Euroopan tietosuojavaltuutettu vastasi Irlannin viranomaisille ja selvensi tekoälymallin nimettömyyttä, henkilötietojen käytön laillisuutta niiden kehittämiseen jättäen samalla liikkumavaraa kansallisille tietosuojaviranomaisille.
EU:n tietosuojavirasto on selventänyt, missä olosuhteissa tekoälymalleja kehittävät voivat päästä käsiksi henkilötietoihin lausunnossa, jossa esitetään kolmivaiheinen testi tällaisen käytön oikeutetulle edulle.
Euroopan tietosuojaneuvoston (EDPB) – kansallisten tietosuojaviranomaisten koordinointielin kaikkialla EU:ssa – julkaisi tällä viikolla lausunto, joka seurasi Irlannin tietosuojaviranomaisen marraskuussa esittämää pyyntöä, jossa haettiin selvitystä siitä, voidaanko henkilötietoja käyttää tekoälykoulutuksessa. rikkomatta EU:n lainsäädäntöä. Irlannin DPA toimii vahtikoirina monille suurimmista Yhdysvaltain teknologiayhtiöistä, joiden pääkonttori on Dublinissa.
Mallien anonymiteetin ja “oikeutetun edun” vahvistaminen
Lausunnossa todetaan, että jotta tekoälymallia pidettäisiin todella nimettömänä, henkilöiden tunnistamisen todennäköisyyden tietojen perusteella on oltava “merkitty”.
Euroopan tietosuojavaltuutettu loi myös puitteet sen määrittämiseksi, milloin yritys voi katsoa, että sillä on “oikeutettu etu”, mikä antaa sille pätevän oikeusperustan henkilötietojen käsittelylle tekoälymallien kehittämiseksi ja käyttöönottamiseksi ilman yksilöiden nimenomaista suostumusta.
Oikeutetun edun arvioinnin kolmivaiheinen testi edellyttää edun tunnistamista, käsittelyn tarpeellisuuden arvioimista sen saavuttamiseksi ja sen varmistamista, että etu ei syrjäytä yksilön perusoikeuksia. Tietosuojavaltuutettu korosti myös avoimuuden merkitystä, sillä se varmistaa, että henkilöt saavat tietoa siitä, kuinka heidän tietojaan kerätään ja käytetään.
Euroopan tietosuojavaltuutettu korosti lausunnossaan, että viime kädessä on kansallisten tietosuojaviranomaisten vastuulla arvioida tapauskohtaisesti, onko tekoälyn kehittämiseen tarkoitettujen henkilötietojen käsittelyssä rikottu GDPR:ää.
Lausunnossa todetaan, että malleja, jotka on kehitetty laittomasti poimituista ja käsitellyistä tiedoista, ei saa ottaa käyttöön.
Kansalaisyhteiskunnan ja teollisuuden reaktiot
Computer & Communications Industry Association (CCIA), joka edustaa suuria teknologiayrityksiä, mukaan lukien tekoälymalleja kehittäviä yrityksiä, suhtautui päätökseen myönteisesti. ”Se tarkoittaa, että tekoälymalleja voidaan kouluttaa kunnolla henkilötietojen avulla. Laadukkaiden tietojen saatavuus on todellakin välttämätöntä, jotta voidaan varmistaa, että tekoälytulostus on tarkkaa, lieventää harhoja ja heijastaa eurooppalaisen yhteiskunnan monimuotoisuutta”, sanoi Claudia Canelles Quaroni, CCIA Europen vanhempi politiikkapäällikkö. CCIA vaati kuitenkin myös lisää oikeudellista selkeyttä tulevien epävarmuustekijöiden välttämiseksi.
Digitaalisten oikeuksien puolestapuhujat ovat kuitenkin ilmaisseet huolensa erityisesti tekoälymallien anonymiteetistä. “Vaikka tämä saattaa tuntua teoriassa uskottavalta, on epärealistista hienosäätää tällaista eroa aiemmin asetettuun kynnykseen, mikä luo merkittäviä haasteita tehokkaan tietosuojan varmistamisessa”, sanoi Itxaso Dominguez de Olazabal, EDRi:n politiikkaneuvoja.
Dominguez de Olazabal korosti myös kansallisille viranomaisille annettua laajaa harkintavaltaa ja varoitti, että se voi johtaa epäjohdonmukaiseen täytäntöönpanoon. “Tämä yhdenmukaisuuden puute on jo osoittautunut ongelmalliseksi GDPR:n puitteissa ja uhkaa perusoikeuksien tehokasta suojaa. Harmonisointi on avainasemassa sen varmistamiseksi, että digitaalisia oikeuksia kunnioitetaan yleisesti.”
Katse eteenpäin: verkon kaapimista koskevat ohjeet
EDPB:ltä odotetaan lisäohjeita esiin nousevien ongelmien ratkaisemiseksi, kuten web-kaappaus – tietojen, kuten tekstin, kuvien ja linkkien, automaattinen poimiminen verkkosivustoilta tekoälymallien kouluttamiseksi ja niiden ominaisuuksien parantamiseksi. Nämä lisäselvennykset ovat ratkaisevan tärkeitä, koska tekoälyn kehitys on edelleen vahvasti riippuvainen valtavista tietomääristä.
