TFL Vsebine / TFLGlasnik

1. UVOD

Za obravnavo vse bolj očitnih tveganj, povezanih z uporabo umetne inteligence (v nadaljevanju: UI), je Evropska unija (v nadaljevanju: EU) sprejela Uredbo o določitvi harmoniziranih pravil o umetni inteligenci¹ (v nadaljevanju: Akt o umetni inteligenci) - prvi celovit akt, ki ureja razvoj, uporabo in nadzor umetnointeligenčnih sistemov. Namen akta je vzpostaviti pravna varovala glede varnosti, preglednosti, odgovornosti in spoštovanja temeljnih pravic v digitalni dobi.

UI pri svojem delovanju pogosto temelji na obdelavi velikih količin podatkov, med katerimi so lahko tudi osebni podatki in avtorsko zaščitene vsebine. Ključno vprašanje, ki se ob tem postavlja, je, kako se Akt o umetni inteligenci umešča v obstoječi evropski pravni okvir, zlasti v razmerju do Uredbe o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ² (v nadaljevanju: GDPR) ter Direktive o avtorski in sorodnih pravicah na enotnem digitalnem trgu ³ (v nadaljevanju: Direktiva o avtorskih pravicah), ki zadevata uporabo zaščitenih vsebin v procesih učenja in delovanja umetnointeligenčnih sistemov.

V času pospešene uvedbe umetnointeligenčnih sistemov v poslovne procese organizacij postaja razumevanje medsebojnih vplivov evropskih pravnih aktov ključno strokovno orodje revizorjev pri presoji skladnosti organizacij. Prispevek se osredotoča na vprašanje varstva osebnih podatkov in avtorskih pravic v razmerju do UI-ja ter analizira, kako obstoječa evropska regulativa obravnava to razmerje in kako se ti premiki odražajo v slovenskem pravnem redu. V prispevku so izpostavljene ključne pravne zahteve glede uporabe podatkov v umetnointeligenčnih sistemih, obravnavamo pa tudi izzive in vrzeli, s katerimi se srečujejo revizorji in drugi deležniki v digitalnem okolju.

2. TEMELJNI POJMI V AKTU O UMETNI INTELIGENCI

Akt o umetni inteligenci predstavlja prvo celovito ureditev umetnointeligenčnih sistemov na podlagi tveganj. Sistemi se razvrščajo v štiri glavne kategorije: (1) prepovedani sistemi z nedopustnim tveganjem (npr. biometrično profiliranje, manipulacija), (2) visokotvegani sistemi, za katere velja vrsta strogo predpisanih pogojev (npr. uporaba UI-ja v zdravstvu, zaposlovanju, kritični infrastrukturi), (3) sistemi z omejenim tveganjem, za katere velja predvsem zahteva po preglednosti, ter (4) sistemi z minimalnim tveganjem, za katere Akt o umetni inteligenci ne postavlja posebnih obveznosti. Pri tem pogoji za uporabo visokotveganih umetnointeligenčnih sistemov vključujejo: sistematično upravljanje tveganj, preverjanje kakovosti vhodnih podatkov, tehnično dokumentacijo, vodenje dnevnikov, preglednost, človeški nadzor in zagotavljanje kibernetske varnosti. ⁴

Zavezanci po Aktu o umetni inteligenci so vsi subjekti v življenjskem ciklu umetnointeligenčnega sistema: ponudniki (razvijalci ali lastniki sistemov), uvajalci oz. uporabniki, uvozniki, distributerji in pri subjektih zunaj EU-ja - pooblaščeni zastopniki s sedežem v EU-ju.

Vsak izmed teh ima jasno opredeljene naloge:

• Ponudnik mora zlasti zagotoviti zasnovo sistema, ki omogoča sledljivost, pojasnljivost in preglednost odločitev.
• Uvajalec mora zlasti skrbeti za ustrezno uporabo sistema in ustreznost vhodnih podatkov, izvajati nadzor in zagotavljati človekov nadzor nad ključnimi odločitvami.
• Uvoznik in distributer morata preveriti, ali je sistem skladen s predpisanimi zahtevami, pred dajanjem na trg.

