Big Data, sztuczna inteligencja, algorytmy, profilowanie, biometria, uczenie maszynowe, interfejsy, pseudonimizacja … Brzmi niepokojąco? A może ekscytująco? Co oznaczają te terminy? W naszym cyklu wpisów dotyczących sztucznej inteligencji (artificial intelligence) postaramy się przybliżyć choć niektóre z nich w kontekście sztucznej inteligencji właśnie. W poprzednim wpisie na temat sztucznej inteligencji przyjrzeliśmy się, jak sztuczną inteligencję postrzega Unia Europejska w projektowanym Rozporządzeniu PE i Rady (UE) w sprawie sztucznej inteligencji[i].

Dzisiaj zajmiemy się przetwarzaniem danych osobowych przez sztuczną inteligencję, gdyż w tym zakresie sztuczna inteligencja może wpływać na życie każdego człowieka oraz dotykać kwestii prawnych.

 

Nowa definicja systemu sztucznej inteligencji

Przypomnijmy, że proponowana w ww. projekcie rozporządzenia w sprawie sztucznej inteligencji definicja systemu AI zakłada, że jest oprogramowanie opracowane z wykorzystaniem określonej techniki, w tym np. procesów uczenia maszynowego, zdolne do generowania w określonym celu wyników (takich jak treści, decyzje, przewidywania), wpływających na otoczenie, z którymi system sztucznej inteligencji wchodzi w interakcje[ii]. Zwróciliśmy  uwagę na fakt, że system sztucznej inteligencji został celowo zdefiniowany w projekcie szeroko, a to w celu uniknięcia dezaktualizacji w związku z postępem technologicznym.[iii]

Zatem istotą działania sztucznej inteligencji jest przetwarzanie informacji w celu wyciągnięcia na ich podstawie określonych wniosków, np. szacowania prawdopodobieństwa wystąpienia zdarzeń, wydawania diagnoz, identyfikowania ryzyk.

Czym jest Big Data?

Przetwarzanie dużej ilości danych określane jest mianem Big Data. Sam ów termin pochodzi z lat 90-tych, ale nabrał istotnego znaczenia w ostatnich czasach, wobec postępu technologicznego i dostrzeżenia potencjału danych dla biznesu. Czym się charakteryzuje to zjawisko? W materiałach Parlamentu Europejskiego możemy np. znaleźć określenie Big Data jako pojęcia odnoszącego się do dużych i złożonych zbiorów danych, których przetwarzanie, ze względu na kompleksowość, wymaga nowoczesnych technologii, takich jak sztuczna inteligencja. Dane pochodzą przy tym z wielu źródeł, a dzięki technologii ich przetwarzanie jest bardzo szybkie.[iv]

Czym jest uczenie maszynowe?

Czym z kolei jest uczenie maszynowe i jaki ma związek z danymi? Uczenie maszynowe to podkategoria (gałąź) sztucznej inteligencji. Komputery są uczone, jak automatycznie doskonalić jakość podejmowanych decyzji, przez nieustannie modyfikowaną wiedzę. Maszyna otrzymuje wiele przykładów i poddawana jest nowym scenariuszom, ucząc się znajdować powiązania, tendencje i wzorce między informacjami w zbiorach danych[v]. Należy uznać, że z im większej ilości danych korzysta sztuczna inteligencja, tym wyniki wygenerowane przez nią przy podejmowaniu decyzji stają się dokładniejsze. Przykładem zastosowania uczenia maszynowego mogą być technologie marketingowe polegające na formułowaniu spersonalizowanych propozycji reklamowych w oparciu o zbieranie i analizę jak największej ilości danych o konsumencie, w tym przez dostrzeganie wzorców wynikających z jego poprzednich zachowań (np. w sieci).

Sztuczna inteligencja, a dane osobowe

Wśród informacji, z których korzysta sztuczna inteligencja, mogą oczywiście znajdować się też dane osobowe. Jako przykłady możemy tu wskazać:

