Strani

nedelja, 5. januar 2025

Mnenje EDPB - Bomo presegli usodo črkobralskih družb?

Mnenje Evropskega odbora za varstvo podatkov o uporabi osebnih podatkov za razvoj in uvedbo modelov umetne inteligence


»Mnenje EDPB trka na posluh nadzornih organov in poudarja težo njihove odgovornosti v okviru diskrecijske pravice presoje vsakega posameznega primera – kar kaže na novo smer razvoja pravne misli, ki bo morda zmogla preseči zakoreninjeno tradicijo črkobralstva. Z začrtanim pristopom je EDPB izkazal izjemen posluh za aktualen razvoj UI sistemov in obenem vlogo, ki ga ima UI ne le na posameznikove pravice in temeljne svoboščine, pač pa na celoten ustroj družbene prihodnosti.«

17. decembra 2024 je Evropski odbor za varstvo podatkov (EDPB) sprejel Mnenje o uporabi osebnih podatkov za razvoj in uvedbo modelov umetne inteligence. EDPB je v mnenju, pričakovano, poudaril pomen odgovornega razvoja inovacij, ki upošteva tako že sprejeta načela varstva osebnih podatkov in etiko.

Mnenje, ki so ga številni označili kot »veliko novico na področju UI in prava«obravnava: (1) kdaj in kako lahko UI modele štejemo za anonimne, (2) ali in kako se lahko zakoniti interes uporabi kot pravna podlaga za razvoj ali (3) uporabo UI modelov, in (4) kaj se zgodi, če je UI model razvit z uporabo osebnih podatkov, ki so bili obdelani nezakonito.

EDPB je podal mnenje kot odziv na zaprosilo Irske za izdajo mnenja o zadevah splošne uporabe v skladu s členom 64(2) GDPR [1].

»Katerikoli nadzorni organ, predsednik odbora ali Komisija lahko zahteva, da katerokoli zadevo splošne uporabe ali z učinkom v več kot eni državi članici preuči odbor, ki da mnenje, zlasti kadar pristojni nadzorni organ ne izpolni obveznosti glede medsebojne pomoči v skladu s členom 61 ali glede skupnega ukrepanja v skladu s členom 62.«
64(2) čl. GDPR

Vprašanje anonimnosti


V zvezi s prvim vprašanjem mnenje navaja, da ocena anonimnosti modela UI terja presojo od primera do primera (case-by-case assessment). EDPB je namreč mnenja, da modelov UI, usposobljenih z osebnimi podatki, ni mogoče vedno šteti za anonimne. Da bi bil model UI lahko označen kot anonimen, morata biti po mnenju odbora kumulatiovno izpolnjena oba naslednja pogoja:

1. zanemarljiva je verjetnosti za možnost povratne ekstrakcije osebnih podatkov posameznikov,  katerih podatki so bili uporabljeni za razvoj modela, ter
2. zanemarljiva je verjetnost (namerne ali nenamerne) pridobitve takšnih osebnih podatkov prek poizvedb.

Pri presoji obeh pogojev se odbor glede ocene »zanemarljive verjetnosti« referencira na upoštevanje »vseh sredstev, ki jih je razumno verjetno mogoče uporabiti« - bodisi s strani upravljavca ali druge osebe.

Mnenje nadzornim organom nalaga odgovorno in celovito presojo dokumentacije, ki jo predloži upravljavec. Velja izpostaviti, da pri presoji odbor predlaga zgolj smernice (in ne zavezujočega seznama) metod za zagotavljanje anonimnosti. Gre torej za orisni prikaz možnih metod, ki jih upravljavci lahko uporabijo za dokazovanje anonimnosti na eni strani, in ki se jih nadzorni organi lahko poslužijo pri presoji anonimnosti na drugi strani. Smernice tako primeroma izpostavljajo predložitev seznama (a) ukrepov, ki jih z namenom omejevanja zbiranja osebnih podatkov uvedejo upravljavci in razvijalci tekom treniranja sistema, (b) ukrepov, ki zmanjšujejo prepoznavnost in identifikacijo oseb, (c) ukrepov, ki preprečujejo ekstrakcijo podatkov, in (d) ukrepov, ki zagotavljajo varnost in odpornost sistema na vdore.

V praksi za razvijalce UI to pomeni zgolj to, da bodo morali trditve o anonimnosti podkrepiti z dokazi, vključno z izvajanjem tehničnih in organizacijskih ukrepov za preprečevanje ponovne identifikacije - kar pa pravzaprav ni nikakršna novost.

