Razvoj sistemov umetne inteligence v Evropi je bila leta zaznamovan z enim prevladujočim vprašanjem glede podatkov: »Ali smo pridobili privolitev?« Čeprav je to bistveno, je pristop, ki temelji zgolj na privolitvi, pogosto nepraktičen za obsežne zbirke podatkov, potrebne za učenje učinkovitih modelov AI. Zdaj je ključen nabor priporočil vplivnega francoskega organa za varstvo podatkov, CNIL, zagotovil dolgo pričakovano jasnost in potrdil bolj prožno, a strogo pot naprej za inovatorje. Ker CNIL pogosto daje ton razlagi varstva podatkov po vsej Uniji, te francoske smernice ponujajo ključen načrt za vsako organizacijo, ki razvija AI za trg EU.

V skladu z Evropskim odborom za varstvo podatkov (EDPB) CNIL navaja, da razvoj sistemov AI ne zahteva nujno privolitve. »Zakoniti interes« (ZI), ena od šestih pravnih podlag po GDPR, je veljavna pravna osnova za razvoj sistemov AI, pod pogojem, da so vzpostavljene trdne in dokazljive zaščitne ukrepe. Te smernice ne ustvarjajo pravne vrzeli; vzpostavljajo strog, tristopenjski preizkus, ki ga mora prestati vsaka organizacija, ki se želi opreti na ZI pri razvoju AI.

Tristopenjski preizkus za zakoniti interes: Poglobljeni pregled

Da bi se oprli na zakoniti interes kot pravno podlago, morate izpolniti tri kumulativne pogoje. To ni kontrolni seznam za hitro obkljukanje; je okvir za poglobljeno, dokumentirano analizo in oceno tveganja, ki pogosto tvori ključni del Ocene učinka varstva podatkov (DPIA).

• 1. Preizkus namena: Ali je vaš interes resnično zakonit?

  Najprej mora biti interes, ki ga zasleduje vaša organizacija, zakonit, specifičen, resnič​en in aktualen. Nejasni, hipotetični cilji, kot je »zagotavljanje novih storitev«, niso zadostni. Vaš namen mora biti jasno opredeljen. CNIL navaja primere interesov, ki se a priori štejejo za zakonite: znanstvene raziskave, izboljšanje obstoječih storitev, odkrivanje goljufij in celo komercialni interesi — dokler niso v nasprotju z zakonom. Vendar ta preizkus služi tudi kot kritičen varovalec. Na primer, ker Zakon o digitalnih storitvah (DSA) prepoveduje profiliranje mladoletnikov za ciljno oglaševanje, bi razvoj AI za ta namen preizkus padel, ker temeljni interes od začetka ni zakonit. Vaš interes mora biti usklajen s širšim pravnim okvirom, ne le z GDPR.

• 2. Preizkus nujnosti: Ali je ta obdelava resnično potrebna?

  Nato morate dokazati, da je obdelava osebnih podatkov potrebna za dosego vašega navedenega interesa. To vključuje dve ključni premisleki. Prvič, morate izčrpati manj vsiljive alternative. Ali je isti cilj mogoče doseči s popolnoma anonimiziranimi ali sintetičnimi podatki? Če je tako, obdelava osebnih podatkov ni potrebna. Drugič, ta preizkus je tesno povezan z načeli minimizacije podatkov in sorazmernosti. Upravičiti morate obseg in naravo podatkov, ki jih uporabljate. To pomeni, da ne morete zbirati vsega za vsak slučaj; dokazati morate, zakaj so potrebni *prav ti specifični podatki* in kako upoštevate tehnološki razvoj, ki morda omogoča učenje učinkovitih modelov z manj podatki.

• 3. Preizkus uravnoteženja: Ali pravice posameznikov prevladajo nad vašim interesom?

