GDPR

Adatvédelem mindenkinek / Data protection for everyone

Mesterséges intelligencia és alapjogi hatásvizsgálat

2023. június 05. 14:30 - poklaszlo

A mesterséges intelligenciával kapcsolatos hírek igencsak megszaporodtak az elmúlt időszakban, különösen miután az OpenAI által fejlesztett nagy nyelvi modellen (LLM) alapuló chat alkalmazás, a ChatGPT tavaly novemberben széles körben elérhetővé vált. A ChatGPT megjelenése áttörést hozott abból a szempontból, hogy milliók számára vált elérhetővé és könnyen átélhetővé mire képes (illetve mire lehet majd még a továbbiakban képes) az MI. A ChatGPT elsöprő sikere látványossá tette a hiányosságokat is, több adatvédelmi hatósági eljárás is indult például, amelyek közül az olaszországi kapta a legnagyobb figyelmet, amely a szolgáltatás átmeneti olaszországi felfüggesztésével is járt. (Nem a ChatGPT-t érintő olasz eljárás volt ugyanakkor az első MI-vel összefüggő adatkezelés, amely adatvédelmi hatósági vizsgálat tárgyát képezte.)

Az MI körüli közbeszédben az eufórikus hangok mellett egyre gyakrabban hallani a veszélyekre figyelmeztető szólamokat is, köztük olyanokat, amelyek egyenesen az emberiség MI általi elpusztításának veszélyére hívják fel a figyelmet. Ilyen körülmények között a szabályozónak kiemelt szerepe lehet, hiszen az általános etikai elvek, az önszabályozás, esetleg a számos jogterületen elszórt, az MI tekintetében is alkalmazandó, ugyanakkor töredezett, sokszor ellentmondásos szabálykészlet nem feltétlenül elégséges, hogy egy ilyen átfogó, az élet szinte minden területén már most is felbukkanó technológiát, biztonságos, az emberi jogok és az alapvető értékek keretei között tartson. Az Európai Unióban immár évek óta napirenden van az MI szabályozás kérdése. A Bizottság 2020-ban tette közzé az MI-re vonatkozó Fehér könyvét, majd 2021-ben az MI-re vonatkozó jogszabály tervezetét (MI Rendelet) is megjelentette (2022-ben pedig az MI-vel kapcsolatos felelősségi kérdésekre vonatkozó irányelv-tervezet látott napvilágot). Május közepén az MI Rendelet tervezetének újabb verziója látott napvilágot az Európai Parlament bizottságai által elfogadott kompromisszumos szövegjavaslat formájában. Az Európai Parlament plenáris ülése június közepén szavaz majd a tervezetről és ezt követően, ha a plenáris ülésen is támogatást kap a szöveg, megkezdődhet az egyeztetés a jogszabályról a Tanáccsal. 

Az Európai Parlament előtt lévő szöveg számos újdonságot tartalmaz az eredeti bizottsági javaslathoz képest (illetve az időközben, a Tanács által módosított szöveghez viszonyítva is). A jelen posztban az EP előtt lévő javaslat egyik elemével, a nagy kockázatú MI rendszerek tekintetében bevezetni javasolt ún. alapjogi hatásvizsgálattal (fundamental rights impact assessment, FRIA) foglalkozom röviden. 

1. Mit tartalmaz a javaslat?

A rendelettervezetbe beemelni javasolt új intézmény alapján (lásd a kompromisszumos szövegjavaslat 29a. cikkét) a nagy kockázatú MI rendszer alkalmazójának (deployer*) a rendszer használatba vétele előtt kell elvégeznie az alapjogi hatásvizsgálatot, annak érdekében, hogy a rendszer hatásait a használat körülményeire tekintettel értékelje, megállapítsa a kockázatokat és a kockázatok csökkentésének lehetséges eszközeit. 

