menu
Blog

Procjene učinka zaštite podataka susreću AI: Pitanja za izgradnju usklađenih AI sustava koji koriste osobne podatke

Procjene učinka zaštite podataka susreću AI: Pitanja za izgradnju usklađenih AI sustava koji koriste osobne podatke

Dok tehnološki svijet nastavlja raspravljati o budućnosti regulacije umjetne inteligencije, važno je za shvatiti da već postoje čvrsti pravni režimi koji utječu na razvoj i pokretanje sustava umjetne inteligencije, uključujući Opću uredbu o zaštiti podataka (“GDPR”). Sustavi umjetne inteligencije koji spadaju u područje primjene GDPR-a moraju biti u skladu s njezinim zahtjevima – uključujući zahtjev za provođenjem i dokumentiranjem procjena učinka na zaštitu podataka (“DPIA”). Budući da će mnogi sustavi umjetne inteligencije koristiti osobne podatke u nekom trenutku, DPIA su stoga od najveće važnosti za organizacije koje koriste umjetnu inteligenciju.

DPIA-e procjenjuju rizike koje aktivnost obrade predstavlja za pojedince (ispitanici u smislu GDPR-a) i mjere koje su poduzele organizacije za ublažavanje tih rizika. U praksi je ova analiza više od pukog zadatka usklađivanja – ona ključnim timovima pruža priliku za suradnju i na kraju rezultira etičnijim i robusnijim sustavima umjetne inteligencije.

Međutim, izrada nacrta DPIA-a za sustave umjetne inteligencije izazovan je zadatak zbog složenosti tehnologije i razvojnog regulatornog okruženja. Nadalje, dobro sastavljen DPIA zahtijevat će uključivanje različitih timova (uključujući tehničke timove, timove za rizik i usklađenost i pravne timove) koji će morati blisko surađivati ​​kako bi identificirali i ublažili jedinstvene rizike povezane sa sustavom.

S obzirom na ove složenosti, ne postoji skup pitanja koje treba postaviti prilikom analize AI sustava. Međutim, postoje neka ključna koja se uvijek iznova pojavljuju. Postavljanje takvih pitanja može pomoći u pokretanju praktičnih razgovora s operativnim timovima o najvažnijim pitanjima koja se javljaju kada se svijet zaštite podataka ukrsti sa sustavima umjetne inteligencije.

Jeste li identificirali svoju svrhu i je li obrada osobnih podataka u tu svrhu zakonita?

Svaki DPIA mora jasno navesti svrhu obrade i zakonsku osnovu na koju se odgovorna strana (voditelj obrade prema GDPR-u) oslanja za obradu osobnih podataka. Na kraju krajeva, iako upotreba umjetne inteligencije nije protuzakonita prema GDPR-u, umjetna inteligencija se koristila u nezakonite svrhe i bez odgovarajuće zakonske osnove. Trebalo bi također uspostaviti mjere kako bi se osiguralo da se sustav umjetne inteligencije koristi samo u tu svrhu, a ne u druge nepovezane svrhe (tzv.  “creep funkcija “).

Dok je svrha sustava umjetne inteligencije komercijalno/operativno pitanje na koje je potrebno odgovoriti, pravnu osnovu za obradu osobnih podataka također treba razmotriti iz pravne perspektive. I važno je imati na umu da zakonska osnova može varirati ovisno o fazi životnog ciklusa umjetne inteligencije. Na primjer, korištenje osobnih podataka za obuku modela vjerojatno će se obrađivati ​​na temelju legitimnih interesa voditelja obrade ili treće strane. Suprotno tome, pravna osnova za korištenje razvijenog sustava umjetne inteligencije može biti za potpuno druge legitimne interese ili može biti moguća alternativna osnova. Bez obzira koja se zakonska osnova primjenjuje, važno je da su zahtjevi u potpunosti ispunjeni prije nastavka obrade bilo kojih osobnih podataka.

Jeste li osigurali da je vaša upotreba osobnih podataka u sustavu umjetne inteligencije nužna i razmjerna svrsi?

