Kai šios savaitės AI veiksmo viršūnių susitikimas prasideda Paryžiuje, Gabriela Zanfir-Fortuna Paaiškina, kodėl duomenų apsaugos įstatymai, tokie kaip ES bendrasis duomenų apsaugos reglamentas, iškyla kaip pagrindinės priemonės reguliuojant AI.
Kai kuriems tai galėjo būti staigmena, kad pirmieji egzistenciniai teisiniai iššūkiai didelių kalbų modeliams (LLM), su kuriais susidūrė po jų rinkos pradžios, buvo pagal duomenų apsaugos įstatymą – teisinę sritį, kuri atrodo arcanoje tų, kuriuos sužavėjo naujas dirbtinis intelektas ( AI) įstatymai arba AI etikos ir valdymo principai. Tačiau duomenų apsaugos įstatymas buvo sukurtas septintajame ir aštuntajame dešimtmečiuose, specialiai reaguojant į automatizavimą, kompiuterius ir būsimų „mąstymo mašinų“ idėją.
Tai, kad dabar jis iškart susijęs su AI sistemomis, įskaitant sudėtingiausius, nėra nenumatyta pasekmė. Tam tikru mastu dabartinė AI įstatymo ir valdymo principų banga galėtų būti vertinama kaip naujos kartos duomenų apsaugos įstatymas. Vis dėlto, jei jis nėra sukurtas lygiagrečiai ir jei jis nesugeba nuosekliai remtis esamais duomenų apsaugos įstatymų, praktikos ir mąstymo rinkiniu, rizikuoja trūksta ženklo.
PG buvo įtraukta į duomenų apsaugos įstatymo kūrimą
Vienas iš sąžiningos informacinės praktikos principų (FIPPS) architektų, kurie išlieka duomenų apsaugos įstatymo pagrindas, yra Amerikos teisės profesorius Arthuras Milleris. 1971 m. Jis parašė, kad „gali būti neilgai trukus kompiuteriai bendrauja tarpusavyje ir su savo operatoriais panašiai, kaip žmonės bendrauja tarpusavyje. Iš tiesų, jau yra keletas sudėtingų programų, leidžiančių mašinoms generuoti „pokalbius“ ir „mokytis“, kad gautumėte duomenų ir patirties kaupimo prasme “.
Tuo metu Milleris pastebėjo „susirūpinimą dėl šiuolaikinės visuomenės dehumanizacijos ir„ Animus “, nukreipto į kompiuterį, visiškai racionaliai ar ne“, ir norėjo išvengti „galimybės skleisti į rekordiškai orientuotą pilietiškumą, praradusį savo autonomiją ir individualumas “.
Tame pačiame tome, Privatumo užpuolimasjis pažymėjo, kad žmonės turi pradėti mokytis „kaip gyventi visuomenėje, kuri informaciją traktuoja kaip ekonomiškai pageidaujamą prekę ir galios šaltinį“. Milleris teigė, kad asmens kontrolė dėl su jais susijusios informacijos yra svarbiausia, kitaip asmens, tam tikru būdu, „tampa subrendusi tų žmonių ir institucijų, galinčių ja manipuliuoti“.
Aštuntojo dešimtmečio pradžioje Milleris buvo komiteto, kurį sudarė JAV sveikatos, švietimo ir gerovės departamentas pasiūlyti priemones, kurios jas apsaugos. Komitete buvo įvairių kompiuterių mokslininkų, socialinių mokslininkų, sveikatos priežiūros administracijos vadovų ir kreditų balų ekspertų, taip pat teisės žinovų derinys.
Kiti garsūs nariai buvo Josephas Weizenbaumas, kompiuterių mokslininkas, sukūręs pirmąjį pokalbių pokalbių programą-Eliza-ir Willis Ware, komiteto pirmininką ir kompiuterio pradininką, kuris kartu sukūrė TAS aparatą, kuris nustatė šiuolaikinių kompiuterių planą. 20 pabaigaTh šimtmetis.
