A tavaly decemberben elért politikai kompromisszumot követően lázas munka folyik az EU mesterséges intelligencia rendeletének (MI rendelet) szövegezése körül. A szöveg technikai szinten történő egyeztetése a végéhez közeledik, ennek eredménye a most kiszivárgott szövegváltozat (2024. január 21-i állapot). 

Az alábbiakban a most közzétett szöveg ("Tervezet") alapján néhány, a korábbi tárgyalások és a politikai kompromisszum alapján is kényesebbnek tűnő kérdést tekintek át (még egyszer hansgúlyozva, hogy a végeleges jogszabály mág nem áll rendelkezésre, annak elfogadásához még kell az Európai Parlament és Tanács döntése is).  

Az Európai Bizottság közzétette a jelentését a GDPR előtti szabályok (95/46/EK irányelv) alapján elfogadott megfelelőségi határozatok felülvizsgálata tárgyában. A közzétett dokumentumhoz részletes országjelentés is kapcsolódik az érintett harmadik országok adatvédelmi rezsimjére vonatkozóan. 

Összességében azt állapította meg a Bizottság, hogy a vizsgált 11 harmadik ország adatvédelmi keretrendszere továbbra is megfelelő védelmet biztosít az EU-ból származó személyes adatok védelme tekintetében, így a megfelelőségi határozatok minden érintett ország tekintetében továbbra is alkalmazhatók az adattovábbítás alapjaként. 

A brit adatvédelmi biztos (Information Commissioner´s Office, ICO) konzultációra közzétett egy iránymutatást, amely a generatív mesterséges intelligencia rendszerek (GenAI) webről gyűjtött adatokkal történő tanításának feltételeivel foglalkozik. A téma jelentőségét az adja, hogy a generatív MI rendszerek tanítása tipikusan rengeteg adatot igényel, amely adatok összegyűjtése gyakran történik nyilvánosan elérhető forrásokból, így különösen az internetről. Az interneten hozzáférhető adatok (beleértve a személyes adatokat, illetve akár más védett kategóriába tartozó adatokat, pl. szellemi alkotásokat) felhasználása nem magától értetődő, a jogszerű felhasználás feltételeinek megteremtéséről gondoskodni kell. 

A piros csapatos tesztelés (red teaming) nem egy új tesztelési technika, de az elmúlt időszakban szélesebb körben is egyre inkább figyelmet kap a mesterséges intelligencia (MI) rendszerek sérülékenységeinek tesztelésével kapcsolatban. Olyannyira így van ez, hogy az Egyesült Államok elnökének 2023. október 30-án kiadott MI rendelete kifejezetten előírja bizonyos MI rendszerek esetében a piros csapatos tesztelést. 

Az alábbiakban röviden a piros csapatos tesztelés kérdésével foglalkozom, különös tekintettel az MI rendszereket érintően végzett ilyen jellegű tesztekre. 

Red teaming is not a new testing technique, but recently it has received increasing attention in connection with testing the potential vulnerabilities of Artificial Intelligence (AI) systems. Even the Executive Order issued by the President of the United States on October 30, 2023 requires red team testing for certain AI systems.

In the following, I will briefly address the topic of red team testing, with the focus on the application of such testing  technique regarding AI systems.

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) - az Infotv. vonatkozó rendelkezései alapján - minden évben megrendezi az adatvédelmi tiszviselők éves konferenciáját, amelyen az adott év hatósági oldalról legfontosabbnak tekintett adatvédelmi és információszabadság témáit tárgyalják a Hatóság munkatársai. A konferencián elhangzottak a hatósági gyakorlat alakulása kapcsán jó iránytűként szolgálnak, így az adatkezelőknek és adatfeldolgozóknak érdemes figyelemmel kísérniük ezeket az előadásokat. 

