Adatkezelők és adatfeldolgozók az AI-ban
A mesterséges intelligencia (AI vagy MI) már jelen van a mindennapokban is használt alkalmazásban, szoftverben úgy, hogy észre sem vesszük. Az MI a gazdaság minden ágazatában alkalmazható, kiemelt jelentősége van azonban a bankszektor, az egészségügy, és a marketing területen, ahol személyes, sokszor különleges, vagy érzékeny adatokkal történik az AI tanítása és alkalmazása, amely adatvédelmi kérdéseket vet fel. Négyrészes cikksorozatban vizsgáljuk meg, hogyan lehet megfelelni a GDPR-nak az AI tanítása, fejlesztése és alkalmazása során.
Adatvédelmi szempontból a mesterséges intelligencia egyes életszakaszai külön jelentőséggel bírnak, más ugyanis az adatkezelés jellege, hatóköre és célja akkor, amikor az AI még csak fejlesztés alatt áll és tanítása zajlik, mint akkor, amikor a már elkészült modellekkel az MI-t különböző célokra alkalmazzák, a tanításhoz adatokat más célra újrahasznosítják, sokszor automatizált döntéshozatallal párosítva. A GDPR különböző kötelezettségeket telepít az adatkezelés különböző szereplőire: adatkezelőkre és adatfeldolgozókra, ezért kiemelt jelentősége van annak, hogy az AI fejlesztő, AI szolgáltató, üzemeltető és az azt alkalmazó ügyfél melyik kategóriába tartozik.
ADATKEZELŐ VAGY ADATFELDOLGOZÓ?
Az AI és a GDPR viszonyában az adatkezelő-adatfeldolgozó viszonyrendszere sem annyira egyértelmű. Elsőként azt kell megvizsgálni, hogy ki minősül adatkezelőnek, ki adatfeldolgozónak az AI egyes életszakaszaiban, létrejöhet-e közös adatkezelés az AI fejlesztése, illetve alkalmazása során. A fő rendezőelv ebben a kérdésben az, hogy ki az, aki meghatározza az adatkezelés céljait és eszközeit az AP egyes életszakaszaiban – ő lesz ugyanis az adatkezelő. Aki pedig az adatkezelő nevében és megbízásából, az ő utasítására kezeli az AI-jal kapcsolatos adatokat, adatfeldolgozónak fog minősülni. Előfordulhat, hogy többen közösen, együtt határozzák meg az adatkezelés célját és eszközeit, ebben az esetben ők közös adatkezelők lesznek a GDPR fogalomrendszerében. A mesterséges intelligenciára lefordítva ez azt jelenti, hogy adatkezelő lesz nagy valószínűség szerint az, aki az alábbiakról dönt:
- Az AI tanításához használt adatok forrása és jellege
- A létrehozandó modell célja (mi kerül előrejelzésre, osztályozásra)
- Az adatokból a modell előállításához használt gépi tanulási algoritmus (regressziós modell, döntési fa, neurális hálózatok)
- Jellemző kiválasztás, ami a modellben alkalmazásra kerül
- A kulcs modell paraméterek (mennyire komplex a döntési fa)
- Fő kiértékelési metrikák és veszteség függvények
- Hogyan kerül tesztelésre és frissítésre az alkalmazott modell
Ehhez képest az adatfeldolgozó csak az adatkezelés eszközei tekintetében hozhat meg lényegesnek nem minősülő döntéseket, így például meghatározhatja az IT rendszert, amely az adatokat kezeli, az adattárolás módját, az adatbiztonsági intézkedéseket, az adatok megőrzésének, továbbításának, törlésének módját. MI-re lefordítva adatfeldolgozó lesz az, aki csak az alábbiakról dönt:
- Az általános gépi tanulási algoritmus specifikus implementálása,
- Adatok és modellek tárolásának módja – formátum, lokális caching
- A számítási kapacitás minimalizálása érdekében a tanító algoritmus és modell optimalizálása
- A modellek alkalmazásának architektúrája (virtuális gépek kiválasztása, API-k).
Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.
A fentiek alapján adatfeldolgozó lesz az, aki olyan felhőszolgáltatást nyújt, amely alkalmas a gépi tanulás gyakori eszközeire. Ebben a szolgáltatásban az adatkezelő az ügyfél lesz, aki felépíti és futtatja a modellt a saját maga által választott adatokkal, de a felhőben rendelkezésre álló infrastruktúrával.
Azok a szolgáltatók viszont, akik szolgáltatásként nyújtják az MI predikciót, kettős szerepben is lehetnek: ők adatkezelők akkor, amikor felépítik a saját modelljüket, amely folyamatban minden lényeges kérdésben ők döntenek, majd pedig adatfeldolgozók lesznek akkor, amikor ezt a modellt az ügyfeleik használják az ügyfelek által kiválasztott adatokkal. Lehetséges az is, hogy az ilyen szolgáltató közös adatkezelő lesz, ha az ügyfelének hagy beleszólást a jelentős döntésekbe. A szolgáltató egyes esetekben végig önálló adatkezelő is maradhat, ha a szolgáltatást úgy építi fel, hogy az ügyfeleknek nincs érdemi befolyása a folyamatokra, döntésekre, így ha például az ügyfél nem tud maga jellemzőket hozzáadni vagy eltávolítani egy modellből. A szolgáltató akkor is önálló adatkezelővé válik, amikor az ügyfelektől származó adatokat saját céljaira használja fel.
Annak, hogy adatkezelő, közös adatkezelő vagy adatfeldolgozó-e az AI szolgáltató/fejlesztő, a GDPR szempontjából kiemelt jelentősége van, ugyanis eltérnek a jogszabályi kötelezettségek, felelősségek és megfelelési elvárások. Minden MI fejlesztőnek ezért gondosan át kell gondolnia, hogy az AI mely fázisaiban melyik adatvédelmi pozíciót tölti be, és milyen kötelezettségei vannak ahhoz kapcsolódóan és ezen szerepkörének megfelelően kell kialakítania az ügyfelekkel kötendő szerződéseit is.
OLVASNIVALÓ A TÉMÁBAN
ICO - Guidance ont he AI auditing framework, draft guidance for consultation (2020. 02. 14., version 1.0)
Datatilsynet – Artificial intelligence and privacy Report, 2018. január