Milyen adatvédelmi aggályok merülnek fel a mesterséges intelligenciával kapcsolatban a különböző iparágakban? Hogyan kezeli ezeket az EY?

Ansgar Koene: Az AI-rendszerek alapvetően „adatéhesek”. Ahhoz, hogy AI-megoldásokat fejlesszünk, nagy mennyiségű adatra van szükség. Ez a szükséglet fokozza az adatgyűjtés iránti igényt, legyen szó webes adatgyűjtésről vagy a különféle eszközeink, például a fitneszkövetők érzékelőiről. Bár ez még nem általános jelenség, hamarosan komoly adatvédelmi aggályokat vethet fel, különösen a személyes információkat gyűjtő eszközök esetében.

Ezen túlmenően fontos, hogy az AI adatjogi kérdései nem korlátozódnak csupán az adatvédelemre. Felmerülhetnek más aggályok is, mint például az adatok bizalmas kezelése és a szellemi tulajdonjogok (IP) védelme. Az EY, mint B2B szolgáltatásokat nyújtó vállalat számára ezek gyakran sürgetőbb kérdések, mint az egyszerű adatvédelem. Szélesebb perspektívát kell alkalmaznunk, amikor az AI és az adatok kapcsolatáról gondolkodunk, mivel az adatvédelmi problémákon túl a bizalmas információk és a szellemi tulajdon kérdései is fontos szerepet játszanak.

Az adatvédelem terén új kihívások jelentkeznek, különösen a multimodális AI-rendszerek megjelenésével, amelyek nemcsak szöveges adatokat, hanem képeket és videókat is elemeznek.

A hagyományos adatvédelmi módszerek főként a szövegre összpontosítanak, ahol könnyebb az olyan személyes adatok, mint a születési dátumok vagy más védett információk azonosítása. Ugyanakkor sokkal nehezebb meghatározni, hogy egy kép vagy videó tartalmaz-e adatvédelmi szempontból érzékeny adatokat. Ez egy új kihívás, amely különösen fontos lesz, ahogy a képi adatok egyre nagyobb szerepet kapnak az AI-rendszerek fejlesztésében.

Fontos adatvédelmi kérdés az érzékeny személyes információk kezelése.

A.K.: Még ha az adott adatok közvetlenül nem is kerülnek begyűjtésre, az AI segítségével statisztikai módszerekkel következtetni lehet például egy személy szexuális irányultságára vagy vallási hovatartozására, ami rendkívül személyes információ. Ezek a következtetések, még ha tévesek is, bekerülhetnek egy személy adatlapjába, ami adatvédelmi jogsértéseket, rágalmazást vagy félrevezető információk tárolását eredményezheti. Ez egy többdimenziós aggály, amely nemcsak az adatvédelmi kérdésekre, hanem az adathasználat jogi aspektusaira is kiterjed.

Az EY e kérdések kezelését az adatirodán keresztül végzi, amely évek óta azon fáradozik, hogy világos szerződéses feltételeket dolgozzon ki ügyfeleinkkel arról, hogyan és mire használhatók fel adataik, beleértve az AI alkalmazásokat is. Nagy hangsúlyt fektetünk arra, hogy megfeleljünk a szabályozási követelményeknek, és betartsuk az AI használatának etikai normáit. Az AI-fejlesztéseknél mindig „nulladik ügyfélként” járunk el, ami azt jelenti, hogy először magunkra alkalmazzuk a szabályokat, mielőtt ügyfeleinknek kínálnánk ezeket a megoldásokat. Ez a proaktív hozzáállás segít abban, hogy megfeleljünk a szabályozásoknak, és biztosítsuk a mesterséges intelligencia felelős használatát.

Ansgar
Ansgar Koene, az EY globális AI-etikai és szabályozási vezetője
Kép: EY

Lehetséges kimutatni, hogy valaki AI-t használt multimédiás fájlok, például képek és videók manipulálására?

