תוכן עניינים:
וִידֵאוֹ: Artificial Intelligence: GDPR and beyond - Dr. Sandra Wachter, University of Oxford (אוֹקְטוֹבֶּר 2024)
במה שניתן לתאר כסוג של מירוץ חימוש, חברות טק חיכו כמויות גדולות של נתוני משתמשים כדי לחדד את האלגוריתמים של הבינה המלאכותית המפעילות את היישומים והפלטפורמות שלהם. עד כה הם לרוב הצליחו להתחמק מאחריות כאשר הנוהגים שלהם דחפו אותם לתחומים אפורים מבחינה חוקית ואתית.
זה אולי נשמע כמו חדשות רעות עבור חברות שמשתמשות באלגוריתמים של AI, שהפיקו תועלת מתקנות איסוף נתונים רופפות (ותנאים ארוכים, משעממים ועמומים של מסמכי שירות). יש החוששים כי כללים מחמירים יפגעו בחדשנות ובפריסה של בינה מלאכותית ביישומים ותחומים רבים. אחרים מאמינים כי ההנחיה החדשה תיצור בסיס בו יישומי AI יהפכו אמינים יותר ואמינים יותר.
לא משנה מה המקרה, ענף ה- AI מיועד לשינוי גדול בעידן ה- GDPR.
בעלות נתונים ופרטיות
"GDPR זה עניין גדול עבור AI, מכיוון שהוא מחייב שאנו חושבים אחרת על האופן בו אנו אוספים ומשתמשים בנתונים", אומר טים אסטס, מייסד ונשיא Digital Reasoning. "זמן רב מדי, חברות טק התעקשו שכדי לקבל ערך מהמוצרים והשירותים שלהן, היית צריך לוותר על הנתונים שלך."
בעבר חברות נדרשו לקבל רק הסכמה מעורפלת מהמשתמשים לאיסוף כל מיני נתונים. "AI סייעה לשמור על חיוב ההייפ של הנתונים הגדולים - ומספקת סיבה נוספת לכך שעסקים צריכים לאסוף ולכרות את כל הנתונים הזמינים, " אומרת אסטס. "חברות רבות החלו ליישם AI כדי לנתח את הנתונים שלהן רק בגלל שהן חושבות שעליהן - בלי לחשוב מה ההשפעה על פרטיות המשתמשים או בעלות הנתונים."
הנחת היסוד הבסיסית ביותר של ה- GDPR היא שהנתונים שייכים למשתמשים. תחת GDPR, חברות יצטרכו לחשוף את מלוא היקף המידע שהן אוספות וכן כיצד הן משתמשות בהן וכיצד הן מגנות עליו ומונעות גישה בלתי מורשית. הכללים החדשים יאלצו את חברות AI להקפיד יותר על הנתונים שהם אוספים לעומת התעסקות באגירה מבוקשת, עיבוד ושיתוף של מידע משתמשים.
הזכות להישכח
GDPR נותן למשתמשים את הכוח לדרוש מחברה למחוק את כל הנתונים שלהם מהשרתים שלה. זה לא יושב טוב עם חברות AI, שיש להן אינטרס להחזיק כמה שיותר נתוני משתמשים לביצוע משימות כמו חיזוי מגמות והתנהגות משתמשים.
מרינה בורושקינה, מנכ"לית GrowthChannel, מספרת כי "בסופו של יום, ה- GDPR קשור לאופן האיסוף והניהול של הנתונים ולא בהכרח כמה נתונים יש לך. "הקושי העיקרי שרוב החברות יתמודדו איתו הוא לא הרבה בקבלת הצטרפות, אלא יותר בניהול הנתונים, העברת השימוש בנתונים למשתמשים, ולאפשר למשתמשים אפשרות למחוק אותם."
חברות AI יצטרכו לנקוט בצעדים נוספים על מנת לאנונימיות את הנתונים שלהן אם הן עדיין רוצות לקבל גישה לתובנות אלה. אבל אתגרים אחרים מתמודדים עם חברות שיש להן כבר חנויות גדולות של נתוני משתמשים.
"תחת GDPR, אם חברה רוצה למחוק PII ספציפי, הם צריכים להבטיח שהוא יימחק בכל מקום", אומר אמנון דרורי, מנכ"ל אוקטופאי. זו יכולה להיות משימה מפחידה לבצע באופן ידני כאשר הנתונים שלך מפוזרים בשרתים שונים ומאוחסנים בפורמטים מובנים ולא מובנים.