  • systemy służące do diagnozowania chorób lub szacowania ryzyka ich wystąpienia, np. ryzyka zawału serca, w oparciu o dane o stanie zdrowia i dane demograficzne osoby; zastosowanie zaś w diagnostyce uczenia maszynowego może uwzględniać np. wykrywanie zdarzeń w oparciu o wiedzę nabytą przez program na podstawie analizy niezmierzonej liczby zdjęć rentgenowskich lub opisów badań patomorfologicznych,
  • systemy wykorzystujące biomterię (rozumianą jako metody mierzenia cech ludzi i zwierząt), rozpoznającą unikalne biologiczne dane osobowe (wynikające z zachowania lub anatomii) do celów identyfikacji lub ustalenia tożsamości osób; w konsekwencji, w oparciu o rozpoznawanie biometryczne możliwe jest tworzenie systemów informatycznych służących do świadczenia określonych usług, takich jak np. płatności biometryczne, wykorzystujące uwierzytelnienie za pomocą odcisku palca, brzmienia głosu, czy rozpoznania tęczówki oka; (już dzisiaj we Wrocławiu można kupić bilet komunikacji miejskiej, płacąc za przejazd spojrzeniem), czy też do wydawania decyzji względem osoby; ten ostatni przykład może dotyczyć np. zwalczania przestępczości.
  • systemy sztucznej inteligencji mogą również wykorzystywać dane poprzez ich profilowanie, czyli zautomatyzowane przetwarzanie danych osobowych polegające na analizie zachowania osoby.

Możliwe przetwarzanie przez sztuczną inteligencję danych osobowych skutkuje potrzebą zapewniania należytej ochrony prawa do prywatności osób poddawanych oddziaływaniu sztucznej inteligencji.

Dostrzegając ten problem, Urząd Ochrony Danych Osobowych kilkakrotnie organizował w ostatnim czasie konferencje i webinaria na temat wpływu sztucznej inteligencji na prywatność i dane osobowe. W 2021 roku odbyły się co najmniej dwa takie wydarzenia: „Sztuczna inteligencja – w kontekście ochrony danych osobowych” (kwiecień 2021 r.) i „Sztuczna inteligencja, a prawa podstawowe” (wrzesień 2021 r.), z których materiałami można zapoznać się stronie internetowej Urzędu.[vi] W materiałach pokonferencyjnych pierwszego z nich znaleźć można m.in. rozważania dotyczące wykorzystania sztucznej inteligencji w ocenie zdolności kredytowej[vii]

Sztuczna inteligencja w świetle RODO

W chwili obecnej, podstawowym aktem prawnym mającym zastosowanie do przetwarzania danych osobowych przez systemy sztucznej inteligencji jest Rozporządzenie RODO. Czy zatem ów akt prawny jest dostosowany do rewolucji technologicznej i nowych technologii? Wydaje się, że przynajmniej  cześć jego rozwiązań była projektowana z myślą o ochronie prywatności w dobie digitalizacji i z uwzględnieniem wpływu nowych technologii na życie społeczne. W przyszłości zaś okaże się, na ile skutecznie obowiązujące przepisy poradzą sobie z rozwiązywaniem problemów ochrony prywatności w zetknięciu człowieka ze sztuczną inteligencją.

Wśród rozwiązań RODO, które mogą mieć szczególne znaczenie z punktu widzenia systemów sztucznej inteligencji, można wymienić profilowanie, uwzględnianie ochrony danych w fazie projektowania systemu, wymagania dla ustawień domyślnych (privacy by design, privacy by default) oraz ocenę wpływu planowanych operacji na prawa osób fizycznych, dokonywaną przed wdrożeniem przetwarzania (privacy impact assessment).

Profilowanie

Zgodnie z RODO, profilowaniem jest dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;[viii]

Na gruncie ww. aktu, osoba fizyczna ma co do zasady prawo do tego, aby nie podlegać decyzji opartej wyłącznie na profilowaniu i jednocześnie wywołującej wobec niej skutki prawne lub w inny sposób istotnie na nią wpływającej.[ix] Akapit (71) preambuły RODO, jako przykłady takich decyzji wskazuje automatyczne odrzucenie wniosku kredytowego (w oparciu, jak należy rozumieć, o ocenę ryzyka kredytowego dokonaną przez program komputerowy) lub elektroniczne metody rekrutacji, bez udziału czynnika ludzkiego[x] (w zakresie decyzji o zatrudnieniu lub jego braku w oparciu o analizę cech osoby, przeprowadzonej wyłącznie przez algorytmy).

Jednak podejmowanie decyzji wobec człowieka w oparciu o profilowanie będzie dozwolone w kilku przypadkach. Rzecz jasna, podmiot danych może wyrazić zgodę na to, by być poddanym profilowaniu. Oprócz tego, profilowanie jest dopuszczalne, jeśli jest to wyraźnie dozwolone na podstawie szczególnych przepisów prawa, o ile takie przepisy przewidują należyte środki ochrony praw i interesów osoby poddanej profilowaniu.[xi] Wspomniany akapit (71) preambuły RODO wskazuje w tym zakresie takie uzasadnione cele jak np. zapobieganie oszustwom, uchylaniu się od podatków, czy konieczność zapewnienia bezpieczeństwa usług administratora. Ponadto, RODO nakłada w takiej sytuacji wymóg informowania o profilowaniu osoby, której dane dotyczą, a także przewiduje jej prawo do uzyskania interwencji człowieka, prawo wyrażenia własnego stanowiska lub  zakwestionowania decyzji wynikającej z profilowania. Jednocześnie, profilowanie nie powinno dotyczyć dzieci. [xii]