A 2023. évi előadások az alábbi főbb témákat fedték le: 

• Újdonságok az információs jogok kapcsán, a 2023-as év statisztikái (Dr. habil. Péterfalvi Attila, NAIH elnök)
• Uniós adatvédelmi fejlemények (Dr. Sziklay Júlia PhD, NAIH nemzetközi elnökhelyettes)
• Az Európai Unió Digitális Csomagja és az adatvédelem (Dr. Vass Norbert)
• Mesterséges intelligencia és adatvédelem: hatósági tapasztalatok (Dr. Vass Norbert)
• A GDPR bírságkiszabási szabályaival összefüggő 4/2022. számú Európai Adatvédelmi Testület iránymutatásról (Dr. Barabás Gergely)
• A NAIH adatvédelmi incidensekkel kapcsolatos fontosabb döntései 2023-ban (Dr. Eszteri Dániel)
• A költségvetési szervek új közzétételi kötelezettsége, az átláthatósági hatósági eljárás tapasztalatai (Dr. Tóth Éva)
• Az adatvédelmi tisztviselők helyzetére és szerepére vonatkozó 2023. évi felmérések, és egyes, a tisztviselők által feltett kérdések (Dr. Kiss Attila)

Alig két évvel a nemzeti adatvagyon törvény (2021. évi XCI. törvény) elfogadása és hatálybalépése után, rövidesen lényegesen megújul a nemzeti adatvagyon hasznosításának keretrendszere, miután a Parlament elfogadta "A nemzeti adatvagyon hasznosításának rendszeréről és az egyes szolgáltatásokról" szóló törvényt (a köztársasági elnöknek aláírásra megküldött törvény szövege elérhető itt). (A Parlament döntését követően a köztársasági elnök aláírása szükséges még, hogy az új törvény közzétételre kerülhessen a Magyar Közlönyben.)

A jogszabály többek között uniós jogszabályi implementációs kötelezettségeknek is eleget tesz: 

• egyrészt a nyílt hozzáférésű adatokról és a közszféra információinak további felhasználásáról szóló,  2019/1024 irányelvnek való megfelelést célozza (itt írtam korábban az irányelvről), 
• másrészt az európai adatkormányzásról szóló 2022/868 rendelet végrehajtásához szükséges rendelkezéseket is megállapít, 
• továbbá a belső piaci szolgáltatásokról szóló, 2006/123/EK irányelvnek való megfelelést szolgálja.

Az új nemzeti adatvagyon szabályozás hatálybelépésével egyidejűleg hatályát veszti majd a közadatok újrahasznosításáról szóló 2012. évi LXIII. törvény, és korábbi, nemzeti adatvagyonról szóló 2021. évi XCI. törvény is.

A német alkotmánybíróság 1983. december 15-én meghozott, a németországi népszámlálási törvénnyel kapcsolatos ítélete (ún. "népszámlálási-ítélet") az adatvédelmi jogfejlődés és az adatvédelmi jogalkalmazás alakulását alapvetően meghatározta és a mai napig érezteti a hatását. Az alábbiakban a 40 éves népszámlálási-ítélet hátterét és az adatvédelmi gondolkodásra gyakorolt hatását tekintem át röviden. 

The judgment of the German Constitutional Court of 15 December 1983 on the German Census Act of 1983 (the so-called "census judgment") had a long-lasting effect on the development of data protection law. Below I briefly review the background of the 40-year-old census judgment and its impact on the thinking about data protection.

Az elmúlt hét legnagyobb figyelmet kapott - komoly adatvédelmi vonatkozásokkal is bíró - eseménye az EU mesterséges intelligencia rendelete körüli egyeztetések maratoni utolsó fordulója volt, amely végül eredményt hozott és elvi megállapodás született az Európai Parlament és a Tanács között az MI rendelet tartalma kapcsán.

Talán kevesebb reflektorfény vetült rá, de az Európai Bíróság sem tétlenkedett a múlt héten, ami az adatvédelmet érintő ítéletek közzétételét illeti, hiszen több ügyben is fontos iránymutatásokat tartalmazó döntések jelentek meg. Az alábbiakban röviden a Bíróság múlt héten közzétett adatvédelmi tárgyú ítéleteinek néhány főbb elemét emelem ki.