Az Európai Bizottság 2021. április 21. napján tette közzé a mesterséges intelligencia szabályozásával kapcsolatos tervezetét („Tervezet”). A Bizottság javaslata nagyrészt a 2021. februári Mesterséges Intelligencia Fehér Könyvben („Fehér Könyv”) írtakat követi, azonban hosszú út vezet egy ilyen léptékű jogszabály elfogadásáig, majd alkalmazandóvá válásáig. Fontos mérföldkő a mesterséges intelligencia szabályozásával kapcsolatos Tervezet, ami a jogi szabályozást nem csak adatvédelmi, hanem biztonsági, termékfelelősségi, fogyasztóvédelmi oldalról is kiterjeszti. Maga a mesterséges intelligencia-specifikus szabályozás azonban nem jelenti, hogy a jelenleg és jövőben hatályos adatvédelmi követelményeket ne kelljen fokozottan figyelembe venni a mesterséges intelligencia rendszerek tervezésekor, működtetésekor vagy visszavonultatásakor.
Mesterséges Intelligencia, tanuló algoritmusok, statisztikai modellek
A mesterséges intelligencia („MI”) fogalmát a Tervezet annak I. számú mellékletében felsorolt technikákat alkalmazó szoftverként definiálja, amely ember által meghatározott eredményt képes elérni, úgymint valamilyen tartalmat létrehozni, predikciót elvégezni, javaslatot tenni vagy a vele interakcióban lévő környezetet befolyásoló döntést hozni. Az alkalmazott definíció kellően tág és technológia semleges, ami lefedi a tanuló algoritmusokat (felügyelt, nem felügyelt, megerősítésen alapuló, illetve deep learning módszeren alapuló algoritmusok), a logika és tudásalapú (mint az induktív logikai programozási módszereket, szakértői rendszereket), valamint a statisztikai módszereket. A Tervezet nem definiálja az adat fogalmát, így azon általánosságban, a szó hétköznapi értelmében vett adatot lehet értelmezni. Meghatározza ugyanakkor a tanításra, validálásra, tesztelésre alkalmazott adatok, a bevitt adatok, illetve a biometrikus adatok fogalmát. Előbbiekkel kapcsolatban többletkövetelményeket határoz meg a Tervezet.
Magas kockázatú MI rendszerek
A Tervezet kockázatalapú megközelítést alkalmaz az egyes mesterséges intelligencia felhasználási célok tekintetében és különbséget tesz a tiltott (így különösen az egyes személyek társadalmi megbízhatóságát mérő rendszerek, vagy – kivételek mellett – a közterületeken bűnüldözési célú, valós idejű biometrikus (pl. arcfelismerő) rendszerek), a magas kockázatú és egyéb mesterséges intelligencia megoldások között. A Tervezet szerint akkor kell egy MI rendszert magas kockázatúnak tekinteni, ha konjunktív feltételként teljesül, hogy az MI rendszert egy termék biztonsági elemeként kívánják használni, vagy maga is a Tervezet által rögzített EU-s termék biztonsági jogszabályok hatálya alatt álló termék, és ezen jogszabályok szerint harmadik fél által végzett megfelelőségértékelési eljáráson kell átesnie a forgalomba hozatala előtt. A Bizottság szerint ilyen magas kockázati MI rendszerek lehetnek a biometrikus azonosítást végző rendszerek (akár arc, vagy hangazonosítást alkalmazó rendszerek, voice assistant-ek); kritikus infrastruktúra üzemeltetésével vagy kezelésével kapcsolatos rendszerek (pl. elektromos áram szolgáltatással összefüggésben); oktatási és szakképzési rendszerek (pl. felvételi eljárás során alkalmazott rendszerek); munkavállalással, munkáltatással összefüggő rendszerek (pl. kiválasztási eljárások során alkalmazott rendszerek); alapvető köz- és magánszolgáltatásokhoz való hozzáféréssel kapcsolatban alkalmazott rendszerek (pl. tűzoltósági vagy mentő riasztó és prioritást megállapító rendszerek, KKV felhasználókon kívül a hitelbírálathoz alkalmazott rendszerek stb.); bűnüldözéshez alkalmazott rendszerek (pl. bűnelkövetési hajlandóságot előre jelző rendszerek); migráció, menedékkérelem és határvédelemmel összefüggésben alkalmazott rendszerek; és az igazságszolgáltatásban alkalmazott rendszerek.
