A mesterséges intelligenciát érintő szabályozás a figyelem középpontjában áll, hiszen néhány napja jelent meg az Egyesült Államok elnökének rendelete az MI szabályozása kapcsán, az EU-ban pedig gőzerővel zajlik az MI-re vonatkozó rendelet szövegének a véglegesítése a Parlament, a Tanács és a Bizottság közötti egyeztetések (trilógus) keretében.  

A jogi szabályozás kapcsán mindig kulcskérdés, hogy a szabályozás mire vonatkozik, mi a tárgya, a hatálya, mit kell pontosan érteni a fogalmak alatt, amelyeket a szabályozás használ. Az alapvető fogalmi meghatározások, azok pontossága vagy éppen pongyolasága, illetve értelmezése jelentősen befolyásolhatja, hogy mikor és mire kell alkalmazni egy adott jogszabályt.

Sokszor egészen egyszerű jelenségek precíz fogalmi meghatározása sem egyszerű, még inkább így van ez olyan fogalmak esetében, amelyek nagyon összetett jelenségeket érintenek. A mesterséges intelligencia éppen egy ilyen, nagyon nehezen vagy máshonnan nézve, nagyon sokféleképpen meghatározható fogalom, hiszen alapvetően egy gyűjtőkategória, amely számos különböző technológiát fog össze. 

Regulation concerning artificial intelligence is in the spotlight, as the Executive Order of the President of the United States on AI was published on October 30, and the text of the AI Act is being finalized in the EU in the framework of negotiations (trilogue) between the Parliament, the Council and the Commission.  

When it comes to legal regulation, it is always a key question what the given regulation refers to, what is its object, scope, and what exactly should be understood by the terms used by the regulation. Basic definitions, their precision, or even their vagueness or interpretation can have a significant influence on when and for what a given regulation applies.

It is often difficult to define very simple phenomena precisely, even more so in the case of concepts that involve very complex phenomena. Artificial intelligence is just such a concept, which is very difficult to define or it can be defined in many different ways, since it is basically an umbrella category that brings together many different technologies. 

Újabb mérföldkőhöz érkezett tegnap az uniós "adatjogi" jogalkotás. Az Európai Parlament elfogadta az ún. adatmegosztási rendeletet (Data Act), amely a Tanács általi - a Parlement és a Tanács közötti korábbi politikai megállapodás révén borítékolható - elfogadást követően, kihirdetésre kerülhet az EU Hivatalos Lapjában, majd a kihirdetést követő 20. napon hatályba is léphet. (A Parlament által elfogadott szöveg angolul elérhető itt, magyarul pedig itt.)

A Data Act alkalmazására lesz idő felkészülni, mert a kihirdetést követően 20 hónap áll majd rendelkezésre a felkészüléshez (egyes kötelezettségek kapcsán még több idő áll majd rendelkezésre a felkészülésre). A kihirdetés pontos idejétől függően 2025. második felétől lesz tehát vélhetően alkalmazandó a jogszabály.

Another milestone was reached yesterday in EU legislation on "data law". The European Parliament adopted the Data Act, which, once formally approved also by the Council, could be published in the Official Journal of the EU and enter into force on the 20th day following publication. (The text adopted by the Parliament is available here.)

Az elmúlt napokban számos cikket olvashattunk, miszerint az Európai Adatvédelmi Testület (EDPB) döntésével megtiltja a Meta-nak, hogy a Facebook és az Instagram szolgáltatásokkal összefüggésben személyes adatokat használjon a célzott hirdetésekhez (lásd például itt, itt, itt és itt). A Testület döntéséről azt követően érkezett a hír, hogy a Meta - hivatalosan is - bejelentette, miszerint fizetős opcióként lehetőséget biztosít a felhasználóknak a Facebook és Instagram szolgáltatások reklámmentes igénybevételére. 

A személyre szabott hirdetések és a célzáshoz felhasznált személyes adatok, illetve az ehhez szükségszerű profilozás már hosszú ideje komoly vita tárgyát képezi az EU-ban, különösen a GDPR alkalmazandóvá válása óta. A Meta a Facebook és Instagram szolgáltatások révén különösen a célkeresztben volt és - a Meta tekintetében az EU-ban vezető hatóságként eljáró ír adatvédelmi hatóságtól (DPC) - a társaság az elmúlt két évben több, nagyon jelentős összegű bírságot is kapott, beleértve a GDPR alapján kiszabott bírságok közül eddig rekordnak számító 1.2 milliárd euró összegű bírságot is. 

