Wyzwania ochrony danych osobowych w tworzeniu sztucznej inteligencji

  • 24.10.2019

  • Autor: Ksawery Gołębiowski

  • Analizy

Rozwój nowych gałęzi technologicznych stawia nieznane wcześniej wyzwania, za którymi próbuje nadążyć prawo, a to nie zawsze jest łatwe, co więcej – nie zawsze jest wykonalne. Jednym z najciekawszych tego przykładów jest tworzenie systemów sztucznej inteligencji (AI), których celem jest permanentny rozwój własny. Wykorzystują one do tego różnego rodzaju dane, w tym również dane osobowe.

Na tę kwestię zwrócił ostatnio uwagę brytyjski organ ochrony danych osobowych – Information Commissioner’s Office (ICO). Wydany przez niego poradnik wskazuje na najważniejsze kwestie łączące systemy sztucznej inteligencji z prawem ochrony danych osobowych, a także jest próbą znalezienia odpowiedzi na pytanie: jak bezpiecznie i zgodnie z prawem łączyć te dwa, czasami sprzeczne ze sobą zagadnienia?

Mówiąc ściśle, poradnik ICO wskazuje na potrzebę minimalizacji danych oraz techniki ochrony prywatności przy tworzeniu lub wprowadzaniu do użytku w swojej działalności systemów AI. Brytyjski organ podkreśla, że pierwszą sprzecznością pomiędzy tworzeniem systemów sztucznej inteligencji, a prawem ochrony danych osobowych, jest zakres zbieranych danych. Jak wskazuje organ, systemy AI potrzebują ogromnych ilości danych dla właściwego działania i rozwoju, podczas gdy w RODO zostały sformułowane zasady adekwatności oraz minimalizacji zakresu przetwarzanych danych. W związku z tym, już na samym początku przed administratorami danych stawiane są niełatwe wymagania, bowiem to po ich stronie leży wykazanie niezbędności określonego zakresu danych. Wypełnienie wskazanych powyżej zasad musi być dostosowane do konkretnego przypadku, jednak twórcy sztucznej inteligencji mogą skorzystać z pewnych znanych technik przy opracowywaniu swoich systemów.

Brytyjski organ w swoim poradniku skupił się przede wszystkim na systemach uczenia maszynowego, jako najczęściej stosowanego w działaniu sztucznej inteligencji. Osoby odpowiedzialne w organizacjach za zarządzanie ryzykiem i zgodność systemów AI powinny być świadome istnienia takich technik i być w stanie wspólnie z działami informatycznymi wprowadzać właściwe rozwiązania. Domyślne podejście badaczy danych w projektowaniu i budowaniu systemów sztucznej inteligencji niekoniecznie uwzględnia ograniczenia związane z minimalizacją danych. Organizacje muszą zatem wdrożyć właściwe praktyki zarządzania ryzykiem, aby zapewnić, że już w fazie projektowania, wymogi minimalizacji danych i wszystkie odpowiednie techniki minimalizacji zostaną w pełni uwzględniane.

Kolejnym problemem jest właściwe określenie celu przetwarzania danych. Podstawowym bowiem zadaniem AI jest rozwój i ulepszanie się, dla adekwatnego działania zaplanowanego przez twórcę. Funkcje sztucznej inteligencji i uczenia maszynowego mogą powodować, że przetwarzanie danych osobowych odbywa się na różne sposoby i jest wykorzystywane także do innych celów niż te, do których rozwiązania zostały pierwotnie zaprogramowane. Może to spowodować całkowitą utratę kontroli nad danymi osobowymi.

Dodatkowo utrudnione może się również okazać przeprowadzanie kontroli i audytów. Stopień skomplikowania niektórych algorytmów, będących budulcami rozwiązań AI, wymagać będzie przeprowadzania badań z udziałem kompetentnych osób. Twórcy sztucznej inteligencji będą mieć także potrzebę utrzymania swojego know-how i tajemnic handlowych, co może utrudniać powszechnie przyjętą praktyką okresowych kontroli działania systemów.

 

Wprowadzenie RODO i usystematyzowanie prawa ochrony danych osobowych z całą pewnością nie było wymierzone w twórców sztucznej inteligencji i nie powstrzymało ich pracy w tworzeniu rozwiązań IT. Nałożone zostały na nich jednak dodatkowe obowiązki, których wykonanie stanowi wyjątkowe utrudnienie w tym obszarze działalności.

 

Autor

Ksawery Gołębiowski

Doświadczenie w zakresie prawa ochrony danych osobowych oraz wdrażania RODO nabywał w jednej z wiodących warszawskich kancelarii prawnych. Brał udział w projektach dostosowania organizacji do RODO, realizowanych dla klientów wielu branż, między innymi bankowej oraz ubezpieczeniowej.