Η δυναμική είσοδος της Τεχνητής Νοημοσύνης (ΤΝ) και της μηχανικής μάθησης στην οικονομία, την παραγωγή και την κοινωνία (υγεία, εκπαίδευση, ποινική δικαιοσύνη, εργασιακός τομέας, ηλεκτρονικό εμπόριο, πιστοληπτική αξιολόγηση, αυτόνομα οχήματα) δημιουργεί νέες προκλήσεις στην εφαρμογή βασικών αρχών του ΓΚΠΔ 2016/679. Μεταξύ αυτών ανήκουν, ο περιορισμός του σκοπού επεξεργασίας, οι δευτερογενείς επεξεργασίες εκτός αρχικού σκοπού συλλογής, η ελαχιστοποίηση δεδομένων, η επεξεργασία δεδομένων ειδικών κατηγοριών, η απαγόρευση λήψης πλήρως αυτοματοποιημένων αποφάσεων, η δημιουργία προφίλ συμπεριφοράς, το δικαίωμα στην ανθρώπινη παρέμβαση, η λογοδοσία του υπευθύνου και του εκτελούντος επεξεργασία. |
GDPR και τεχνητή νοημοσύνη: μια δύσκολη ισορροπία
Αν και ο Γενικός Κανονισμός δεν θέτει εμπόδια στην ανάπτυξη της τεχνολογίας, εντούτοις, στην πράξη, ανακύπτουν σημαντικές προκλήσεις αναφορικά με την εφαρμογή, επί των συστημάτων ΑΙ, βασικών αρχών του Κανονισμού όπως οι προαναφερόμενες. Παραδείγματος χάριν, τα μοντέλα μηχανικής μάθησης, εκπαιδεύονται, χωρίς κατά κανόνα να υπάρχει προς τούτο συναίνεση των χρηστών ή άλλη νομική βάση (άρθρου 6 ΓΚΠΔ), σε μεγάλα αρχεία προσωπικών δεδομένων. Τα αρχεία αυτά περιέχουν ονόματα, φωτογραφίες και αναρτήσεις συνδρομητών από κοινωνικά δίκτυα, πληροφορίες για την προσωπική και οικογενειακή τους κατάσταση, την εργασία, το ιατρικό ιστορικό, το προφίλ αναζητήσεων, θέασης και αγορών των καταναλωτών, τα δεδομένα αισθητήρων διασυνδεδεμένων συσκευών του διαδικτύου των πραγμάτων κ.ά.
Ομοίως, οι ανά τον κόσμο διωκτικές και αστυνομικές αρχές χρησιμοποιούν συχνά την τεχνολογία ως εργαλείο αθέμιτης παρακολούθησης των πολιτών, ανατρέποντας το τεκμήριο της αθωότητας. Στην ίδια κατεύθυνση, τα μεγάλα γλωσσικά μοντέλα τύπου ChatGPT, DALL-E, Bard καταγράφουν το ιστορικό διαλόγου με τον χρήστη, χωρίς ο ίδιος να το γνωρίζει, με συνέπεια η νομιμότητα της χρήσης τους να τίθεται στο μικροσκόπιο των ευρωπαϊκών Αρχών Ιδιωτικότητας (Ιταλία, Γαλλία κ.λπ.). Αντίστοιχα, οι μεγάλες τεχνολογικές εταιρίες, υπό το νέο ακρωνύμιο MAMAA (Meta, Amazon, Microsoft, Apple, Aplhabet), καταγράφουν αλγοριθμικά, χωρίς συγκατάθεση του χρήστη, τις αναζητήσεις και προτιμήσεις του για στοχευμένες διαφημίσεις, κατά παράβαση των αρχών του ΓΚΠΔ. Τέτοιες πρακτικές, που στοχεύουν και ευάλωτες κοινωνικές ομάδες, όπως οι ανήλικοι, οδηγούν στην επιβολή κυρώσεων και υψηλών διοικητικών προστίμων από τις Αρχές Ιδιωτικότητας (1,2 δις € κατά της Meta από την Ιρλανδική Αρχή, 746 εκ € κατά της Amazon από την Αρχή του Λουξεμβούργου κ.λπ.).
