BÉT logóÁrfolyamok: 15 perccel késleltetett adatok
digitális megfelelés

Mesterséges intelligencia forradalma: készen állunk a jogszabályi megfelelésre?

Nem csitul a mesterséges intelligencia (AI) körüli hype és gőzerővel készül a témát érintően – a világon elsőként – az Európai Unió szabályozása, az AI Act, amely várhatóan az év végével kerül majd elfogadásra, további kétéves átmeneti időtartamot biztosítva a felkészülésre. Mielőtt azonban megnyugodva dőlnénk hátra a kényelmesnek tűnő átmeneti időszak hallatán, számos teendő és jogi kötelezettség már a mai napon is fennáll az AI-technológiák használata kapcsán – akár AI-fejlesztőként, akár egy AI-rendszert a saját szolgáltatásainkba integráló cégként, vagy pusztán egy AI-alapú alkalmazást munkahelyi környezetben használó cégként kerülünk kapcsolatba a témával.
Szerző képe
Dr. Kopasz János, CIPP/E, CIPM
ügyvéd, a Taylor Wessing nemzetközi ügyvédi iroda adatvédelmi szakértője
2023.10.26., csütörtök 11:00

Ha röviden össze akarnánk foglalni, akkor a jelenlegi teendőink egyik fő okozója a szigorú elszámoltathatósági kötelezettségeiről már jól ismert GDPR (általános adatvédelmi rendelet). Ha részletesebben is szeretnénk megérteni, hogy miért is megkerülhetetlenek ezek az adatvédelmi kötelezettségek, és milyen megoldások kínálkoznak a közelgő AI Act árnyékában, akkor azonban már jóval összetettebb a kérdéskör.

AI
Fotó: Shutterstock

Magának a mesterséges intelligenciának a fogalma közel sem új keletű dolog, a tudományos életben már az 1950 években megjelent, és az olyan rekordfelhasználó számokat debütáló generatív, nagy nyelvi modellek (LLM) megjelenése előtt is, mint a chatGPT, amely alig 5 nap alatt elért 1 milliónyi felhasználójával minden idők leggyorsabban terjedő alkalmazássá vált, számos olyan szolgáltatást használtunk mindennapjaink során, ami a mesterséges intelligencia alkalmazásán alapul, a személyre szabott hirdetésektől, a mindennapokban használt internetes keresőmotorokig, az okosotthonoktól az okosautókig. Egységes és pontos definíciót nehéz lenne találni a fogalomra, de azt fontos észben tartani, hogy az AI-rendszerek kapcsán továbbra sem egy „öntudatra ébredt” szuperintelligenciáról beszélünk, sokkal inkább egy „egyszerű”, szoftveralapú megoldásról, amely kétségtelenül olyan funkciók betöltésére alkalmas, és olyan kimeneteket – például tartalmat, előrejelzéseket, ajánlásokat vagy döntéseket – képes generálni, amelyek korábban az emberi „természetes” intelligenciához és gondolkodáshoz voltak köthetőek. A napjainkban tapasztalt AI-áttörést egy újfajta algoritmus programozási mód, nevezetesen a gépi tanulás (machine learning) és ezen belül is a mélytanuló (deep-learning) rendszerek hozták meg. Leegyszerűsítve, az algoritmus sok-sok példán (ún. tanulóadatbázison) keresztül tanítva magától kezdni el felismerni az összefüggéseket a szolgáltatott tanulóadatokban, ezzel mintegy önmagát tanítva, modelleket képezve, szemben a hagyományos programozási módszertantól, ahol a programozónak előre, minden eshetőséget számba véve kell a programot megalkotnia. Ahhoz, hogy a mélytanuló neuronhálókon alapuló technológia elterjedhessen, alapvetően két dologra volt szükség: egyrészről a számítási feldolgozási kapacitások robbanásszerű növekedésére, amelyet a grafikus processzorok (GPU) hoztak el, másrészről óriási mennyiségű adatra, amelyet mi magunk generálunk azóta, hogy valamennyi társadalmi interakciónk és kereskedelmi tranzakciónk a digitális térbe költözött.

De hogyan is kapcsolódik mindezekhez a GDPR? Minél nagyobb, reprezentatívabb tanulóadatbázison nevelkedett az AI-alapú szoftverünk, annál kiegyensúlyozottabb és pontosabb működés várható használata során. 