A javaslat az MI rendszer alkalmazójára (deployer) telepíti a kötelezettséget, hogy elvégezze az alapjogi hatásvizsgálatot. A "deployer" kifejezést a kompromisszumos szövegjavaslat az eredeti bizottsági javaslat "felhasználója" (user) helyett javasolja használni. Az "alkalmazó" (deployer) kifejezés definíciója szerint "bármely olyan természetes vagy jogi személy, hatóság, ügynökség vagy egyéb szerv, aki vagy amely a felügyelete alá tartozó MI-rendszert használja, kivéve, ha az MI-rendszert személyes, nem szakmai jellegű tevékenység során használja." (A definíció tartalmát tekintve azonos az eredeti szöveg "felhasználó" fogalmával. Lásd 3. cikk (4) bekezdés. Eredetileg az "alkalmazó" (deployer) kifejezést használta egyébként a Bizottság a Fehér könyvben az MI rendszer használójára.

A javaslat szerint az alapjogi hatásvizsgálat elvégzése a nagy kockázatú MI rendszer első használata esetén alkalmazandó és az MI rendszer alkalmazója (deployer) támaszkodhat a már korábban elvégzett hatásvizsgálatokra, illetve a szolgáltató (provider) által készített vizsgálatokra

2. Mely rendszerek esetében kellene elvégeznie az alapjogi hatásvizsgálatot? 

Az MI Rendelet 6. cikk (2) bekezdése szerint nagy kockázatúnak minősülő MI rendszerek tekintetében kell elvégezni az alapjogi hatásvizsgálatot (az MI Rendelet III. sz. melléklete sorolja fel azokat a területeket és felhasználási eseteket, amelyeken alkalmazásra kerülő MI rendszerek nagy kockázatúnak minősülnek), kivéve a kritikus infrastruktúra irányítása és üzemeltetése körében alkalmazott nagy kockázatú MI rendszerek tekintetében.

3. Mikor kell elvégezni a hatásvizsgálatot?

A javaslat szerint a hatásvizsgálatot a magas kockázatú MI rendszer használatba vétele előtt kell majd elvégezni. Abban az esetben, ha a használat során a korábban elvégzett hatásvizsgálat idejében vizsgált kritériumok kapcsán változás áll be, akkor az alapjogi hatásvizsgálatot újra el kell végezni.  

4. Milyen elemeket kell vizsgálni az alapjogi hatásvizsgálat során? 

A jelenlegi szövegjavaslat szerint az alábbi elemekre mindenképpen ki kell térnie a hatásvizsgálatnak: 

  • annak világos meghatározása, hogy a rendszert milyen célra kívánják használni; 
  • annak világos meghatározása, hogy a rendszert milyen földrajzi és időbeli hatállyal kívánják alkalmazni;
  • azon természetes személyek és csoportok meghatározása, amelyeket valószínűsíthetően érinteni fog a rendszer használata; 
  • annak megerősítése, hogy a rendszer használata megfelel az alapjogokra vonatkozó alkalmazandó uniós és tagállami jognak
  • a nagy kockázatú MI rendszer használatának ésszerűen előrelátható hatása az alapjogokra
  • a hátrányok bekövetkezésének kockázata, amely valószínűsíthetően hatással lehet a kiszolgáltatott személyekre vagy sérülékeny csoportokra;
  • a rendszer használatának ésszerűen előrelátható hátrányos hatása a környezetre
  • részletes terv az azonosított hátrányok és alapjogokat érintő negatív hatások csökkentésére
  • az alkalmazó (deployer) által bevezetésre kerülő irányítási rendszer, beleértve az emberi felügyeletre, a panaszkezelésre, és a hátrányok orvoslására vonatkozó megoldásokat.    

(Fontos ismét hangsúlyozni, hogy a javaslat szövege még jelentősen változhat a végleges elfogadásig, de ennek ellenére érdekes látni, hogy - a jelenlegi tervezet szerint - milyen elemekre kellene kitérnie egy alapjogi hatásvizsgálatnak.)  

5. Hogyan kell majd az alapjogi hatásvizsgálatot elvégezni?

A javaslat természetesen részletes módszertani útmutatót nem ad, ugyanakkor az alábbi szempontok kiolvashatók belőle: 

  • a javaslatban meghatározott elemeket mindenképpen vizsgálni szükséges (lásd fenti 4. pont),
  • a KKV-k kivételével, az alkalmazónak tájékoztatnia kell a felügyeleti hatóságot és az érintett érdekelteket és  az MI rendszer alkalmazásával valószínűsíthetően érintett személyek vagy csoportok képviselőit a lehető leginkább be kell vonni a vizsgálatba (ilyen csoportok lehetnek, többek között, az egyenlőséggel foglalkozó testületek, fogyasztóvédelmi ügynökségek, szociális partnerek és adatvédelmi ügynökségek), 
  • intézkedési tervnek kell készülnie a feltárt kockázatok mérséklése érdekében, ha ilyen kockázatcsökkentési tervet nem sikerül készíteni, akkor a nagy kockázatú MI rendszer használata nem kezdhető meg és a hatóságot, valamint a rendszer szolgáltatóját tájékoztatni kell,
  • ha az alkalmazónak adatvédelmi hatásvizsgálatot is kell végeznie, akkor a két hatásvizsgálatot együtt kell elvégezni és az adatvédelmi hatásvizsgálatot az alapjogi hatásvizsgálat mellékleteként elérhetővé kell tenni.   

Az alapjogi hatásvizsgálat módszertanát illetően kevés támpontot ad a javaslat szövege. Ugyanakkor az alapjogi hatásvizsgálat (vagy más szóhasználatban "emberi jogokra vonatkozó hatásvizsgálat" [human rights impact assessment]) gondolata és ehhez kapcoslódóan lehetséges módszertani megközelítések már évek óta elérhetők a szakirodalomban és részben a gyakorlatban is. Ezek - a formálódó jogszabályszövegtől is függően - jó kiindulópontot jelenthetnek majd a későbbiekben a nagy kockázatú MI rendszereket érintő hatásvizsgálatok elvégzése során. Néhány jelenleg elérhető koncepció, mintadokumentáció (és a megjelenés dátuma): 

  • a holland kormány által közzétett, a kormányzati szervek által alkalmazanó alapjogi és algoritmus hatásvizsgálat (Fundamental Rights and Algorithm Impact Assessment) lehet az egyik minta, amit érdemes figyelembe venni (2022. március), 
  • szintén jó kiindulást jelenthet a Danish Institute for Human Rights által közzétett a "Digitális tevékenységek emberi jogi hatásvizsgálatára vonatkozó iránymutatás" (2020),
  • a szakirodalomból is hozható friss példa alapjogi hatásvizsgálati módszertanra: "Practical fundamental rights impact assessments" c. cikk (2022. november) az adatvédelmi hatásvizsgálat szabályaira és módszertanára is figyelemmel vizsgálja a témát.   

További hasznos eszközök érhetőek el az OECD MI témájú gyűjtőoldalán, ahol a "Tools & Metrics" menüpont alatt - folyamatos feltöltés mellett - egyre több, az alapjogi hatásvizsgálat kapcsán is jó kiindulást jelentő eszköz található meg. 

Szintén érdemes tanulmányozni az EU Alapjogi Ügynökségének az MI és az emberi jogok kapcoslatát tárgyaló anyagát (2021), amely szintén kitér az alapjogi hatásvizsgálat témájára. A tágabb keretek kapcsán pedig az ENSZ "Guiding Principles on Business and Human Rights" c. (2011) dokumentuma lehet jó kiindulási pont, amely a II. pontjában kifejezetten a vállalkozások emberi jogok védelmében játszott szerepével foglalkozik és - magas szinten - az üzleti tevékenység emberi jogokra gyakorolt hatásának vizsgálatára is kitér.     

(A fentiek persze csak ízelítőt jelentenek az egyre bővülő forrásokból. Vélhetően - ahogy a jogszabályszöveg is alakul még - újabb és újabb alkalmazható megoldások válnak majd elérhetővé. Érdemes nyomon követi e téren is a fejleményeket.)

6. Kapcsolódási pontok az alapjogi hatásvizsgálat és az adatvédelmi hatásvizsgálat között

A rendelettervezet szövegéből is kiolvasható, hogy az adatvédelmi hatásvizsgálat és az alapjogi hatásvizsgálat számos ponton kapcsolódhat egymáshoz. A javaslat szövege kifejezetten utal arra, hogy - amenniyben adatvédelmi hatásvizsgálatot is szükséges végezni a GDPR-ra vagy a bűnügyi adatvédelmi irányelvre tekintettel - a két hatásvizsgálatot együtt kell elvégezni és az adatvédelmi hatásvizsgálatot az alapjogi hatásvizsgálat mellékleteként elérhetővé kell tenni.  

A kétféle hatásvizsgálat kapcsán az alábbi főbb hasonlóságokat és különbségeket láthatjuk:  

 

Adatvédelmi hatásvizsgálat (DPIA)

Alapjogi hatásvizsgálat (FRIA)

Szabályozási háttér (EU)

GDPR 35-36. cikk, 2016/680. sz. irányelv 27-28. cikk

MI Rendelet "kompromisszumos javaslat" 29a. cikk 

Érintett alapjog

személyes adatok védelme (Európai Unió Alapjogi Chartája 8. cikk)

Az EU Alapjogi Chartájában szereplő alapjogok

Miért?

A kockázat forrásának, jellegének, egyediségének és súlyosságának felmérése érdekében. Kockázatok mérséklésére alkalmas intézkedések meghatározása. Az adatkezelési követelményeknek való megfelelés igazolására. (Lásd különösen GDPR Preambulum (84), (90) és 2016/680 irányelv Preambulum (58)) 

Az alapjogok védelmének hatékony érvényesítése érdekében. A kockázatok mérséklésére szolgáló eszközök meghatározásához. (Lásd MI Rendelet, "kompromisszumos javaslat" Preambulum (58a))

Mit?

A tervezett adatkezelés hatása a személyes adatok védelmére, az érintettek jogaira és szabadságaira nézve.

Az MI rendszer alapjogokra gyakorolt hatásának a tervezett felhasználás kontextusában történő vizsgálata, meghatározott minimális szempontokra kiterjedően.

Hogyan?

Szisztematikus vizsgálat, dokumentált, DPO bevonása, terv a kockázatok csökkentésére, érintettek bevonása, (szükség esetén) konzultáció a felügyeleti hatósággal, változás esetén felülvizsgálat

Szisztematikus vizsgálat, dokumentált, részletes terv a kockázatok csökkentésére, korábbi hatásvizsgálatok felhasználása, érintett csoportok bevonása, DPIA-val együtt végzendő (ha DPIA szükséges), változás esetén felülvizsgálat

Mikor?

Valószínűsíthetően magas kockázattal járó adatkezelések esetén, az adatkezelést megelőzően. Változás esetén felülvizsgálat szükséges.  

A magas kockázatú MI rendszer használatba vétele előtt. Változás esetén felülvizsgálat szükséges. 

Kinek kell elvégeznie?

Adatkezelő

(adatfeldolgozó szükség esetén és kérésre közreműködik)

Alkalmazó (deployer) [tipikusan, egybe eshet az adatkezelővel]

(szolgáltató (provider) közreműködésére lehet szükség, illetve a szolgáltató általi vizsgálatokat az alkalmazó felhasználhatja)

Az MI Rendelet elfogadásáig még vélhetően változnak a "kompromisszumos szövegjavaslatban", illetve egyéb verziókban elérhető szabályok, ugyanakkor már most érdemes foglalkozni azokkal a kötelezettségekkel, amelyek az MI rendszerek fejlesztőit, szolgáltatóit, alkalmazóit érinthetik majd, hiszen a szabályok alkalmazása komoly kihívást jelenthet, különösen, hogy azok nem önmagukban állnak, hanem az MI rendszerekre vonatkozó követelményeket egyéb - többek között adatvédelmi, versenyjogi, fogyasztóvédelmi, stb. - szabályokkal együtt, a különböző szabályok közötti kölcsönhatásokra is figyelemmel kell majd alkalmazni.  

Szólj hozzá!

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr5718137752

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása