Συμβουλευτική AI

GDPR και AI: πώς κρατάτε τα μοντέλα σας στη σωστή πλευρά των κανόνων δεδομένων της ΕΕ

Vincent Wahidi
Vincent Wahidi · 5 λεπτά ανάγνωσης
GDPR και AI: πώς κρατάτε τα μοντέλα σας στη σωστή πλευρά των κανόνων δεδομένων της ΕΕ

Υπάρχει μια κοινή υπόθεση ότι το AI είναι κάτι αρκετά καινούργιο ώστε να βρίσκεται έξω από τους παλιούς κανόνες δεδομένων. Δεν είναι. Αν ένα μοντέλο αγγίζει προσωπικά δεδομένα, είτε κατά την εκπαίδευση, είτε σε ένα prompt, είτε σε ένα αποτέλεσμα, ο GDPR ισχύει ακριβώς όπως πάντα. Ο νόμος της ΕΕ για το AI προσθέτει ένα δεύτερο επίπεδο από πάνω, αλλά οι πρώτες ερωτήσεις που πρέπει να απαντήσει μια ευρωπαϊκή επιχείρηση για το AI της παραμένουν ερωτήσεις GDPR, και μερικές από αυτές είναι πιο οξείες σε ένα πλαίσιο AI από ό,τι ήταν πριν.

Οι αρχές δεν έχουν αλλάξει, αλλά το AI τις πιέζει

Ο GDPR χτίζεται πάνω σε μια χούφτα αρχές, και το AI ασκεί πίεση στις ίδιες λίγες κάθε φορά. Νόμιμη βάση: χρειάζεστε έναν λόγο που αναγνωρίζει ο νόμος για να επεξεργαστείτε προσωπικά δεδομένα, και το «θέλαμε να εκπαιδεύσουμε ένα μοντέλο» δεν είναι αυτόματα ένας από αυτούς. Περιορισμός σκοπού: δεδομένα που συλλέχθηκαν για να τρέξει μια υπηρεσία δεν μπορούν ήσυχα να γίνουν δεδομένα εκπαίδευσης για κάτι άλλο χωρίς νέα βάση. Ελαχιστοποίηση δεδομένων: το να τροφοδοτείτε ένα μοντέλο με τα πάντα επειδή ίσως βοηθήσει είναι το αντίθετο από αυτό που ζητά ο κανόνας. Τίποτα από αυτά δεν είναι καινούργιο. Αυτό που είναι καινούργιο είναι πόσο εύκολα ένα έργο AI περνάει μέσα από και τα τρία χωρίς να το προσέξει κανείς.

Οι αυτοματοποιημένες αποφάσεις είναι εκεί που γίνεται σοβαρό

Το άρθρο 22 δίνει στους ανθρώπους δικαίωμα να μην υπόκεινται σε καθαρά αυτοματοποιημένες αποφάσεις που παράγουν νομικά ή παρόμοια σημαντικά αποτελέσματα, με στενές εξαιρέσεις. Ένα σύστημα AI που αποφασίζει μόνο του για πίστωση, απασχόληση, ή επιλεξιμότητα πέφτει κατευθείαν πάνω σε αυτή τη διάταξη. Αυτό είναι μεγάλο μέρος του γιατί το να κρατάτε έναν άνθρωπο στον βρόχο δεν είναι απλώς καλή πρακτική αλλά συχνά νομική υποχρέωση, και γιατί το ερώτημα σχεδιασμού «αποφασίζει το μοντέλο, ή βοηθά έναν άνθρωπο που αποφασίζει» έχει συνέπειες πολύ πέρα από το καλό γούστο.

Τα δικαιώματα που δυσκολεύουν με ένα εκπαιδευμένο μοντέλο

Ο GDPR δίνει στους ανθρώπους δικαιώματα πάνω στα δεδομένα τους, και μερικά από αυτά κάθονται άβολα με τον τρόπο που δουλεύουν τα μοντέλα. Το δικαίωμα διαγραφής είναι απλό για μια γραμμή βάσης δεδομένων και γνήσια δύσκολο για ένα μοντέλο που έχει ήδη μάθει από τα δεδομένα. Η διαφάνεια σημαίνει να μπορείτε να εξηγήσετε, με ανθρώπινους όρους, τι συμβαίνει στα δεδομένα κάποιου. Κανένα από τα δύο δεν είναι λόγος να μην χτίσετε· και τα δύο είναι λόγος να σχεδιάσετε με αυτά κατά νου από την αρχή αντί να τα ανακαλύψετε σε έναν έλεγχο. Μέρος αυτού είναι απλά το να γνωρίζετε πού πηγαίνουν τα δεδομένα σας όταν χρησιμοποιείτε AI εξαρχής.

Ο GDPR και ο νόμος για το AI λειτουργούν μαζί

Για μια ευρωπαϊκή επιχείρηση τα δύο καθεστώτα δουλεύουν μαζί. Ο GDPR διέπει τα προσωπικά δεδομένα· ο νόμος της ΕΕ για το AI διέπει τον κίνδυνο του ίδιου του συστήματος, με βαρύτερες υποχρεώσεις για χρήσεις υψηλότερου κινδύνου. Η διατήρηση δεδομένων περνά μέσα από τα δύο: το να κρατάτε τα δεδομένα και την επεξεργασία εντός της ΕΕ είναι συχνά ο καθαρότερος τρόπος να ικανοποιήσετε τα ερωτήματα που θέτει κάθε καθεστώς. Ένα γραφείο που τα αντιμετωπίζει ως έναν ενιαίο συνδυασμένο περιορισμό σχεδιασμού, αντί για δύο έργα συμμόρφωσης, κινείται ταχύτερα και με λιγότερο κίνδυνο.

Οι ερωτήσεις που θα κάνει ο DPO σας, απαντημένες πριν τις κάνει

Ένας πρακτικός τρόπος να δοκιμάσετε ένα έργο AI είναι να απαντήσετε στις ερωτήσεις προστασίας δεδομένων προτού ξεκινήσει το έργο, γιατί είναι προβλέψιμες. Ποια προσωπικά δεδομένα αγγίζει το σύστημα, κατά την εκπαίδευση και κατά τη λειτουργία, και θα μπορούσε να κάνει τη δουλειά του με λιγότερα; Ποια είναι η νόμιμη βάση για κάθε μία από αυτές τις χρήσεις, γραμμένη, όχι υποτιθέμενη; Πού πηγαίνουν φυσικά τα δεδομένα, συμπεριλαμβανομένου μέσα από οποιοδήποτε API μοντέλου τρίτου, και υπάρχει συμφωνία επεξεργασίας δεδομένων που το καλύπτει; Αν το σύστημα συμβάλλει σε αποφάσεις για ανθρώπους, πού ακριβώς αποφασίζει ο άνθρωπος, και μπορείτε να το δείξετε; Και αν κάποιος ασκήσει τα δικαιώματά του, πρόσβαση, αντίρρηση, διαγραφή, τι συμβαίνει πραγματικά, βήμα προς βήμα;

Ένα ενδεικτικό παράδειγμα κάνει τη συνήθεια συγκεκριμένη: μια εταιρεία θέλει έναν βοηθό υποστήριξης που απαντά σε emails πελατών. Η δελεαστική κατασκευή τροφοδοτεί ολόκληρα γραμματοκιβώτια σε ένα φιλοξενούμενο μοντέλο. Η συμμορφούμενη κατασκευή κάνει τις ερωτήσεις πρώτα και καταλήγει κάπου καλύτερα: αφαιρέστε ή καλύψτε αναγνωριστικά που δεν χρειάζεται ο βοηθός, κρατήστε την επεξεργασία σε μια περιοχή ΕΕ κάτω από κατάλληλη συμφωνία, καταγράψτε ποιες πηγές τροφοδότησαν κάθε απάντηση, και κρατήστε έναν άνθρωπο σε οτιδήποτε αλλάζει τον λογαριασμό ενός πελάτη. Το δεύτερο σύστημα δεν είναι απλώς νομικά ασφαλέστερο. Είναι πιο εύκολο να εξηγηθεί, πιο εύκολο να ελεγχθεί, και όχι χειρότερο στη δουλειά.

Πώς μοιάζει το καλό

Γνωρίστε ποια προσωπικά δεδομένα ρέουν στα μοντέλα σας και γιατί, κρατήστε μια νόμιμη βάση για αυτό, κρατήστε έναν άνθρωπο υπόλογο για αποφάσεις που επηρεάζουν ανθρώπους, και μπορέστε να εξηγήσετε τι κάνετε σε απλή γλώσσα. Κάντε το αυτό και ο GDPR σταματά να είναι εμπόδιο και γίνεται πλαίσιο σχεδιασμού. Αν αναπτύσσετε AI πάνω σε ευρωπαϊκά προσωπικά δεδομένα και θέλετε να χτίσετε σωστά το θεμέλιο συμμόρφωσης προτού γίνει εύρημα ελέγχου, πείτε μας τι χτίζετε, και δείτε πώς το προσεγγίζουμε στη Συμβουλευτική AI.

Vincent Wahidi

Συντάκτης

Vincent Wahidi is the director of Encelyte, a computer engineer who builds production AI, automation, and custom software for enterprises across Cyprus and the wider region. He writes the strategy, cost and decision-maker pieces himself; the practical how-to guides are curated under the five mission-cat bylines below.

Διαβάστε στη συνέχεια

Προγνωστική συντήρηση για στόλους ναυτιλίας και logistics

Έχετε ένα πρόβλημα που αξίζει να λυθεί;

Πείτε μας τι δημιουργείτε ή τι διορθώνετε. Θα απαντήσουμε εντός μίας εργάσιμης ημέρας με ένα σαφές επόμενο βήμα.