Według raportu „KPMG global tech report 2023” liderzy technologiczni uważają sztuczną inteligencję i uczenie maszynowe za najważniejszą technologię do osiągnięcia swoich celów biznesowych w najbliższym czasie. Jednak podobnie, jak w przypadku każdej nowej technologii, diagnozowane są również ryzyka.

Badanie „Trust in artificial intelligence” przeprowadzone kilka miesięcy temu przez KPMG w Australii wykazało, że 61% ludzi nieufnie podchodzi do systemów technicznych opartych na sztucznej inteligencji, a tylko połowa uważa, że korzyści płynące z AI przewyższają ryzyko. Ponadto 55% liderów technologicznych twierdzi, że ich postępy w automatyzacji są opóźnione z powodu obaw o sposób podejmowania decyzji przez narzędzia oparte na sztucznej inteligencji.

Powszechne i nieuregulowane wykorzystanie tej technologii budzi też pytania o jej wpływ na prawa człowieka i prywatność. Algorytmy są nieprzewidywalne, złożone i trudne do wyjaśnienia. Biorąc pod uwagę ich zastrzeżony charakter brakuje im przejrzystości, a wyniki generowane przez AI powstają w oparciu o przetwarzanie na dużą skalę danych z internetu, zwiększając ryzyko wycieku poufnych danych i naruszenia prawnie chronionych danych osobowych. Aby firmy mogły maksymalnie wykorzystywać potencjał sztucznej inteligencji, potrzebują być na bieżąco z informacjami na temat wpływu AI na prywatność i bezpieczeństwo danych.

Unia Europejska chce zadbać o ochronę prywatności użytkowników AI

Unia Europejska podejmuje pierwszą na świecie próbę ustanowienia przepisów, które mogą okazać się najbardziej surowymi regulacjami dotyczącymi ochrony prywatności użytkowników AI. Rada, Parlament i Komisja Europejska zaproponowały ustawę o sztucznej inteligencji (EU AI Act).

Dokument opiera się na przepisach dotyczących prywatności zawartych w ogólnym rozporządzeniu o ochronie danych osobowych (RODO), które obejmują zasady dotyczące otwartości, uczciwości, algorytmicznego podejmowania decyzji i godności ludzkiej.

Już w 2019 roku OECD opierając się na tych zasadach stworzyła podstawy zarządzania godną zaufania sztuczną inteligencją, które stanowią, że systemy sztucznej inteligencji powinny być niezawodne i bezpieczne przez cały cykl życia. Ustawa EU AI Act dodatkowo wzmacnia te zasady nakazując, aby sztuczna inteligencja spełniała wspomniane warunki pod względem prawnym, etycznym i technicznym, przy jednoczesnym poszanowaniu wartości demokratycznych, praw człowieka i praworządności.

– Wiele z zasad OECD dotyczących sztucznej inteligencji można przyporządkować do zasad ochrony prywatności w kontekście ochrony danych osobowych i rozszerzyć na zasady privacy by design, czyli uwzględnienie bezpieczeństwa danych osobowych już w fazie projektowania rozwiązania. Przyjęcie tego podejścia może wzmocnić poczucie pewności klientów, organów regulacyjnych i innych zainteresowanych stron o wiarygodności sztucznej inteligencji oraz zminimalizować wszelkie negatywne skutki wynikające z jej funkcjonowania – mówi Michał Kurek, Partner, Szef Zespołu Cyberbezpieczeństwa w KPMG w Polsce i Europie Środkowo-Wschodniej.

– Privacy by design może pomóc organizacjom w budowaniu prywatności w systemach AI. Dla prawidłowego wykorzystania sztucznej inteligencji niezbędna jest ocena wpływu na ochronę prywatności i kwestie zgodności już na etapie tworzenia pomysłu, a następnie przez cały cykl jego życia – poprzez Privacy Impact Assessment (PIA) lub Data Protection Impact Assessment (DPIA) – dodaje.

Regulacje w zakresie sztucznej inteligencji

Ustawodawcy, niezależne organy regulacyjne i inni decydenci konsekwentnie podkreślają konieczność dostosowania systemów sztucznej inteligencji do uznanych standardów. Dlatego istotne jest, aby zidentyfikować ramy regulacyjne mające zastosowanie w konkretnej branży i organizacji oraz zaplanować sposób wdrożenia sztucznej inteligencji. Niezbędne jest stworzenie punktu odniesienia dla wykorzystania AI, który spełnia różne standardy i odpowiednie usprawnienie rozwoju zarówno niej samej, jak i związanych z nią działań biznesowych.

Bezpieczeństwo danych może być związane zarówno z opracowywaniem wewnętrznych rozwiązań AI, jak i z korzystaniem z publicznych modeli, trenowanych na ogólnodostępnych danych. Istotna jest kontrola zgodności tych modeli z najnowszymi standardami, przepisami i najlepszymi praktykami. Wymóg ten dotyczy nie tylko dostawców, ale też klientów, którzy mogą prosić deweloperów o dokumentację dotyczącą oceny ryzyka prywatności.