Kulcs a kockázatok kezelése, a compliance és az MI rendszer működésének ellenőrizhetősége
Már a Fehér Könyv is rögzítette, hogy az egyes követelmények címzettjei a mesterséges intelligencia életciklusa alatt különböző aktorok lehetnek (mint pl. szoftverfejlesztők, a terméket üzembe helyezők, üzemeltetők, gyártók, importőrök, felhasználók stb.), így az egyes kötelezettségek is ennek megfelelően alakulnak a Tervezet szövegezésében is. Egyik ilyen fontos kötelezettség a kockázatkezelési rendszerek bevezetése és működtetése a magas kockázatú MI rendszerekkel kapcsolatban. Ezen kockázatkezelési rendszernek olyan iteratív folyamatnak kell lennie, ami [kockázatelemzések formájában] a magas kockázatú MI rendszer teljes életciklusán átível és a Tervezet szerinti kockázatértékelési, kockázatkezelési intézkedéseket, illetve kockázati étvágy szintet kell lefednie, külön kiemelve, ha gyermekeket is érint az MI rendszer. A Tervezet a kockázatok kezelésével kapcsolatban a hangsúlyt az MI rendszer tervezésével, fejlesztésével és implementációjával kapcsolatban határozza meg.
Egy másik hasonló kötelezettség címzettje a magas kockázati MI rendszerek szolgáltatója („provider”), akinek a felelőssége, hogy az MI rendszer működtetésével kapcsolatban a Tervezet által meghatározott kritériumokat biztosító minőségbiztosítási rendszert alakítson ki, valamint gondoskodjon a magas kockázatú MI rendszer EU-s megfelelősségi-értékeléséről. Ezen minőségbiztosítási – compliance – rendszernek írott szabályzatokból, eljárásokból és instrukciókból kell rendszerezetten összeállnia és le kell fednie – többek között – a megfelelősségi-értékeléssel is összefüggő szabályozói compliance stratégiát; az MI rendszer tervezésére, tervezés-ellenőrzésre és igazolásra, fejlesztésére, minőségellenőrzésére, tesztelésére, az adatmenedzsmentre, a kockázatok kezelésére szolgáló rendszerre, valamint az incidensek és az MI hibás működésre vonatkozó kontrollokat és folyamatokat.
A Tervezet szabályokat határoz meg a tájékoztatási, transzparencia követelményekkel (így például az érzelem felismerő rendszerekre vonatkozóan), emberi felügyelettel, az MI rendszer pontosságával, robusztusságával és (kiber)biztonságával kapcsolatban. Emellett az alábbi, főbb technikai szabályokat is bevezeti a Tervezet, amelyek újdonságként jelennek meg:
• Adatok és data governance
Rögzíti a Tervezet, hogy a magas kockázatú MI rendszereknek az MI tanítása és fejlesztése a Tervezet által meghatározott minőségi követelményeknek megfelelő tanító, validáló és teszt adatokkal kell, hogy történjen. Ilyen minőségi kritérium a tervezésre, az adatok gyűjtésére, címkézésére, adattisztításra, aggregálásra vonatkozó gyakorlatok és technikák, valamint az adathalmaz lehetséges torzításainak (bias) és az esetleges adathiányosságok azonosítása, vizsgálata és ezek orvoslása. A Tervezet rögzíti a tanításra, fejlesztésre és tesztelésre szolgáló adathalmazok főbb kritériumait, így ezeknek relevánsnak, reprezentatívnak, hibamentesnek és teljesnek kell lenniük.