3. UI IN VARSTVO OSEBNIH PODATKOV

EU je za zaščito temeljnih pravic posameznikov še pred sprejetjem Akta o umetni inteligenci sprejel GDPR, ki od leta 2018 vzpostavlja enotna pravila glede obdelave osebnih podatkov po vsej Evropski uniji. Da bi zares razumeli, kako lahko organizacije zakonito in odgovorno uporabljajo UI, je ključno preučiti, kako se določbe Akta o umetni inteligenci prepletajo s predhodno obstoječim GDPR-jem. Oba akta sta namreč specialna na posameznih področjih, njune določbe pa se dopolnjujejo ter skupaj oblikujejo okvir za etično in zakonito ravnanje z osebnimi podatki v digitalni dobi. To je ključno tudi za delo revizorjev informacijskih sistemov, ki morajo presojati skladnost tehnoloških rešitev z veljavno zakonodajo.

3.1. Osebni podatki in temeljna načela njihove obdelave

Ker so podatki, vključno z osebnimi podatki, v jedru delovanja umetnointeligenčnih sistemov, je velika verjetnost, da bo v življenjski cikel umetnointeligenčnega sistema vključena tudi obdelava osebnih podatkov. Zato je pomembno izpostaviti nekatere koncepte iz GDPR-ja, ki so še posebej relevantni za umetnointeligenčne sisteme. GDPR v 4. členu določa, da so osebni podatki katera koli informacija v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki). Pri tem je določljiv posameznik tisti, ki ga je mogoče neposredno ali posredno določiti. Umetnointeligenčni sistemi pogosto obdelujejo osebne podatke v vseh fazah življenjskega cikla - od faze učenja, testiranja, do dejanskega delovanja. Ob tem mora biti zagotovljeno spoštovanje sedmih osnovnih načel obdelave podatkov (5. člen GDPR–ja), in sicer: podatki morajo biti obdelani zakonito, pošteno in pregledno (»zakonitost, pravičnost in preglednost«), zbrani za določene, izrecne in zakonite namene (»omejitev namena«); ustrezni, relevantni in omejeni na to, kar je potrebno za namene (»najmanjši obseg podatkov«); točni in, kadar je to potrebno, posodobljeni (»točni«), hranjeni le toliko časa, kolikor je potrebno (»omejitev hrambe«), in obdelovani na način, ki zagotavlja ustrezno varnost (»celovitost in zaupnost«).

3.2. Razmerje med GDPR-jem in Aktom o umetni inteligenci

Akt o umetni inteligenci in GDPR ⁵ sta dva temeljna, a vsebinsko različna pravna okvira, ki skupaj tvorita regulativno podlago za razvoj in uporabo umetnointeligenčnih sistemov v EU–ju. Pri tem se GDPR osredotoča na zaščito posameznikov pred neupravičeno ali pretirano obdelavo osebnih podatkov, temeljni cilj Akta o umetni inteligenci pa je spodbujanje zaupanja vrednih umetnointeligenčnih sistemov, ne glede na to, katere podatke obdelujejo.

Akt o umetni inteligenci za umetnointeligenčne sisteme sicer zahteva tudi spoštovanje temeljnih pravic ⁶ in se v posameznih delih celo izrecno dotika vprašanja osebnih podatkov. Tako med drugim zahteva, ⁷ da morajo biti visokotvegani umetnointeligenčni sistemi razviti na podlagi podatkov primerne kakovosti, kar med drugim vključuje tudi upoštevanje namena zbiranja osebnih podatkov. ⁸ Vprašanje obdelave posebnih vrst osebnih podatkov pa je tudi eden izmed dejavnikov pri razvrščanju umetnointeligenčnih sistemov med visokotvegane sisteme. ⁹ Kljub temu se po vsebini Akt o umetni inteligenci bolj osredotoča na upravljanje tveganj v okviru zasnove, razvoja in upravljanja umetne inteligence in s tem povezanih odgovornosti.

Pri tem je v Aktu o umetni inteligenci ¹⁰ izrecno navedeno, da ne posega v določbe GDPR-ja in da posamezniki, na katere se nanašajo osebni podatki, še naprej uživajo vse pravice in jamstva iz GDPR-ja. To pomeni, da se oba akta uporabljata sočasno in dopolnjujoče, ne pa nadomestno. Temeljni akt za presojo ustreznosti varstva osebnih podatkov tako ostaja GDPR, ki določa ukrepe za varstvo osebnih podatkov in njihovo obdelavo.