Šis komitetas parašė įtaką Įrašai, kompiuteriai ir piliečių teisės 1973 m. Ataskaita, kurioje nustatyta ir konceptualizavo FIPPS: skaidrumas, prieiga, tikslo apribojimas, tikslumas ir pataisa, vientisumas ir saugumas. Nuo 1974 m. JAV privatumo įstatymo iki EBPO gairių apie privatumo ir transborerio duomenų srautus 1980 m., Europos tarybos konvencija 108, skirta asmenų apsaugai dėl 1981 m. Asmens duomenų apdorojimo iki šiuolaikinių duomenų apsaugos įstatymų, tokių kaip ES generolas. Duomenų apsaugos reguliavimas (GDPR), FIPPS turėjo didelę įtaką, net kai jie vystėsi laikui bėgant.
Tais pačiais ankstyvaisiais metais šias pastangas JAV atspindėjo panašios pastangos Vakarų Europoje, o Transatlantinis mainus apie idėjas pastebėjo Fritsas Hondius 1975 m. Kylanti duomenų apsauga Europoje. Vokietijos Hesse valstija 1970 m. Priėmė pirmąjį duomenų apsaugos įstatymą žemyne, įskaitant pirmosios specializuotos duomenų apsaugos tarnybos (DPA) sukūrimą.
Nacionaliniai įstatymai atsirado kitais metais ir dešimtmečiais Vokietijoje, Nyderlanduose, Danijoje, Prancūzijoje, JK ir kitose. Šiuos nacionalinius įstatymus suderino Europos bendruomenių direktyva 95/46 1995 m. Duomenų apsaugai, kurią 2016 m. Modernizavo šiandienos GDPR – įstatymas, turintis precedento neturintį poveikį visame pasaulyje.
Duomenų apsaugos institucijos yra aktyviausi AI reguliatoriai
Italijos duomenų apsaugos tarnyba, Garante, 2023 m. Pavasarį sudarė antraštes visame pasaulyje, kai ji paskelbė laikinąjį įsakymą prieš „Openai“, kad sustabdytų Italijos žmonių asmens duomenų apdorojimą per savo „ChatGPt“ paslaugą-pirmąjį masiškai priskyrtą didelę kalbos modelį.
Tuo metu ES AI įstatymas vis dar buvo intensyvių derybų objektas, priimtas tik po metų. Laikinojoje tvarkoje „Garante“ pateikė keletą galimų GDPR pažeidimų, įskaitant teisėtumą, skaidrumą, „duomenų subjekto“ (asmens, kurio asmens duomenys yra susiję), vaikų asmens duomenų apdorojimas ir duomenų apsauga pagal projektą ir pagal nutylėjimą ir pagal nutylėjimą bei pagal nutylėjimą ir pagal nutylėjimą. .
Po įsakymo „Openai“ užsiėmė nuosekliu bendradarbiavimu su „Garante“, kad reaguotų į jo susirūpinimą. Po to, kai įmonė įsipareigojo atlikti keletą paslaugų pakeitimų, „Garante“ po mėnesio pašalino laikinąjį užsakymą. Byla buvo baigta baigti 2024 m. Gruodžio mėn. Ir dėl to buvo padaryta 15 milijonų eurų bauda už „Openai“ ir prašymą surengti šešių mėnesių komunikacijos kampaniją, skirtą „ChatGpt“ ne vartotojams.
Tarp klausimų, kuriems Garante buvo sankcionuota, nebuvo pakankamai skaidrumo dėl apdorojamų asmens duomenų, nesant teisinio pagrindo apdoroti asmens duomenis, kad būtų galima išmokyti didelę kalbos modelį, nepakankamai priemonių duomenų tikslumui ir amžių patikrinimo sistemos nebuvimą Tyrimas prasidėjo.
Nuo pirmosios laikinosios tvarkos, kitos duomenų apsaugos institucijos visame pasaulyje pradėjo panašius „ChatGPT“ tyrimus arba vadovavo savo byloms kitoms AI modelių komercinėms programoms, tokioms arba Pietų Korėjos duomenų apsaugos tarnyba tuo atveju, kai ji liepė panaikinti modelį, kurį sukūrė „Alipay“, kad būtų galima įvertinti klientų mokėjimo nesėkmės tikimybę.
