Przemysław Sotowski: Nie sprowadzajmy AI do danych osobowych

Mam zagadkę. Argumenty o konieczności poddania rynku sztucznej inteligencji nadzorowi ze strony organu powołanego do ochrony danych osobowych podnoszą prawnicy zajmujący się:

a) własnością intelektualną

b) cyberbezpieczeństwem

c) ochroną danych osobowych

d) odpowiedzialnym tworzeniem i wykorzystaniem AI?

Czytaj więcej:

Biznes

W walce z deepfake’ami jesteśmy daleko w tyle

Przedsiębiorca, którego dotyczy deepfake lub fake news, nie ma narzędzi do walki z tego rodzaju naruszeniami. Nadzieję na zmiany daje unijne rozporządzenie zwane konstytucją internetu czy powracający projekt zmiany k.p.c. wprowadzający „ślepy pozew”.

Pro

Trafnie odgadliście, że za każdym razem – a dyskusja trwa już co najmniej trzy lata – są to prawnicy specjalizujący się w ochronie danych osobowych właśnie, którzy niedawno poczuli przemożną potrzebę wzbogacenia swojego portfolio wsparciem prawnym obszaru sztucznej inteligencji. Sam kiedyś byłem takim prawnikiem.

Przyznajmy, proponowana w projekcie ustawy o systemach sztucznej inteligencji nazwa organu – Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji – nie jest fortunna. Myślę, że ostatecznie się nie ostanie i zostanie zmieniona na coś bardziej ogólnego, na przykład Komisję Nadzoru Sztucznej Inteligencji. Intencje są jasne – chodzi o nacisk na rozwój tej technologii i bezpieczeństwo szeroko rozumianych odbiorców.

Nadzór nadzorowi nierówny. Można bowiem „nadzorować i karać”, a można nadawać ramy prawne działaniu i kierować wytyczne, przewodząc rynkowi. Pozostaje tylko żałować, że wraz z projektem ustawy o SSI nie przedstawiono projektu ustawy o Funduszu Sztucznej Inteligencji.Może wtedy odbiór byłby inny.

Mecenas Maciej Gawroński w tekście „Nie mnóżmy strażników sztucznej inteligencji" opublikowanym na Rp.pl 6 listopada 2024 r. wskazał, że powstanie nowego urzędu to okazja do celebry, nicnierobienia i etatów dla znajomych królika. Może tak być. Od tego jednak są media, opinia publiczna, eksperci i koalicjanci, aby do tego nie doszło (patrz casus IDEAS NCBR).

Może też być tak, że utworzenie nowego urzędu to szansa zbudowania nowoczesnego ośrodka kompetencji i punkt wyjścia do instytucjonalnego zauważenia kolejnych technologii przełomowych.

Przechodząc jednak do sedna – dlaczego nie UODO?

Mecenas Gawroński zauważył, że systemy SI przetwarzają dane, a my mamy już urząd od danych. Zapomniał jednak dodać, że to urząd od ochrony danych osobowych. Ma on zapewnić ochronę danych osób fizycznych – czyli prawa podmiotowego. Jak wiem z innego tekstu polskiej kultury, „las” to nie to samo co „las krzyży”. Podobnie „dane” nie równa się „dane osobowe”. Ochrona prawa to nie jest to samo co nadzór nad rynkiem, a tym ma się zajmować organ wskazany w projekcie ustawy o SSI.

Zgadzamy się, że systemy sztucznej inteligencji przetwarzają dane. Nie ma jednak żadnych badań, które pozwalałby sformułować tezę że ich „potężna część” to dane osobowe. Można powiedzieć, stosując tę samą metodę – czyli przeczucie autora – że jest wręcz przeciwnie. W rzeczywistości funkcjonuje wiele systemów SI, które nie przetwarzają danych osobowych, nie potrzebują ich przetwarzać do działania (także trenowania modeli itd.), zaś ich twórcy aktywnie unikają przetwarzania danych osobowych. Tajemnicą poliszynela jest, że nikt danych osobowych nie chce, bo ich przetwarzanie podnosi ryzyko biznesowe, a co za tym idzie, koszty. Dlatego właśnie rozwijają się techniki ochrony prywatności, takie jak syntetyczne dane, prywatność różnicowa czy„confidential computing”.

Przy ocenie prawnej systemów SI, ochrona danych osobowych to zaledwie mały wycinek problemu. Nie czyńmy z niego istoty sprawy. Dane osobowe są bowiem najczęściej przetwarzane tam, gdzie wymaga tego specyfika produktu czy usługi i potrzeba klienta – na przykład aby dopasować ubranie czy makijaż do konkretnej osoby, za jej wiedzą i zgodą.

W praktyce przypisanie nadzoru nad SI do prezesa UODO to powołanie nowego departamentu, zwiększenie budżetu i obowiązków obecnego urzędu. Tym samym, sztuczna inteligencja stałaby się przystawką do ochrony danych osobowych, a każdy podmiot na rynku skupiłby się na tym aspekcie. Jest oczywistą oczywistością, że skutkowałoby to przeniesieniem dotychczasowych procesów i zwyczajów – tzw. praktyki – na sztuczną inteligencję.

Po wtóre, prawa do prywatności i ochrony danych osobowych są zaledwie niewielkim fragmentem Karty Praw Podstawowych UE, które zostały odzwierciedlone w akcie w sprawie sztucznej inteligencji. Dlaczego właśnie te prawa miałyby być wyróżniane? Nie wiadomo, ponieważ autor nie odpowiada na to pytanie. Właśnie holistyczne podejście do sztucznej inteligencji stoi za propozycją powołania w skład Komisji przedstawicieli różnych organów, od PUODO po RPO. Powinniśmy bowiem mieć świadomość, że sztuczna inteligencja zmienia każdy aspekt życia, może w sposób, którego nie jesteśmy jeszcze w stanie dokładnie przewidzieć. To nie jest i nie będzie tylko kwestia prywatności.

Według autora zajęciem sztucznej inteligencji jest przetwarzanie danych. Przyjmując taką optykę, można powiedzieć, że zajęciem każdego oprogramowania jest przetwarzanie danych. Co więcej, zajęciem większości ludzi jest przetwarzanie danych. Czy z tego wynika, że mamy być nadzorowani przez UODO? Odpowiedź pozostawiam Czytelnikowi.

Pokazuje to jednak, że autor mylnie utożsamia nadzór nad rynkiem z ochroną praw podmiotowych.

Krótko odnosząc się do tezy o zarządzaniu ryzykiem „przetwarzania danych”, trzeba wskazać, że:

1) po pierwsze, co może być szokującą niespodzianką, zarządzanie ryzykiem jest dużo starsze i pojemniejsze, niż to wynika z RODO;

2) po drugie, błędem byłoby utożsamiać zarządzanie ryzykiem w systemach SI z zarządzaniem ryzykiem przetwarzania danych. To pierwsze jest znacznie szersze i nie powinno być utożsamiane tylko z przetwarzaniem danych.