Ena izmed ključnih napačnih predpostavk, na katero opozarja tudi Evropski odbor za varstvo podatkov (EDPB), je domneva, da skladnost z enim od aktov samodejno pomeni skladnost tudi z drugim. Zato je za revizorje ključno razumevanje, da se mora vsak umetnointeligenčni sistem presojati z vidika obeh zakonodajnih okvirov - tako glede zakonitosti obdelave podatkov kot tudi glede upravljanja tveganj po Aktu o umetni inteligenci. Tako npr. umetnointeligenčni sistem, ki ni označen kot sistem z visokim tveganjem po Aktu o umetni inteligenci, lahko še vedno pomeni kršitev GDPR-ja, če obdeluje osebne podatke brez ustrezne pravne podlage. Podobno uspešno opravljena presoja skladnosti po Aktu o umetni inteligenci ne pomeni, da sistem sam po sebi izpolnjuje tudi zahteve glede preglednosti, omejitve namena ali minimalizacije podatkov po GDPR-ju. ¹¹

3.2.1. Komplementarni učinki Akta o umetni inteligenci in GDPR-ja

Čeprav sta bila Akt o umetni inteligenci in GDPR sprejeta z različnimi nameni, sta komplementarna glede določenih skupnih ciljev na nekaterih področjih. Tako določene zahteve Akta o umetni inteligenci dodatno prispevajo k varstvu osebnih podatkov po GDPR-ju. Pri tem je treba poudariti, da se predstavljene zahteve Akta o umetni inteligenci nanašajo večinoma na visokotvegane umetnointeligenčne sisteme. Za vse druge kategorije umetnointeligenčnih sistemov pa je nabor obveznosti bistveno ožji.

3.2.1.1. Zaščita pravic posameznika pri avtomatiziranem odločanju in človeški nadzor

Prvo pomembno presečǐšče je področje avtomatiziranega odločanja. GDPR ¹² posamezniku zagotavlja pravico, da ni predmet odločitve, ki ima pravne učinke zanj, in temelji izključno na avtomatizirani obdelavi ali profiliranju. Izjeme ¹³ naj bi bile dopustne le v nekaterih primerih, ¹⁴ za tako obdelavo pa morajo biti sprejeti tudi ustrezni zaščitni ukrepi, da se zagotovi pravica do osebnega posredovanja, pravica izraziti svoje stališče, pravica dobiti pojasnilo o odločitvi, ki je bila sprejeta po takem ocenjevanju, in pravica do izpodbijanja odločitve.

Podobno je v Aktu o umetni inteligenci ¹⁵ določeno, da bi morali biti visokotvegani sistemi zasnovani in razviti tako, da lahko fizične osebe nadzorujejo njihovo delovanje, zagotavljajo, da se uporabljajo, kot je bilo predvideno, in da se njihovi vplivi obravnavajo v celotnem življenjskem ciklu sistema. Zato bi moral ponudnik sistema pred dajanjem sistema na trg ali v uporabo določiti ustrezne ukrepe za človeški nadzor. Zlasti bi morali taki ukrepi, kadar je primerno, zagotavljati, da za sistem veljajo vgrajene operativne omejitve, ki jih sistem sam ne more razveljaviti, da se sistem odziva na človeškega operaterja ter da imajo fizične osebe, ki jim je bil dodeljen človekov nadzor, potrebne kompetence, usposobljenost in pooblastila za opravljanje te vloge.

3.2.1.2. Ocena učinka

Drugo pomembno stičišče je zahteva po izvedbi ocene učinka. V GDPR-ju je določeno, ¹⁶ da mora upravljalec izvesti oceno učinka na varstvo podatkov (DPIA), kadar je verjetno, da bo obdelava osebnih podatkov povzročila visoko tveganje za pravice posameznikov. To je še posebej pomembno pri avtomatiziranem odločanju s pravnim ali podobnim učinkom in v nekaterih drugih primerih, ki bi lahko zajemali tudi umetnointeligenčne sisteme (npr. pri obsežnem profiliranju posameznikov, sistematičnem nadzoru nad posamezniki, množični obdelavi osebnih podatkov in drugem). ¹⁷

