Sztuczna inteligencja a RODO – kolejna odsłona
Z początkiem ubiegłego miesiąca Grupa Robocza ds. Art. 29 opublikowała Wytyczne w sprawie zautomatyzowanego podejmowania decyzji i profilowania w indywidualnych przypadkach. Objaśniają one znaczenie przepisów art. 21 i 22 RODO i – choć ich tytuł może na to nie wskazywać – stanowią kolejny element ram prawnych dla rozwoju i wykorzystania sztucznej inteligencji. Jednocześnie już teraz pokazują, że ramy te mogą być naprawdę ciasne.
Zarówno zautomatyzowane podejmowanie decyzji, jak i profilowanie stanowią jedne z głównych wrót, którymi do naszego życia wkraczają algorytmy AI. Profilowanie zostało zdefiniowane w art. 4 pkt 4 RODO. Zgodnie z tym przepisem profilowaniem jest zautomatyzowane przetwarzanie danych osobowych stosowane do oceny czyichś „czynników osobowych”, a więc sytuacji ekonomicznej, zdrowia, preferencji, zainteresowań itp. Liczy się więc zarówno sposób przetwarzania danych (automatyczność), jak i jego cel (ocena czynników osobowych). Do profilowania zaliczyć można wszystkie techniki przewidywania, kim jest określony użytkownik sieci, w oparciu o historię jego internetowej aktywności.
Z kolei zautomatyzowane podejmowanie decyzji to, jak wyjaśniają Wytyczne, podejmowanie decyzji bez uczestnictwa człowieka. Chodzi tu o sytuacje, w których zautomatyzowany jest nie tylko proces analityczny czy przygotowywanie rekomendacji, ale też faktyczne rozstrzyganie w określonych kwestiach. Zautomatyzowanym podejmowaniem decyzji będą więc nie prace lub usługi wykonywane z pomocą automatycznych analiz (np. profilowania), ale prace lub usługi wykonywane bez pomocy ludzi.
Jak wynika z analizy Wytycznych, w obu omawianych zakresach potencjał oferowany przez sztuczną inteligencję napotka pod RODO na ograniczenia. O ile bowiem jej zastosowanie w celu automatyzacji profilowania lub podejmowania decyzji jest dopuszczalne, o tyle jednak każdy podmiot korzystający z niej musi liczyć się z tym, że niekoniecznie będzie wolno mu skorzystać ze wszystkich owoców jej działania.
Po pierwsze, Wytyczne nie pozostawiają wątpliwości, że także do zautomatyzowanych procesów przetwarzania danych i podejmowania decyzji zastosowanie znajdzie art. 16 RODO dający prawo do żądania niezwłocznego sprostowania przetwarzania danych. Przykłady podane w Wytycznych wskazują przy tym, że sprostowanie może obejmować nie tylko dane wyjściowe, ale także dane uzyskane w wyniku analiz, jak np. przyporządkowanie do określonej kategorii klientów.
Po drugie, w Wytycznych podkreśla się, że osoby fizyczne uprawnione będą także do zgłoszenia sprzeciwu względem zautomatyzowanego przetwarzania danych. Sprzeciw stanowi środek dalej idący niż sprostowanie. Nie wymaga zmiany danych (ewentualnie wyników) kwestionowanych przez daną osobę, lecz zaprzestania ich przetwarzania w ogóle. Nie jest jednak jasne, czy sprzeciw należy zawsze traktować jako wymagający zaprzestania przetwarzania wszelkich danych, czy może on być uznany za wymagający zaprzestania przetwarzania tylko w tej części, która sprzeciw wywołała.
Przedsiębiorcy, którzy chcą zaprząc sztuczną inteligencję do działania na rzecz budowania profili konsumenckich i podejmowania decyzji, powinni więc liczyć się z tym, że niektóre z tych wyników będą musieli zignorować na żądanie osób, których dane dotyczą. Nie będzie miało przy tym znaczenia, że przetwarzanie danych było prowadzone w sposób poprawny technicznie i uzyskane wyniki są wiarygodne. Sprzeciw będzie musiał być uszanowany niezależnie od tego, czy jest racjonalny.
Jedyną ścieżką przeciwstawienia się żądaniu sprostowania lub sprzeciwu będzie wykazanie, że realizacja innych prawnie uzasadnionych podstaw przetwarzania jest ważniejsza od interesów żądającego. Nawet ta możliwość będzie jednak niedostępna dla podmiotów korzystających ze zautomatyzowanego przetwarzania danych na cele marketingu bezpośredniego. W tym przypadku zastosowanie się do żądania osoby, której dane dotyczą, będzie bezwarunkowe.
Niewykluczone, że na liczbę sprostowań i sprzeciwów wpłyną ograniczenia techniczne. W przypadku algorytmów głębokiego uczenia się informacja np. o tym, jak klienci zostali pogrupowani lub czy w ogóle algorytm dokonał jakiegoś grupowania, może być niedostępna. Głębokie uczenie się nie pozwala na odtworzenie krok po kroku procesu analitycznego. To przykład blackboxingu. Znamy dane wejściowe i dane wyjściowe, ale całość operacji przeprowadzanych przez sztuczną inteligencję pozostaje niemożliwa do odtworzenia. W konsekwencji uprawnienia osoby, której dane dotyczą, choć przyznane w RODO i potwierdzone w Wytycznych, mogą pozostać trudne do realizacji w zderzeniu z niemożliwymi do odczytania czarnymi skrzynkami.
Nie zmienia to jednak faktu, że na poziomie przepisów sztuczna inteligencja nie jest traktowana przyjaźnie. W myśl RODO podmioty wykorzystujące algorytmy AI w swojej działalności, niezależnie od dokładanej staranności i profesjonalizmu, mogą na tych algorytmach polegać tylko dopóki osoba, której dane dotyczą, nie uzna, że z algorytmem się nie zgadza. Prowadzi to do spostrzeżenia, że – przynajmniej na razie – Unia Europejska nie tyle uznaje prawo do stosowania sztucznej inteligencji, ile pozwala na jej wykorzystanie tylko tam, gdzie regulacje chroniące inne wartości (np. prywatność) pozostawiają na to miejsce. Pozostaje mieć nadzieję, że takie macosze traktowanie będzie się zmieniało wraz z przyjęciem przepisów traktujących sztuczną inteligencję jako główny przedmiot regulacji, a nie tylko poboczny wątek na drodze do zapewnienia ochrony innych praw.
Bartosz Troczyński