Kas tehisintellekt saab olla kooskõlas GDPR nõuetega?
Tehisintellektil põhinevate tehnoloogiate kasutamine toob kaasa erinevaid õiguslikke probleeme, nagu vastutuse küsimused tehisintellekti kasutamisega tekitatud kahjude osas. Tehisintellektist rääkides ei saa mööda minna ka andmekaitset puudutavatest muredest. Nagu siinses artiklis selgitatud, on Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 (isikuandmete kaitse üldmäärus) Artiklis 5 sätestatud andmekaitse aluspõhimõtetega raske vastavuses olla. Eriti problemaatiline on läbipaistvuse, eesmärgi piirangu ja võimalikult väheste andmete kogumise põhimõtete järgimine.
Vastavalt isikuandmete kaitse üldmääruse Artiklile 5(1)(a), tagatakse isikuandmete töötlemisel, et töötlemine on seaduslik, õiglane ja andmesubjektile läbipaistev. Üks selles punktis sätestatud põhimõtetest on läbipaistvuse põhimõte. Praktikas tähendab läbipaistvus andmete töötlemisel seda, et töötleja peab andmesubjekti hoidma kursis sellega kuidas tema isiklikke andmeid töödeldakse. Artiklite 13 ja 14 kohaselt, peab töötleja seda tegema andes andmesubjektile spetsiifilist informatsiooni. See informatsioon antakse üldjuhul privaatsusteatises või muus dokumendis.
Seoses kohustusega andmesubjekte andmetöötlusest teavitada, on õiguseksperdid juba juhtinud tähelepanu nn privaatsuse paradoksile. Privaatsuse paradoks tähendab, et mida vähem inimesed mõistavad, kuidas tehnoloogia töötab ja kuidas seda saab nende kohta informatsiooni kogumiseks kasutada, seda rohkem on nad tehnoloogia suhtes kartlikult meelestatud. Tehisintellekti puhul on inimestel raske mõista, kuidas selle alusmehhanismid toimivad.
Privaatsuseksperdid on ka rõhutanud, et traditsioonilised ja ebaloomingulised läbipaistvusmehhanismid on oma aja ära elanud. Eriti on ajale jalgu jäänud pikad ja juriidilised privaatsusteatised. Õigusteadlased ja Euroopa Andmekaitsenõukogu on soovitanud tavapärase privaatsuspoliitika asemel andmesubjektile teabe tõhusaks edastamiseks kasutada mitmeid muid meetodeid. Tehisintellekti osas on mõned teadlased vihjanud, et järgmine samm võiks olla väga lühidate täppisajastatud (inglise keeles „just-in-time“) kontekstuaalsete teatiste kasutusele võtmine. Täppisajastatud teatised – nagu teetähised – on abiks ning neid saab arendada selliselt, et nad sulanduvad õigesse konteksti, olenemata, kas nad ilmuvad veebilehel, nutitelefoni ekraanil või isiku rösteri ekraanil. Täppisajastatud teatiste kasutamine tähendab, et andmesubjekti teavitatakse kriitilisest andmetöötluse informatsioonist vahetult enne andmetöötluse toimumist.
Eesmärgi piirangu põhimõte
Vastavalt isikuandmete kaitse üldmääruse Artiklile 5(1)(b) seisneb eesmärgi piirangu põhimõtte sisu selles, et töötleja peab andmetöötluse eesmärke defineerima. Seda peab tegema enne andmetöötlusega alustamist. Eesmärk on, et isikuandmeid ei töödeldaks viisil, mida andmesubjekt ei saa eeldada. Tehisintellekti kontekstis seisneb probleem selles, et tehisintellektil põhinevad tehnoloogiad võivad isiklikke andmeid töödelda erinevatel eesmärkidel. Kuna tehisintellekt on õppimisvõimeline mehhanism, võib juhtuda, et ta leiab uued eesmärgid andmete töötlemiseks, mida andmesubjekt pole ette kujutanud. See probleem on eriti oluline, kui tehisintellekti kasutatakse tervishoius.
Näiteks, kujutame ette, et tehisintellekti kasutatakse selleks, et kutsuda inimesi teatud haiguse vastu vaktsineerima. Tehisintellekt otsustab teatud tervise- ja geneetiliste andmete põhjal, keda tuleks vaktsineerima kutsuda. Kuna tehisintellekt on inimesetaoline õppimisvõimeline mehhanism, võib juhtuda, et tehisintellekt suudab õppida, kuidas algselt kogutud isikuandmete ja sellest tuletatud isikuandmete põhjal kindlaks teha mõne muu haiguse ilmnemine. See aga tähendab andmetöötluse eesmärgi muutumist. Tehisintellekti puhul võib sellist tüüpi muudatusi andmetöötluse eesmärkides sageli juhtuda, samal ajal, kui enne uue töötlemise alustamist on vastutav töötleja kohustatud hindama, kas uus andmetöötluse eesmärk ühildub esialgsega.
Võimalikult väheste andmete kogumise põhimõte
Vastavalt isikuandmete kaitse üldmääruse Artiklile 5(1)(c), tähendab võimalikult väheste andmete kogumise põhimõte, et töödeldavad isikuandmed peavad olema asjakohased, olulised ja piiratud sellega, mis on vajalik nende töötlemise eesmärgi seisukohalt. Selle printsiibi järgmisel peab andmetöötleja tagama, et kogub nii vähe andmeid kui võimalik. Samas võib seda olla raske teha, kui me tahame tehisintellektil põhinevaid tehnoloogiaid võimalikult palju ära kasutada. Näiteks, kujuta ette, et eksisteerib tehisintellektil põhinev teenus, mida kasutatakse selleks, et inimestele võimalikult täpselt uut muusikat soovitada. Selleks, et kellegi huvisid põhjalikult analüüsida, tuvastamaks, milliseid laule neile soovitada, peab tehisintellekt koguma suurel hulgal isiklikke andmeid. See võib hõlmata ka inimestevahelisi vestlusi, hiljuti külastatud kohti, hiljuti loetud raamatuid ja vaadatud sarju, andmeid inimese tujude kohta jne.
Kokkuvõte
Nagu näeme, on tehisintellekti puhul andmekaitse põhimõtetega vastavuses püsimine raske. Mõnede põhimõtete, näiteks läbipaistvuse põhimõtte osas, on õigusteadlased juba soovitanud uudseid meetodeid vastavuse saavutamiseks, näiteks täppisajastatud privaatsusteatised. Teiste põhimõtete järgimise saavutamine on veel lahendamata küsimus.