Podobno Akt o umetni inteligenci za sisteme, ki predstavljajo visoko tveganje, zahteva, da še pred uvedbo takega sistema uvajalec izvede oceno tveganja takega sistema za temeljne pravice. Ocena učinka po Aktu o umetni inteligenci se pri tem osredotoča predvsem na vprašanja postopkov uvajalca, časovne komponente uporabe sistema, prepoznavanja oseb, na katere bo verjetno vplivala uporaba sistema, tveganja škode ter opis izvajanja ukrepov za človeški nadzor in druge ukrepe.

V skladu z Aktom o umetni inteligenci ¹⁸ lahko ustrezno pripravljen DPIA po GDPR-ju postane temelj za širšo oceno vpliva umetnointeligenčnega sistema na temeljne pravice, ki se zahteva po Aktu o umetni inteligenci, s čimer je organizacijam omogočen celovit pristop k upravljanju skladnosti.

3.2.1.3. Zahteva po preglednosti delovanja

Tretje področje sinergije je področje preglednosti delovanja umetnointeligenčnih sistemov. Načelo preglednosti, kot ga določa GDPR, ¹⁹ od upravljalcev zahteva, da posameznikom zagotavljajo jasne in razumljive informacije o obdelavi osebnih podatkov. Te morajo zajemati informacije o obstoju avtomatiziranega sprejemanja odločitev ter smiselne informacije o razlogih zanj, pa tudi o pomenu in predvidenih posledicah take obdelave za posameznika, na katerega se nanašajo osebni podatki. Upravljalec bi moral ²⁰ posamezniku na njegovo zahtevo zagotoviti tudi kopijo njegovih osebnih podatkov, kar pomeni, da mu mora dati na voljo podatke, ki se uporabljajo kot vhodni podatki.

Akt o umetni inteligenci pa dodatno uvaja zahteve po preglednosti in razumljivosti umetnointeligenčnih sistemov, ²¹ kar pomeni, da morajo biti ključni parametri, logika in pričakovani učinki teh sistemov jasni tudi uvajalcem. Določba posredno vpliva tudi na preglednost za končne uporabnike. Taka nadgradnja standardov preglednosti neposredno vpliva na preglednost tudi v smislu GDPR-ja.

3.2.1.4. Zagotavljanje varnosti

Nazadnje je pomembno poudariti sinergijo obeh aktov na področju zagotavljanja varnosti podatkov. Zaradi obsega in občutljivosti osebnih podatkov, ki jih umetnointeligenčni sistemi obdelujejo, in novih vrst napadov na podatke umetnointeligenčnih sistemov (npr. model inversion, membership inference), ki lahko razkrijejo osebne podatke, je treba stalno spremljati tehnološki razvoj in izvajati ustrezne varnostne ukrepe za zaščito podatkov. GDPR v zvezi s tem določa, ²² da upravljalec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskih ukrepov zagotovita ustrezno raven varnosti glede na tveganje. Ti ukrepi po GDPR-ju vključujejo psevdonimizacijo in šifriranje podatkov, zagotavljanje zaupnosti, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo, možnost povrnitve podatkov ob incidentu in drugo. Akt o umetni inteligenci v zvezi z visokotveganimi umetnointeligenčnimi sistemi določa, da morajo biti ti zasnovani in razviti tako, da dosegajo ustrezno raven točnosti, robustnosti in kibernetske varnosti. ²³ Pri tem Akt o umetni inteligenci v zvezi s samo varnostjo najprej zahteva, da so umetnointeligenčni sistemi odporni na poskuse nepooblaščenih tretjih oseb, da z izkoriščanjem šibkih točk sistema spremenijo njihovo uporabo, izhodne podatke ali zmogljivost. Glede na tveganja posameznega sistema naj bi ponudniki in upravljaki teh sistemov sprejeli tudi ukrepe za preprečevanje, odkrivanje, odzivanje, reševanje in nadzor v zvezi z napadi, ki poskušajo manipulirati z naborom učnih podatkov (zastrupitev podatkov) ali prednaučenimi komponentami, uporabljenimi pri učenju (zastrupitev modelov), v zvezi z vhodnimi podatki, katerih namen je povzročiti napako umetnointeligenčnega modela (nasprotovalni primer ali izogibanje modelov), napadi na zaupnost ali pomanjkljivostmi modela.

