Sztuczna inteligencja powinna działać zgodnie z RODO. Nie stanowi to jednak przeszkody w jej stosowaniu, co pokazuje przykład Włoch, w których regulator odblokował ChataGPT.
Trwają negocjacje między Parlamentem Europejskim, Komisją i Radą UE co do ostatecznego kształtu rozporządzenia – aktu w sprawie sztucznej inteligencji (AIA). Problemy wynikające ze stosowania tej technologii nie czekają jednak na przepisy. Dotyczy to m.in. kwestii ochrony danych osobowych.
– Sztuczna inteligencja to bardzo zaawansowane systemy informatyczne, które karmią się danymi, w olbrzymiej części danymi osobowymi – mówiła mecenas Ewa Kurowska-Tober, partner w kancelarii DLA Piper i członkini zarządu Stowarzyszenia Prawa Nowych Technologii (SPNT) podczas Forum Nowych Technologii, zorganizowanego w Warszawie przez Urząd Ochrony Danych Osobowych we współpracy z SPNT i Akademią Ekonomiczno-Humanistyczną.
ChatGPT pod lupą organów
Problem w tym – szczególnie w odniesieniu do błyskawicznie zdobywających popularność modeli generatywnych (jak ChatGPT) – że nie wiadomo, na jakich zasadach AI przetwarza dane osobowe i komu je udostępnia. – Jednym z największych wyzwań, przed którymi stoją twórcy sztucznej inteligencji, jest zasada przejrzystości – wskazała Ewa Kurowska-Tober. Zgodnie z RODO podmioty danych mają bowiem prawo wiedzieć, jak ich dane są przetwarzane, w jakich celach, jakimi środkami, przez jakie podmioty. – Sztuczna inteligencja wymyka się tej transparentności, często jej twórcy sami do końca nie wiedzą, jak doszła do pewnych rezultatów – dodała.
Dlatego modele generatywne stają się przedmiotem zainteresowania organów ochrony danych w kolejnych krajach Unii Europejskiej. W marcu włoski urząd (Garante) zabronił ChatGPT przetwarzania danych osobowych, więc firma OpenAI musiała go wyłączyć w tym kraju. W kwietniu postępowanie wyjaśniające w sprawie ChatGPT wszczął organ hiszpański (AEPD), a Europejska Rada Ochrony Danych (EROD) powołała grupę zadaniową ds. tego modelu. Niedawno do polskiego UODO wpłynęła zaś skarga dr. Łukasza Olejnika, niezależnego badacza i konsultanta ds. cyberbezpieczeństwa, że ChatGPT przetwarza jego dane osobowe w sposób niezgodny z prawem, nierzetelny i nieprzejrzysty.
AI nie działa w próżni
– Mamy projekt rozporządzenia w sprawie sztucznej inteligencji, który, jak liczymy, pozwoli uregulować tę technologię – mówiła podczas forum Agnieszka Gajewska-Zabój, radca prawny, sekretarz Krajowej Rady Radców Prawnych. AIA dzieli zastosowania sztucznej inteligencji według poziomu ryzyka, jakie niosą, i zależnie od tego nakłada na nie określone obowiązki. Gdy w 2021 r. KE przedstawiła projekt rozporządzenia, nie obejmowało ono jeszcze kwestii ochrony danych. Uwzględniono je dopiero podczas prac w PE.
– Systemy, które przetwarzają dane, nie działają jednak w próżni prawnej i wszyscy dostawcy tych rozwiązań, a także ich użytkownicy, mają obowiązek przestrzegania przepisów, m.in. RODO – podkreślała Agnieszka Gajewska-Zabój.
Uczestnicy Forum Nowych Technologii zwracali przy tym uwagę na łączące AIA i RODO podejście oparte na ocenie ryzyka. Jak mówił dr Dominik Lubasz z SPNT, wspólnik kancelarii Lubasz i Wspólnicy, taki sposób oceny systemów AI pozwala na zniuansowanie środków mitygujących ryzyko w zależności od zagrożeń. – Na pierwszy rzut oka to nic innego jak podejście znane z RODO – wskazał. Podstawową różnicą jest to, że AIA – w przeciwieństwie do RODO – nie będzie regulacją horyzontalną, gdyż dotyczyć ma tylko niektórych zastosowań sztucznej inteligencji. Doktor Lubasz i inni uczestnicy forum zastrzegali ponadto, że AIA nie będzie lex specialis w stosunku do RODO – lecz będzie stanowić niezależną regulację.
Tandem regulacji
Zdaniem Xawerego Konarskiego, adwokata i starszego partnera w kancelarii Traple Konarski Podrecki i Wspólnicy oraz prezesa SPNT, tworzone i już obowiązujące rozporządzenie powinny funkcjonować jako „tandem legislacji”, tym bardziej że oba są oparte na tej samej podstawie prawnej (art. 16 Traktatu o funkcjonowaniu UE). Konarski zaznaczył też, że RODO zapewnia szerszą ochronę, gdyż dotyczy również danych osobowych wykorzystywanych do trenowania modeli takich jak ChatGPT. – Akt w sprawie sztucznej inteligencji tego nie reguluje. Wkracza dopiero, kiedy już korzystamy z AI – wskazał.
Zastrzegł równocześnie, że przepisy o ochronie danych osobowych nie stoją na przeszkodzie tworzeniu modeli AI. – Pokazała to choćby sprawa włoska – stwierdził Xawery Konarski, przypominając, że po wprowadzeniu oczekiwanych przez regulatora zmian (na czele z transparentnością zasad przetwarzania) ChatGPT mógł wznowić działalność we Włoszech. Zdaniem eksperta w większości przypadków wystarczy odpowiednia wykładnia przepisów RODO, np. szerokie zastosowanie podstawy prawnie uzasadnionego interesu do przetwarzania danych na etapie szkolenia modeli AI.
Z drugiej strony AIA może wzmocnić ochronę wynikającą z RODO – tu Xawery Konarski podał przykład projektowanych obowiązków informacyjnych dotyczących zasad działania modeli AI, które zwiększą ich transparentność.
Podczas forum zwracano też uwagę, że przy finalizacji prac nad AIA do rozwiązania pozostanie kwestia nakładania się obu unijnych rozporządzeń.
– Niewątpliwie sztuczna inteligencja będzie ingerowała w prawo do prywatności. Niewątpliwie będzie zbierała ogromne ilości danych, zarówno osobowych, jak i nieosobowych – stwierdziła dr Maria Jędrzejczak z UAM w Poznaniu. Zastrzegła, że w kwestii działania modeli AI pozostaje wiele niewiadomych. – Dyskusja o regulowaniu sztucznej inteligencji sprowadza się do tego, jakie wartości chcemy przyjąć, a nie tego, jaka będzie treść przepisów prawnych – podsumowała Maria Jędrzejczak.
DGP objął Forum Nowych Technologii patronatem medialnym. ©℗
/>