A.K.: Igen, bizonyos mértékig már léteznek erre eszközök. Például léteznek technológiák, amelyek segítségével illegális tartalmakat, például gyermekekről készült szexuálisan explicit képeket lehet azonosítani, speciális adatbázisok és hash-alapú módszerek segítségével. Hasonló technológiákat lehet alkalmazni annak megállapítására, hogy egy adott kép vagy videó tartalmaz-e olyan jellemzőket, mint az arcok vagy egyéb azonosítható információk, amelyek adatvédelmi szempontból érzékenyek lehetnek. Az AI-rendszerek is képesek az ilyen jellegű manipulációk észlelésére, tehát a technológia jelenleg is használható ilyen adatvédelmi kockázatok felismerésére.

A következő lépés az, hogy kiderítsük, miként gyűjtötték be és használták fel ezeket a képeket. Az illető, akit ábrázolnak, tudott róla, és adott-e beleegyezést? Vagy az adatokat webes adatgyűjtés útján szerezték meg? A webes adatgyűjtés, különösen a szellemi tulajdonjogok terén, számos országban komoly jogi viták tárgya. Például az EU AI-törvénye megtiltja, hogy biometrikus adatokat, például arcokat tartalmazó képeket gyűjtsenek az internetről az érintettek kifejezett beleegyezése nélkül. Tehát mind jogi, mind technológiai eszközök állnak rendelkezésre ezen problémák kezelésére, és a vállalatoknak figyelembe kell venniük ezeket adatgyűjtési gyakorlataikban.

Milyen adatvédelmi szabályokat tartalmaz az EU AI-törvénye, különösen az adatgyűjtéssel kapcsolatban?

A.K.: Az AI-törvény különböző szempontok szerint szabályozza az AI felhasználását, és külön figyelmet fordít egy fontos tilalomra az adatgyűjtéssel kapcsolatban: a biometrikus információk, például arcok adatainak webes adatgyűjtésére az érintett személyek kifejezett hozzájárulása nélkül. Ez a gyakorlat olyan cégeket érint, amelyek az internetről gyűjtenek képeket adatbázisok létrehozásához, hogy AI-rendszereket képezzenek ki, gyakran bűnüldözési vagy egyéb célokra. Számos országban jogi vitákat váltott ki ez a gyakorlat, és az AI-törvény mostantól illegálisnak minősíti.

Mit tapasztal, az AI Act hogyan hat a vállalkozásokra, különösen azokra, amelyek már használnak mesterséges intelligencia alapú rendszereket?

A.K.: Az AI Act olyan kötelezettségeket ró a vállalkozásokra, amelyek kezdeti befektetést igényelnek a megfelelés biztosítása érdekében. A cégeknek leltárt kell készíteniük az AI-rendszereikről, beleértve a harmadik fél rendszereit is, és kockázatértékeléseket kell végezniük, különösen a magas kockázatú alkalmazások esetében. Annak ellenére, hogy a legtöbb AI-rendszer nem esik a magas kockázatú kategóriába, azoknál, amelyek igen, szükség van megfelelő adatkezelésre, kockázatkezelésre, a pontosság és megbízhatóság biztosítására, jó dokumentációra, valamint egyértelmű kommunikációra a felhasználókkal az AI-rendszer helyes használatáról.

Bár vannak kezdeti költségek, az AI Act termékbiztonságra és minőségirányításra helyezett hangsúlya előnyös lehet a vállalkozások számára. A törvénynek való megfelelés biztosítja, hogy a rendszerek a terveknek megfelelően működjenek, megakadályozva a károkozást és fenntartva a minőségellenőrzést. Emellett kiegyenlíti a versenyfeltételeket, biztosítva, hogy minden versenytárs ugyanazokat a szabványokat kövesse, így elkerülhetővé válik a költségcsökkentés a biztonság és a minőség rovására.

Milyen stratégiákat kell(ene) alkalmazniuk a vállalatoknak az AI Act követelményeinek való megfelelés érdekében anélkül, hogy visszafognák az innovációt?

A.K.: A kulcs az, hogy korán kezdjék meg a felkészülést, és integrálják a megfelelést az AI fejlesztési folyamatába. Bár néhány szabvány és iránymutatás még fejlesztés alatt áll, a cégek elkezdhetik azzal, hogy azonosítják, hol használják az AI-rendszereket, elvégzik a kockázatértékeléseket, és felkészülnek a hamarosan bevezetendő szabványok alkalmazására. Ha a megfelelést az AI átmeneti folyamat részének tekintjük, nem pedig utólagos lépésnek, segíthet integrálni azt a szélesebb kormányzási keretbe. A megfelelést úgy kell tekinteni, mint annak biztosítását, hogy az AI-rendszereket felelősségteljesen alkalmazzák, és ne ártson a vállalat hírnevének, illetve ne sértse meg az alapvető jogokat. Ha a kezdetektől beépítjük a megfelelést, a cégek elkerülhetik az innováció elfojtását, miközben biztosítják, hogy az AI-rendszerek jogi és etikai keretek között működjenek.

Nehéz tanácsot adni az ügyfeleknek a szabályozásokhoz való alkalmazkodásban?

A.K.: Igen, ez kihívást jelenthet, különösen mivel néhány szempont még kidolgozás alatt áll. Például az Európai Bizottság jelenleg dolgozik egy általános célú AI-rendszerekre vonatkozó magatartási kódexen, és mi, az EY-nál csatlakoztunk ehhez az erőfeszítéshez. Néha az ügyfelek olyan kérdésekben kérnek tanácsot, amelyekre még nincsenek iránymutatások. Ilyen esetekben arra összpontosítunk, hogy holisztikus megközelítést biztosítsunk az AI irányításához, és biztosítsuk, hogy az illeszkedjen a szervezet átfogó irányítási keretébe.

A szabályozott ágazatokban, például a pénzügyben működő szervezetek számára segítünk megérteni, hogy az AI Act kötelezettségei hogyan kapcsolódnak a meglévő szabályozásokhoz, mint például a modellezési kockázatkezeléshez. Azáltal, hogy a meglévő megfelelőségi munkát összehangoljuk az AI törvénnyel, segíthetünk minimalizálni az új követelmények hatását. Néhány esetben az új szabályozási kötelezettségek lényegében csak azt jelentik, hogy jelenteni kell, amit már eddig is csináltak.

Könnyű a szabályozási követelményeket összehangolni a valós üzleti gyakorlatokkal?

A.K.: Mindig kihívás a magas szintű szabályozási szöveget operatív feladatokra lefordítani. Az AI Act harmonizált szabványai, amelyek még fejlesztés alatt állnak, célja, hogy támogassák a szervezeteket ebben a folyamatban. Az EY-nál részt veszünk a szabványosítási folyamatban, hogy megértsük az irányt, és ennek megfelelően tanácsot adhassunk ügyfeleinknek.

Emellett szakértelmünkkel hozzájárulunk ahhoz, hogy a szabványok figyelembe vegyék az iparágak előtt álló operatív kihívásokat. A szabványosításon túl részt veszünk olyan erőfeszítésekben is, mint a GPAI magatartási kódex és az AI Pact, amelyek elősegítik az információcserét, és lehetőséget adnak az iparágnak, hogy kérdéseket vessenek fel. Ezek az erőfeszítések segítenek biztosítani, hogy az EU AI-törvényének követelményei hatékonyan megvalósíthatóak legyenek a valós üzleti gyakorlatokban.

Az AI Act hangsúlyozza az etikus mesterséges intelligencia fontosságát. Melyek a leggyakoribb etikai kihívások, amelyekkel találkoznak a tanácsadás során? Hogyan lehet ezeket enyhíteni (ha lehetséges)?

A.K.: Az etikai kihívások a szervezet és az AI céljától függően változnak, de a leggyakoribb problémák közé tartozik az átláthatóság és a magyarázhatóság. Fontos meghatározni a megfelelő szintű átláthatóságot a különböző érdekelt felek számára, és biztosítani, hogy megértsék, hogyan működik az AI-rendszer és milyen következményei lehetnek annak használatának.

Ezek a kihívások mély technológiai és külső érdekelt felek perspektíváinak megértését igénylik. Nemcsak arról van szó, hogy mit szándékozik tenni az AI-rendszer, hanem arról is, hogy mások hogyan használhatják azt másképp. E kihívások kezelése gyakran olyan készségeket igényel, amelyek túlmutatnak a rendszert fejlesztő mérnökök képességein, mint például az emberekkel való kommunikáció és az érdekelt felek bevonása.

Az adatvédelem is jelentős etikai kérdés, de a GDPR-ról szerzett tapasztalataink alapján tudjuk, hogyan közelítsük meg ezt. Az adatelfogultság egy másik fontos kérdés, de összetett, mert nem mindig egyértelmű. Az AI-rendszerekben lévő elfogultságot alaposan elemezni kell annak meghatározásához, hogy problémás-e. Néha az, amit elfogultságnak tekintünk, valójában logikus egy adott kontextusban. Például a ruhaboltok elrendezése, ahol a női ruhák gyakran a földszinten vannak, elfogultságnak tűnhet, de az üzlet szempontjából üzleti okokból logikus.

Tekintettel arra, hogy az AI-alkalmazások milyen sokfélék és mennyi ágazatban vannak sokféleségére az egyes ágazatokban, hogyan kezeli az EU AI Act az ágazat-specifikus kockázatokat és előnyöket?

A.K.: Az EU AI Act egy horizontális jogszabály, amely különböző ágazatokra vonatkozik. Az elképzelés az, hogy a meglévő, ágazat-specifikus szabályozások, amelyek általában technológia-semlegesek, már foglalkoznak a lényeges eredményekkel. Például a pénzügyi szektorban mindegy, hogy egy hitelkérelem egy emberi értékelő vagy egy AI-rendszer miatt elfogult-e – a szabályozás az egyenlő szolgáltatásnyújtásra összpontosít.

Az olyan ágazatokban, mint az orvostechnikai eszközök, ahol szigorú megbízhatósági szabványok vannak, a kihívás az, hogy ezeket hogyan alkalmazzák az AI-rendszerekre, amelyek természetüknél fogva valószínűségi jellegűek. Bizonyos esetekben az AI csak segédeszközként használható, nem pedig egy biztonságkritikus rendszer alapvető elemeként.

Hogyan látja az európai szabályozás mesterséges intelligenciára gyakorolt hatását? És mi a véleménye az AI Act-ről összehasonlítva az Egyesült Államok és Ázsia szabályozásával?

A.K.: Az AI Act már most is jelentős nemzetközi hatással bír. Olyan joghatóságok, mint Ausztrália, Brazília, Kalifornia, Kanada, az Egyesült Királyság és sok más ország figyelemmel kíséri, hogyan alakul és valósul meg az AI Act, és az EU (a tagállamain keresztül) fontos szerepet játszik az AI-al kapcsolatos munkákban olyan nemzetközi szervezetekben, mint az OECD, az Európa Tanács és a G7. Bár nem mindenki másolja majd az AI Act-et, sokan tanulnak belőle – igyekeznek átvenni, ami működik, és módosítani azt, ami nem.

Egyes joghatóságok, mint például Brazília, előrehaladtak a saját jogszabályaik létrehozásában, amelyek tükrözik az AI Act helyi módosításokkal. Más országok, mint az Egyesült Királyság, a meglévő szabályozások frissítésére összpontosítanak, de még mindig mérlegelik az EU horizontális megközelítésének bizonyos elemeit. Olyan országok, mint Kanada és Ausztrália szintén az EU AI-törvényéhez hasonló jogszabályokat készítenek.

Összességében az AI Act úttörő kezdeményezés, és sokan az EU-ra figyelnek, hogy miként oldják meg az AI szabályozásának komplex kérdéseit. Mindenki látni szeretné, hogy mi működik, mi nem, és hol vannak a kihívások. Így kiválaszthatják azokat a részeket, amelyek hatékonynak tűnnek, és más megközelítést alkalmazhatnak ott, ahol a végrehajtás nehézségekbe ütközik. Az EU vállalta az élenjáró szerepet, és elsőként hozott meg nehéz döntéseket, például az AI fogalmának meghatározását a szabályozás szempontjából. Emellett foglalkoznak azzal a kihívással, hogy meghatározzák a kockázatértékelés mérőszámait – például mely rendszerek kockázatosak és melyek nem –, és biztosítják, hogy a szabályozási terhek arányosak legyenek a potenciális kockázatokkal. Az AI Act már most is hatással van a nemzetközi színtérre, de ez nem jelenti azt, hogy mindenki egy az egyben lemásolja. Amit látunk, az az EU megközelítéséből való tanulásra való törekvés.

Tudna beszélni bővebben arról, hogy más joghatóságok hogyan reagálnak az AI Act-re? Vannak példák országokra, amelyek hasonló vagy pont teljesen eltérő megközelítést alkalmaznak?

A.K.: Vegyük például Brazíliát – ők elég messzire jutottak a saját jogszabályaik megvalósításában, amelyek számos tekintetben összhangban vannak az AI törvénnyel, bár néhány helyi módosítást végrehajtottak. Az Egyesült Királyság viszont jelezte, hogy inkább a meglévő jogszabályok frissítését részesíti előnyben, mintsem teljesen újakat alkotna. Ugyanakkor ők is figyelemmel kísérik az EU horizontális megközelítését, és mérlegelik, hogyan tudnának hasonló stratégiákat integrálni a szektorális szabályozók közötti koordináció révén. De az Egyesült Királyságban ez még mindig folyamatban van. Az új kormány kissé eltérő irányba mozdult el a korábbi adminisztrációhoz képest. Szorosan figyeljük Kanadát is, ahol olyan jogszabályokat javasoltak, amelyek hasonlítanak az AI Act-hez. Érdekes lesz látni, hogyan alakulnak ezek a fejlemények.

A generatív AI és az általános célú AI új kérdéseket vetett fel, különösen a szellemi tulajdonjogokkal kapcsolatban. Ezek a területek csak részben szerepelnek az AI Act-ben, főként az időzítés miatt. Az általános célú AI későn került be a folyamatba, és a szellemi tulajdonjogok kérdéseit eddig csak minimálisan tárgyalták. Például előírás, hogy bizonyítani kell a szerzői jogoknak való megfelelést, de a részletek nincsenek kiterjedten kidolgozva. Lehet, hogy további reformokra lesz szükség a szellemi tulajdonjogok terén, hogy ezeket a kihívásokat teljes mértékben kezelni lehessen. Egyértelmű, hogy ez egy hosszú és összetett folyamat lesz. Bár lehet, hogy nem látjuk majd a „brüsszeli hatást” olyan mértékben, mint a GDPR esetében, az AI Act mindenképpen befolyásolja a globális gondolkodást ezekkel a kérdésekkel kapcsolatban.

Milyen következményei vannak a vállalatokra nézve, ha nem tartják be az AI Act-rt? Jelentősek a bírságok?

A.K.: Igen, a bírságok meglehetősen jelentősek lehetnek. Azt látjuk, hogy az EU-s szabályozások esetében egyre nagyobb maximális bírságokat határoznak meg, kezdve a GDPR-ral, folytatva a Digitális Szolgáltatások Törvényével, és most az AI törvénnyel. Az AI Act szerint, ha egy vállalat megsérti bizonyos AI alkalmazások tiltását, akkor a bruttó éves árbevételük akár 7 százalékáig terjedő bírsággal is szembesülhetnek. Ha nem teljesítik a magas kockázatú AI-rendszerekre vonatkozó kötelezettségeiket, akkor a bírság akár 3 százalékig terjedhet, és a hibás vagy félrevezető jelentések esetén ez az arány 1,5 százalékra nőhet. Ezeket a bírságokat úgy tervezték, hogy valódi hatást gyakoroljanak, különösen a nagy szervezetekre, amelyek dominálják ezt a teret. Természetesen ezek a maximumok nem az alapértelmezett bírságok – ezeket az egyes esetek sajátosságai alapján alkalmazzák, figyelembe véve a szabálysértés súlyosságát.

Korábban említette az adatgyűjtési stratégiákat. Milyen változtatásokat kell a vállalatoknak ezen a területen megtenniük? Már nem tölthetnek le véletlenszerű képeket az internetről, ha fotókra van szükségük egy adatbázishoz például.

A.K.: Számos tárgyalást látunk az adatok birtokosai és az AI vállalatok között. Magas szintű bírósági perek, mint például a The New York Times és az OpenAI ügyei, rávilágítottak a világosabb szabályok és megállapodások szükségességére. Lényegében, ha az AI tovább szeretne fejlődni, akkor hatalmas mennyiségű adathoz kell hozzáférnie. De a szabályozási akadályokon túl felmerül a gyakorlati kérdés is, hogy vajon elegendő hozzáférhető adat áll-e majd rendelkezésre.

A vállalatoknak átláthatóbbnak kell lenniük azzal kapcsolatban, honnan szerzik az adataikat, és biztosítaniuk kell, hogy minden érintett fél hozzájárult ehhez. A tárgyalásokra is szükség van annak meghatározására, hogy az adathasználat előnyeit hogyan osztják meg. Az internetes adatokon túl egyre nagyobb figyelmet kapnak a különféle eszközök, például autók szenzorain keresztül gyűjtött adatok. Az autóiparban például már foglalkoznak az adatvédelmi aggályokkal, mert a modern autók számos szenzorral vannak felszerelve, és az összegyűjtött adatok nagyon érzékenyek lehetnek.

Miként járul hozzá az EY a megbízható AI fejlesztéséhez, és milyen szerepet lát a keretrendszerében a mesterséges intelligencia minőségi értékelések és tanúsítványok növekvő piacán?

A.K.: Az EY több éve jelentős mértékben fektet a megbízható és felelős AI használatba. Kidolgoztunk egy keretrendszert e koncepció köré, és tapasztalatainkat az ellenőrzés és auditálás terén felhasználva támogatjuk a minőségi értékelések és potenciális tanúsítványok fejlesztését az AI területén. Fejlesztettünk gyakorlati eszközöket, amelyek segítik a vállalatokat az AI-irányítási útjukon, például az AI Confidence Indexet, a Maturity Modelt és a Value Acceleratort. Emellett vezető gondolkodást folytatunk a globális AI szabályozási trendekről és az AI biztosítékokról, és új csapatot indítunk az AI tanácsadásra Budapesten, aminek partnerét és vezetőségét szeptember 9-én, 17.30-tól mutatjuk be az AI Summiton, a Néprajzi Múzeum épületében található EY Networking Zone-ban. Úgy vélem, hogy ez egy növekvő piac lesz.

Bár még kezdeti szakaszban van, látjuk, hogy különböző országok keretrendszereket javasolnak és említik az AI-auditokat a jogszabályaikban. Azonban gyakran nem áll rendelkezésre elegendő részlet arról, hogy ezek az értékelések hogyan nézzenek ki. Szerintem ez fontos mechanizmus lesz az AI-rendszerek minőségének és megbízhatóságának kommunikálására, nemcsak a szabályozóknak, hanem az ügyfeleknek és végfelhasználóknak is.

Ansgar Koene, az EY globális AI etikai és szabályozási vezetője előadást tart „Developments in AI Regulation in the EU and Beyond” (magyarul: Az AI szabályozás fejlődése az EU-ban és azon túl) címmel a 2024-es AI Summiton, amelyet az Indamedia szervez szeptember 9-10-én.