3.2.2. Izzivi na stičišču Akta o umetni inteligenci in GDPR-ja

Kljub temu da sta Akt o umetni inteligenci in GDPR usmerjena v zaščito temeljnih pravic posameznikov, pa UI zaradi svojih tehnoloških posebnosti ter obsega in narave podatkov uvaja nove kompleksne izzive na področju varstva osebnih podatkov.

Glavne tehnične okvirne ovire za zagotavljanje skladnosti različnih vrst umetne inteligence z GDPR-jem v EU-ju izhajajo iz specifičnih značilnosti posameznih vrst UI-ja in zahtev po varstvu osebnih podatkov. V nadaljevanju podrobneje osvetlimo nekaj najpomembnejših tehničnih izzivov na tej poti.

3.2.2.1. Zahteva po preglednosti in pravica do pojasnila

Zahteva po preglednosti obdelave osebnih podatkov predstavlja poseben izziv zlasti v zvezi s sistemi, ki za svoj razvoj uporabljajo globoko učenje in nevronske mreže. Ti sistemi so pogosto zelo kompleksni in delujejo kot črne skrinjice, kjer ni enostavno razložiti, kako so bile sprejete posamezne odločitve. V nekaterih primerih so odločitve in procesi nejasni tudi za razvijalce. To otežuje izpolnjevanje zahteve po preglednosti in razložljivosti obdelave osebnih podatkov, ki sta ključni zahtevi GDPR-ja, zlasti glede pravice posameznikov do pojasnila o obdelavi njihovih podatkov in avtomatiziranih odločitvah. ²⁴ Razvoj razložljivih umetnointeligenčnih sistemov (angl. explainable AI) je zato nujen za povečanje preglednosti in omogočanje nadzora nad odločitvami UI-ja.

V povezavi s preglednostjo odločanja umetnointeligenčnih sistemov se postopoma oblikuje tudi sodna praksa na evropski ravni. Sodišče EU je v dveh primerih ²⁵ odločalo o pravici posameznika do dostopa do podatkov pri odločanju z avtomatiziranimi sredstvi. V enem primeru je bila z avtomatiziranimi sredstvi izdelana bonitetna ocena posameznika, ki je bila podlaga za zavrnitev sklenitve naročniškega razmerja z operaterjem mobilne telefonije, v drugem pa je bilo z avtomatiziranimi sredstvi pripravljeno kreditno točkovanje posameznika, ki je bilo podlaga za zavrnitev posojila. V obeh primerih je sodišče potrdilo pravico dostopa do informacij o avtomatiziranem postopku odločanja, pod določenimi pogoji, tudi kadar so zahtevane informacije zaščitene s pravicami drugih. ²⁶ Pri tem pa je določilo, da mora tehtanje sorazmernosti med varstvom pravic tretjih oseb v smislu razkritja poslovnih skrivnosti in pravico do dostopa do informacij opraviti pristojni organ ali sodišče.

3.2.2.2. Namen obdelave podatkov in pravna podlaga

Poseben vidik preglednosti obdelave osebnih podatkov je tudi preglednost namena obdelave podatkov. Namen obdelave osebnih podatkov mora biti v skladu z GDPR-jem pravilima jasno opredeljen že v fazi zbiranja osebnih podatkov, saj je od namena odvisna tudi zakonitost zbiranja v smislu pravne podlage. Pri tem poseben izziv predstavlja kompleksnost uporabe podatkov v okviru razvoja in vzdrževanja umetnointeligenčnega sistema, saj ta pogosto zajema uporabo podatkov za več različnih namenov. Pri ocenjevanju zakonitosti je treba ločevati obdelavo v okviru posameznih procesov, kot so: i) zbiranje podatkov, potrebnih za učenje sistema (s tehnikami, kot je na primer web-scraping), ponovna uporaba podatkovnih zbirk, ii) predobdelava podatkov (kot je filtriranje), iii) učenje sistema, iv) poizvedbe in rezultati poizvedb, v) nadaljnje učenje s poizvedbami. ²⁷ Vsaka izmed teh faz predstavlja svoj namen, ob spremembi namena pa je treba ponovno preveriti ustreznost pravne podlage.

Če so podatki pridobljeni za določen namen (na primer za osnovno poslovno dejavnost organizacije), upravljalec pa jih brez dodatnih soglasij začne obdelovati za drug namen (na primer za učenje umetnointeligenčnega sistema), lahko to pomembno vpliva na veljavnost pravne podlage za obdelavo podatkov (veljavnost soglasja). Takšna nadaljnja uporaba podatkov je dopustna le, če ne gre za občutljive osebne podatke ²⁸ in če je nadaljnja uporaba združljiva z namenom, za katerega so bili podatki prvotno zbrani. ²⁹ V nasprotnem primeru mora upravljalec pred začetkom nove obdelave najprej zagotoviti oziroma določiti novo ustrezno pravno podlago (na primer novo privolitev posameznika ali določitev drugih pravnih podlag). Pri občutljivih podatkih pa je treba zadostiti tudi eni od izjem iz člena 9 GDPR-ja, ki vključujejo zlasti izrecno privolitev oziroma obdelavo, potrebno za namene javnega interesa na posameznih področjih. Pri tem morajo biti posamezniki, na katere se podatki nanašajo, tudi obveščeni o okoliščinah obdelave podatkov.

V zvezi s tem je Informacijski pooblaščenec RS (v nadaljevanju: IP) v enem izmed svojih mnenj primeroma pojasnil, ³⁰ da bi, če bi uradna oseba v upravnem postopku na elektronski nosilec zvoka narekovala zapisnik v obliki govorjene besede, ³¹ UI pa bi nato ustvaril zapis v pisani besedi (dobesedni prepis), pravna podlaga za dejanje obdelave same pretvorbe obstajala. Pri tem se mnenje IP-ja opira na določbe Zakona o upravnem postopku, ³² iz katerih izhaja, da se iz zapisnika na elektronskem nosilcu zvoka pripravi pisni odpravek zapisnika. Zanimivo bo spremljati tudi napovedane tožbe proti podjetju Meta, ki je letos med drugim najavilo, da bo javno dostopne vsebine svojih uporabnikov, vključno s fotografijami, objavami in komentarji, uporabilo za treniranje umetne inteligence.

Pri tem Akt o umetni inteligenci poskuša nekoliko olajšati uporabo osebnih podatkov, tako da izrecno dopušča, ³³ da se izjemoma obdelujejo posebne vrste osebnih podatkov, če je to nujno potrebno za odkrivanje in popravljanje pristranskosti in tega ni mogoče doseči drugače ter so izpolnjeni drugi strogi pogoji, kot so najsodobnejši ukrepi za varnost in ohranjanje zasebnosti, ter drugo. Pod določenimi pogoji je dopustna tudi nadaljnja obdelava osebnih podatkov v okviru regulativnih peskovnikov, ³⁴ če je to potrebno za zaščito bistvenega javnega interesa.

Posebno pozornost je pri tem treba nameniti vprašanju, ali je zakoniti interes sploh lahko uporabljen kot pravna podlaga za razvoj ali uporabo umetnointeligenčnih modelov, še posebno v zvezi s tehnikami, kot je na primer web-scraping. ³⁵ EDPB³⁶ v svojem mnenju pri tem opozarja, da je potreben tristopenjski preizkus, v katerem je treba najprej ugotoviti, ali zakoniti interes zares obstaja ter je jasno izražen in resničen, nadalje, ali dejavnost dejansko koristi temu interesu in ali obstaja manj vsiljiv način (preizkus nujnosti), ter oceniti, ali obstajajo pravice posameznikov, ki prevladajo nad zakonitim interesom za zbiranje OP-ja (preizkus uravnoteženje). EDPB ³⁷ je pri tem poudaril, da je uvedba umetnointeligenčnega modela, razvitega z uporabo nezakonito obdelanih osebnih podatkov, lahko nezakonita, razen če je bil model resnično anonimiziran.