לדוגמה, בעת מחיקת מספר כרטיס האשראי של המשתמש (בהחלט מידע רגיש), חברות יצטרכו לבדוק כל דוח, מסד נתונים, אובייקט מסד נתונים ו- ETL שבהם המידע נשמר. "לפעמים אנו רואים שמות מטא נתונים שונים עבור אותו פריט: לדוגמה, 'מספר כרטיס אשראי', 'מספר עותק', מספר כרטיס אשראי ', ' מספר כרטיס ', ' מספר כרטיס אשראי '. הרשימה עוד ארוכה ו "אומר דרורי. לעתים קרובות אי אפשר לדעת לאן להסתכל והתהליך יכול לארוך שבועות ואף חודשים, וכמו תהליכים ידניים רבים, הוא נוטה לטעות אנושיות וחוסר דיוקים, אומר דרורי.
GDPR יעלה גם את עלות הטעויות האנושיות בטיפול בנתונים. "זו הסיבה שחברות כה רבות כיום מחפשות פיתרון אוטומטי לניהול מדויק של המטא נתונים שלהן, " אומר דרורי. אולי באופן אירוני, AI עצמו יכול להוות פיתרון בהקשר זה. כלי ניהול מטא נתונים המופעלים על ידי AI יכולים לסרוק את כל מקורות הנתונים בארגון ולגבש קשרים בין כלים שונים למקורות נתונים.
זכות ההסבר
אחד החלקים המשמעותיים ביותר ב- GDPR בכל הנוגע ל- AI הוא מה שנודע כ"זכות ההסבר ". ההוראה קובעת כי על חברות להודיע למשתמשים על "קיומה של קבלת החלטות אוטומטית" ולספק להם "מידע משמעותי על ההיגיון הכרוך בכך, כמו גם על המשמעות וההשלכות החזויות של עיבוד כזה עבור הנבדק."
זה בעצם אומר שמשתמשים חייבים לדעת מתי הם כפופים באופן ישיר או עקיף לאלגוריתמים של AI, והם צריכים להיות מסוגלים לאתגר את ההחלטות שאלגוריתמים אלה מקבלים ולבקש הוכחה כיצד נגזרת המסקנה. זה יהיה אחד האתגרים הגדולים ביותר שעומדת בפני תעשיית AI.
רשתות עצביות עמוקות, הטכנולוגיה העיקרית העומדת מאחורי אלגוריתמים AI עכשוויים, הם מבני תוכנה מורכבים היוצרים כללי פונקציונליות משלהם על ידי ניתוח מערכות גדולות של נתונים ומציאת מתאם ודפוסים. ככל שרשתות עצביות הופכות מורכבות יותר, התנהגותם נעשית קשה יותר ויותר לפירוק. לעתים קרובות, אפילו מהנדסים לא יכולים להסביר את הסיבות שמאחורי ההחלטות שקובעות אלגוריתמי ה- AI שלהם.
כינוי לבעיית "הקופסה השחורה", אי-ההסבר של אלגוריתמים של AI הקשה ליישם אותם בהחלטות באולם בית המשפט, אכיפת החוק, בקשות הלוואה ואשראי, גיוס, שירותי בריאות ותחומים קריטיים אחרים. אך ללא כל מנוף משפטי, חברות AI לא היו תמריצים מועטים להפוך את אלגוריתמי ה- AI שלהם לשקופים יותר, במיוחד כאשר היו קשורים קשר הדוק לסודות המסחריים שלהם.
כעת, GDPR תחזיק בחברות AI לתת דין וחשבון על ההחלטות שהאלגוריתמים שלהם מקבלים.
"כחלק מ- GDPR, ארגונים אחראים לתאר בבירור את שיטת העיבוד בשפה אנושית תוך שהם מבקשים הסכמה מהנושא, " אומר פסקל Geenens, חוקר האבטחה ב- Radware. "ככל שמתפתחת למידה עמוקה, ומדעני נתונים אינם מסוגלים לאפיין אופי דטרמיניסטי מאחורי הנמקת הרשת העצבית, תיאור זה עשוי להיות מורכב וקשה יותר להסביר."
בעיקרון, GDPR נוגע באחריות לבני האדם המעבדים את הנתונים, אומר Geenens. כך שאם אתה משתמש באלגוריתמים למידת מכונה כדי לבצע את העיבוד, עליך לתכנן אותם באופן שיאפשר לך להסביר את ההחלטות שהם מקבלים בשמך.
