A generatív AI adatvédelmi kockázatai

A jelen cikkünkben elemzünk néhány ilyen alapelvet és alkalmazásukat a nyílt generatív AI-rendszerek használata során.

A legtöbb modern adatvédelmi törvény megvalósítja többek között az átláthatóság, a célhoz kötött adatkezelés, a hozzáférés és az adatbiztonság jól ismert elveit.

A jelen cikkünkben elemzünk néhány ilyen alapelvet és alkalmazásukat a nyílt generatív AI-rendszerek használata során.

Egyre több vállalkozás építi be a generatív mesterséges intelligenciát (AI) a termékeibe és szolgáltatásaiba, vagy gondolkodik azon, hogyan tegye meg ezt.

A technológia úttörő, és rendkívüli mértékben képes növelni a termelékenységet, de óvatosan kell használni, mivel a technológia számos kockázatot rejt, beleértve néhány nagyon érdekes adatvédelmi kihívást is.

1. Átlátható adatkezelés

A GDPR, a módosított California Consumer Privacy Act (CCPA) és sok más, nemrégiben elfogadott amerikai törvény értelmében részletes tájékoztatást kell adni az adatgyűjtés előtt vagy az adatkezelés ideje alatt. Ezek a tájékoztatások azoknak szólnak, akinek az adatait kezelni fogják (nevezzük őket érintettnek), és azt tartalmazza, hogy az adott vállalkozás mit tervez az adataival, milyen célokat szolgál az adatkezelés, milyen adatokat osztanak meg, kivel és miért osztják meg azokat.

A kihívás abban rejlik, hogy a vállalkozások nem tudnak előzetes tájékoztatást adni a nyílt mesterségesintelligencia-platformok, például a ChatGPT és a Bard mit kezdenek az adatokkal.

Amint az adatok egy chatbot neurális hálózatába kerülnek, természetesen chatbotok képzésére is használják azokat, de felhasználhatók termékek előállítására is.

Mindez kívül esik az adott vállalkozás ellenőrzési körén és valójában az üzletnek nincs rálátása arra, hogy mi történik ezen a neurális hálózaton belül. Emiatt a vállalkozás által nyújtott tájékoztatás szükségszerűen nem lesz megfelelő, vagy esetleg túl általános lesz ahhoz, hogy megfeleljen a vonatkozó jogszabályoknak.

2. Az adatkezelés céljának korlátozása

A GDPR és a legtöbb újonnan életbe léptetett amerikai törvény értelmében a személyes adatok feldolgozásának, felhasználásának, megosztásának és megőrzésének észszerűen szükségesnek és arányosnak kell lennie az adatgyűjtés céljának eléréséhez, amint azt az érintettel előzetesen közölték. Amint arról már szó esett, a nyílt mesterséges intelligencia platformokra bevitt összes adat beépül a chatbotba, és kiszámíthatatlan módon felhasználja azokat. Ha e törvények hatálya alá esnek, egy vállalkozás nem tud eleget tenni a feldolgozás korlátozására vonatkozó jogi követelménynek, miután az adatokat egy nyílt generatív mesterségesintelligencia-eszközbe táplálták be.

Ebben az esetben teljesen lehetséges, hogy a vállalkozásnak ezt az adatmegosztást az adatok „eladásaként” kell kezelnie, ami számos szabályozási bonyodalmat von maga után.

3. A személyes adatokhoz való hozzáférés

A hozzáférési jog különböző törvények szerint különböző formákat ölt, de úgy tűnik, hogy mindegyik szabályozás lényegét tekintve hasonló.

A GDPR értelmében például az érintetteknek jogukban áll hozzáférni adataikhoz (részletesen megnézni, hogy a vállalkozás milyen adatokat gyűjt róluk) , a vállalkozás birtokában lévő pontatlan adatok kijavítását kérni, az elfeledtetés jogával élni, vagyis kérni a személyes adataik teljes törlését). Az érintett azt is kérheti, hogy a vállalkozás az adatai kezelését csak meghatározott célra korlátozza, adatait más szolgáltatóhoz továbbítható formátumban kérje, tiltakozzon az adatkezelés bizonyos, rájuk vonatkozó érzékeny adatainak kezelése ellen, illetve, hogy ne legyen alávetve automatizált döntéshozatalnak.

A CCPA a kaliforniai fogyasztóknak is szinte mindezeket a jogokat biztosítja, csakúgy, mint az Egyesült Államok államának az elmúlt egy-két évben elfogadott, újonnan bevezetett átfogó adatvédelmi törvényei (természetesen némi eltéréssel a törvények között). Amikor egy vállalkozás felelős az adatgyűjtésért (ők „adatkezelő”, ahogyan sok jogszabály ezt a szerepet nevezi, mivel a vállalkozás ellenőrzi az adatok gyűjtését és feldolgozásának módjait), akkor teljesítenie kell ezeket a kéréseket, amennyiben nincs törvényi kivétel, amely lehetővé tenné ezt számukra.

