Euroopa ja Eesti tasandi regulatiivne võimekus
18. juunil 2021 andsid Euroopa Andmekaitsenõukogu (EAKN) ja Euroopa andmekaitseinspektor (EDPS) välja ühisarvamuse, milles kirjeldatakse kavandatava tehisintellekti (AI) määruse olulisi andmekaitsemeetmeid. Arvamuses toodud seisukohad olid aluseks mitmele sättele, mis hiljem lisati Euroopa Liidu (EL) poolt 2024. aastal ametlikult vastu võetud tehisintellekti määrusesse. Selle eesmärk on tasakaalustada tehisintellekti innovatsiooni ja põhiõiguste kaitset.
EAKN ja EDPS rõhutasid vajadust viia tehisintellekti reguleerimine kooskõlla selliste olemasolevate raamistikega nagu EL-i isikuandmete kaitse üldmäärus (IKÜM), et tagada eraelu puutumatuse järjepidevus kogu EL-is. Näiteks rõhutati vajadust keelata reaalajas avalikus ruumis biomeetriline tuvastamine, et kaitsta eraelu puutumatust ja põhiõigusi. Samuti soovitati oluliselt piirata või keelata tehisintellektisüsteemide kasutamist, mis liigitavad isikuid tundlike tunnuste, näiteks etnilise päritolu või poliitiliste veendumuste alusel, et vältida diskrimineerimist. Lisaks kutsuti üles teostama kõrge riskiga tehisintellektisüsteemide ranget hindamist kolmandate isikute poolt ja kohustuslikku inimjärelevalvet, et vältida täielikult autonoomseid otsuseid, mis võivad rikkuda üksikisiku vabadusi.
Euroopa Liit on astunud otsustavaid samme tehisintellekti reguleerimiseks, võttes 2024. aastal vastu tehisintellekti määruse. Tehisintellekti määrusega, mis on maailma esimene terviklik õigusakt tehisintellekti kohta, luuakse raamistik tehisintellekti ohutuks ja eetiliseks arendamiseks, kasutuselevõtuks ja kasutamiseks EL-i piires. Õigusaktis liigitatakse tehisintellektisüsteemid riskitasemete alusel, kehtestades rangemad nõuded kõrge riskiga rakenduste jaoks, eelkõige nende jaoks, mida kasutatakse sellistes kriitilistes valdkondades nagu õiguskaitse, tervishoid ja haridus.
2024. aasta tehisintellekti määrus sisaldab mitut andmekaitseasutuse soovitust, eelkõige on järgitud riskipõhist lähenemist kõrge riskiga süsteemidele. Määrusega on keelatud tegevused, nagu reaalajas biomeetriline tuvastamine avalikus ruumis (välja arvatud erandjuhtudel) ja inimeste sotsiaalne hindamine, mis võib viia diskrimineerimiseni. Määrus nõuab ka läbipaistvust, luues kõrge riskiga tehisintellekti jaoks avaliku registri, ning samuti lõimitud ja vaikimisi andmekaitse põhimõtte rakendamist, millega tagatakse, et tehisintellektisüsteemid järgivad algusest peale eraelu puutumatuse standardeid. Tehisintellektisüsteemid, eriti kõrge riskiga valdkondades, peaksid olema kasutajatele arusaadavad, et aidata neil mõista, kuidas tehakse andmete põhjal otsuseid ja millist mõju võivad need otsused avaldada. See nõue on oluline kasutajate usalduse ja vastutuse tagamiseks, eriti kui süsteemid võivad otsustada tundliku või elutähtsa teabe üle.