קומץ ארגונים מנסים לפתח טכנולוגיות כדי להפוך את ה- AI לשקוף יותר. בולט בהם הוא ה- AI הסביר של DARPA (XAI), פרויקט מחקר שמטרתו להפוך את ההחלטות מבוססות ה- AI למובנות.
מיקור חוץ AI
GDPR ישפיע גם על ארגונים שמנגישים את הנתונים שלהם לצדדים שלישיים. דוגמא בולטת לחברה כזו היא פייסבוק; בפרשת שערוריית קמברידג 'אנליטיקה, ענקית המדיה החברתית לא הצליחה למנוע מחברת כריית הנתונים לאסוף ולעשות שימוש לרעה בנתונים של 87 מיליון משתמשים. אבל ל- GDPR יהיו השלכות גם על חברות שמוציאות למיקור חוץ את תפקודי ה- AI שלהן ומנגישות את הנתונים שלהן לספקי AI.
"בעוד שרבים מניחים כי ספקי AI הם כמו ספקי שירותים אחרים - פשוט מציעים את הטכנולוגיה שלהם תמורת פיצוי כספי - האמת היא, ספקי AI נכנסים גם לשותפויות עסקיות כדרך לבנות ולהפתח את הטכנולוגיה שלהם", אומר אסס, המנהל הראשי מנהלת ההיגיון הדיגיטלי. המשמעות היא שספק AI עשוי לרצות להחזיק בנתוני לקוח כדי להכשיר עוד יותר את האלגוריתמים שלו ולהשתמש בהם בתחומים אחרים.
לדוגמה, ספק AI העוזר לארגון בריאות למצוא דפוסים בתסמינים ומשפר אבחנות עשוי להיתקל במערך נתונים המשפר את האלגוריתמים הקנייניים שלו. לאחר מכן, חברת AI עשויה לרצות למנף את הנתונים כדי לשפר את האלגוריתמים שלה לסוגים אחרים של טיפול בחולים, כדי לפתח את היכולות שלה כדי לעזור לספקי בריאות אחרים. במסגרת ה- GDPR, ארגון הבריאות האחראי על הנתונים יחויב באחריות לכל שימוש לא אתי של ספק ה- AI. המפתח, מעריך אסס, הוא שעסקים יחפשו ספקי AI המאמינים בבעלות על האלגוריתמים ולא בנתונים.
אסטס מבהירה כי "GDPR יאלץ עסקים להתייחס מקרוב לאיך ומתי משתמשים בנתונים שלהם, היכן הם מאוחסנים ומה קורה להם לאחר סיום הפרויקט". "המשמעות היא עבודה עם ספקי AI המסייעים להגדיר את קווי בעלות הנתונים וליישם אסטרטגיות המגנות על מידע משתמשים, תוך לא מפריע לדרכים בהן הוא מסייע להתפתחות ההצלחה של אלגוריתמי AI."
האם GDPR יפגע בחדשנות של AI?
מומחים שדיברנו איתם מאמינים שלמרות שהתקנות החדשות יאתגרו את הנהגים וההרגלים הנוכחיים שחברות AI אימצו, היא גם תאלץ אותם למצוא דרכים חדשות לחדש וגם לשמור על הכבוד לפרטיות ולסטנדרטים האתיים.
"עם כניסתו של רגולציה של ה- GDPR לתוקף, כל חברות התוכנה הגדולות נוקטות בצעדים הכרחיים כדי לא רק להבטיח תאימות, אלא גם לחדש ולחשוב מחוץ לקופסה כדי למצוא הזדמנויות חדשות בשוק", אומרת Burushkina של GrowthChannel.
"חדשנות לא תיפגע - אלא מכוונת ומונעת - על ידי ה- GDPR", אומר דרורי של אוקטופאי. בתוך כך, ה- GDPR יביא גם לעסקים וטכנולוגיות חדשות שיסייעו לארגונים להשיג ולשמור על תאימות ה- GDPR.
התקנים שנקבעו על ידי ה- GDPR עשויים למעשה לעזור לגשר על פער האמון המתרחב בין ספקי המשתמשים למשתמשים המופעלים על ידי AI. אסטס מאמינה כי ה- GDPR יהפוך את ספקי ה- AI וגם את אלה המיישמים את הטכנולוגיה שלהם לאחראים יותר על האופן בו הם משתמשים במשאבי נתונים ולדחוף אותם לשים את המשתמשים לפני הרווחים. "בסופו של יום, " הוא אומר, "ספקי AI צריכים רק להחזיק באלגוריתמים - ולא בנתונים - כדי לחדש את היכולות והפתרונות שלהם."