Az AI-technológiáknak ezért egyik legmeghatározóbb jellegzetessége a fejlesztésük során felmerülő óriási adatéhség, amely alapján napjainkban új kontextusban állíthatjuk: az adat az új olaj.

És ahol az adat „megjelenik”, ott gyakorlatilag a GDPR is elkerülhetetlen. Mert bár tény, hogy a GDPR hatálya csak a személyes adatokra vonatkozik, de köszönhetően a tág definíciójának, jobban tesszük, ha alapvetésnek tekintjük: a GDPR szabályait alkalmaznunk kell valamennyi esetben, ahol adatot kezelünk, és ez a kötelezettség hatványozottan terhel minket a már most alkalmazott AI-alapú alkalmazásaink kapcsán is. Ez az a pont, ahol az AI- és a Big data-technológiák egyszerre jelentenek cégünk innovatív motorjához nélkülözhetetlen „olajat”, de egyúttal a jogszerűtlen működés kockázatának „gyújtólángját” is, ha az AI-alkalmazásunk adattisztasága körül anomáliák merülnének fel. És ilyen adatvédelmi anomáliákkal számolnunk kell; gondoljunk csak mindjárt a GDPR korlátozott adattárolhatóságának elve és az AI-technológiák adatéhsége közötti ellentmondásra. További kapcsolódó kockázat például, ha – akaratlanul is, de – a tisztességes adatkezelésbe ütköző diszkriminatív, előítéletes AI-alkalmazások használatába kezdünk. Hiszen, ha a tanuló adatbázis adatai tartalmaztak ilyen negatív sémákat, akkor a mesterséges intelligencia is csak ezen tőlük örökölt negatív mintákat fogja tudni működése során reprodukálni. Példákkal megvilágítva, ha egy állásajánlatokat előszűrő AI-alkalmazás olyan valós adatokon tanult, amelyből kitűnik, hogy egy adott pozíciónál a férfiakat részesítették előnyben a nőkkel szemben, akkor a tanulóadatokban meglévő ezen diszkriminációt a rendszer is le fogja képezni. Gond lehet a szintén GDPR-alapelv, pontosság követelménye kapcsán is, például ha éppen reálisnak tűnő, de tényszerűen hibás válaszokat „hallucinál” a rendszerünk, de akkor is, ha például egy amerikai betegek adatain trénelt egészségügyi AI-app pontatlan eredményeket generál az európai felhasználók vonatkozásában, tekintve, hogy a tanuló-adatbázis nem volt kellően reprezentatív ahhoz, hogy a földrajzi különbségekből adódó élettani eltéréseket kezelje. Gond lehet továbbá az átláthatósági követelményekkel is, hiszen a rendszer működését illetően beállhat egy pont, az úgynevezett black-box effect, amikor már nehezen magyarázható, hogy pontosan miként is hozta meg az adott döntést az algoritmus. Számos kihívás nehezedik így mind az AI-fejlesztőkre, mind a fejlesztéseiket a saját alkalmazásukba integráló cégek vállára, hogy a GDPR szigorú követelményei és az AI technológiai jellegzetességei között a szükséges harmóniát kialakítsák.

Amennyiben mindez nem lenne elegendő, ezen szigorú követelmények mellé kapcsolódik majd további szabályhalmazként az említett AI Act, amely alapvetően különböző kockázati osztályokba fogja sorolni az AI-rendszereket, és ezekhez mérten szab meg különböző kötelezettségeket.

Első csoportként megkülönböztetünk egyenesen tiltott AI-rendszereket, mint például a szubliminális, azaz a tudat alattinkra ható rendszereket, vagy a Kínából már ismert társadalmi pontozást, vagy valós idejű biometrikus megfigyelést lehetővé tevő AI-rendszereket. A következő kockázati csoportot a nagy kockázatú AI-rendszerek képezik, amelyekre a legszélesebb kötelezettségek hárulnak majd, a kockázatértékelési rendszer kialakításától a CE-jelölés és -tanúsítás teljes folyamatáig. Ezen rendszerek pontos körét a rendelet melléklete tartalmazza majd, idesorolva például az álláspályázatok vagy az orvostechnikai eszközök kapcsán alkalmazott AI-alkalmazásokat is, megannyi más eset mellett. Az alacsony kockázatú rendszerek esetében a legenyhébb, és leginkább az átláthatósági követelményekkel kell számolni; például egyértelmű tájékoztatást szükséges nyújtani arról, ha adott esetben valóságosnak tűnő, de valójában manipulált tartalmat látunk (deepfake), vagy ha éppen egy chatbottal beszélünk. 

