Sztuczna inteligencja nie może przetwarzać tych zasobów, których nie może przetwarzać korzystający z nich przedsiębiorca. Jej prawna odpowiedzialność to odpowiedzialność człowieka wobec drugiego człowieka. Tak powinno zostać – mówi prof. Katarzyna Chałubińska-Jentkiewicz.
Prawniczka przyznaje, że wraz z rozwojem sztucznej inteligencji prawdopodobnie z czasem będzie można zidentyfikować wszystkie informacje generowane w Internecie przez osobę fizyczną lub z nią związane.
Czy zatem, na dowolne zlecenie, narzędzia sztucznej inteligencji mogą szukać ludzi i wyszukiwać informacji o ich zdrowiu, działalności, przeszłości? Czy SI może każdemu podać nasze dane osobowe, numery dokumentów – jeśli instytucje, którym je powierzyliśmy, nie chronią ich właściwie? Kto wówczas złamie prawo – administrator danych, twórca sztucznej inteligencji, odbiorca danych?
Zdaniem prof. Katarzyny Chałubińskiej-Jentkiewicz, niepokojące jest zastosowanie programów sztucznej inteligencji (SI/AI), głębokiego uczenia (DL) oraz uczenia maszynowego (ML) do przetwarzania informacji, które można wykorzystać do odróżnienia lub śledzenia tożsamości osoby fizycznej – takich jak: imię i nazwisko, numery ubezpieczenia społecznego, numery identyfikacji podatkowej i dane biometryczne, powiązane z innymi danymi osobowymi lub identyfikującymi, takimi jak data i miejsce urodzenia oraz nazwisko panieńskie matki.
„Dane osobowe zbierane od konsumentów i użytkowników końcowych usługi cyfrowej stały się cennym zasobem dla dostawców technologii skupiających się na działaniu sztucznej inteligencji. Analizując uwarunkowania prawne trzeba podkreślić, że zawsze za technologią stoi człowiek – odpowiedzialny za jej rozwój i aktywność” – mówi profesor.
„Po czasie kolonizacji cyberprzestrzeni, następuje czas ustalania, jaki jest stosunek człowieka do nowych technologii. W jakiej relacji powinni pozostawać. To nie tylko sprawa etyki, ale także prawa. Odpowiedzialność SI to odpowiedzialność człowieka, który za nią stoi” – ocenia prof. Chałubińska-Jentkiewicz.
Teoretycznie więc AI jest sterowana przez człowieka i pozostaje pod jego kontrolą. Jednak, jak przyznaje profesor, w cyberprzestrzeni będzie prawdopodobnie można z pomocą narzędzi takich jak ChatGPT zidentyfikować wszystkie informacje generowane przez wybraną osobę lub z nią związane. Jak zatem skutecznie chronić naszą prywatność – na przykład przed biurem detektywistycznym wyposażonym w najnowsze narzędzia AI albo przed firmą marketingową, która dzięki AI może stworzyć sobie dowolną bazę potencjalnych klientów i znając ich cechy, dobierać strategie wpływu?
„W art. 22 RODO zostało wprowadzone prawo osoby fizycznej do niepodlegania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa” – mówi prof. Chałubińska-Jentkiewicz.
Tłumaczy, że chodzi tu o zapobieganie problematycznym sytuacjom, wynikającym z automatyzacji procesów przetwarzania danych, kiedy pojawia się zagrożenie dla osób, których dane były w ten sposób wykorzystane.
„Jako przykład można wskazać decyzję o braku zdolności kredytowej wygenerowaną przez algorytm bankowy. Osoba, której dane są przetwarzane w taki sposób, może wnieść sprzeciw do administratora danych” – obrazuje ekspertka.
Jak wylicza prof. Chałubińska-Jentkiewicz, AI nie może analizować lub prognozować aspektów dotyczących efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą – o ile takie „profilowanie” wywołuje skutki prawne względem tej osoby lub w podobny sposób znacząco na nią wpływa.
„Profilowanie odgrywa jednak coraz większą rolę w takich sektorach, jak marketing, zdrowie czy ubezpieczenia. Może być np. wykorzystywane do realizacji polityki dyskryminacji cenowej, polegającej na wyświetlaniu wyższych cen produktów osobom, które zostały sprofilowane jako bardziej zamożne” – dodaje prawniczka.
Zgodnie z prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator danych, wymienione dane można jedynie przetwarzać w celu monitorowania i zapobiegania oszustwom, na przykład podatkowym. Jest to również dozwolone przy zawieraniu umów i świadczeniu usług, a także w innych przypadkach, gdy o tym wiemy i wyrażamy na to zgodę.
Jak zaznacza profesor, przetwarzanie danych powinno być zabezpieczone. Takim zabezpieczeniem są prawa osoby, której dane dotyczą. Ma ona prawo do uzyskania interwencji człowieka w odniesieniu do decyzji opartej na zautomatyzowanym profilowaniu. Ma prawo być informowana o tym, że jej dane są przetwarzane. Ma też prawo do wyrażenia w sprawie decyzji własnej opinii czy do uzyskania wyjaśnienia, a przede wszystkim prawo do zakwestionowania tej decyzji.
„Takie przetwarzanie nie powinno jednak dotyczyć dzieci, które także są potencjalnym podmiotem profilowania jako użytkownicy sieci, np. w sytuacji śledzenia ich zainteresowań w celu analizy zachowań konsumenckich” – podkreśla prawniczka.
Prof. Chałubińska-Jentkiewicz wskazuje, że nie wolno przetwarzać danych wrażliwych (sensytywnych) dotyczących np. stanu zdrowia, orientacji seksualnej, poglądów politycznych czy wyznania, etc. Zakaz ten jest wyłączony, jeśli osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych (art. 9 ust. 2 lit. a RODO) lub przetwarzanie jest niezbędne ze względu na ważny interes publiczny, na podstawie prawa Unii albo państwa członkowskiego (art. 9 ust. 2 lit. g RODO).
A jeśli, mimo zakazu, ktoś zada narzędziu wyszukanie chronionych danych i stworzenie bazy danych – kto wówczas narusza prawo? Profesor wyjaśnia, że w przypadku, gdy dane nie są dostatecznie zabezpieczone, za naruszenie tych przepisów odpowiada administrator. W takim przypadku uprawniony organ (Prezes Urzędu Ochrony Danych Osobowych) może nałożyć na administratora karę pieniężną w wysokości do 20 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Prof. Katarzyna Chałubińska-Jentkiewicz – doktor habilitowana nauk prawnych, kieruje katedrą Prawa Informatycznego na Wydziale Prawa i Administracji Akademii Sztuki Wojennej w Warszawie. Jest dyrektorką Rejestru Domeny.pl w Państwowym Instytucie Badawczym Naukowa i Akademicka Sieć Komputerowa, bierze udział w pracach Rady ds. Bezpieczeństwa i Obronności przy Prezydencie RP oraz Rady ds. Cyfryzacji przy Ministrze Cyfryzacji. Habilitację uzyskała na Wydziale Prawa i Administracji Uniwersytetu Jagiellońskiego, wykłada również na Uniwersytecie SWPS.
Karolina Duszczyk (naukawpolsce.pl)
kol/ bar/