Zakoniti interes kot pravna podlaga za razvoj in uporabo UI sistemov


Odgovor EDPB na drugo in tretje vprašanje se nanaša na smernice za razvoj in uporabo UI, ko se kot pravna podlaga uporablja zakoniti interes v smislu člena 6(1)(f) GDPR: 

Obdelava je zakonita, če je »potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok«. Člen 6(1)(f) GDPR 

Mnenje EDPB tudi tu ne prinaša presenetljivih novosti: opozarja, da med pravnimi podlagami, ki jih zagotavlja GDPR, ni hierarhije (kar ni nič novega) in da morajo upravljavci določiti ustrezno pravno podlago za svoje dejavnosti obdelave (tudi tu je prakse že veliko).  Če naj se torej obdelava osebnih podatkov šteje za zakonito iz naslova zakonitega interesa, je, kot izhaja že iz GDPR, nujno izpolniti tri kumulativne pogoje: (1) zasledovanje zakonitega interesa, (2) dokazljivost, da je obdelava nujno potrebna za dosego tega interesa (t.i. »test nujnosti«), in (3) zagotovitev, da obdelava ne prevlada nad temeljnimi pravicami in svoboščinami posameznikov (»test tehtanja«).

V zvezi s prvim korakom mnenje opozarja, da se interes lahko šteje za zakonit, če so izpolnjena naslednja tri kumulativna merila: (1) interes je zakonit, (2) interes je jasno in natančno izražen in (3) interes je resničen in pristen (torej ne špekulativen).

V zvezi z drugim korakom mnenje opozarja, da ocena nujnosti vključuje preučitev: (1) ali bo dejavnost obdelave omogočila uresničevanje zakonitega interesa in (2) ali ni manj vsiljivega načina za uresničevanje tega interesa. Odbor v mnenju opozarja, da morajo nadzorni organi posebno pozornost nameniti količini obdelanih podatkov in presoditi, ali je ta sorazmerna uresničevanju zadevnega zakonitega interesa tudi z vidika upoštevanja načela minimizacije podatkov.

V zvezi s tretjim korakom mnenje opozarja, da je treba preskus tehtanja opraviti ob upoštevanju posebnih okoliščin vsakega primera. Kot del tretjega koraka poudarja posebna tveganja za temeljne pravice, ki se lahko pojavijo v fazi razvoja ali uvajanja modelov umetne inteligence. Pojasnjuje, da lahko obdelava osebnih podatkov, ki poteka med fazami razvoja in uvajanja modelov UI, vpliva na posameznike, na katere se nanašajo osebni podatki, na različne načine, ki pa so lahko tako pozitivni kot tudi negativni. Za oceno vpliva lahko nadzorni organi upoštevajo naravo podatkov, ki jih obdelujejo modeli, kontekst obdelave, pa tudi morebitne nadaljnje posledice obdelave.

Pri testu tehtanja mnenje dodatno poudarja tudi vlogo razumnih pričakovanj posameznikov, na katere se nanašajo osebni podatki. Kot pojasnjuje, je to »lahko pomembno zaradi zapletenosti tehnologij, ki se uporabljajo v modelih UI, in dejstva, da je posameznikom, na katere se nanašajo osebni podatki, morda težko razumeti raznolikost njihovih potencialnih uporab, pa tudi različne vključene dejavnosti obdelave«. Poenostavljeno: gre za vprašanje, ali lahko posamezniki razumno pričakujejo, da bodo njihovi osebni podatki obdelani. Glede na kontekst lahko to vključuje: ali so bili osebni podatki javno dostopni ali ne, naravo odnosa med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem (in ali obstaja povezava med njima), naravo storitve, kontekst, v katerem so bili osebni podatki zbrani, vir, iz katerega so bili podatki zbrani (tj. spletno mesto ali storitev, kjer so bili osebni podatki zbrani, in nastavitve zasebnosti, ki jih ponujajo), možne nadaljnje uporabe modela in ali se posamezniki, na katere se nanašajo osebni podatki, dejansko zavedajo, da njihovi osebni podatki sploh so na spletu.

Tudi tu se je odbor naslonil na pojasnjevalno strategijo – na nadzorne organe prelaga odgovornost, da v konkretnem primeru vsebinsko pretehtajo ravnovesje med temeljnimi pravicami in podatkovno obdelavo podatkov. Podobno kot načelno držo in odgovornost izvorno polaga na upravljavce in razvijalce, tudi pri presoji predvideva odvisnost od kontekstualne umeščenosti podatkov posameznega UI modela. Kar je pravzaprav tudi logično, pa čeprav se odmika zakoreninjeni pravni logiki absolutne (pre)normiranosti.

Kot eno izmed možnih rešitev EDPB posebej izpostavlja uvedbo omilitvenih ukrepov za omejitev vpliva obdelave na osebe, katerih osebni podatki so se obdelovali. Takšen ukrep pride v poštev v vseh primerih, kjer se zdi, da interesi, pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, prevladujejo nad zakonitimi interesi, za katere si prizadeva upravljavec ali tretja oseba. Mnenje tudi tu navaja primere možnih ukrepov, za katere pa (ponovno) posebej izpostavlja, da seznam ni celovit in da v svojem namenu služi predvsem kot usmerjevalec iskanja možnih rešitev. O njihovi ustreznosti pa odgovornost za oceno, ali (in če, kakšni) naj bi bili primerni omilitveni ukrepi, v vsakem posamičnem primeru polaga na nadzorne organe.

Razvoj modelov UI z nezakonito obdelanimi osebnimi podatki


Tudi v odgovoru na četrto vprašanje EDPB uvodoma izpostavlja diskrecijsko pravico nadzornih organov, da v vsakem konkretnem primeru presodijo težo morebitnih kršitev in nato po lastni presoji izberejo ustrezne, potrebne in sorazmerne ukrepe.

V tem okviru pri odgovoru na zastavljeno vprašanje mnenje obravnava tri možne scenarije.

V prvem scenariju mnenje naslavlja situacijo, kjer se osebni podatki ohranijo v modelu UI (kar izvorno pomeni, da modela ni mogoče šteti za anonimnega) in jih nato obdeluje isti upravljavec (npr. kot uvajalec modela). Mnenje navaja, da je takšen primer najprej terja (a) presojo, ali faza razvoja in faza uvedbe vključujeta ločene namene (kar pomeni ločene dejavnosti obdelave), nato pa (b) oceno obsega, v katerem pomanjkanje pravne podlage za začetno dejavnost obdelave vpliva na zakonitost nadaljnje obdelave. Šele na podlagi opravljenih obeh presoj lahko nadzorni organ sklepa o (ne)zakonitosti modela UI.

V drugem scenariju se osebni podatki ohranijo v modelu in jih obdeluje drug upravljavec v okviru uvedbe modela. V zvezi s tem mnenje navaja, da bodo morali nadzorni organi upoštevati, ali je upravljavec, ki uvaja model, izvedel ustrezno oceno kot del svojih obveznih odgovornosti, da dokaže skladnost s členom 5(1)(a) (načela zakonitosti, pravičnosti in preglednosti obdelave osebnih podatkov) in členom 6 GDPR (zakoniti temelji obdelave), da bi zagotovil, da model UI ni bil razvit z nezakonito obdelavo osebnih podatkov. Nadzorni organi bodo morali upoštevati vir osebnih podatkov in okoliščino, ali je bila obdelava v razvojni fazi predmet kršitve, obenem pa preučiti tveganja, ki jih prinaša obdelava v fazi uvajanja.

Zanimiv je zlasti tretji scenarij. Ta predvideva situacijo, kjer upravljavec za razvoj modela UI sicer resda nezakonito obdeluje osebne podatke, a naknadno zagotovi, da so podatki anonimizirani - in šele na takšnem (naknadno anonimizranem) modelu sproži obdelavo osebnih podatkov v fazi uvedbe, bodisi sam ali prek drugega upravljavca. EDPB je v tem primeru zavzel mnenje, da, v kolikor bo mogoče dokazati, da poznejše delovanje modela UI ne vključuje obdelave osebnih podatkov, GDPR zakonodaja NI aplikativna. Ali poenostavljeno: začetna nezakonitost obdelave NE bo per se vplivala na (ne)zakonitost nadaljnjega delovanja modela [2].

Ta odločitev EDPB je v celotnem mnenju edina zares vredna posebne pozornosti – v pravnem razumevanju normativnih podlag le redko zasledimo zmožnost »naknadne korektivnosti«; praviloma nezakonitost v katerikoli prejšnji fazi, podobno kot pri doktrini »zastrupljenega sadeža« [3] v kazenskem pravu, omadežuje vse nadaljnje rezultate. V tem primeru pa se je odbor odločil za drugačno možnost – kar kaže na veliko razumevanje trenutnega razvoja UI sistemov in obenem vloge, ki ga ima UI na celoten spekter ne le posameznikovih pravic in temeljnih svoboščin, pač pa na celoten ustroj družbene prihodnosti.