A megfelelés ösztönzésére a GDPR szerinti éves árbevétel 4 százalékáig terjedő bírság mellett, itt már az éves árbevétel 6 százalékáig terjedő bírságfenyegetettséggel operál az EU-s rendelet. 

Ezen büntetési tétel, hasonlóan a GDPR-hoz, közvetlenül alkalmazandó lesz valamennyi EU-tagállamban, sőt azon túl is, hiszen extraterritoriális hatállyal az EU-n kívüli szolgáltatókra is ki fog terjedni, ha az AI-rendszer által előállított kimenetet az Európai Unióban használják fel. És ezek csak néhány példának hozott szempontok, nem érintve a szerzői jogi, titokvédelmi és egyéb compliance kérdések tömkelegét.

Ennek megfelelően a jogi megfelelés – és egyúttal a súlyos bírságok elkerülésének – egyetlen lehetséges módja, ha az említett anomáliákat kiküszöbölő etikus AI-rendszereket fejlesztünk és használunk.

Ennek megvalósításához pedig a megoldást a GDPR-ból már jól ismert beépített adatvédelem (privacy by design) elvéből kiinduló (azaz, amikor már a rendszer tervezése folyamatába közvetlenül beépítjük az adatvédelmi előírásokat és azokat elősegítve kerül sor a teljes kiépítésre) compliance by design, azaz általánosan digitális megfelelés képezheti a működtetéséhez szükséges irányítási keretrendszerekkel együtt. Mindez a cégen belül támogatást, egy dedikált felelőst (championt), és szoros együttműködést kíván a tervezői csoporttól kezdve valamennyi érintett osztály képviselőjéig. Ez kétségtelenül egy új vállalatvezetési szemlélet kialakításával jár, de ez az ár, amelyet fizetnünk kell, ha jogszerűen és etikusan szeretnénk használni ezeket az innovatív és transzformatív megoldásokat. Ezekkel szembeállítva ugyanakkor gondoljunk csak bele, hogy a tételes bírságok mellett, mekkora reputációs és fogyasztói bizalomvesztést eredményez, ha például cégünknél megfelelő szabályozás nélkül használják a chatGPT-t, ami már számos piacvezető cég botrányát eredményezte, amikor dolgozóik átgondolatlanul üzleti titkokat szivárogtattak ki a chatGPT „jóhiszemű” használatával. Vagy például, ha olyan Amerikából vásárolt AI-technológiát implementálunk hazai szolgáltatásunkba, amely esetében nem végeztük el megfelelően a fejlesztő és a termék auditját (due diligence), és utóbb kiderül, hogy nincs minden rendben az alkalmazott tanulóadatbázis adatvédelmi jogalapjaival. Vagy ha nem gondolunk arra, hogy a felhasználók által rendszerünkbe bevitt adatok rendszerünk továbbfejlesztéséhez való felhasználása másodlagos adatkezelésként további megfelelő jogalapot fog kívánni. 

Belátható, hogy ezen digitális korban jogi megfelelésre nem kerülhet másképp sor, mint a napi megfelelés palettájára felvenni a „digitális compliance” új területét, folyamatokat, szabályzatokat, eljárásrendeket kialakítva. 

Mindez pedig eredményesen csak és kizárólag valós dedikáció, tréning, belső és külső auditok megvalósításával vezethet eredményes működéshez, egy élő irányítási keretrendszert megvalósítva, amely nem látszat „lepapírozásokat” és a fiókban porosodó szabályzatokat kíván, hanem napi szintű, valós és értő alkalmazást. A mesterséges intelligencia tehát már itt van, elkerülhetetlenül használjuk céges mindennapjainkban is, élő szabályozás a GDPR alapján már most van, további részletes szabályozással a láthatáron az AI Act vonatkozásában, így cégvezetőként nincs mire várni: fel kell venni a teendők listájára a digitális megfeleléssel összefüggő helyzetünk áttekintését. 

A szerző további cikkei

Továbbiak

Vélemény cikkek

Továbbiak

Címoldalról ajánljuk

Tovább a címoldalra

Portfóliónk minőségi tartalmat jelent minden olvasó számára. Egyedülálló elérést, országos lefedettséget és változatos megjelenési lehetőséget biztosít. Folyamatosan keressük az új irányokat és fejlődési lehetőségeket. Ez jövőnk záloga.