U svijetu usklađenosti sa zaštitom podataka, samo zato što ‘možete’ ne znači ‘trebali biste’. U kontekstu sustava umjetne inteligencije to je relevantno pri odabiru skupa podataka za obuku. Za tehničke timove može postojati iskušenje da prikupe i koriste sve što je dostupno za obuku modela, ali kada su uključeni osobni podaci, važno je pridržavati se zahtjeva za minimiziranjem podataka. Ovaj zahtjev uključuje samo korištenje osobnih podataka koji su primjereni, relevantni i potrebni za postizanje svrhe.

Dobar način implementacije ovog načela u praksi je tražiti od operativnih timova da identificiraju koji su atributi podataka apsolutno potrebni za sustav umjetne inteligencije u najranijim fazama životnog ciklusa. Daljnji atributi mogu se dodati tamo gdje se može bolje pokazati da je atribut bio neophodan (na primjer, kako bi se smanjila lažno pozitivna stopa ili ublažilo identificirano područje pristranosti). Osim toga, tijekom faze obuke mogli biste razmisliti trebate li uopće osobne podatke – mogu li anonimni ili sintetički podaci biti dovoljni do kasnije faze u životnom ciklusu umjetne inteligencije?

Možete li objasniti logiku koja stoji iza sposobnosti donošenja odluka vaših AI sustava?

Koncept ‘objašnjive umjetne inteligencije’ (tj. one koju ljudi mogu razumjeti) godinama je igrao ključnu ulogu u raspravama o etičkim sustavima umjetne inteligencije. Suprotno tome, algoritmi strojnog učenja koji koriste sofisticirane neuronske mreže koje su ljudima nerazumljive često se nazivaju ‘crnim kutijama’ za obradu podataka. Osim što predstavlja etičku zagonetku, ovo može predstavljati pravni izazov. Kontrolori sustava umjetne inteligencije moraju ostati transparentni u pogledu svojih aktivnosti obrade podataka, ispuniti zahtjeve pogođenih pojedinaca o pravima i upravljati mogućim štetnim posljedicama koje proizlaze iz rezultata njihovih sustava umjetne inteligencije – postizanje ovih zahtjeva je izazovno kada ne možete jasno objasniti kako je umjetna inteligencija došla do svojih zaključaka.

Osim osiguravanja transparentne upotrebe umjetne inteligencije ispitanicima, također biste trebali biti u mogućnosti pružiti neke značajne informacije o logici uključenoj u sustav umjetne inteligencije i identificirati potencijalne posljedice za one na koje utječe njegov učinak. Možete li primijeniti tehničke mjere ‘objašnjivosti’ za svoj AI sustav (na primjer, ugradnja procesa automatskog bilježenja dok AI sustav radi)?

Gdje god je to moguće, sustave umjetne inteligencije treba koristiti u partnerstvu s ljudima koji razumiju širi kontekst aktivnosti obrade. Ako će vaš sustav umjetne inteligencije koristiti drugi, možete razmisliti o objavljivanju uputa za upotrebu kako bi ispitanik mogao protumačiti output i koristiti ga na odgovarajući način (bilo kao dio općeg ljudskog nadzora ili kao dio žalbenog postupka).

Jeste li kritički identificirali i ublažili rizik od pristranosti?

Do sada je dobro poznato da se društvena pristranost odražava u stvarnim podacima. Čak i uz najbolju namjeru (slijedeći cilj ‘AI za dobro’), ako niste kritički razmotrili svoje podatke o obuci, mogli biste završiti sa sustavom umjetne inteligencije koji replicira inherentne pristranosti. Isti se izazov odnosi na modele koji nastavljaju učiti iz output-a koji se kasnije koriste kao input za daljnje operacije. Pristrani sustav umjetne inteligencije neće ispuniti načelo ‘poštenosti’ navedeno u GDPR-u.

Tehnički timovi trebali bi kritički analizirati svoj unos u kontekstu predviđene svrhe za sustav umjetne inteligencije. Ova bi analiza trebala uključivati ​​provjeru jesu li ti podaci reprezentativni, bez pogrešaka i iskoristiti sve prilike za izbjegavanje pristranosti. Razmotriti mogu li se tehnike provjere valjanosti podataka primijeniti za osporavanje rezultata i kritički pregledati rezultate testa. Važno je da bi tehnički timovi trebali imati prostora za prilagodbu, dopunu i testiranje sustava umjetne inteligencije bez pritiska za pokretanjem dok ne budu uvjereni da je svaki rizik od pristranosti dovoljno smanjen.

