Ako je to so zákonom o umelej inteligencií (AI Act) vo vzťahu k GDPR?

Ak teda pracujete na vývoji umelej inteligencie (AI), prípadne aj na medzinárodnej úrovni, tak tento článok je aj pre Vás, pretože by ste mali poznať súvislosti medzi nariadením GDPR a AI Act, rovnako ako aj regulačné rozdiely medzi EÚ, USA a Čínou.

Porovnanie regulačných požiadaviek AI a ich analýza v EÚ, USA a Číne

S rastúcim významom umelej inteligencie (AI) v globálnej ekonomike sa krajiny a regióny po celom svete snažia implementovať regulačné rámce, ktoré zohľadňujú nielen technické inovácie, ale aj ochranu občianskych práv, etiku a bezpečnosť. Európska únia (EÚ), Spojené štáty americké (USA) a Čína predstavujú tri významné právne systémy, ktoré ale majú  zásadne odlišné prístupy k regulácii AI. A to je zároveň aj jeden z prezentovaných dôvodov zaostávania EÚ pri vývoji AI. Tieto rozdiely odrážajú rozličné priority každého regiónu závislosti od politických, ekonomických a kultúrnych faktorov, pričom regulácie v týchto troch jurisdikciách budú pravdepodobne aj naďalej ovplyvňovať budúci vývoj a medzinárodné diskusie o tom, ako najlepšie regulovať AI technológie.

Ako sa vo všeobecnosti líšia prístupy k regulácii AI v Európskej únii, Spojených štátoch a v Číne:

• Európska únia kladie dôraz na ochranu základných práv, rizikovo orientovaný prístup a transparentnosť AI systémov,

• USA preferujú sektorovo špecifický a decentralizovaný prístup,

• Čína integruje AI do svojej štátnej kontroly a podpory inovácií.

Ktorá jurisdikcia je výhodnejšia?

Zvážte samy. Prvým faktom je, že EÚ v segmente vývoja AI a jej aplikácií do života zaostáva. Druhým faktom ale je, že EÚ zaostáva aj celkovo ako ekonomika. V troch desaťročiach po druhej svetovej vojne západná Európa dobehla USA v HDP na obyvateľa. Od polovice 90. rokov dvadsiateho storočia sa však tento trend obrátil a USA rástli dvakrát rýchlejšie ako Európa. Rozdiel sa zväčšuje naďalej. 

Všeobecný názor je, že je to spôsobené prílišnou zviazanosťou reguláciami (to je to, o čom je aj tento článok), silným socialistickým cítením, historickou namyslenosťou EÚ na svoju úspešnú minulosť a zlými rozhodnutiami. Avšak podstatnejšie ako prísnejšia a „obmedzujúca“ regulácia v EÚ je hlavne zásadný rozdiel k možnostiam a chuti investovať v USA a v EÚ, v prístupe k inovatívnym technológiám a v flexibilite investorov a zákonov.

Sú tie silnejšie regulácie v EÚ pre rýchlejší vývoj AI naozaj až taký veľký problém? Nemyslím si, že je to nevyhnutne tak, a v nasledujúcich riadkoch vysvetlím prečo. Okrem toho benevolentnejší prístup v USA sa môže neskôr USA aj vypomstiť (ale aj nemusí) v podobe zvýšenej miere kybernetických útokov, rizík a ohrozených práv. Stojí potom tá rýchlosť vývoja za to? Vec diskusie.

Európska únia: dôraz na ochranu základných práv, rizikovo orientovaný prístup a transparentnosť AI systémov

EÚ pristúpila k regulácii AI prostredníctvom návrhu Zákona o umelej inteligencii (AI Act), ktorý bol predstavený Európskou komisiou v roku 2021. Zvažovalo sa niekoľko možných prístupov:

• Technologická neutralita

• Prístup založený na použití AI (use-based approach)

• Etický prístup

• Prístup zameraný na certifikáciu a štandardizáciu

• Prístup založený na výsledkoch (outcome-based approach)

• Prístup zameraný na transparentnosť a vysvetliteľnosť (explainability)

• Rizikovo orientovaný prístup

Vyhral nakoniec rizikovo orientovaný prístup, ktorý kategorizuje AI systémy na základe úrovne rizika, ktoré predstavujú pre ľudské práva a bezpečnosť. Cieľom tohto regulačného rámca je predovšetkým ochrana základných práv a prevencia pred negatívnymi dôsledkami technológie na spoločnosť.