Pärast tehisintellekti määruse vastuvõtmist 2024. aastal rõhutas EAKN riiklike andmekaitseasutuste otsustavat rolli uue määruse jõustamisel, eelkõige juhul, kui tehisintellektisüsteemid töötlevad isikuandmeid. EAKN rõhutas, et tehisintellekti määrus ja EL-i andmekaitsealased õigusaktid peavad toimima üksteist täiendavate ja tugevdavate vahenditena, et kaitsta üksikisikute õigusi. Samuti viidati võimalusele, et andmekaitseasutused võiksid tegutseda eelkõige kõrge riskiga tehisintellektisüsteeme kasutavate riiklike õiguskaitseasutuste osas esmase järelevalveasutusena.
Tehisintellekti määruse rakendamine Eestis on veel algusfaasis. 2024. aasta sügisel kutsuti Majandus- ja Kommunikatsiooniministeeriumi juhtimisel kokku määruse juhtrühm, kus ka AKI on esindatud. Kuigi tehisintellekti määrus rakendus 1. augustil 2024. aastal, siis esimesed tehisintellektisüsteeme puudutavad keelud hakkavad kehtima alles 6 kuud peale määruse rakendamist. Seega jääme ootele selles osas, et kuidas määrus täpsemalt rakendatakse ning mis täiendavaid kohustusi võib see inspektsioonile tuua.
Kui rääkida lähemalt tehisintellektimudelist, mis loob üldiselt eeldused tehisintellektisüsteemi kasutuselevõtuks, võib see IKÜM-i järgi olla isikuandmete vastutav töötleja või volitatud töötleja, sõltuvalt kontekstist ja sellest, kuidas mudelit kasutatakse. IKÜM-i kohaselt käsitletakse isikuandmetena kõiki andmeid, mis võimaldavad isiku tuvastamist, ja nende töötlemiseks kehtivad kindlad reeglid.
- Kui AI mudelit koolitatakse või see töötab andmetega, mis sisaldavad otseselt või kaudselt isikuandmeid (nt pildid, heli, tekst), loetakse seda IKÜM-i kohaselt isikuandmete töötlemiseks.
- IKÜM määratleb vastutava töötleja kui osapoole, kes määrab kindlaks töötlemise eesmärgid ja vahendid, ning volitatud töötleja kui osapoole, kes töötleb andmeid töötleja nimel. Kui AI mudelit kasutatakse andmete analüüsiks või otsuste tegemiseks, mis mõjutavad andmesubjekte, tuleb kindlaks teha, kes määrab töötlemise eesmärgid ja vahendid – see määrab ka vastutuse.
- IKÜM nõuab, et isikuandmete töötlemisel järgitaks lõimitud ja vaikimisi andmekaitset. See tähendab, et tehisintellektimudeli arendajad ja kasutajad peavad tagama, et mudel töötleb ainult vajalikke andmeid, rakendab läbipaistvust ja jälgib andmete kaitse põhimõtteid, nagu andmete minimeerimine ja eesmärgipärasus.
ChatGPT vastavus andmekaitse põhimõtetele
EAKN on sellel aastal tehisintellekti teemaga tegelenud väga mitmel moel, millest üks on ka ChatGPT rakkerühma töö. Populaarne ja laialdaselt kasutatud suur keelemudel (Large Language Model või ’LLM’) ChatGPT on turule tulekust saati tekitanud küsimusi isikuandmete töötlemise kohta. ChatGPT rakkerühm loodi 2023. aastal eesmärgiga jagada uudiseid ChatGPT menetluste kohta ja ühtlustada EAKN-i seisukohti tehisintellekti mudelite andmekaitset puudutavate küsimuste osas. Tehisintellekti mudelid on andmekaitse vaatest ainulaadne tehnoloogia, kuna tegemist on üldsusele tundmatu ’musta-kasti’ teenusega, kus ei anta kasutajale piisavalt läbipaistvat teavet, mis täpsemalt mudelisse sisestatud andmetega juhtub.
Kuni 2024. aasta veebruarini ei olnud OpenAI’l (firma, kelle oma ChatGPT on) Euroopa Liidus esindust, mistõttu algatasid mitmed liikmesriikide järelevalveasutused ChatGPT andmetöötluse uurimiseks. Rakkerühmas töödeldi 2023. aastal välja küsimustik, mille menetlevate riikide järelevalveasutused saatsid OpenAI’le vastamiseks. 2024. aasta veebruaris muutus olukord, kui OpenAI avas Iirimaa pealinnas Dublinis oma Euroopa Liidu esinduse, mistõttu liikusid ka pädevused OpenAI menetluse juhtimise osas Iirimaa järelevalveasutusele (Data Protection Commission). Rakkerühma 2024. aasta 23. mai raport uurimiste kohta, mida ChatGPT vastu algatati, tõmbab tähelepanu isikuandmete kaitse põhimõtetele tehisintellekti keelemudelite kontekstis. Tehisintellekti raames on keerulisem töötlemise seaduslikkust eristada, võttes arvesse, et keelemudelite töötlemise eri etappides võivad olla erinevad õiguslikud alused. ChatGPT rakkerühma raport eristab viit töötlemise etappi: i) andmete kogumine mudeli treenimiseks (sealhulgas veebist andmete kraapimine); ii) andmete nii-öelda eeltöötlemine ja filtreerimine); iii) mudeli treenimine andmete põhjal; iv) viipade ja ChatGPT toodetud väljund; v) ChatGPT treenimine viipadega.
Tehisintellekti riskid ja nende leevendamise võimalused
2024. aastal andis Cybernetica AS Riigi Infosüsteemi Ametile üle tehisintellekti riskihalduse metoodikat kirjeldava aruande. Aruanne „Tehisintellekti ja masinõppe tehnoloogia riskide ja nende leevendamise võimaluste uuring“ on põhjalik ülevaade tehisintellekti rakendamisega seotud riskidest, eesmärgiga pakkuda soovitusi, kuidas tagada küberturvalisus, järgida seaduse nõudeid ja kaitsta ühiskonna huve.
Tehisintellektil põhineva tehnoloogia laialdane kasutus toob endaga kaasa aga uusi infoturbe- ja õigusriske. Aruandes kirjeldatakse riske, mis tulenevad tehisintellektisüsteemide võimalikust vastuvõtlikkusest tehnilistele rünnakutele, ja süsteemi vastutuse piirangutest. Näiteks võib tehisintellektisüsteemi manipuleerida või rünnata nii, et see mõjutab otsuste kvaliteeti või põhjustab süsteemi ülekoormust. Aruanne pakub põhjaliku riskihalduse metoodika koos leevendusmeetmetega, et suurendada tehisintellektisüsteemide vastupanuvõimet ja vältida andmete lekkimist või ebaõiget töötlemist. Meetodid hõlmavad nii tehnilisi lahendusi kui ka protsessipõhiseid meetmeid, mis tõstavad süsteemide turvalisust ja stabiilsust.
Tehisintellekti kasutamine asutustes ja ettevõtetes võib tuua ka palju kasu, näiteks tõsta efektiivsust, parandada klienditeenindust ja aidata langetada paremaid otsuseid. Tehisintellektisüsteemid saavad töödelda suurt hulka andmeid kiiresti ja täpselt, võimaldades organisatsioonidel saada uusi teadmisi ja muuta oma tegevusi efektiivsemaks. Samas on äärmiselt oluline pöörata tähelepanu isikuandmete töötlemisele, et kaitsta inimeste privaatsust ja tagada andmete turvalisus, vältides võimalikke rikkumisi ja usalduse kaotust.
Tehisintellekti keelemudelid ei pruugi tingimata viipadele vastuseks õiget informatsiooni anda, kuna mudelid tuginevad eelkõige tõenäosusele, mitte faktidele. Andmetöötluse käigus loodud sisu võib sisaldada väljamõeldisi, sealhulgas väljamõeldisi isikute kohta, mida kasutajad võivad tõlgendada tõena. Kooskõlas läbipaistvuspõhimõttega on kriitiline, et andmetöötlejad teavitaksid andmesubjekte selgelt ja õigel ajal keelemudeli andmete täpsusest.
Cambridge Analytica skandaal, mis jõudis avalikkuseni 2018. aastal, on üks märkimisväärsemaid näiteid isikuandmete väärkasutamisest tehisintellekti abil. Ettevõte kogus miljonite Facebooki-kasutajate andmeid ilma nende selgesõnalise nõusolekuta ning kasutas neid andmeid poliitiliste kampaaniate, sealhulgas 2016. aasta USA presidendivalimiste ja Brexiti-referendumi mikroturundamiseks ja mõjutamiseks. See juhtum rõhutas kriitilist vajadust range isikuandmete kaitse, teadliku nõusoleku ja tehisintellektisüsteemide eetilise kasutamise järele.
Ühes teises juhtumis töötas Clearview AI välja näotuvastustehnoloogia, mille abil saadi miljardeid pilte internetist ja sotsiaalmeediaplatvormidest ilma isikute nõusolekuta. Seda tehnoloogiat müüdi politsei- ja õiguskaitseasutustele, mis põhjustas laialdast kriitikat ja arvukaid kohtuasju. Peamised mureküsimused puudutasid eraelu puutumatuse rikkumist ning üksikisikute õiguste väärkasutamise ja jälgimise potentsiaali. See juhtum rõhutas tungivat vajadust tugevate eraelu puutumatuse kaitsemeetmete ja tehisintellektitehnoloogia vastutustundliku kasutamise järele, et vältida kuritarvitusi ja kaitsta kodanikuvabadusi. 2024. aasta mais tegi Hollandi järelevalveasutus Clearview tehisintellektiteenusele märkimisväärse trahvi 30 miljoni euro ulatuses.
Lisaks on muutunud sagedamaks ka generatiivse tehisintellekti kasutamine, millega on võimalik luua süvavõltsinguid (deepfakes). Süvavõltsingud on peamiselt pildid ja videod, kus kehastatakse isikut, kasutades tema välimust ja häält. Sellised videod on ohuks nii isikule, keda kehastatakse, kui ka ühiskonnale tervikuna, sest tihti kasutatakse neid halval eesmärgil. Näiteks on esinenud juhtumeid, kus süvavõltsingute abil luuakse inimest alandavaid videosid või kasutatakse poliitikute välimust ja häält väärinformatsiooni levitamiseks, samuti on muutunud sagedasemaks häälpettuste tegemine (voice scam). Kuna süvavõltsingud on muutunud üha veenvamaks ja reaalsemaks, siis on nõutud, et need peavad olema äratuntavad ning tuleb teavitada, kui sisu on loodud automatiseeritud vahendite või tehisintellekti abil.
Kokkuvõtteks võib öelda, et tehisintellekti kasutamine pakub ühiskonnale ja ettevõtetele rohkelt võimalusi. Samas kaasnevad tehisintellekti kasutamisega oluline vastutus ja riskid, eelkõige seoses isikuandmete kaitse, läbipaistvuse ning süsteemi turvalisusega. EAKN-i töö tehisintellekti valdkonnas näitab, et Euroopas ei olda isikuandmete töötlemise vastu ükskõiksed, vaid pigem võetakse proaktiivne seisukoht ja hoitakse alati silma peal tehisintellektiteenustel ning nende mõjul suurele kasutajaskonnale. Tehisintellekti teema on siiski andmekaitse maailmas veel uus ning andmekaitseasutuste seisukohad oluliste küsimuste kohta varieeruvad. Tehisintellekti rakenduste vastutustundlikuks kasutamiseks on oluline järgida nõudeid, mis hõlmavad riskihaldust, kasutaja nõusolekut ja läbipaistvust, et tagada nii kasutajate privaatsuse kaitse kui ka tehisintellektil põhineva tehnoloogia usaldusväärsus ja vastavus ühiskonna ootustele.
- Kommenteerimiseks logi sisse või registreeru