  To je najpomembnejši in od konteksta najodbojnejši pogoj. Obdelava ne sme nesorazmerno posegati v temeljne pravice in svoboščine posameznikov, katerih podatki se obdelujejo. To zahteva dokumentirano tehtanje, v katerem vaše interese primerjate z morebitnimi škodami. Ključni dejavniki, ki jih je treba upoštevati, vključujejo:
  • Koristi sistema AI: Večja kot je družbena vrednost — na primer izboljšana dostopnost zdravstvenega varstva, pomembni znanstveni preboji ali robustno preprečevanje goljufij — večjo težo ima vaš interes.
  • Razumna pričakovanja posameznikov: Ljudje ne bi smeli biti presenečeni nad obdelavo. CNIL je jasen: uporaba zasebnih pogovorov s klepetalnikom za učenje novega modela AI bi verjetno presegla razumna pričakovanja in zahtevala izrecno privolitev. Nasprotno pa bi uporaba močno psevdonimiziranih podatkov javnih forumov za izboljšanje orodja za povzemanje — z jasnimi kontrolami za uporabnike in enostavno možnostjo odjave — morda bila sprejemljiva. Pri spletnem pobiranju podatkov, če spletno mesto uporablja `robots.txt` za prepoved zbiranja, pomeni ignoriranje tega signala, da ne morete izpolniti razumnih pričakovanj uporabnikov.
  • Spekter tveganj za posameznike: Oceniti morate vse morebitne škode: tveganja za zasebnost (npr. regurgitacija podatkov), varnost (npr. napadi z inverzijo modela), ugled (npr. generiranje lažnih informacij) in etiko (npr. diskriminacija, pristranskost). Neselektivno zbiranje občutljivih slik z vsega spleta za generativni model AI, brez robustnih zaščitnih ukrepov, bi ta preizkus uravnoteženja očitno padlo.

Praktične posledice: Preglednost in zaščitni ukrepi so neizogibni

Priporočila CNIL zahtevajo novo raven preglednosti s strani razvijalcev AI. Tudi če natančna končna uporaba modela AI splošnega namena še ni znana, mora organizacija jasno navesti cilje svojega razvoja — ali gre za komercialne, znanstvene, interne ali zunanje namene. Te informacije morajo biti posredovane posameznikom v okviru vaših obveznosti preglednosti po GDPR.

Poleg tega smernice poudarjajo potrebo po robustnih zaščitnih ukrepih kot del uravnoteženja. Ti niso neobvezni dodatki; so potrebni za naklon tehtnice v prid vašemu zakonitemu interesu. Ti lahko vključujejo:

• Tehnični ukrepi: Takojšnja anonimizacija ali psevdonimizacija zbranih podatkov, uporaba sintetičnih podatkov, kjer je to mogoče, in uvedba naprednih ukrepov za omejitev pomnjenja in regurgitacije podatkov v generativnih modelih (npr. diferencialna zasebnost, regularizacija modela).
• Organizacijski ukrepi: Zagotovitev jasnega, preprostega in prostovoljnega načina za ugovor posameznikov zoper obdelavo njihovih podatkov (pravica do ugovora), zlasti v primerih spletnega pobiranja podatkov. Za visoko tvegane projekte je priporočena vzpostavitev etičnega odbora.
• Pravni ukrepi: Pogodbena prepoved nezakonitih ali neetičnih uporab vašega sistema AI pri deljenju s tretjimi stranmi ter vzpostavitev jasnih pogojev storitve, ki opisujejo te omejitve.

Zaključek: Pot naprej, temelječa na odgovornosti in francoski precedens

CNIL je zagotovil jasen, čeprav zahteven načrt, ki bo verjetno vplival na organe za varstvo podatkov po vsej EU. Zakoniti interes ponuja izvedljivo alternativo privolitvi pri razvoju AI, vendar ni enostavna pot. Zahteva zrel, odgovoren in skrbno dokumentiran pristop k varstvu podatkov. Organizacije morajo zdaj preseči zgolj vprašanje »ali smemo uporabiti te podatke?« in se strogo vprašati: »Ali bi morali uporabiti te podatke in ali smo naredili vse, kar je mogoče, za zaščito ljudi, ki jim ti podatki pripadajo?«

Te francoske smernice so poziv k globji integraciji etike podatkov in načel vgrajenosti zasebnosti v samo jedro razvoja AI. Podjetja, ki bodo uspevala v tem novem regulativnem okolju, bodo tista, ki to odgovornost sprejmejo — ne kot breme skladnosti, temveč kot temelj za gradnjo zaupanja vredne in trajnostne AI.