A mesterséges intelligencia eszközökkel történő adatkezelésre nincs kivételes szabály, ezért előfordulhat, hogy egy vállalkozás nem tudja teljesíteni az érintett által a használat során hozzá intézett összes kérést.

4. Személyes adatok biztonság

Minden átfogó adatvédelmi törvény előírja, hogy a vállalkozásnak megfelelő (vagy legalábbis észszerű) ellenőrzéseket kell végrehajtania az általa gyűjtött és kezelt személyes adatok védelme érdekében, beleértve azt is, amikor az adatkezelést a szolgáltató végzi. Egyes törvények, például a CCPA értelmében a Legfőbb Ügyész útmutatást adott ki arra vonatkozóan, hogy bizonyos ismert módszereket észszerűnek tekintenek, de semmi mást nem. Sok vállalkozás ma már nem teljesíti ezt a követelményt, különösen akkor, ha a szállítóik biztonsági ellenőrzéseinek auditálása vagy ellenőrzése helyett csak azért feltételezik az összes vonatkozó követelménynek való megfelelést, mert a szállító jó hírneve alapján ez indokolt.

A ma elérhető nyílt mesterséges intelligencia chatbotok közül már több ismert chatbotnál is felmerültek biztonsági problémák, ezért a vállalkozások hanyagsága, ha előzetes biztonsági ellenőrzés nélkül használják azokat.

Az adatvédelmi törvények közül sok további követelményeket ír elő, beleértve azt is, hogy a vállalkozás kockázatértékelést végezzen annak biztosítására, hogy az érintettet érő kár kockázata ne haladja meg az adatkezelésből a vállalkozás számára elért hasznot (ezt nehéz lehet átengedni ” nyílt mesterségesintelligencia-eszközök használatakor), és hogy a vállalkozás az általuk kezelt személyes adatok más kezelőivel megállapodásokat kössön az ilyen adatkezelés szabályozására.

A hazai és külföldi adatvédelmi és adatbiztonsági törvények számtalan egyéb követelményt tartalmaznak, amelyeket a vállalkozások nehezen tudnak betartani, amikor adatokat visznek be egy nyílt mesterséges intelligencia chatbotba, vagy engedélyezik a chatbot számára az ilyen adatok kezelését.

Óvatosan kell eljárni e technológiák használatánál, amelyek bár potenciálisan mélyreható változásokat idézhetnek elő, helytelen értékelés vagy használat esetén jogi veszélyekhez vezethetnek. Mit tehet egy vállalkozás, hogy megvédje magát? Az első védelmi vonal, mint minden adatvédelemmel kapcsolatos kérdés esetében, a kockázati, jogi és irányítási szakértők bevonása, valamint az adatvédelmi tisztségviselő bevonása az adatkezeléshez kapcsolódó kockázatok korai értékelésébe, mielőtt bármilyen mesterséges intelligencia eszközt használnánk.

A második védelmi vonal a kockázati, adat- és irányítási szakértőkkel együttműködve erős és következetesen végrehajtott eljárások bevezetése a nyílt mesterséges intelligencia-eszközök használatára vonatkozóan, beleértve az alkalmazottak és a vállalkozók által a rendszerbe vihető adatok típusára vonatkozó konkrét korlátozásokat is. A vállalkozásnak korlátoznia kell, hogy milyen személyes adatok vihetők be egy nyílt mesterségesintelligencia-eszközbe (vagy teljes mértékben korlátoznia kell azt, ha a bevitel nem etikus és a nem felel meg a jogszabályoknak).

Természetesen ezekhez az eszközökhöz a bejelentkezési adatok lehetővé tehetik az őket használó alkalmazottak azonosítását is, és tanácsos olyan bejelentkezési hitelesítő adatokat létrehozni az üzleti teamek számára, amelyek valójában nem tükrözik az egyes felhasználók személyes adatait (pl. bizonyos általános bejelentkezési adatokat). amelyek betű- és számsorokat vagy csoportnevet használnak az adott személy neve helyett).

Amikor az AI chatbotnak személyes adatot kell feldolgoznia, az üzleti igények miatt mérlegeljen olyan zárt rendszereket, amelyek jobb irányítást tesznek lehetővé, és nem teszik lehetővé az üzleti adatok beépítését az AI eszköz továbbképzéséhez használt neurális hálózatába.

A vállalkozásnak azonban minden körülmények között biztosítania kell, hogy a kockázati, jogi, irányítási és adatkezelési csapatok részt vegyenek az összes adatfeldolgozási értékelésben, hogy bármilyen üzleti döntés is legyen adatfeldolgozással, az minden kockázat figyelembevételével történjen, beleértve a jogi, etikai, biztonsági és PR-kockázatok, amelyek akkor merülhetnek fel, ha az AI-eszköz valóban visszaél az adatokkal, vagy nem megfelelően adnak tájékoztatást az adatkezelésről.

(law.com/legaltechnews)

---