Штучний інтелект сам по собі може не становити загрози фундаментальним правам, але без своєчасного та адекватного регуляторного реагування він може стати фактором системного ризику. Тому дотримання Загального регламенту Європейського Союзу про захист даних (GDPR), його оновлення відповідно до Закону про штучний інтелект (ШІ) та активна участь у регіональних та європейських ініціативах є єдиним сталим шляхом до збереження прав громадян та довіри в цифровому суспільстві.
Про це, серед іншого, він розповів «Вісті»: Мухамед Гьокай з Агентства із захисту персональних даних та вільного доступу до інформації (AZLP), також колишній президент Ради Агентства та один із кандидатів на посаду судді Конституційного Суду.
GDPR – це найважливіший регуляторний інструмент Європейського Союзу (ЄС) у сфері захисту персональних даних.
Його прийняття, пояснює Гьокай, стало поворотним моментом у способах обробки, захисту та моніторингу персональних даних. Однак, додає він, швидкий розвиток штучного інтелекту, особливо систем, заснованих на машинному навчанні та генеративних моделях, ставить під серйозні питання щодо здатності GDPR адекватно реагувати на сучасні технологічні виклики.
«Хоча GDPR залишається міцною нормативною основою, очевидно, що він не був розроблений для реагування на складність та динаміку сучасних систем штучного інтелекту», – каже він.
GDPR, додає Гьокай, був задуманий у контексті відносно передбачуваних та статичних систем обробки даних, в яких були чітко визначені мета обробки, правова основа, метод обробки даних, прозорість та відповідальні особи, тобто контролери даних та користувачі.
Натомість, за його словами, сучасні системи штучного інтелекту функціонують завдяки безперервному навчанню, обробці великих та різнорідних наборів даних і статистичному висновку, що часто не є повністю прозорим навіть для їхніх творців.
«Така різниця в концептуальному підході призводить до нормативного розриву між існуючою правовою базою та технологічною реальністю», – сказав Гьокай.
За його словами, особливим викликом є автоматична обробка даних, що використовується в автоматизованих системах прийняття рішень.
«Хоча GDPR забезпечує захист фізичних осіб від виключно автоматизованих рішень, які породжують правові або аналогічно значущі наслідки, це положення не охоплює широкий спектр сучасних практик штучного інтелекту, які навіть без формальної юридичної сили мають глибокий вплив на права, можливості та соціальне становище фізичних осіб, особливо втручаючись у їхнє приватне життя через різні способи обробки даних за допомогою профілювання особистості», – каже співрозмовник «Вісті».
Алгоритмічне профілювання, ранжування, рекомендації та прогнозний аналіз, додає Гьокай, дедалі більше формують підхід у суспільному житті з боку компаній, які використовують сучасні інструменти у сфері зайнятості, освіти, фінансових та інших послуг та інформації.
«Це ще більше розмиває межу між наслідками та формальними юридичними рішеннями, або, радше, залишається нечіткою», – сказав Гьокай.
Одне з найчутливіших питань, додає він, стосується обробки персональних даних з метою навчання систем штучного інтелекту.
Він пояснює, що GDPR базується на принципах законності, обмеження цілей, мінімізації даних та обмеження часу зберігання, тоді як штучний інтелект вимагає величезних обсягів даних, численних і часто вторинних цілей обробки, а також довгострокового використання інформації, яка залишається вбудованою в самі моделі.
«На практиці все частіше використовуються так звані синтетичні дані, які генеруються алгоритмічно на основі реальних наборів даних. Хоча синтетичні дані формально представлені як безпечніша альтернатива, сучасні алгоритми дозволяють їм у певних випадках збігатися або високо корелювати з реальними персональними даними, що створює реальний ризик непрямої ідентифікації та порушення особистих прав», – сказав Гьокай.
Такі ситуації, за його словами, ще раз підтверджують, що традиційні концепції анонімізації та псевдонімізації стають недостатніми в епоху розвиненого штучного інтелекту.
«Чорногорія ще не прийняла новий Закон про захист персональних даних, який би повністю відповідав GDPR, що ще більше ускладнює реагування на сучасні виклики у сфері захисту даних, особливо в ситуації, коли штучний інтелект все частіше використовується в державному та приватному секторах», – сказав Гьокай.
Немає обмежень щодо даних.
Необхідність гармонізації національного законодавства, за його словами, стосується не лише формального прийняття стандартів GDPR, а й їх оновлення відповідно до новітніх технологічних розробок.
«Особливо в сфері обробки даних з метою навчання систем штучного інтелекту та управління ризиками, що виникають з цього. Транскордонний характер обробки даних додає додаткової складності цьому питанню», – сказав співрозмовник «Вісті».
Як ілюстративний приклад він наводить використання персональних даних із соціальної мережі Facebook громадян Західних Балкан з метою навчання систем штучного інтелекту.
«Така практика чітко демонструє, що захист персональних даних більше не може бути виключно національним питанням», – сказав він.
У цьому сенсі, додає Гьокай, ініціатива AZLP є значною, в рамках якої було ініційовано створення робочої групи для спільних дій з Агентством із захисту персональних даних Боснії та Герцеговини, Уповноваженим з питань інформації суспільного значення та захисту персональних даних Республіки Сербія та Агентством із захисту персональних даних Північної Македонії.
«Метою цього регіонального підходу є зміцнення інституційної співпраці та захист прав громадян, чиї персональні дані підлягають посиленій обробці в контексті розвитку та застосування штучного інтелекту», – сказав Гьокай.
Приймайте закони якомога швидше
Співрозмовник «Вістей» додає, що ЄС усвідомлює обмеження існуючої нормативно-правової бази, тому, ухваливши Закон про штучний інтелект, розпочав процес нормативного оновлення та гармонізації, спрямований на встановлення балансу між технологічним розвитком та захистом основних прав, тобто захистом персональних даних громадян.
Однак, за словами Гьокая, Закон про штучний інтелект не замінює GDPR, а радше доповнює його, і запроваджує підхід, що ґрунтується на оцінці ризиків, суворі зобов'язання для систем штучного інтелекту з високим рівнем ризику та заборону на певні неприйнятні практики.
«Ця регуляторна модель чітко вказує напрямок, у якому повинні рухатися країни-кандидати на членство в ЄС, включаючи Чорногорію», – сказав він.
У зв'язку з цим, додає він, необхідно терміново прийняти новий закон про захист персональних даних, який буде повністю відповідати GDPR, посилити можливості наглядового органу та приділити особливу увагу обов'язковим оцінкам впливу на захист даних для систем штучного інтелекту, запровадити постійний моніторинг систем високого ризику, які обробляють персональні дані, а також посилити регіональну та міжнародну співпрацю у сфері захисту даних.
«Як член робочої групи з розробки Закону про захист персональних даних відповідно до GDPR та робочої групи з розробки Закону про захист персональних даних, що обробляються компетентними органами, я вважаю, що вкрай важливо, щоб ці закони були прийняті якомога швидше», – сказав Гьокай.
Водночас, додає він, необхідно розглянути питання інтеграції конкретних нормативних елементів, пов’язаних зі штучним інтелектом, щоб своєчасно адаптувати національну правову базу до сучасних технологічних реалій та регуляторних тенденцій у ЄС.
«Майбутнє захисту персональних даних у Чорногорії, як і в ширшому європейському просторі, залежатиме від здатності правової системи розвиватися паралельно з технологіями», – каже співрозмовник «Вісті».
Бонусне відео:
