GDPR

Adatvédelem mindenkinek / Data protection for everyone

Felkészülés az MI Rendelet alkalmazására - 4. rész: mit jelent a kockázatalapú megközelítés?

2024. június 21. 13:00 - poklaszlo

A mesterséges intelligenciáról szóló rendelet kapcsán gyakran elhangzik, hogy kockázatalapú megközelítést alkalmaz a szabályozás. De mit is jelent ez a gyakorlatban? Milyen kockázatokat kezel az MI Rendelet és hogyan? Az alábbiakban ezt a kérdést járom körül, kitérve a GDPR kockázatalapú szabályozására és annak az MI Rendeletben alkalmazottakkal való hasonlóságára, illetve esetleges különbségeire is.  

1. MIt jelent az MI Rendeletben a kockázatalapú szabályozás?

A mesterséges intelligenciára vonatkozó szabályozás szükségessége melletti érv, hogy - a számos lehetőség mellett amelyet a mesterséges intelligencia megoldások fejlesztése és alkalmazása tartogat - az MI kockázatokkal is jár: 

Ugyanakkor a mesterséges intelligencia – a konkrét alkalmazásával, használatával és technológiai fejlettségi szintjével kapcsolatos körülményektől függően – kockázatokkal is járhat, és sértheti a közérdeket és az uniós jog által védett alapvető jogokat. Az okozott kár lehet vagyoni vagy nem vagyoni kár, ideértve a fizikai, pszichés, társadalmi vagy gazdasági károkat is. (Lásd Preambulum (5), kiemelés tőlem)

Talán nem véletlen, hogy - különböző szóösszetételekben - a "kockázat" az egyik leggyakrabban előforduló kifejezés az MI Rendeletben. A definíciók között is, az MI-rendszer fogalmának meghatározása után rögtön a második helyen áll a kockázat definíciója ("kockázat: a káros hatás előfordulási valószínűségének és a káros hatás súlyosságának kombinációja", MI Rendelet 3. cikk, 2. pont).   

Az is egyértelmű azonban, hogy a különböző MI-rendszerek, illetve az MI-rendszerek különböző felhasználási módja, alkalmazási területe szerint jelentős eltérések lehetnek a lehetséges kockázatok kapcsán és abban, hogy ezen kockázatokat miként lehet és kell kezelni.  

Az MI Rendelet preambuluma kiemeli a kockázatalapú megközelítés fontosságát (lásd Preambulum (26) bekezdés, kiemelés tőlem): 

Az MI-rendszerekre vonatkozó, kötelező erejű szabályok arányos és hatékony rendszerének bevezetése érdekében egyértelműen meghatározott, kockázatalapú megközelítést kell alkalmazni.

Ennek megfelelően - ahogy ez a Preambulum (26) további részéből is kiderül - a szabályok típusát és tartalmát hozzá kell igazítani az MI-rendszerek által előidézett kockázatok intenzitásához és nagyságrendjéhez. A Preambulum rögtön utal arra is, hogy a kockázatalapú megközelítésből következik, hogy bizonyos MI-gyakorlatokat az elfogadhatatlanul magas kockázat miatt tiltani kell (tiltott MI gyakorlatok, MI Rendelet 5. cikk, pl. társadalmi pontrendszerek), míg más magas kockázattal járó MI-rendszerek esetében szigorú követelményekre, számos kötelezettség betartására van szükség (nagy kockázatú MI-rendszerek, MI Rendelet 6. cikk), illetve egyéb, alacsonyabb kockázatú MI-rendszerek esetében alapvetően átláthatósági kötelezettségeknek (MI Rendelet, 50. cikk, pl. chatbotok) kell megfelelni.

Lehetnek további olyan minimális kockázattal járó MI-rendszerek (pl. spam szűrők), amelyekre lényegében nem állapít meg további követelményeket a szabályozás, ugyanakkor ezek etikus fejlesztése és használata lényeges elvárás (lásd alább), továbbá magatartási kódexek útján egyes, az MI Rendeletben szereplő kötelezettségek alkalmazása ezek tekintetében is lehetséges (lásd MI Rendelet, 95. cikk).  

Az MI Rendelet Preambuluma arra is felhívja a figyelmet, hogy bár a jogi szabályozás alapját a kockázatalapú megközelítés képezi, de a mesterséges intelligenciával kapcsolatos fejlesztések, illetve az MI használat kapcsán az etikai iránymutatások betartásával kell eljárni. Ezen etikai elvek figyelembevétele tehát minden, akár az alacsonyabb kockázatot jelentő MI-rendszerek esetében is fontos kiindulópontot jelent és ezeket lehetőség szerint át kell ültetni az MI-modellek tervezésébe és használatába, továbbá ezeknek az elveknek minden esetben alapul kell szolgálniuk az MI Rendelet szerinti magatartási kódexek kidolgozásához, továbbá minden szereplőt ösztönözni kell arra, hogy az önkéntes legjobb gyakorlatok és szabványok kidolgozásához adott esetben vegyék figyelembe az etikai elveket (lásd Preambulum (27) bekezdés).

A Mesterséges intelligenciával foglalkozó magas szintű szakértői csoport "Megbízható mesterséges intelligenciára vonatkozó etikai iránymutatása" (2019) az alábbi 7 elvet fogalmazza meg: 

  • emberi cselekvőképesség és felügyelet;
  • műszaki stabilitás és biztonság;
  • a magánélet védelme és adatkormányzás;
  • átláthatóság;
  • sokszínűség, megkülönböztetésmentesség és méltányosság;
  • társadalmi és környezeti jóllét; valamint
  • elszámoltathatóság.

Forrás: Mesterséges intelligenciával foglalkozó magas szintű szakértői csoport: "Megbízható mesterséges intelligenciára vonatkozó etikai iránymutatás" (2019), 18. o.  

2. Hogyan jelenik meg a gyakorlatban a kozkázatalapú szabályozás?

A kockázatalapú szabályozás gyakorlatban történő alkalmazásához elengedhetetlen az MI-rendszerek megfelelő besorolása, illetve annak meghatározása, hogy pontosan mely szereplőre (szolgáltató, alkalmazó, importőr, stb.) mely követelmények vonatkoznak, kinek és hogyan kell ezeknek eleget tennie.

A megfelelő besorolást és a szerep meghatározását követően azonosítható, hogy milyen követelmények alkalmazása elengedhetetlen (illetve adott esetben, ha tiltott gyakorlat kerülne beazonosításra, akkor ezen gyakorlat megszüntetése vagy megfelelő átalakítása szükséges). 

Részben a kockázatalapú megközelítés köszön vissza abban is, hogy az egyes kötelezettségek nem vagy nem megfelelő teljesítése esetén milyen jogkövetkezménnyel, illetve adott esetben milyen szankciókkal (mekkora bírsággal) kell számolni. A tiltott MI gyakorlatokkal kapcsolatos kötelezettségek megsértése esetén például jóval nagyobb összegű bírság szabható ki (legfeljebb 35 millió euró, vagy ha vállalkozásról van szó, az előző pénzügyi év teljes globális éves árbevételének legfeljebb 7 %-át kitevő összegű közigazgatási bírság szabható ki, azzal, hogy a kettő közül a magasabb összeg alkalmazandó, lásd MI Rendelet, 99. cikk). Egyéb jogsértések tekintetében ennél kisebb (de még mindig nagyon jelentős) maximális bírságról beszéhetünk. (A szakciókkal később egy külön posztban részletesen is foglalkozom majd.) 

Az általános célú MI-modellekre vonatkozó követelmények némileg "kilógnak" a fenti kockázatalapú besorolásból, azokat külön kezeli az MI Rendelet. Ugyanakkor ebben a körben is megjelennek a rendszerszintű kockázatot jelentő általános célú MI-modellekre vonatkozó többletkövetelmények.    

(A "Felkészülés az MI Rendelet alkalmazására" sorozat további részeiben részletesen foglalkozom majd a besorolási kritériumokkal, pl. azzal, hogy mely gyakorlatokat határozza meg az MI Rendelet tiltott gyakorlatként, illetve miként történik a nagy kockázatú MI-rendszerek körébe történő besorolás. Kitérek majd arra is, hogy az egyes kockázati kategóriákban, különös tekintettel a nagy kockázatú MI-rendszerekre és a korlátozott kockázattal járó rendszerekre milyen követelmények vonatkoznak. Továbbá tárgyalom majd az általános célú MI-modellek szabályozását is.)  

3. Hogyan viszonyul az MI Rendelet szerinti kockázatalapú megközelítés más jogszabályokban, különösen a GDPR-ban megvalósuló hasonló, szintén kockázatalapúnak tekinthető megközelítésekkel?

A kockázatalapúnak nevezett megközelítés nem az MI Rendeletben jelenik meg először, hanem olyan szabályozási megoldásról van szó, amely - bár némileg eltérő szabályozási megközelítések formájában (lásd alább) - számos jogszabályban megjelenik. Hasonlóval találkozhatunk a kiberbiztonsági szabályokban, továbbá az EU 2016-ban elfogadott és 2018. májusa óta alkalmazandó általános adatvédelmi rendeletében, a GDPR-ban is. Tekintettel arra, hogy a különböző szabályozásokban megjelenő kötelezettségek "összeérnek", azaz egy MI-rendszer tekintetében is alkalmazandóak bizonyos kiberbiztonsági szabályok vagy éppen az MI-rendszer fejlesztésével, használatával kapcsolatban történik adatkezelés, amely tekintetében a GDPR-ban meghatározott szabályokat kell alkalmazni, így érdekes lehet röviden megvizsgálnunk, hogy miként viszonyul egymáshoz az MI Rendeletben megvalósuló kockázatalapú megközelítés és a más jogszabályokban, különösen a GDPR-ban megjelenő hasonló felfogás. 

A GDPR-ban a "kockázatalapú megközelítés", mint kifejezés nem kerül ugyan nevesítésre, de a kockázat fogalma és az adatkezeléssel járó kockázat kezelése, illetve a kockázatokkal arányos intézkedések szükségessége visszatérően megjelenik a jogszabály szövegében. Nem szabad elfelejtenünk azt sem, hogy a GDPR kifejezetten egy nevesített alapjog védelmére (személyes adatok védelme) szolgáló szabályozás, így a rendelkezések értelmezése kapcsán ebből kell kiindulnunk. 

A 29. Cikk szerinti Munkacsoport is kiemelten foglalkozott a kockázatalapú megközelítés mibenlétével. A vonatkozó, 2014-es nyilatkozatukban is felhívják a figyelmet arra, hogy ez a megközelítés már a GDPR előtti adatvédelmi szabályozásban is jelen volt (95/46/EK irányelv) és több ponton is tetten érhető az adatvédelmi szabályozásban. Megjelenik - többek között - a különleges adatok védelme kapcsán, az adatbiztonsági intézkedésekkel összefüggésben, de szintén a kockázatalapú megközelítésre vezethetők vissza egyes többletkötelezettségek (pl. hatásvizsgálat végzésére, a felügyeleti hatósággal való konzultációra, esetleg az incidensek bejelentésére vonatkozó kötelezettségek is). 

A GDPR-ban megjelenő kockázatalapú megközelítés talán úgy foglalható össze röviden, hogy az adatkezelőtől és adatfeldolgozótól elvárt intézkedések szintje (azaz milyen erőfeszítéseket kell tenniük a megfelelés érdekében, illetve a megfelelés igazolása, az elszámoltathatóság érdekében) függhet elsősorban az adott adatkezeléssel összefüggő kockázatok nagyságától, de az alapvető elvárás, miszerint a személyes adatok tekintetében az alapjogi védelemre vonatkozó elvárásoknak megfelelően kell eljárni, adott és változatlan (jól tetten érhető ez pl. az adatkezelés alapelvein keresztül, amelyeknek mindenképpen érvényesülniük kell). 

A GDPR-ban megjelenő kockázatalapú megközelítéshez képest az MI Rendelet inkább azon kockázatalapú szabályozások családjába tartozik, ahol az - emberi élet, biztonság, az alapjogok érvényesülése, stb. tekintetében megjelenő - kockázat mértéke egyrészt meghatározza, hogy mi váljon a szabályozás tárgyává (milyen kockázati szint felett terjedjen ki egyáltalán a szabályozás egy adott MI-rendszerre), illetve ezen belül, hogy az egys kockázati szinteken belül milyen szabályok érvényesüljenek

A fentieknek megfelelően úgy fogalmazhatunk, hogy az MI Rendelet esetében a kockázatalpú megközelítés eleve egy szűrő is atekintetben, hogy mire terjedjen ki a szabályozás, míg a GDPR esetében ilyen "előszűrés" a kockázatok alapján lényegében nincs, hanem - ahogy fentebb is utaltam rá - sokkal inkább a megfelelés intenzitása tekintetében, illetve az elszámoltathatóság kapcsán köszön vissza ez a megközelítés. 

A GDPR és az MI Rendelet kockázatalapú megközelítését összehasonlító tanulmányában Raphaël Gellert így összegzi a két különböző szabályozási megoldás különbözőségét: 

"Tehát a GDPR-ral ellentétben, ahol a kockázatalapú megközelítés elsősorban a megfelelőségi intézkedések intenzitásának meghatározására szolgál, az MI Rendelet kockázatalapú megközelítése sokkal inkább megjelenik a tárgyi hatályban, mivel elsődlegesen meghatározza, hogy mi kerül egyáltalán szabályozásra, azzal a kockázattal, hogy egyes MI-rendszereket indokolatlanul nem magas kockázatúként sorolnak be ...." (lásd Raphaël Gellert: The role of the risk-based approach in the General data protection Regulation and in the European Commission’s proposed Artificial Intelligence Act: Business as usual?, Journal of Ethics and Legal Technologies – Volume 3(2) – November 2021, 21. o., saját fordítás, kiemelés tőlem). 

Mi következik a kockázatalapú megközelítések különbségéből? Mit jelent ez a gyakorlatban?

Számos esetben, amikor az MI Rendelet alkalmazására kerül majd sor, akkor a személyes adatok kezelésére tekintettel, a GDPR-nak való megfelelést is biztosítani kell. Ennek során a két szabályrendszer együttes alkalmazása kapcsán találkozhat a kétféle kockázatalapú megközelítés is. Amire ügyelni érdemes, hogy a megközelítések különbözősége és a kockázatok jellege miatt előfordulhatnak helyzetek, amikor a kétféle megközelítés "széttartó lehet", azaz egy alacsonyabb kockázatúnak minősített MI-rendszer vonatkozásában valósul meg magasabb kockázatúnak tekinthető adatkezelés (pl. különleges adatok kezelése egy chatbot alkalmazása során), így az adatvédelmi intézkedéseket és erőfeszítések szintjét is ehhez kell igazítani. (Természetesen fordított eset is előállhat, az MI Rendelet szerinti nagy kockázatú MI-rendszer alkalmazásával megvalósuló alacsony kockázatokkal járó adatkezelés.)

Ugyanakkor a különböző szabályokban meglévő "szinergiákat" érdemes kihasználni a hatékonyabb megfelelés érdekében, így például a mindkét szabályozásban megjelenő átláthatósági követelmények vagy az MI Rendeletben megjelenő "data governance" (adatkormányzás) kötelezettségek kapcsán. Az egyik rezsim alapján elvégzett kockázati besorolás továbbá segítségünkre lehet a jővőben abban is, hogy a másik rezsim szerinti besorolást pontosabban tudjuk elvégezni, hiszen az egyik rendelet szerinti szempontrendszer szerinti magas kockázat megléte körültekintésre inthet a másik rendelet alkalmazása kapcsán is.  

A "Felkészülés az MI Rendelet alkalmazására" sorozat további részei: 

Szólj hozzá!
Címkék: mesterséges intelligencia kockázat felkészülés portfolioblogger MI HU MI Rendelet

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr8518429903

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása