The AI apocalypse is coming: GDPR, AI Act and the challenges of ethical AI

This press release is available in Hungarian.

Közeleg az AI apokalipszis: GDPR, AI Act és az etikus mesterséges intelligencia kihívásai

Nem csitul a mesterséges intelligencia (AI) körüli hype és gőzerővel készül a témát érintően az Európai Unió szabályozása, az AI Act, amely várhatóan az év végével kerül elfogadásra, további kétéves átmeneti időtartamot biztosítva a felkészülésre. Mielőtt azonban megnyugodva dőlnénk hátra a kényelmesnek tűnő átmeneti időszak hallatán, számos teendő és jogi kötelezettség már a mai napon is fennáll az AI technológiák használata kapcsán – akár AI fejlesztőként, akár egy AI rendszert a saját szolgáltatásainkba integráló cégként, vagy pusztán egy AI alapú alkalmazást munkahelyi környezetben használó cégként kerülünk kapcsolatba a témával – hívja fel a figyelmet Dr. Kopasz János, a Taylor Wessing nemzetközi ügyvédi iroda adatvédelmi szakértője.

Ha röviden össze akarnánk foglalni, akkor a jelenlegi teendőink egyik fő okozója a szigorú elszámoltathatósági kötelezettségeiről már jól ismert GDPR (általános adatvédelmi rendelet). Minél nagyobb, reprezentatívabb tanulóadatbázison nevelkedett az AI-alapú szoftverünk, annál kiegyensúlyozottabb és pontosabb működés várható használata során. Az AI-technológiáknak ezért egyik legmeghatározóbb jellegzetessége a fejlesztésük során felmerülő óriási adatéhség, amely alapján napjainkban új kontextusban állíthatjuk: az adat az új olaj. És ahol az adat „megjelenik”, ott gyakorlatilag a GDPR is elkerülhetetlen. Mert bár tény, hogy a GDPR hatálya csak a személyes adatokra vonatkozik, de köszönhetően a tág definíciójának, jobban tesszük, ha alapvetésnek tekintjük: a GDPR szabályait alkalmaznunk kell valamennyi esetben, ahol adatot kezelünk, és ez a kötelezettség hatványozottan terhel minket a már most alkalmazott AI alapú alkalmazásaink kapcsán is. Ez az a pont, ahol az AI és a „big data” technológiák egyszerre jelentenek cégünk innovatív motorjához nélkülözhetetlen „olajat”, de egyúttal a jogszerűtlen működés kockázatának „gyújtólángját” is, ha az AI alkalmazásunk adattisztasága körül anomáliák merülnének fel. És ilyen adatvédelmi anomáliákkal számolnunk kell; gondoljunk csak mindjárt a GDPR korlátozott adattárolhatóságának elve és az AI technológiák adatéhsége közötti ellentmondásra. További kapcsolódó kockázat például, ha – akaratlanul is, de – a tisztességes adatkezelésbe ütköző diszkriminatív, előítéletes AI alkalmazások használatába kezdünk. Hiszen, ha a tanuló adatbázis adatai tartalmaztak ilyen negatív sémákat, akkor a mesterséges intelligencia is csak ezen tőlük örökölt negatív mintákat fogja tudni működése során reprodukálni.

Példákkal megvilágítva, ha egy állásajánlatokat előszűrő AI-alkalmazás olyan valós adatokon tanult, amelyből kitűnik, hogy egy adott pozíciónál a férfiakat részesítették előnyben a nőkkel szemben, akkor a tanulóadatokban meglévő ezen diszkriminációt a rendszer is le fogja képezni. Gond lehet a szintén GDPR alapelv, pontosság követelménye kapcsán is, például, ha éppen reálisnak tűnő, de tényszerűen hibás válaszokat „hallucinál” a rendszerünk, de akkor is, ha például egy amerikai betegek adatain trénelt egészségügyi AI-app pontatlan eredményeket generál az európai felhasználók vonatkozásában, tekintve, hogy a tanulóadatbázis nem volt kellően reprezentatív ahhoz, hogy a földrajzi különbségekből adódó élettani eltéréseket kezelje. Gond lehet továbbá az átláthatósági követelményekkel is, hiszen a rendszer működését illetően beállhat egy pont, az úgynevezett black-box effect, amikor már nehezen magyarázható, hogy pontosan miként is hozta meg az adott döntést az algoritmus. Számos kihívás nehezedik így mind az AI fejlesztőkre, mind a fejlesztéseiket a saját alkalmazásukba integráló cégek vállára, hogy a GDPR szigorú követelményei és az AI technológiai jellegzetességei között a szükséges harmóniát kialakítsák – összegzi dr. Kopasz János adatvédelmi szakértő.

Amennyiben mindez nem lenne elegendő, ezen szigorú követelmények mellé kapcsolódik majd további szabályhalmazként az említett AI Act., amely, alapvetően különböző kockázati osztályokba fogja sorolni az AI rendszereket, és ezekhez mérten szab meg különböző kötelezettségeket. Első csoportként megkülönböztetünk egyenesen tiltott AI rendszereket, mint például a szubliminális, azaz a tudat alattinkra ható rendszereket, vagy a Kínából már ismert társadalmi pontozást, vagy valós idejű biometrikus megfigyelést lehetővé tevő AI-rendszereket.

A következő kockázati csoportot a nagy kockázatú AI-rendszerek képezik, amelyekre a legszélesebb kötelezettségek hárulnak majd, a kockázatértékelési rendszer kialakításától a CE jelölés és tanúsítás teljes folyamatáig. Ezen rendszerek pontos körét a rendelet melléklete tartalmazza majd, ide sorolva például az álláspályázatok vagy az orvostechnikai eszközök kapcsán alkalmazott AI-alkalmazásokat is, megannyi más eset mellett. Az alacsony kockázatú rendszerek esetében a legenyhébb, és leginkább az átláthatósági követelményekkel kell számolni; például egyértelmű tájékoztatást szükséges nyújtani arról, ha adott esetben valóságosnak tűnő, de valójában manipulált tartalmat látunk („deepfake”), vagy ha éppen egy chatbottal beszélünk. 
A megfelelés ösztönzésére a GDPR szerinti éves árbevétel 4%-áig terjedő bírság mellett, itt már az éves árbevétel 6 %-ig terjedő birságfenyegetettséggel operál az EU-s rendelet. Ezen büntetési tétel, hasonlóan a GDPR-hoz, közvetlenül alkalmazandó lesz valamennyi EU tagállamban, sőt azon túl is, hiszen extraterritoriális hatállyal az EU-n kívüli szolgáltatókra is ki fog terjedni, ha az AI-rendszer által előállított kimenetet az Európai Unióban használják fel. És ezek csak néhány példának hozott szempontok, nem érintve a szerzői jogi, titokvédelmi és egyéb compliance kérdések tömkelegét – hívja fel a figyelmet a sokrétű birságfenyegetettségre dr. Kopasz János ügyvéd.

Ennek megfelelően a jogi megfelelés – és egyúttal a súlyos bírságok elkerülésének – egyetlen lehetséges módja, ha az említett anomáliákat kiküszöbölő etikus AI rendszereket fejlesztünk és használunk. Ennek megvalósításához pedig a megoldást a GDPR-ból már jól ismert beépített adatvédelem („privacy by design”) elvéből kiinduló (azaz, amikor már a rendszer tervezése folyamatába közvetlenül beépítjük az adatvédelmi előírásokat és azokat elősegítve kerül sor a teljes kiépítésre) „compliance by design”, azaz általánosan digitális megfelelés képezheti a működtetéséhez szükséges irányítási keretrendszerekkel együtt. Mindez a cégen belül támogatást, egy dedikált felelőst („champion”-t), és szoros együttműködést kíván a tervezői csoporttól kezdve valamennyi érintett osztály képviselőjéig. Ez kétségtelenül egy új vállalatvezetési szemlélet kialakításával jár, de ez az ár, amelyet fizetnünk kell, ha jogszerűen és etikusan szeretnénk használni ezeket az innovatív és transzformatív megoldásokat. Ezekkel szembe állítva ugyanakkor, gondoljunk csak bele, hogy a tételes bírságok mellett, mekkora reputációs és fogyasztói bizalomvesztést eredményez, ha például cégünknél megfelelő szabályozás nélkül használják a chatGPT-t, ami már számos piacvezető cég botrányát eredményezte, amikor dolgozóik átgondolatlanul üzleti titkokat szivárogtattak ki a chatGPT „jóhiszemű” használatával. Vagy például, ha olyan Amerikából vásárolt AI technológiát implementálunk hazai szolgáltatásunkba, amely esetében nem végeztük el megfelelően a fejlesztő és a termék auditját (due diligence), és utóbb kiderül, hogy nincs minden rendben az alkalmazott tanulóadatbázis adatvédelmi jogalapjaival. Vagy ha nem gondolunk arra, hogy a felhasználók által rendszerünkbe bevitt adatok rendszerünk továbbfejlesztéséhez való felhasználása másodlagos adatkezelésként további megfelelő jogalapot fog kívánni.

Belátható, hogy ezen digitális korban jogi megfelelésre nem kerülhet másképp sor, mint a napi megfelelés palettájára felvenni a „digitális compliance” új területét, folyamatokat, szabályzatokat, eljárásrendeket kialakítva. Mindez pedig eredményesen csak és kizárólag valós dedikáció, tréning, belső és külső auditok megvalósításával vezethet eredményes működéshez, egy élő irányítási keretrendszert megvalósítva, amely nem látszat „lepapírozásokat” és a fiókban porosodó szabályzatokat kíván, hanem napi szintű, valós és értő alkalmazást. A mesterséges intelligencia tehát már itt van, elkerülhetetlenül használjuk céges mindennapjainkban is, élő szabályozás a GDPR alapján már most van, további részletes szabályozással a láthatáron az AI Act vonatkozásában, így cégvezetőként nincs mire várni: fel kell venni a teendők listájára a digitális megfeleléssel összefüggő helyzetünk áttekintését. – zárja gondolatait dr. Kopasz János ügyvéd.