• Technikai dokumentáció
Az alkalmazott szoftverfejlesztési folyamatokra és a fejlesztési projektre is kiható követelmény, hogy a magas kockázatú MI rendszerek technikai dokumentációját a Tervezet által meghatározott részletességgel az MI rendszer forgalomba hozatalát vagy üzembe helyezését megelőzően el kell készíteni és a kijelölt nemzeti hatóságok és megfelelősség-eljárással érintett értesített szervek számára rendelkezésre kell bocsátani. Ezen technikai dokumentációt az MI rendszer életciklusa során naprakészen kell tartani.
• Naplózás
A Tervezet az MI rendszerek ellenőrizhetősége érdekében előírja, hogy olyan módon kell megtervezni és kifejleszteni a magas kockázatú MI rendszereket, hogy azok az MI rendszer teljes életciklusa alatt automatikus naplózási funkcióval, és elismert szabványok vagy közismert specifikációnak megfelelő naplóformátummal rendelkezzenek. A Tervezet szintén meghatározza azon események körét, amelyeket a rendszernek kötelezően naplóznia kell.
• Hatósági felügyelet API-n és a forráskódon keresztül
A Tervezet szövege szerint az egyes aktorok kötelezettségeinek teljesülését több szinten, különböző szereplők ellenőrzik. Ezek közül a tagállami hatósági felügyeleteknek lehetőségük lenne az MI rendszerek által kezelt adatokhoz, adathalmazokhoz és annak dokumentációjához API-kon vagy más, megfelelő távoli hozzáférést biztosító eljáráson keresztül hozzáférni, illetve meghatározott esetekben és garanciák mellett a magas kockázatú MI rendszer forráskódjához hozzáférni. Az MI rendszert érintő ismert kockázatokat ezen felügyeleti szerveknek kell az MI rendszer szolgáltatójának bejelentenie.
• Adatvédelem és MI regulatory sandbox
Adatvédelmi szempontból az MI rendszerek tervezésének egyik kritikus pontja, hogy a feltanított MI rendszer a működése során az általa gyűjtött adatokat milyen célokból fogja felhasználni, így a szándékolt MI célja mellett (ami lényegében az MI fő szolgáltatását, pl. egy predikció elvégzését jelenti) a gyűjtött adatokból tovább tanítja-e magát vagy sem. Az MI rendszer tanítása ugyanis az eredeti céltól eltérő célú adatkezelés és ennek megfelelően önálló jogalappal kell rendelkezni ehhez.
Ezt a követelményt töri át a Tervezet azzal, hogy meghatározott feltételek teljesülése mellett lehetővé teszi az egyébként más célokból jogszerűen gyűjtött személyes adatoknak az innovatív MI rendszerek fejlesztési és tesztelési célú felhasználását. Az innovatív MI rendszernek jelentős közérdeket kell szolgálnia a bűnüldözés, közbiztonság vagy közegészségügy, illetve a környezet minőségének javításának területén.
• KKV-k és start-up-ok
A Tervezet a KKV szolgáltatók, valamint start-upok számára elsőbbségi hozzáférési követelményt ír elő az egyes tagállamoknak ezen MI regulatory sandbox-okhoz, az MI rendelet alkalmazásával kapcsolatos tudatossági szint emelése, valamint a KKV szolgáltatókkal, felhasználókkal és egyéb újítókkal való dedikált kommunikációs csatorna létrehozása mellett.
A Tervezet kifejezetten a magas kockázatú MI rendszerekre fókuszál. A korlátozott vagy alacsony kockázatú rendszerek (mint pl. chatbot-ok, csalásmegelőző rendszerek, spam szűrők stb.) nem tárgya a tervezet szabályozásának, azonban a Tervezetben koncepcionálisan megjelenő eszközök és jó gyakorlatok alkalmazása a jövőben ezen felhasználási területek esetében is indokolt lehet az adatvédelmi követelmények szem előtt tartásával.
© dr. Bereczki Tamás