Csapásokat adunk és csapásokat kapunk – a legújabb szabályozási veszélyek az MI alkalmazás mindkét oldalán

A mesterséges intelligencia alkalmazások gyorsan terjednek, és egyre népszerűbbek akár az egyszerű ügyfelek, akár a felhasználó cégek és hatóságok között. A gyorsan terjedő felhasználás azonban egyre több és egyre újabb, nagy jelentőségű veszélyre világít rá mind az ügyfelek, mint az alkalmazó szervezetek irányában. Korábbi cikkünkben már foglalkoztunk a kérdéssel, hogy kié a tartalom, amit a mesterséges intelligencia hoz létre, azonban a sokszínű és egyre többeket érintő alkalmazások és felmerült jogsértések napirenden tartják a MI szabályozásának problémáit.

A népszerű Clearview AI egészen új szintre emelte a, szerinte szabadon, elérhető képek felhasználását, beleértve bármelyikünk, közösségi médiában közzétett fotóit is. A cég évek óta népszerű és széles körben használt arcfelismerő rendszert fejleszt, amihez óriási mennyiségben gyűjt, kezel, dolgoz fel személyes adatokat, és értékesíti szolgáltatásait. Többek között az internetről, közösségi médiák felületeiről és más forrásokból mintegy 30 milliárd képet gyűjtött már össze különösebb engedély nélkül. Az évek során Európa szerte gyűjtött büntetések nagyságrendje 70 millió euró lehet, annak ellenére, hogy a cég szolgáltatásait előszeretettel vásárolják meg bűnüldöző szervek is.

Az olasz adatvédelmi hatóság, a Garante, a Clearview-nak tavaly kiosztott bírsága mellett azzal okozta az idei év első szabályozási szenzációját, hogy a ChatGPT olaszországi használatát azonnali hatállyal felfüggesztette, reagálva a ChatGPT használata kapcsán felmerült számos aggályra, illetve egy adatvédelmi incidensre a ChatGPT Plus előfizetőit érintően. A Garante a „virtuális barátot” ígérő Replika nevű chatbotot is blokkolta idén februárban a gyermekek és egyéb sérülékeny csoportok védelmére hivatkozva. Az OpenAI azóta javított a szabályozásán, így május óta Olaszországban is újra használható a ChatGPT.

A Clearview AI-t érintő ügyekben tipikusan az alábbi jogsértéseket találták:

  • megfelelő jogalap hiánya (GDPR 6. cikk),
  • különleges adatok kezelésére vonatkozó rendelkezések sérelme (9. cikk),
  • átláthatósági és az érintetti jogokkal kapcsolatos követelmények sérülése (12. cikk, 13. cikk, 14. cikk, 15. cikk, stb.),
  • EU-n belüli képviselő kijelölésének elmaradása (27. cikk),
  • hatósággal való együttműködés hiánya (31. cikk). A Garante kifogásai a ChatGPT-nél:

Az elérhető rövid sajtóközlemény alapján az olasz adatvédelmi hatóság az alábbi főbb pontokon emelt kifogást a ChatGPT-vel megvalósuló adatkezelések kapcsán:

  • megfelelő jogalap hiánya az MI tanítására használt nagy számú személyes adat kezelésére vonatkozóan,
  • megfelelő tájékoztatás hiánya,
  • hibás, téves outputok szolgáltatása („hallucináció„), amely pontatlan személyes adatok kezeléséhez vezet,
  • bár a felhasználási feltételek szerint a szolgáltatást 13 év feletti felhasználóknak szánja az OpenAI, semmilyen, az életkori küszöb ellenőrzésére szolgáló mechanizmust nem alkalmaznak.

A Garante kifogásai a Replikánál:

  • megfelelő adatkezelési jogalap hiánya (a 6. cikk (1) bekezdés b) pontja szerinti szerződéses jogalapot nem találta megfelelőnek a hatóság),
  • átláthatóság, tájékoztatás hiányosságai,
  • életkori szűrés nem biztosított.

