Nedavno ponovo uvedeni Zakon o zaštiti podataka i digitalnim informacijama (DPDI) vlade Ujedinjenog Kraljevstva našao se na brojnim naslovima i predstavlja ključnu komponentu nacionalne strategije nakon Brexit-a.
Jedan element zakona koji je bio pod kontrolom je implikacija predloženih promjena pravila o privatnosti podataka koja se odnose na istraživanje i korištenje AI-a.
Zakonodavstvo ažurira definiciju naučnog istraživanja kako bi se razjasnilo da komercijalne organizacije imaju iste slobode kao i akademici da obrađuju lične podatke u istraživačke svrhe. Vlada tvrdi da trenutni zakoni o podacima nisu jasni o tome kako naučnici mogu obraditi lične podatke u istraživačke svrhe, “što ih sprečava da završe vitalna istraživanja koja mogu poboljšati živote ljudi širom zemlje”.
Ubrzavač ili ometanje privatnosti potrošača?
Edward Machin, viši pravnik u Ropes&Grey praksi podataka, privatnosti i kibernetičkoj bezbjednosti, vjeruje da će prijedlozi oko naučnih podataka omogućiti veliki napredak u istraživanju i „da će se vremenom gledati kao na poboljšanje statusa quo“.
Međutim, Valerie Lyons, COO i viši konsultant u firmi BH Consulting sa sjedištem u Irskoj, istakla je zabrinutost oko njenog potencijalnog uticaja na privatnost potrošača. Ona je napomenula da GDPR već dozvoljava sekundarnu obradu ličnih podataka za naučna istraživanja u komercijalnom sektoru, sve dok postoje odgovarajuće mjere zaštite, a da bi ponudila kompanijama iste slobode kao i akademicima da se bave istraživanjem mogla bi biti problematična iz perspektive privatnosti.
Lyons je istakao da akademici koji rade u istraživačkim institucijama već imaju jasnu pravnu osnovu za obavljanje svog posla i da imaju dugogodišnje i snažne interne etičke povelje i okvire za zaštitu privatnosti podataka. Ovo je u suprotnosti sa svijetom poslovanja, gdje “potreba za zaradom zasjenjuje njegovu sposobnost samoregulacije”.
Osim toga, Lyons je zabrinut da bi velike tehnološke kompanije mogle iskoristiti nejasnu i neiscrpnu definiciju naučnog istraživanja iz zakona na štetu privatnosti pojedinaca. Zakon definiše ovo istraživanje koje se ‘razumno može opisati kao naučno’, što bi moglo uključivati aktivnosti poput inovativnog istraživanja tehnološkog razvoja.
Lyons je upitao: “Mislimo li da će Google, Facebook i druge velike tehnološke kompanije uzurpirati ovu rupu u ‘inovativnom naučnom istraživanju’ kako bi koristile lične podatke subjekata podataka u Ujedinjenom Kraljevstvu za vlastitu korist pod krinkom istraživanja koje bi se razumno moglo opisati kao naučno? Smatramo li da će to ohrabriti organizacije koje cijene profit više od etike da polažu pravo na centre podataka u UK? Samo zato što možete, ne znači da biste trebali.”
Ažuriranje AI pravila
Još jedna ambicija britanske vlade u iznošenju ovog zakona je ažuriranje i pojašnjavanje pravila oko upotrebe inovativnih tehnologija, kao što je AI. Dok rastuća sofistikovanost AI nudi ogromne mogućnosti u oblastima kao što je zdravstvena zaštita, postoji zabrinutost oko automatskog donošenja odluka i profiliranja.
Revidirani Zakon je takođe došao ubrzo nakon uspona AI chat bota ChatGPT, pri čemu su prakse privatnosti OpenAI-a bile pod lupom stručnjaka.
Nakon objavljivanja prijedloga zakona, vlada je tvrdila da su trenutni zakoni o zaštiti podataka previše složeni i da im nedostaje jasnoća za isključivo automatizovano donošenje odluka i profilisanje „što otežava organizacijama da odgovorno koriste ove vrste tehnologija“.
Nova pravila imaju za cilj da izgrade povjerenje u ove tehnologije postavljanjem zaštitnih mjera koje se odnose na korištenje automatizovanog donošenja odluka i profilisanja. Ovo uključuje pružanje mogućnosti za osporavanje isključivo automatizovanih odluka, poput odbijanja posla ili kredita.
Dok su ažurirana pravila oko upotrebe AI naglašena kao ključni aspekt novog zakona, Jonathan Armstrong, partner u Cordery-u, ne vidi ih kao posebno radikalne, ističući da je „UK već koristio GDPR da pogodi AI programere i druga tijela za zaštitu podataka, savršeno su u stanju koristiti postojeći GDPR okvir za regulisanje AI-a.”
Lyons se složio s ovom procjenom, smatrajući je tek nešto više od “izloga”. Napomenula je: “U prijedlozima se tvrdi da će osigurati da ljudi budu upoznati s automatizovanim donošenjem odluka, te da mogu osporiti i tražiti ljudski pregled, gdje te odluke mogu biti ‘netačne ili štetne’. Sigurno je ovo već dio GDPR-a o pravima nositelja podataka, pravu na informisanost i pravu na ispravak?“
Ona je takođe naglasila da GDPR EU ne treba promatrati izolovano, posebno sa EU-ovim Zakonom o umjetnoj inteligenciji koji se trenutno priprema kako bi regulisao korištenje AI-a. „Revidirani GDPR u Ujedinjenom Kraljevstvu će se morati razmotriti u tom svjetlu i očekivalo bi se da će Uredba Ujedinjenog Kraljevstva o AI takođe riješiti gore navedeno“ dodao je Lyons.
Caka je u detaljima
Ostale komponente širokog zakona uključuju suzbijanje neugodnih poziva i SMS-ova, te mjere za ograničavanje broja iskačućih prozora za pristanak koje ljudi vide dok pretražuju internet.
Osim toga, vlada nastoji prokrčiti put za digitalnu identifikaciju uspostavljanjem okvira za korištenje pouzdanih i sigurnih usluga digitalne verifikacije.
Stručnjaci sa kojima je Infosecurity razgovarao takođe su istakli potrebu da se uz Prijedlog zakona u sadašnjem obliku objavi više informacija i pojašnjenja. Iako je Sarah Pearce, partnerica u advokatskoj kancelariji Hunton Andrews Kurth, uopšteno pozitivna u pogledu naglaska na pristup usklađenosti zasnovan na riziku, ona vjeruje da je potrebno više jasnoće o tome šta to znači u praktičnom smislu.
„To mora biti vrlo jasno napisano u smislu onoga što oni tamo predviđaju, u ovom trenutku to zvuči pomalo čudno i ne dodaje mnogo pristupu zasnovanom na riziku koji je većina organizacija do sada slijedila“ rekla je ona.
Armstrong je istakao svoj skepticizam prema tvrdnjama vlade Velike Britanije o uštedi troškova, navodeći da “nema vjerodostojnih dokaza koji bi podržali navedene uštede troškova”.
Vladina ažurirana procjena uticaja koja odražava promjene pravila dostavljena je Odboru za regulatornu politiku na nezavisnu provjeru i biće objavljena nakon pregleda. Ovo će biti ključno za procjenu ukupnog uticaja zakona u njegovom sadašnjem obliku, dodao je Armstrong.
Ažurirani prijedlog zakona o DPDI-u trenutno je u parlamentarnoj proceduri, a prvo čitanje je održano 8. marta 2023. godine. Drugo čitanje bi trebalo da počne 17. aprila 2023. godine.
Izvor: Infosecurity Magazine
