Europos duomenų apsaugos priežiūros pareigūnas paskelbė naują gairių dokumentą: Dirbtinio intelekto (DI) sistemų rizikos valdymo gairės, kurios skirtos padėti įmonėms, veikiančioms kaip duomenų valdytojai, nustatyti ir sumažinti riziką, susijusią su Bendrajame duomenų apsaugos reglamente (BDAR) nustatytų duomenų apsaugos principų (sąžiningumo, tikslumo, duomenų minimalizavimo, saugumo ir duomenų subjektų teisių) nesilaikymu. Vienintelis šių gairių tikslas – palengvinti sistemingą rizikos duomenų apsaugai vertinimą. Kitaip tariant, jis nepakeičia būtino kiekvienos DI sistemos atitikties vertinimo, kurį turi atlikti duomenų valdytojas, kuris privalo užtikrinti, kad nustatyti rizikos veiksniai būtų valdomi taip, kad būtų įvykdyti visi ES ir nacionaliniais duomenų apsaugos teisės aktais nustatyti įpareigojimai.

Advokatų profesinės bendrijos „NEWTON LAW“ advokatė Asta Kederytė primena, kad BDAR tikslas – apsaugoti fizinių asmenų teises ir laisves, įskaitant privatumą ir duomenų apsaugą tvarkant jų asmens duomenis. Visi duomenų valdytojai yra atsakingi už jų duomenų tvarkymo veiklos keliamų pavojų šioms teisėms ir laisvėms nustatymą ir mažinimą bei už tai, kad gebėtų nurodyti ir paaiškinti, kaip jie tai padarė. Tai ypač svarbu, kai kalbama apie DI sistemų įsigijimą, kūrimą ir diegimą, kurių neigiamas poveikis dar nėra įvertintas. Šiose gairėse pateiktas rizikos veiksnių ir priešpriešinių priemonių sąrašas nėra baigtinis, o tik atspindi kai kurias aktualiausias problemas, kurias duomenų valdytojai turi spręsti įsigydami, kurdami ir diegdami DI sistemas.

Sąžiningumas yra bendrasis principas, pagal kurį asmens duomenys neturi būti tvarkomi taip, kad toks tvarkymas būtų nepagrįstai žalingas, neteisėtai diskriminuojantis, netikėtas ar klaidinantis duomenų subjektą. Kad duomenų tvarkymas būtų sąžiningas, duomenų subjektai turi aiškiai suprasti, kaip bus naudojami iš jų surinkti asmens duomenys ir kokį poveikį turės toks jų duomenų tvarkymas. Sąžiningumas įpareigoja duomenų valdytoją būti skaidrų bei neviršyti duomenų subjektų pagrįstų lūkesčių. Tačiau sąžiningumas numato ne tik skaidrumo reikalavimus. Advokatė A. Kederytė primena, kad siekiant laikytis sąžiningo duomenų tvarkymo reikalavimo, reikėtų įvertinti, kaip duomenų tvarkymas paveiks suinteresuotųjų asmenų, kaip grupės ir atskirai, interesus ir pagrindines teises, o asmens duomenys neturėtų būti naudojami taip, kad jiems būtų padarytas nepagrįstas neigiamas poveikis. Be to, duomenų valdytojai privalo įgyvendinti procedūrines apsaugos priemones, susijusias su duomenų rinkimu ir tvarkymu, taip pat su teisių ir interesų pusiausvyros užtikrinimu pagal duomenų apsaugos sistemą.

Sąžiningo duomenų tvarkymo reikalavimo laikymasis ypač svarbus, kai asmens duomenys tvarkomi DI sistemose, kurių veikimą ir poveikį gali būti sunku suprasti netgi patiems duomenų valdytojams. Viena svarbi rizika, kuri šiame kontekste gali lemti sąžiningumo principo nesilaikymą, yra šališkumas, ir būtent šiose gairėse sąžiningumo principas suprantamas kaip reikalavimas duomenų valdytojams nustatyti, įvertinti ir sumažinti šiuos šališkumus. Advokatė Asta Kederytė pabrėžia, kad siekiant užtikrinti, kad duomenų tvarkymas būtų sąžiningas, duomenų valdytojai, kurie perka, kuria ar diegia DI sistemas, susijusias su asmens duomenų tvarkymu, ypač tas, kurios naudojamos priimant sprendimus dėl asmenų ar padedant juos priimti, turėtų nustatyti ir įvertinti šiuos šališkumus bei įgyvendinti technines ir organizacines priemones, kad būtų užkirstas kelias bet kokiai diskriminacijai ar ji būtų ištaisyta.