Az olaszországi félelmekhez és az általuk tanúsított óvatos magatartáshoz képest a francia alkotmánybíróság szabad utat adott annak a francia megfigyelési jogszabálynak, amely lehetővé teszi a mesterséges intelligencia alkalmazását a képi megfigyeléseknél potenciális fenyegetések felismerésére az Olimpiai Játékok ideje alatt. Ehhez képest a skandináv országokban éppen a Clearview hatósági használatát és a jogszerűtlen adatkezelést kifogásolták több esetben.

Az olasz Garante a közelmúltban két, ételkiszállítással foglalkozó társaság (Foodinho, Deliveroo) esetében is bírságot szabott ki az adatkezelők által alkalmazott automatizált döntéshozatali megoldásaik működésével kapcsolatos adatvédelmi hiányosságok miatt. Magyarországon pedig a NAIH vetett ki előbb 250 millió Ft bírságot a Budapest Bankra, mivel az az ügyfélszolgálattal folytatott ügyfélbeszélgetések elemzésére alkalmazott MI alapú megoldást számos jogsértést elkövetve.

Többek közt a fenti példák alapján is le tudjuk szűrni, hogy mely, a GDPR-ban meghatározott követelményekre kell figyelni az MI-alapú megoldások tervezése, bevezetése és használata során:

  • a MI alkalmazás szabályozási kérdéseit a tervezéskor nem, csak a bevezetés után kezdik komolyan venni, akkor sem egységes szemlélettel,
  • a technológiai kérdések mellett a szabályozási kérdésekre már nem vesznek igénybe szakértőket,
  • a meglévő és várható szabályozási kockázatok felmérésének hiánya, alul becslése,
  • legyen szó kamerarendszerről vagy chat alkalmazásról, a megfelelő jogalapot egyértelműen és nem túlterjeszkedve kell meghatározni,
  • előre gondoskodni szükséges az átláthatóságról és tájékoztatásról, beleértve az adattárolást és felhasználást is,
  • biztosítani kell az érintetti jogok gyakorolhatóságát,
  • figyelemmel kell lenni a hatásvizsgálatra, illetve ennek esetleges elmaradására.

Jól látható, hogy az EU odafigyel a mesterséges intelligencia európai szabályozásának megteremtésére, ugyanis az illetékes európai parlamenti bizottság május 11-én szabad utat adott a mesterséges intelligenciára vonatkozó rendelettervezetnek, amely újabb szabályozást vezet be a területen. Mindemellett az Európai Adatvédelmi Testület (EDPB) is munkacsoportot állított fel a felmerülő adatvédelmi aggályok miatt. Várhatóan június közepén szavazhat az Európai Parlament plenáris ülése a tervezetről, melynek sikere esetén jöhet a Parlament és a Tanács közötti egyeztetés, illetve az informális háromoldalú tárgyalás a Parlament, a Tanács és a Bizottság részvételével a jogszabály végső verziójának elfogadása érdekében. A felek által kialkudott szövegtervezet elfogadására 2024 első felében kerülhet majd sor.

Miközben látszik, hogy sokak félelmével ellentétben nem a MI hatalomátvételétől kell jelenleg lejobban tartani (bár hosszú távon ez is fontos szempont), hanem a szerzői jogi problémáktól, de jól teszi az EU, ha idejekorán szabályozza a legfontosabb kérdéseket, és ezek alkalmazását idejekorán megtanulják a mesterséges intelligencia alkalmazások, ugyanis a célzott – pl. biztonságtechnikai, kibervédelmi – alkalmazások mellett a legnagyobb globális vállalatok egymással versengve lovagolnak az MI hype hullámain. Az Alphabet most május 10-én jelentette be, hogy kifejlesztettek egy új, nagy nyelvi modellt, ami PaLM 2 nevet kapta a korábbi PaLM után. Nem elég, hogy a fejlesztő szerint a PaLM 2 jártas a matematikában, a szoftverfejlesztésben, a nyelvi fordítási érvelésben és a természetes nyelv generálásában, de sokkal kisebb számítási kapacitásokat igényel a futtatása, ami a modell megbízhatósága és használhatósága mellett komoly versenyelőny. Természetesen a Google tulajdonosa se fordított nagy figyelmet a modelljük szabályozási megfelelőségének.

Facebook
Twitter
LinkedIn