Ovaj tjedan su eurozastupnici na plenarnoj sjednici s 85% glasova usvojili Akt o umjetnoj inteligenciji, europski propis, ujedno i prvi takav na svijetu, kojem je cilj zaštititi ljudska prava, demokraciju, vladavinu prava i okolišnu održivost od visokorizične umjetne inteligencije, a istodobno poticati inovacije i osigurati Europskoj uniji ulogu predvodnika u tom području.
Kako se navodi u službenom priopćenju, pravila za umjetnu inteligenciju utvrđena su na temelju njezinih potencijalnih rizika i razine učinka koji ta pravila imaju, između ostalog i na obradu osobnih podataka. Dakle, kako GDPR stoji u odnosu na propisanu primjenu tehnika umjetne inteligencije nad skupovima osobnih podataka?
Prije svega, zabranjuju su one primjene umjetne inteligencije koje ugrožavaju prava građana, uključujući sustave za biometrijsku kategorizaciju temeljene na osjetljivim karakteristikama i neciljano prikupljanje prikaza lica s interneta ili iz nadzornih snimaka radi stvaranja baza podataka za prepoznavanje lica. Također, zabranjuje se i prepoznavanje emocija na radnome mjestu i u školama, vrjednovanje građana, prognostički rad policije – kad se temelji isključivo na izradi profila pojedinaca ili procjeni njihovih osobina te umjetna inteligencija koja utječe na ljudsko ponašanje ili iskorištava ranjivost pojedinaca.
Biometrijski podaci po GDPR i AI
Kao što znamo, GDPR na biometrijske podatke, dakle podatke dobivene posebnom tehničkom obradom u vezi s fizičkim obilježjima, fiziološkim obilježjima ili obilježjima ponašanja pojedinca koja omogućuju ili potvrđuju jedinstvenu identifikaciju tog pojedinca, kao što su fotografije lica ili daktiloskopski podaci, gleda kao na posebnu kategoriju osobnih podataka. Zakon o provedbi Opće uredbe o zaštiti podataka u članku 21. navodi da se u tijelima javne vlasti obrada biometrijskih podataka može se provoditi samo ako je određena zakonom i ako je nužna za zaštitu osoba, imovine, klasificiranih podataka ili poslovnih tajni, uzimajući u obzir da ne prevladavaju interesi ispitanika koji su u suprotnosti s obradom biometrijskih podataka.
Također, smatra se da je obrada biometrijskih podataka u skladu sa zakonom ako je ona potrebna za ispunjenje obveza iz međunarodnih ugovora u vezi s identificiranjem pojedinca u prelasku državne granice. U privatnom sektoru obrada biometrijskih podataka dodatno se može provoditi i radi pojedinačnog i sigurnog identificiranja korisnika usluga, no u tom slučaju pravni je temelj izričita privola takvog ispitanika sukladno GDPR-u.
Naravno, mogu postojati razlozi za upotrebu daljinske biometrijske identifikacije u stvarnom vremenu, ali samo ako je ista strogo vremenski i geografski ograničena i zatražena sudskim putem ili upravnim postupkom. Takvi su razlozi npr. sprječavanje terorističkog napada i ciljana potraga za nestalom osobom, dok se naknadna daljinska biometrijska identifikacija smatra visokorizičnom upotrebom koja može biti iznimka tek za potrebe kaznenog progona.
Visokorizička umjetna inteligencija
Skupovi osobnih podataka, poput financijskih ili pak zdravstvenih – koji spadaju u posebnu kategoriju osobnih podataka, a prethodno su propisno podvrgnuti pseudonimizaciji, mogu biti predmetom obrade od strane tzv. visokorizične umjetne inteligencije radi unaprjeđenja ključnih javnih i privatnih usluga, no za njih svakako treba osigurati procjenu i ublažavanje rizika, vođenje evidencije upotrebe, transparentnost i preciznost te ljudski nadzor. Također, građani čije podatke sustav umjetne inteligencije obrađuje i o tome donosi zaključak, imat će pravo podnijeti tužbu i o tom postupku koji utječe na njihova prava dobiti objašnjenja, a sve s ciljem zaštite temeljnih prava i sigurnosti te istodobnog poticanja inovacija.
Upotreba velikih sustava tzv. generativne umjetne inteligencije, dakle one vrste koja stvara nove sadržaje poput slika, glazbe, teksta ili videa, koji se zbog toga smatraju sustavima umjetne inteligencije opće namjene, trebat će zadovoljavati zahtjeve za transparentnosti i biti usklađeni s propisima o autorskim pravila, a oni prepoznati kao sistemski rizik podlijegat će dodatnim zahtjevima koji uključuju ocjenjivanje modela, procjene i ublažavanje sistemskih rizika te prijavljivanje incidenata. Takvi su npr. ChatGPT lansiran u studenom 2022. godine od strane međunarodne organizacije OpenAI ili pak Gemini lansiran godinu dana kasnije od strane tehnološkog giganta Google. Treba naglasiti da umjetno stvoreni ili manipulirani audio i video sadržaji te fotografije moraju biti jasno označeni kao takvi, dakle trebaju postojati sustavi i procesi koji će ih takvima biti u stanju označiti.
Nova regulacija korištenja AI
Kako bi se ipak potaknule inovacije korištenjem umjetne inteligencije, Akt traži uspostavu regulatornih izoliranih okruženja za testiranje obrade podataka u stvarnim uvjetima, koje će moći koristiti startup, mala i srednja poduzeća te tako trenirati inovativne sustave umjetne inteligencije prije njihova stavljanja na tržište. Akt predviđa i osnivanje Europskog odbora za umjetnu inteligenciju, koji bi trebao doprinijeti djelotvornoj suradnji nacionalnih nadzornih tijela i Europske komisije u vezi s pitanjima obuhvaćenima ovom propisom.
Hoće li ovaj propis doista omogućiti tzv. humanocentričan razvoj umjetne inteligencije, kako je žargonski nazvan na europskoj razini, tek će se vidjeti tijekom provedbe, i to 2 godine nakon stupanja na snagu, osim zabranjenih primjena (6 mjeseci nakon stupanja na snagu), kodeksa prakse (9 mjeseci nakon stupanja na snagu), pravila za umjetnu inteligenciju opće namjene uključujući upravljanje (12 mjeseci nakon stupanja na snagu) i obveza za visokorizične sustave (36 mjeseci nakon stupanja na snagu).