3.2.2.3. Omejitve shranjevanja

GDPR se v več določbah dotika vprašanja trajanja hrambe osebnih podatkov. Ta naj bi bila omejena na najkrajše mogoče obdobje, ³⁸ posameznik pa naj bi imel tudi pravico do pozabe in izbrisa osebnih podatkov. ³⁹ Pri tem se pri podatkih, uporabljenih za učenje umetnointeligenčnih sistemov, ki jih je umetnointeligenčni sistem v določeni fragmentirani obliki trajno memoriziral, pojavlja vprašanje, kako tehnično zagotoviti izbris oziroma možnost (naključnega) ponovnega priklica.

3.2.2.4. Točnost podatkov in pravica do popravka

Ena izmed pravic po GDPR-ju je tudi pravica do popravka netočnih osebnih podatkov. ⁴⁰ Ta pravica predstavlja poseben problem zlasti pri generativnih umetnointeligenčnih sistemih, kot so veliki jezikovni modeli (npr. ChatGPT), kjer je izziv zagotoviti, da generirane vsebine ne vsebujejo osebnih podatkov ali da se nenamerno ne razkrijejo zasebne informacije. Še posebno velik izziv glede tega so halucinacije modela, saj si lahko modeli določene osebne podatke tudi izmislijo.

Več evropskih organov za varstvo osebnih podatkov je že začelo preiskovalne postopke zoper OpenAI, ⁴¹ med drugim tudi zaradi halucinacij, ki jih je imel ChatGPT v zvezi z neko fizično osebo. ⁴²

V zvezi z generativnimi modeli se pri tem postavlja vprašanje, kdaj lahko štejemo, da nek globoki ponaredek vsebuje osebne podatke fizične osebe. IP ⁴³ je zavzel stališče, da če je posameznik na globokem ponaredku dovolj podoben neki (pravi) fizični osebi, na podlagi katere je bil globoki ponaredek ustvarjen, se takšna fotografija mora razumeti kot osebni podatek.

3.2.2.5. Odgovornost in upravljanje podatkov

GDPR razlikuje med upravljalcem in obdelovalcem osebnih podatkov, njuna vloga in s tem povezana odgovornost pa se v praksi lahko prepletata, zlasti v kompleksnih umetnointeligenčnih sistemih, v katerih sodeluje več akterjev - razvijalci, ponudniki storitev v oblaku, uvajalci in uporabniki. Pri tem GDPR pozna tudi možnost t. i. skupnih upravljalcev. Tako v razmerju upravljalec - obdelovalec ⁴⁴ kot v razmerju skupnih upravljalcev ⁴⁵ pa morajo biti njihove odgovornosti jasno in tudi pisno določene.

V skladu z načelom odgovornosti so upravljalci odgovorni za zagotavljanje skladnosti z GDPR-jem in jo morajo biti sposobni tudi dokazati. Zaradi večplastne vloge različnih akterjev v procesu razvoja in implementacije umetnointeligenčnega sistema (razvijalci, upravljalci, obdelovalci) je jasno določanje odgovornosti zahtevno. IP je poudaril, da je pri tem ključno, da razvijalec ali uvajalec umetnointeligenčnega sistema pravilno presodi, kakšno vlogo - in s tem tudi odgovornosti - ima v okviru varstva osebnih podatkov. Razvoj in uvajanje umetnointeligenčnih sistemov običajno vsebuje več postopkov obdelav (osebnih) podatkov, ki lahko zasledujejo različne namene, zato ni nujno, da ista organizacija nastopa v vlogi upravljalca glede vseh obdelav osebnih podatkov. Lahko se zgodi, da je glede nekaterih obdelav podatkov upravljalec, glede drugih pa obdelovalec. ⁴⁶

4. UI IN VARSTVO AVTORSKIH PRAVIC

Avtorske pravice so kot ene izmed pravic intelektualne lastnine namenjene zaščiti literarnih in umetniških del, med drugim knjižnih del, člankov, glasbe, filmov, računalniških programov ipd. Vprašanje njihovega varstva v povezavi z UI-jem je relevantno v vseh fazah življenjskega cikla umetnointeligenčnega sistema - pri učenju, testiranju, samem delovanju sistema, prav tako pa pri izhodnih vsebinah, ki jih ustvari UI. V nadaljevanju podrobneje predstavimo izzive varstva podatkov, varovanih z avtorskimi pravicami.

Celoten članek je dostopen za naročnike!