Privacy by design, privacy by default

Art. 25 RODO wymaga, aby już w fazie projektowania rozwiązania uwzględnić techniczne i organizacyjne środki ochrony danych osobowych, takie jak np. pseudonimizacja, z uwzględnieniem zwłaszcza stanu wiedzy technicznej, kosztów wdrożenia i ryzyka naruszenia praw podmiotów danych.[xiii]

Ponadto, domyślne przetwarzanie danych, a więc domyślne ustawienia danego programu czy systemu powinny zapewniać, aby przetwarzane były wyłącznie dane w minimalnym, niezbędnym zakresie i ilości. Jednocześnie, dane przetwarzane w ramach ustawień domyślnych mogą być udostępnione nieograniczonej liczbie osób tylko za zgodą danej osoby.[xiv]

Privacy impact assessment

Art. 35 RODO przewiduje, że jeżeli dany rodzaj przetwarzania danych, w szczególności z użyciem nowoczesnych technologii, wskazuje na wysokie ryzyko naruszenia praw i wolności osób fizycznych, administrator danych (np. twórca lub producent systemu) ma obowiązek przeprowadzić przed wdrożeniem ocenę skutków planowanych operacji dla ochrony danych osobowych.[xv] Taka ocena wpływu rozwiązania na prywatność jest wymagana przykładowo w przypadku systematycznego i kompleksowego podejmowania decyzji wobec osób fizycznych w oparciu o profilowanie, systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie lub przetwarzania na dużą skalę tzw. wrażliwych danych osobowych (np. danych o stanie zdrowia). [xvi]

Jeśli chcesz poczytać o praktykach zbierania danych, zajrzyj do naszego wpisu na temat Internetu rzeczy. Być może zainteresowała Cię problematyka RODO i zastanawiasz się nad bezpieczeństwem Twoich danych, nie chcesz, aby trafiły w nieuprawnione ręce? Jeśli jesteś twórcą, producentem lub komercyjnym użytkownikiem nowoczesnych technologii o charakterze sztucznej inteligencji i nie wiesz, jakie aspekty prawne mogą być ważne w Twojej działalności, już dziś oczekuj kolejnej części naszych rozważań o sztucznej inteligencji, w której poruszymy kwestie odpowiedzialności cywilnej za działania sztucznej inteligencji.

Photo by Matthew Henry on Unsplash
[i]       Projekt (wniosek) Rozporządzenia PE i Rady (UE), ustanawiającego zharmonizowane przepisy dotyczące sztucznej inteligencji (Akt w sprawie sztucznej inteligencji) i zmieniającego niektóre akty ustawodawcze Unii (dalej Akt): https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:52021PC0206
[ii]      Art. 3 pkt. 1) Aktu;
[iii]     Za pkt. 5.2.1 uzasadnienia wniosku w sprawie Aktu;
[iv]    https://www.europarl.europa.eu/news/pl/headlines/society/20210211STO97614/big-data-definicja-korzysci-wyzwania-infografika (dostęp 29.01.2022);
[v]     Za Ośrodkiem Przetwarzania Informacji – Państwowym Instytutem Badawczym na: https://www.sztucznainteligencja.org.pl/slownik/ (dostęp 29. 01. 2022);
[vi]    https://uodo.gov.pl/pl/138/2160 (dostęp 29. 01. 2022), https://uodo.gov.pl/pl/138/2010 (dostęp 29.01.2022);
[vii]   „Sztuczna inteligencja w procesie oceny zdolności kredytowej”, aut. adw. Agnieszka Rapcewicz w: „Sztuczna    inteligencja w kontekście ochrony danych osobowych” materiały pokonferencyjne, Urząd Ochrony Danych Osobowych, autorzy: Agnieszka Rapcewicz, Dominik Lubasz, Maciej Gawroński, Maciej Grzesiuk, Michał Lewandowski;
[viii]  Art. 4 pkt. 4) Rozporządzenia PE i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej RODO);
[ix]    Art. 22 ust. 1 RODO;
[x]     Akapit (71) preambuły RODO;
[xi]    Art. 22 ust. 2 RODO;
[xii]   Akapit (71) preambuły RODO;
[xiii]  Art. 25 ust. 1 RODO;
[xiv]  Art. 25 ust. 2 RODO;
[xv]   Art. 35 ust. 1 RODO;
[xvi]  Art. 35 ust. 3 RODO.
Udostępnij