Dôvod pre prístup založený na rizikách bol ten, že umožňuje prispôsobiť reguláciu podľa úrovne rizika, ktoré konkrétny AI systém predstavuje. Tento model zaručuje flexibilitu a schopnosť reagovať na rozličné aplikácie a kontexty použitia AI. Ostatné prístupy boli považované za príliš všeobecné alebo ťažko uchopiteľné a aplikovateľné na dynamiku AI technológií a trhov, ktoré sa neustále menia.

Charakteristika prístupu EÚ: kategorizácia rizík v AI systémoch

• Neprijateľné riziká – Zahŕňajú technológie, ktoré sú považované za príliš nebezpečné alebo eticky problematické, a preto sú zakázané (napr. systémy sociálneho kreditu alebo biometrický dohľad v reálnom čase).

• Vysoké riziká – Tieto systémy musia spĺňať prísne regulačné požiadavky, ako sú transparentnosť, sledovateľnosť, ľudský dohľad a robustnosť (napr. AI v zdravotníctve, vzdelávaní, bezpečnosti infraštruktúr).

• Obmedzené riziká – Pre tieto systémy platí menej prísnych požiadaviek, napríklad povinnosť informovať používateľov o interakcii s AI (napr. chatboty alebo virtuálni asistenti).

• Minimálne riziká – Väčšina spotrebiteľských aplikácií spadá do tejto kategórie a nie sú predmetom prísnej regulácie (napr. AI na personalizáciu reklamy).

Príklad:

Biometrický dohľad v reálnom čase, ako napríklad kamerové systémy na rozpoznávanie tváre na verejných priestranstvách, je v EÚ považovaný za neprijateľné riziko. Tieto systémy sú zakázané, s výnimkou veľmi špecifických situácií, napríklad pri ochrane verejnej bezpečnosti v boji proti terorizmu a pod.

Ochrana súkromia a zodpovednosť

Európska únia: GDPR a ochrana osobných údajov

V EÚ je ochrana súkromia a osobných údajov zakotvená vo všeobecnom nariadení o ochrane osobných údajov (GDPR), ktoré stanovuje prísne pravidlá pre spracovanie osobných údajov. AI systémy, ktoré spracovávajú osobné údaje, musia byť v súlade s GDPR, čo znamená, že musia byť implementované princípy transparentnosti, bezpečnosti a minimalizácie údajov.

Kľúčové princípy ochrany osobných údajov v AI

• Transparentnosť a zodpovednosť – Organizácie musia informovať jednotlivcov o tom, ako sú ich údaje spracovávané AI systémami, a zabezpečiť, že tieto systémy sú transparentné.

• Minimalizácia údajov – AI systémy musia zhromažďovať iba nevyhnutné údaje a spracovanie musí byť primerané účelu.

• Právo na vysvetlenie a prístup k údajom – Jednotlivci majú právo získať informácie o tom, ako systém dospel k rozhodnutiu, a majú právo na prístup k svojim údajom.

Príklad:

Ak nemocnica v EÚ používa AI na predikciu zdravotných rizík pacientov, musí zabezpečiť, že spracovanie údajov bude v súlade s GDPR, vrátane ochrany citlivých zdravotných informácií a poskytnutia informácií pacientom o tom, ako systém funguje a aké údaje používa.

Transparentnosť a vysvetliteľnosť AI systémov

Európska únia: povinná vysvetliteľnosť

Jedným z hlavných princípov AI Act v EÚ je povinnosť zabezpečiť, aby AI systémy boli transparentné a poskytovali vysvetlenia rozhodnutí prijatých systémom. Tento princíp nadväzuje na GDPR, kde je zaručené právo jednotlivcov na prístup k informáciám o logike rozhodovania AI systémov (povinnosť vysvetliť rámci informačnej povinnosti v rozumnom rozsahu princíp fungovania AI a jej rozhodnutí je skoro nemožné).

Príklad:

Ak finančná inštitúcia v EÚ používa AI na hodnotenie žiadostí o úver, musí byť schopná vysvetliť, na základe akých kritérií bol úver zamietnutý alebo schválený.

Ako je to v USA alebo Číne? odpoveď nájdete v plnom znení článku na domne GDPR.cz.