Nakon što sustav umjetne inteligencije počne raditi, trebali biste razmisliti o postavljanju redovitih revizija za provjeru pristranosti. Osim toga, preporučuje se i implementacija drugih sigurnosnih značajki koje korisniku omogućuju zaustavljanje AI sustava i istraživanje u slučaju pitanja o pristranosti.

Kako ste osigurali točnost svog AI sustava?

Sustavi umjetne inteligencije ne mogu biti točni u 100% slučajeva. Za to često postoje logični tehnički razlozi (na primjer rizik od prekomjernog opremanja), ali tehnički timovi trebaju aktivno tražiti prilike za smanjenje stope lažno pozitivnih/lažno negativnih rezultata gdje god je to moguće. Trebali biste razgovarati o ovom procesu s tehničkim timovima, razumjeti vjerojatnost i potencijalni utjecaj pogrešaka i identificirati koje su mjere za ublažavanje potrebne kako biste izbjegli značajne rizike.

Organizacijske mjere također mogu pomoći u zaštiti prava pojedinaca, na primjer, određivanjem metrike točnosti sustava umjetne inteligencije i dijeljenjem toga s korisnicima sustava kako bi mogli razmotriti rezultate u kontekstu.

Jeste li identificirali i ublažili bilo koju ranjivost svog AI sustava?

Sustavi umjetne inteligencije nisu nepogrešivi i ranjivi su na protivničke tehnike onih koji ih žele napasti. Pružatelji sustava umjetne inteligencije koji koriste osobne podatke trebali bi identificirati te ranjivosti i uvesti mjere za ublažavanje ili, idealno, potpuno sprječavanje tih rizika. Vjerojatnost i učinak takvih ranjivosti ovise o svrsi i kontekstu sustava umjetne inteligencije, a vaši bi timovi trebali identificirati i raspraviti sve takve ranjivosti te pokušati implementirati odgovarajuća rješenja za njihovo rješavanje. Na primjer, postojanje tehničkih rješenja redundantnosti (uključujući sigurnosne kopije i planove za sigurnost od kvara) koja se mogu pozvati u slučaju kritične situacije ili provedba mjera za sprječavanje i kontrolu napada (kao što su suparnički unosi).

Završni komentari:

Postavljanje ovih ključnih pitanja pomoći će vašem timu da dešifrira neke od najznačajnijih problema pri kombiniranju umjetne inteligencije s osobnim podacima. I, što je jednako važno, dokumentiranje ovih tema u vašem DPIA-u od samog početka životnog ciklusa vaše umjetne inteligencije osigurat će vam bolju poziciju za rješavanje upita i zaštitu ugleda vaše tvrtke.

AI i osobni podaci se međusobno ne isključuju – mogu se koristiti zajedno na način koji ispunjava regulatorne zahtjeve. Vidimo da europski regulatori za zaštitu podataka prepoznaju vrijednost koju sustavi umjetne inteligencije imaju za organizacije izvlačenjem obrazaca i učenjem iz podataka, ali su također izrazili zabrinutost u vezi povezanih rizika. Europski odbor za zaštitu podataka počinje izdavati smjernice o određenim područjima obrade umjetne inteligencije (posljednje za korištenje tehnologije prepoznavanja lica u provedbi zakona – trenutačno u fazi konzultacija). Osim toga, brojna regulatorna tijela izdala su detaljne alate i mišljenja o zakonitoj upotrebi AI sustava za obradu osobnih podataka (na primjer, Ujedinjeno Kraljevstvo, Nizozemska, Italija i španjolski regulatori). Kako se približavamo regulaciji umjetne inteligencije, očekujemo da će sve biti jasnije i puno više provedbe u ovom području.

Ostale

Novosti

Pridružite se našoj email listi

Prvi saznajte za promjene i nova mišljenja nadzornih tijela i inspekcije, čitajte o presudama Suda EU i nacionalnih sudova, drugim novostima i primjerima iz prakse te uživajte u specijalnim ponudama namijenjenim samo našim pretplatnicima.