Η τεχνολογία ως εργαλείο επιθέσεων
Παράλληλα, η ΤΝ αποτελεί εργαλείο επιθέσεων από τεχνολογικά προηγμένους εγκληματίες σε κρίσιμα συστήματα οργανισμών κοινής ωφέλειας, τραπεζών, εταιριών, υποκλοπής κωδικών πρόσβασης πελατών και διασποράς πολυμορφικών ιών. Επιπρόσθετα, η χρήση «έξυπνων δικτύων» επιτρέπει τον συσχετισμό και την απο-ανωνυμοποίηση μαζικών «μη προσωπικών δεδομένων» (κατά την έννοια του Ευρωπαϊκού Κανονισμού 2018/1807). Στην κατηγορία αυτή ανήκουν δεδομένα κίνησης οχημάτων, κλινικών μελετών, αγροτικής παραγωγής, μέτρησης κατανάλωσης ύδατος, ενέργειας μέσω τηλεμετρίας. Μέσω συσχετισμού με διαδικτυακές IP διευθύνσεις, αριθμούς κυκλοφορίας οχημάτων, ταχυδρομικούς κώδικες, τα φαινομενικά αδιάφορα μαζικά δεδομένα μετατρέπονται εκ των υστέρων σε προσωπικά δεδομένα ταυτοποίησης οδηγών, επιβατών, ασθενών νοσοκομείων, γεωργών ή καταναλωτών.
Οι ανά τον κόσμο διωκτικές και αστυνομικές αρχές χρησιμοποιούν συχνά την τεχνολογία ως εργαλείο αθέμιτης παρακολούθησης των πολιτών, ανατρέποντας το τεκμήριο της αθωότητας
Προσέγγιση βάσει κινδύνου για τα θεμελιώδη δικαιώματα (EU AI Act)
Ενόψει της ανατρεπτικής φύσης της τεχνολογίας, το προς υιοθέτηση Σχέδιο Κανονισμού της Ευρωπαϊκής Επιτροπής (EU AI Act) εισάγει μια διαφοροποίηση των συστημάτων τεχνητής νοημοσύνης, βάσει του βαθμού κινδύνου που συνεπάγονται για τα δικαιώματα των ατόμων. Ως εκ τούτου, θα απαγορεύονται τα συστήματα ΤΝ που συνιστούν μη αποδεκτό κίνδυνο για τα θεμελιώδη δικαιώματα των πολιτών (χειραγώγηση ανθρώπινης συμπεριφοράς, βιομετρική εξ αποστάσεως παρακολούθηση πολιτών σε δημόσιο χώρο, «κοινωνική βαθμολόγηση» από τις κυβερνήσεις κ.λπ.). Αντίθετα, θα υπόκεινται σε αυστηρούς όρους και απαιτήσεις καταγραφής, διοικητικών ελέγχων και αδειοδότησης, με ελάχιστες εξαιρέσεις, τα συστήματα ΤΝ που χαρακτηρίζονται ως υψηλού κινδύνου (αυτόνομα οχήματα, λογισμικό αξιολόγησης υποψηφίων πρόσληψης, πιστοληπτικής ικανότητας, τεχνολογίες επιτήρησης προς επιβολή του νόμου). Τα συστήματα περιορισμένου κινδύνου, όπως διαλογικά ρομπότ (chatbots), θα υπόκεινται απλώς σε συγκεκριμένες υποχρεώσεις διαφάνειας. Τέλος, θα είναι ελεύθερη η χρήση εφαρμογών χαμηλού ή ανύπαρκτου κινδύνου (βιντεοπαιχνιδιών ή φίλτρων ανεπιθύμητης αλληλογραφίας). Ωστόσο, η αυτοματοποιημένη επεξεργασία μέσω αυτόνομων συστημάτων, τα οποία συχνά ενεργούν εκτός των ορίων του ανθρώπινου προγραμματισμού, δεν εγγυάται ούτε τη διαφάνεια της επεξεργασίας, ούτε την αποφυγή διακρίσεων σε βάρος των υποκειμένων από τις εγγενείς ρατσιστικές προκαταλήψεις των αλγορίθμων (φύλο, χρώμα, φυλετική ή εθνοτική καταγωγή).
Νομοθεσία για τις αναδυόμενες τεχνολογίες (N 4961/2022)
Προς τούτο, η πρωτοποριακή ελληνική νομοθεσία για τις αναδυόμενες τεχνολογίες (Τεχνητή Νοημοσύνη, Διαδίκτυο των Πραγμάτων, κυβερνοασφάλεια, τρισδιάστατη εκτύπωση, «έξυπνες συμβάσεις» σε υποδομή blockchain) εισάγει κανόνες για την ανάπτυξη και ασφαλή χρήση της ΤΝ από αναδόχους στο πλαίσιο του ψηφιακού μετασχηματισμού δημοσίου και ιδιωτικού τομέα. Στη ρυθμιστική εμβέλεια του Ν 4961/2022 υπάγονται υπουργεία, περιφέρειες, αποκεντρωμένες διοικήσεις, ασφαλιστικοί οργανισμοί κ.λπ., για προσλήψεις προσωπικού, καταπολέμηση φοροδιαφυγής, χορήγηση κοινωνικών επιδομάτων και άλλες εφαρμογές, αλλά και ιδιωτικές εταιρίες (ανάδοχοι συστημάτων, χρήστες ρομπότ διαλόγου, εισαγωγείς συσκευών και άλλοι φορείς).
Η μελέτη των επιπτώσεων της ΤΝ στην ιδιωτικότητα, η ύπαρξη ενός δικαιώματος του ατόμου στην παροχή εξατομικευμένων εξηγήσεων (άρθρο 22 ΓΚΠΔ) επί δυσμενούς απόφασης η οποία επιφέρει σε βάρος του έννομα αποτελέσματα, οι ηθικές και δεοντολογικές αρχές μιας αξιόπιστης ΤΝ, όπως και η συμβίωση μεταξύ GDPR και αναδυομένων τεχνολογιών, αποτελούν μεγάλο ζητούμενο.
Πλην της προβλεπόμενης εκτίμησης αντικτύπου ιδιωτικότητας για επεξεργασίες «υψηλού κινδύνου» (δυνάμει του άρθρου 35 ΓΚΠΔ) (π.χ. βιομετρικά, αναγνώριση προσώπου, γεωεντοπισμός, βιντεοεπιτήρηση, στοχευμένη συμπεριφορική διαφήμιση), ο νόμος επιβάλλει ακόμα τη διενέργεια αλγοριθμικής εκτίμησης αντικτύπου (άρθρο 5 Ν 4961/2022). Η άσκηση αυτή περιλαμβάνει διάφορες ερωτήσεις και πληροφορίες όπωςο σκοπός και οι παράμετροι λειτουργίας του συστήματος οι κίνδυνοι και κοινωνικά οφέλη του, η επεξηγησιμότητα των αποφάσεων κ.ά. Ιδιαίτερη φροντίδα πρέπει να αποδίδεται στην ενημέρωση των ατόμων με αναπηρία. Ως αρμόδια αρχή εφαρμογής του νόμου ορίζεται η Εθνική Αρχή Διαφάνειας (ΕΑΔ).
Σε κάθε περίπτωση, η μελέτη των επιπτώσεων της ΤΝ στην ιδιωτικότητα, η ύπαρξη ενός δικαιώματος του ατόμου στην παροχή εξατομικευμένων εξηγήσεων (άρθρο 22 ΓΚΠΔ) επί δυσμενούς απόφασης η οποία επιφέρει σε βάρος του έννομα αποτελέσματα, οι ηθικές και δεοντολογικές αρχές μιας αξιόπιστης ΤΝ, όπως και η συμβίωση μεταξύ GDPR και αναδυομένων τεχνολογιών, αποτελούν μεγάλο ζητούμενο που θα απασχολήσει την Ευρωπαϊκή Επιτροπή, τις κυβερνήσεις, τη νομική θεωρία και τις Ρυθμιστικές Αρχές (ΑΠΔΠΧ, ΕΑΚ, ΕΑΔ) τα επόμενα χρόνια. Παράλληλα, είναι μαθηματικά βέβαιο ότι θα ανακύψουν δικαστικές αμφισβητήσεις προς επίλυση από εξειδικευμένους δικηγόρους σε μια νέα αγορά παροχής συμβουλευτικών υπηρεσιών.
O Δρ. Λεωνίδας Κανέλλος είναι δικηγόρος και Διδάκτωρ Νομικής. Είναι συγγραφέας των έργων «THE GDPR HANDBOOK» (2η έκδοση 2023), «Smart Contracts – Νομικές προκλήσεις και επιχειρηματικές προοπτικές» (2022) και «Εφαρμογές Τεχνητής Νοημοσύνης στο δίκαιο και στη δικαστική πρακτική» (2021).