InstitucijosTech+Law

DI modelio anonimiškumo svarba BDAR kontekste

Dažnai praktikoje kyla klausimas, ar dirbtinio intelekto (DI) modeliai, apmokyti naudojant asmens duomenis, gali būti laikomi anoniminiais asmens duomenų apsaugos kontekste. Advokatų profesinės bendrijos „NEWTON LAW“ advokatė Asta Kederytė pabrėžia, kad DI modelio laikymas anoniminiu turi didžiulę svarbą duomenų valdytojams. Nustačius, kad DI modelis, kuriam apmokyti buvo naudojami asmens duomenys, laikomas anoniminiu, panaikina duomenų valdytojui pareigas užtikrinti tinkamą asmens duomenų tvarkymą pagal Bendrąjį duomenų apsaugos reglamentą (BDAR). Europos duomenų apsaugos valdyba (EDAV) yra priėmusi nuomonę dėl asmens duomenų naudojimo, kuriant ir diegiant dirbtinio intelekto (DI) modelius, kurioje nagrinėjami atvejai, kaip įvertinti, ar DI modelis, kuriam apmokyti buvo naudojami asmens duomenys, gali būti laikomas anoniminiu.

Žinoma, kad kai kurie DI modeliai yra specialiai sukurti tam, kad padarytų prieinamus arba pateiktų duomenis apie konkrečius asmenis (pavyzdžiui, generatyvinis modelis, pritaikytas prie asmens balso įrašų, kad būtų galima imituoti asmens balsą), kurių asmens duomenys buvo naudojami modeliui apmokyti. Tokiais atvejais tokie DI modeliai iš esmės apims informaciją, susijusią su identifikuotu arba identifikuojamu asmeniu, todėl bus susiję su asmens duomenų tvarkymu, todėl jie jokiu būdu negalės būti laikomi anoniminiais.

Taip pat DI modeliai negalėtų būti laikomi anoniminiais net ir tokie, kurie sąmoningai nebuvo sukurti taip, kad pateiktų informaciją apie asmenį, kurio tapatybė yra nustatyta arba gali būti nustatyta, iš mokymo duomenų. DI modeliui apmokyti panaudojus asmens duomenis, išlieka didelė tikimybė, kad ta informacija vis tiek gali likti „absorbuota“ į modelio parametrus. Žinoma, modelio parametruose duomenys gali skirtis nuo pradinių mokymo duomenų taškų, tačiau vis tiek gali išlikti pirminė tų duomenų informacija, kuri galiausiai gali tiesiogiai ar netiesiogiai leisti identifikuoti asmenis, kurių asmens duomenys buvo naudojami modeliui apmokyti.

Advokatė Asta Kederytė pažymi, kad, norint DI modelį, kuriam apmokyti buvo naudojami asmens duomenys, laikyti anoniminiu, reiktų turėti pakankamai įrodymų, patvirtinančių, kad šios sąlygos yra išpildytos: i) asmens duomenų, panaudotų apmokyti DI modelį, iš modelio jokiu būdu negalima išgauti; ir ii) modelio užklausos rezultatai, nėra susiję su duomenų subjektais, kurių asmens duomenys buvo naudojami modeliui apmokyti.

Vertinant, ar šios sąlygos tikrai yra išpildytos, būtina atsižvelgti į „visas priemones, kurias pagrįstai tikėtina, kad duomenų valdytojas ar kitas asmuo gali naudoti“ fiziniams asmenims identifikuoti, o šių priemonių nustatymas turėtų būti grindžiamas objektyviais veiksniais, pavyzdžiui:

  • pačių mokymo duomenų, DI modelio ir mokymo procedūros charakteristikomis;
  • kontekstu, kuriame DI modelis yra išleidžiamas ir (arba) apdorojamas;
  • papildoma informacija, kuri leistų nustatyti ir gali būti prieinama konkrečiam asmeniui;
  • išlaidomis ir laiku, kurių asmeniui reikėtų tokiai papildomai informacijai gauti;
  • duomenų tvarkymo metu turima technologija, taip pat technologiniais pokyčiais ir kt.

Apibendrinant, advokatė Asta Kederytė primena, jog tam, kad DI modelį, kuriam apmokyti buvo naudojami asmens duomenys, būtų galima laikyti anoniminiu, reikia nuodugniai įvertinti asmens tapatybės nustatymo tikimybę. Ši tikimybė turėtų būti vertinama atsižvelgiant į „visas priemones, kurias pagrįstai gali naudoti“ duomenų valdytojas ar kitas asmuo, taip pat turėtų būti atsižvelgiama į netyčinį modelio (pakartotinį) panaudojimą ar atskleidimą. Tik esant pagrindimui dėl DI modelio anonimiškumo, nebelieka duomenų valdytojui pareigos užtikrinti tinkamą asmens duomenų tvarkymą pagal BDAR.

Back to top button