V luči predstavljenega opisnega pristopa, ki se, kot rečeno, ne omejuje na taksativno naštevanje prepovedi in omejitev, pač pa trka na posluh nadzornih organov in poudarja težo njihove odgovornosti v okviru diskrecijske pravice presoje vsakega posameznega primera, ima takšno mnenje še večjo težo. Kaže na novo smer razvoja pravne misli, ki bo morda zmogla preseči zakoreninjeno tradicijo črkobralstva.

Ko nas vodi etika


EDPB je v mnenju ostal zvest svoji izrecni uvodni zavezi, da se mora GDPR uveljaviti kot »pravni okvir, ki spodbuja odgovorne inovacije« [4]. Ta konstruktiven pristop je mogoče jasno zaznati v vseh točkah mnenja; v svojih stališčih EDPB ponuja v mnogočem prožnejšo razlago, kot jo je mogoče zaslediti v dosedanjih razlagah nacionalnih nadzornih organov; utemeljuje večjo prilagodljivost glede zakonitih interesov ter nudi praktično in uravnoteženo ogrodje za usposabljanje UI modelov z uporabo podatkov. 

Prožna razlagalna perspektiva omogoča nov pogled na razvoj varstva osebnih podatkov v dobi UI, a ne na račun varnosti, zaupanja ali krnjenja doseženih civilizacijskih standardov. Organom nadzora nalaga, da s svojimi odločitvami ne zavirajo tehnološkega napredka, pač pa le tega odgovorno usmerjajo.

Zahteva po smiselni uporabi uveljavljenih demokratičnih standardov, načel pravne države ter varovanju človekovih pravic in temeljnih svoboščin je v svetu UI, če naj bo ta po meri človeka, neizogibna. Odločitev EDPB je v tem smislu v marsičem prelomna: upošteva sprejeta načela, a obenem izraža posluh za realnost. V tolmačenju zakonodaje opozarja na sprejeta načela, njihovo aplikativnost pa prepušča presoji konkretnih primerov, ki jih ne zamejuje, niti jih ne poskuša črkobralsko ujeti v nomotehnične okvire. 

Takšne načelen pristop k reševanju pravnih dilem se v mnogočem odmika od uveljavljenega silogističnega sklepanja slovenskega (pa tudi širšega kontinentalnega) pravnega razmisleka. V razlago pravnih norm eksplicitno vnaša načela in etiko kot vodnike sprejemljivega razvoja prihodnosti UI. Kar pa pravzaprav ni novost - prej korektiv v pravo smer. 

Mnenje EDPBja je v tej luči smiselno razumeti kot dobrodošel kažipot po nepoznanih pokrajinah, nikakor pa to ni edini kompas v nemarkiranem teritoriju. Nasprotno. Dasiravno so UI sistemi novi, so vse pravne podlage, ki naj bi jih vredno(s)tno vodile, v svojem bistvu že sprejet: etika kot katalizator razvoja (in uporabe) sistemov UI mora postati fait accomplie ne le na papirju, pač pa predvsem v praksi. In mnenje EDPB je v tem smislu zagotovo dobrodošel korak v pravo smer.

****
[1] Splošna uredba o varstvu podatkov; Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov). V nadaljevanju uporabljam za uredbo kratico GDPR.

[2] Glede razvoja modelov UI z nezakonito obdelanimi osebnimi podatki je EDPB izpostavlja posledice tako za razvijalce kot tudi uporabnike. Odbor namreč eksplicitno pojasnjuje, da imajo nadzorni organi pooblastila za uvedbo korektivnih ukrepov, ki lahko vključujejo (i) izbris nezakonito obdelanih podatkov, (ii) ponovno usposabljanje modela ali v hujših primerih celo (iii) zahtevo po uničenju modela.

[3] Teorija »zastrupljenega sadeža« (poisonous fruit doctrine) je pravni koncept, ki izhaja iz anglosaksonskega pravnega sistema, predvsem iz ZDA. Gre za doktrino, povezano z izključitvenim pravilom (exclusionary rule), ki določa, da dokazi, pridobljeni na nezakonit način, ne smejo biti uporabljeni na sodišču. Doktrino je v bolj ali manj podobnih različicah mogoče zaslediti v večini kazenskopravnih sistemov.

[4] Gl. EDPB mnenje, Executive Summary, str. 2.