Šališkumas DI sistemose gali duoti rezultatus, kuriuose atsispindi išankstiniai nusistatymai (pvz., neteisingas dėmesys tam tikrai rasei ar etninei grupei policijos kontekste) arba neteisingos preferencijos (pvz., neproporcingas paskolų paraiškų iš aukštesnių pajamų pašto kodų patvirtinimas).

Kai kurios pagrindinės šališkumo DI kontekste priežastys gali būti:

– Algoritminis šališkumas: pats DI sistemos dizainas gali duoti šališkus rezultatus – sprendimas naudoti tam tikrus DI modelius ir algoritmus bei įtraukti tam tikrą informaciją į DI sistemos kūrimą, gali lemti neteisingus rezultatus.

– Mokymasis, naudojant asmens duomenys: Siekiant veiksmingai apmokyti DI sistemą, mokymuisi paprastai skiriami dideli kiekiai asmens duomenų. Jei mokymuisi skirti asmens duomenys yra šališki, DI sistema išmoks tą šališkumą ir taip pat duos šališkus rezultatus. Pavyzdžiui, vyrai istoriškai užėmė tam tikras darbo vietas. DI sistema, mokoma naudojant istorinius duomenis, gali išlaikyti tokį istorinį šališkumą ir išmokti, kad vyrai yra tinkamiausi kandidatai tokioms darbo vietoms. Veido atpažinimo sistemos, mokomos naudojant tam tikrai demografinei grupei priklausančių asmenų veidus, taip pat turės sunkumų pasiekti aukštą statistinį tikslumą, kai susidurs su asmenų, kurie nėra arba yra nepakankamai atstovaujami mokymuisi naudojamų asmens duomenų rinkinyje, veidais.

– Kiti žmogiškieji šališkumai: kūrėjai arba už DI sistemos mokymą ar naudojimą atsakingi asmenys gali įtraukti savo sąmoningus ar nesąmoningus šališkumus į DI sistemų projektavimą ar įgyvendinimą. Pavyzdžiui, jei tam tikra mokymo proceso dalis reikalauja, kad žmogus peržiūrėtų dalį rezultatų, asmuo gali nuspręsti atmesti arba priimti kai kuriuos rezultatus, vadovaudamasis savo sąmoningais ar nesąmoningais šališkumais.

Advokatų profesinės bendrijos „NEWTON LAW“ advokatė Asta Kederytė atkreipia dėmesį, kad šios gairės skirtos asmenims, dalyvaujantiems dirbtinio intelekto sistemų pirkimuose, kūrime ir diegime, įskaitant programinės įrangos kūrėjus, duomenų mokslininkus, IT inžinierius, IT projektų vadovus, duomenų apsaugos pareigūnus ir duomenų apsaugos koordinatorius.

Apibendrinant galima teigti, kad rizikos, kurią gali kelti DI sistemos, mažinimas nėra antraeilė užduotis, o pagrindinė įmonių pareiga. Atitiktis BDAR, pagrindinių teisių apsauga ir visuomenės pasitikėjimo išsaugojimas priklauso nuo duomenų valdytojų gebėjimo aktyviai nustatyti, įvertinti ir mažinti riziką visą DI gyvavimo ciklą. Tam reikia daugiau nei vienkartinio vertinimo: reikalinga atskaitingumo kultūra, nuolatinė stebėsena ir prisitaikantis tobulinimas. Įtraukdamos šias praktikas į savo DI valdymą, įmonės gali ne tik susidoroti su sudėtingais DI kūrimo klausimais ir atsakingai naudoti DI, bet ir parodyti lyderystę užtikrinant, kad inovacijos būtų tvirtai grindžiamos pagarba pagrindinėms teisėms ir duomenų apsaugos principais.

Šis teisininko komentaras laikytinas bendro pobūdžio konsultacija. Siekiant individualios teisinės konsultacijos konkrečiu atveju turėtumėte kreiptis į advokatų profesinę bendriją „NEWTON LAW“ el. paštu info@newtonlaw.lt arba tel. +370 668 33866