On October 30, 2023, US President Biden signed an Executive Order (EO) on Artificial Intelligence. The adoption of this EO marks an important milestone in regulating AI, even if it is not a comprehensive legislation regarding its subject matter, however, it covers very important aspects of AI development, including AI safety and security and building infrastructure for AI development in the US. (A fact sheet about the main points of the EO is available here.)

Az MI rendszerek használata kapcsán az egyik gyakran emlegetett kihívás az átláthatóság kérdése. Sokszor merül fel kritikaként ugyanis, hogy a modellek működése egy ún. "fekete doboz" (black box), nem tudjuk, illetve sokszor nem értjük pontosan mi játszódik le a "motorháztető alatt". 

Az MI alkalmazásával kapcsolatban azonban felmerül egy más jellegű transzparencia probléma is: az MI rendszereket fejlesztő - jellemzően nagy technológiai vállalatok - nem mindig tesznek meg mindent azért, hogy átláthatóvá tegyék a modelljeik működését, megfelelően tájékoztatássák az érintetteket. Ez a tendencia ráadásul, az utóbbi időben az éleződő verseny miatt, tovább erősödött, amelynek a szélesebb közvélemény is kárát látja, hiszen az MI megoldások használatának rohamos terjedését tapasztalhatjuk, mindeközben egyre kevésbé láthatjuk át, mi is történik valójában, milyen adatokkal tanították a rendszert, miként kezelik az adatokat, hogyan jön létre az a kimeneti eredmény, amellyel találkozunk. 

A mesterséges intelligencia (MI) rendszerek fejlesztése során sok fejtörést okozhat, miként történhet az adatvédelmi szabályoknak megfelelően a fejlesztés. Az adatvédelmi követelmények alkalmazása során számos kihívással találkozhatnak a fejlesztők, amelyekre még kevés kézzelfogható iránymutatás áll rendelkezésre. Éppen ezért jelentős mérföldkő, hogy - a mesterséges intelligencia témák kapcsán egyébként is igen akítv - francia adatvédelmi hatóság (CNIL) október 16-án közzétett egy praktikus ("how-to") útmutatót a GDPR-nak is megfelelő MI fejlesztések előmozdítása érdekében. (Az útmutató november 16-ig véleményezhető, ezt követően a visszajelzések feldolgozását követően nyeri el majd a végleges formáját.)   

Az álnevesítés alkalmazása kapcsán számos esetben találkozhatunk félreértésekkel, amelyek gyakran abból a - téves - megközelítésből erednek, hogy az adatok az álnevesítéssel elveszítik személyes adat jellegűket és így már nem alkalmazandók rájuk az adatvédelmi szabályok. Ezzel szemben fontos rögzíteni, hogy az álnevesített adatok személyes adatnak minősülnek és ennek megfelelően kell ezeket kezelni. 

A NAIH által a közelmúltban közzétett határozat éppen az álnevesítés kérdésével és az álnevesített adatokat érintő hozzáférési jog gyakorlásával foglalkozik. 

Az emailezés a mindennapok szerves részévé vált, igaz ez a munkavégzésre és a munkán kívüli tevékenységekre egyaránt. Egy felmérés szerint 2023-ban naponta (!) közel 350 milliárd email kerül elküldésre és ez a szám az elkövetkező években tovább növekedhet (éves szinten kb. 4%-al).

Az emailek - a küldő és címzett(ek) email címén (lásd a Kúria 2023-ban közzétett ítéletét a témához) túlmenően is - sok esetben személyes adatokat tartalmaznak. Éppen ezért kiemelten fontos, hogy milyen módon valósulnak meg az emailezés során az adatvédelmi követelmények. (Az emailek és a titkosítás kapcsolatáról és az ez erre irányuló hatósági gyakorlatról itt írtam korábban.)    

A brit adatvédelmi hatóság (ICO) a közelmúltban egy praktikus útmuatót tett közzé a vállalkozások részére, amely a tömeges email küldés kapcsán ad eligazítást az adatvédelmi követelményeknek való megfeleléshez.