Решението на Съда на ЕС от 04.07.2023 г. е обсъден ефектът на мозайката и потенциалните последици от него, които могат да се превърнат в реалност за всяка компания. Изведени са следните изводи:
- Дори да се приеме, че субектът на данни е дал законно сългасието си за обработване на данни (въз основа на изискванията на GDPR), то няма как да се приеме, че същото е информирано съгласие в достатъчна степен.
- Твърде вероятно е субектът да не разбира напълно степента на потенциалните възможности за използване на ИИ, тъй като много от тях може дори да не са известни към момента на събиране на данните, тъй като технологията не престава да се развива.
- В повечето случи предвиденото като основание за обработка с ИИ – изпълнение на договорно задължение, няма да изпълнява също изискванията на Регламента, поради съществуващи други възможности за изпълнение на задължението, при които обработването на данни да бъде сведено до минимум и без използването на ИИ.
Ето защо, се приема, че когато съгласието и/ или изпълението на договорно задължение е вероятно да не бъдат достатъчни законни основания за обработване на данни, остава легитимния интерес като възможност, предвидена в Регламента. Именно легитимният интерес се очаква да бъде алтернативата за организциите и компаниите, които извършват обрботване на данни чрез ИИ (съгласно изискванията на Закона за ИИ на ЕС). Предвижда се в тази посока да се формира бъдещето на ИИ и сигурността на данните в ЕС, а и по света.
Какви са очакваните следващи стъпки?
Следвайки логиката на анализа на Решението на Съда на ЕС от 04.07.2023 г., могат да се очертят два основни вероятни сценарии, при които една система ще може да се определи като такава с нисък риск според Закона за ИИ:
А) Система, при която обработването на данни в действителност е анонимизирано по най-строгите изисквания на Регламента. Това би бил сигурен начин за ограничаване на ефекта на мозайката и избягване на неоторизираната реиндентификация.
Б) Система при която обработването на данни се извършва въз основа на легитимен интерес, в случай, че легитимният интерес е като основание за обработване на данни, при което:
- Администраторът да информира субекта на данни за легитимния си интерес като администратор или като трета страна към момента на получаване на данните;
- Обработва се най-малко идентифицируемата, технологично изпълнима, „минимизирана“ версия на данните, за да се ограничи обработването по начин, гарантиращ защита на основните права на субектите на данни и да се гарантира, че обработването е адекватно, уместно и ограничено до това, което е необходимо;
- Администраторът въвежда подлежащи на поверка и доказуемо ефективни мерки за минимизиране използването на данни. Разкриването на информация за тези мерки и тяхното въздействие върху субектите на данни следва да е адекватно, за да се постигне превес на интресите на субектите пред легитинмия интерес на администратора и/ или третата страна.
Предложенията по-горе са само база за последващи анализи и изготвяне на правила и процедури за действие от компаниите, изпозлващи системи с ИИ, след окончателното регулиране на отношенията съгласно действащо ново законодателство в тази сфера в ЕС.
Материалът има информативен характер и не следва да бъде тълкуван като правен съвет. Екипът на АДД Мургова и партньори разполага с изключитлено подготвени специалисти в сферата на защита на личните данни и правното съотвествие, които с интерес следят развитието на темата и се грижат да подсигурят правните интереси на клиентите ни в съотвествие с изиксванията на нормативната регулация на ниво ЕС. При въпроси и нужда от съдействие може да се свържете с АДД Мургова и партньори чрез www.murgova.com
Статията е публикувана и в Колонката на Мургова и партньори в сайта на списание „твоят БИЗНЕС“.
[1] Judgment of the Court in Case C-252/21 | Meta Platforms and Others (General terms of use of a social network)
[2] Към датата на изготвяне на настоящия материал проекта на Закона за ИИ на ЕС е на етап „изчакващ позицията на Парламента на първо четене“.
1