Pastarosiomis savaitėmis duomenų apsaugos institucijos greitai reagavo į informacijos prašymus, pradedant tyrimus ir net draudimą prieš „Deepseeek AI“ – Kinijos didelę kalbą modelį, kuris pakeistų pasaulinę AI rinką. Bet net prieš tai, kai viskas buvo pažymėta AI, duomenų apsaugos institucijos aktyviai pritaikė duomenų apsaugos įstatymą mašininio mokymosi ir panašių metodų, kurie buvo vien tik automatizuotas sprendimų priėmimas (kurį konkrečiai reguliuoja GDPR 22 straipsnyje).
Besivystantis duomenų apsaugos įstatymo pobūdis leidžia išlikti aktuali AI amžiuje
Formaliai duomenų apsaugos įstatymas nedelsiant suaktyvinamas AI kontekste, kai apdorojami asmeniniai duomenys. Iš esmės duomenų apsauga turi prasmingas priemones, užtikrinančias AI sistemų teikėjų ir diegėjų atskaitomybę, ir kad asmenų teisės yra vertinamos per visą AI sistemos gyvavimo ciklą.
Tai apima skaidrumo reikalavimus, principus, tokius kaip sąžiningumas, tikslo apribojimas ir duomenų mažinimas, taip pat reikalingos saugumo priemonės, rizikos vertinimai (su duomenų apsaugos poveikio vertinimais ir teisėtiems palūkanų vertinimams yra pačios tinkamiausios) ir tokias individualias teises, kaip prieiga ir ištrynimas ar pataisymas, tarp jų Kitos apsaugos priemonės.
Naujausios Europos duomenų apsaugos valdybos arba CNIL (Prancūzijos duomenų apsaugos tarnybos) gairės rodo, kad GDPR yra pakankamai lanksti, kad būtų išvengta AI revoliucijos ES, tuo pačiu siūlant apsaugą asmenų teisėms.
Visų pirma CNIL paskelbė AI ir GDPR rekomendacijas „Remti atsakingas naujoves“ prieš šios savaitės AI veiksmo viršūnių susitikimą Paryžiuje. Tai aiškino dešimtmečius senus principus, tokius kaip „tikslo apribojimas“ ir „duomenų mažinimas“ taip, kaip pritaikytas bendrosios ir paskirties AI (GPAI) sistemų realybei. Pavyzdžiui, CNIL leidžia duomenų valdytojams „apibūdinti kuriamos sistemos tipą ir iliustruoti pagrindines galimas funkcijas“, kai neįmanoma apibrėžti visų galimų programų mokymo etape, kad būtų įvykdytas „tikslo apribojimo“ reikalavimas.
Tai, kaip duomenų apsaugos įstatymas reguliuoja AI, taip pat yra prasminga todėl, kad jis reguliuoja visus asmens duomenų apdorojimą, ne tik duomenis, kuriais grindžiamas didelės rizikos ar nepriimtinų rizikos AI sistemų. Tuo pačiu metu tai yra pasekmė ir gali būti greita – nes duomenų apsaugos įstatymą vykdo specializuotos ir nepriklausomos priežiūros institucijos, kurioms laikui bėgant buvo suteiktos didelės kompetencijos ir galios, kurios vis labiau veikia kaip pasaulinio tinklo dalis.
Stebėjosi priešais gyvybingą įstatymų leidybos aplinką apie duomenų apsaugą Europoje aštuntojo dešimtmečio pradžioje, Hondius savo 1975 m. Knygoje numatė, kad „nėra abejonės, kad ne tik kompiuteriai, bet ir įstatymai toliau vystysis. Duomenų apsaugos įstatymas galbūt turės savo kartas, pavyzdžiui, kompiuterius “. Galbūt AI specifiniai įstatymai, tokie kaip ES AI įstatymas, iš tikrųjų buvo skirti būti naujos kartos duomenų apsaugos įstatymai, kuriuos paskatino naujas skaičiavimo šuolis. Jei taip, jie turėtų būti žymiai labiau suderinti su didžiule duomenų apsaugos įstatymo ir išsamumu.
Pastaba: Šis straipsnis pateikia autoriaus nuomonę, o ne Europos – Europos politikos ir politikos ar Londono ekonomikos mokyklos poziciją. Teminis vaizdo kreditas: © Europos Sąjunga
