AI

Το νέο σχέδιο κανονισμού και οι προκλήσεις στη κινεζική βιομηχανία της Τεχνητής Νοημοσύνης

Αποτελεί κοινή διαπίστωση ότι η ανάπτυξη της τεχνητής νοημοσύνης (AI) προϋποθέτει την χρήση μεγάλων συνόλων δεδομένων για την εκπαίδευση αλγορίθμων στη δημιουργία μοντέλων που χρησιμοποιούνται για έξυπνη λήψη αποφάσεων στα ερωτήματα που απαντώνται με την χρήση της. Κατά το μέρος όπου συχνά τα δεδομένα αυτά περιλαμβάνουν και προσωπικά δεδομένα, η νομοθεσία για την προστασία των προσωπικών δεδομένων μπορεί να θεωρηθεί ότι εμποδίζει την ταχεία ανάπτυξη των μοντέλων της τεχνητής νοημοσύνης. Υποστηρίζεται ότι χώρες, στις οποίες η προστασία των προσωπικών δεδομένων είναι πιο ήπια (ή και ανύπαρκτη) μπορεί να έχουν ένα ανταγωνιστικό πλεονέκτημα στην AI. Με αυτόν τον προβληματισμό είναι ενδιαφέρον να παρακολουθούμε τις εξελίξεις σε τέτοιες χώρες.

Η Διοίκηση Κυβερνοχώρου της Κίνας (Cyberspace Administration of China – CAC) δημοσίευσε πρόσφατα ένα σχέδιο κανονισμού σχετικά με τα «Μέτρα Διαχείρισης των Υπηρεσιών της AI». Σκοπός των εν λόγω μέτρων είναι η ρύθμιση και η ανάπτυξη των υπηρεσιών που κάνουν χρήση της τεχνητής νοημοσύνης (ΑΙ) στην Κίνα.

Το σχέδιο κανονισμού

Το σχέδιο κανονισμού αποτελείται από 21 άρθρα, τα οποία αφορούν τις ρυθμιστικές αρχές και συγκεκριμένες προϋποθέσεις σχετικά με τα προϊόντα και τις υπηρεσίες που περιέχουν ΑΙ. Τα μέτρα ορίζουν τις υπηρεσίες που κάνουν χρήση της AI, ως εκείνες που μπορούν ανεξάρτητα να δημιουργήσουν, να τροποποιήσουν ή να συνθέσουν κείμενο, ήχο, εικόνες ή βίντεο. Ωστόσο, η εφαρμογή του επίσημου κανονισμού ενδέχεται να επηρεάσει τον χρόνο διάθεσης των προϊόντων και υπηρεσιών με ΑΙ στην αγορά της  χώρας.

Συλλογή και Διατήρηση των δεδομένων

Ιδιαίτερη έμφαση έχει δοθεί στη συλλογή και διατήρηση των δεδομένων. Συγκεκριμένα, το σχέδιο κανονισμού ορίζει, ότι οι πάροχοι υπηρεσιών πρέπει να θεσπίσουν αυστηρούς μηχανισμούς συλλογής και διατήρησης των δεδομένων. Οπωσδήποτε, απαιτείται να λαμβάνουν τη συναίνεση του χρήστη, να προσδιορίζουν με σαφήνεια τον σκοπό της συλλογής δεδομένων και να διασφαλίζουν την ασφάλεια και την εμπιστευτικότητα των δεδομένων χρήστη. Ακόμη, τα μέτρα τονίζουν την ανάγκη να αποτραπεί η συλλογή και χρήση προσωπικών δεδομένων χωρίς την κατάλληλη εξουσιοδότηση.

Προϋποθέσεις για την παροχή υπηρεσιών και προϊόντων με ΑΙ

Το σχέδιο κανονισμού θέτει αυστηρά μέτρα για την αξιολόγηση της  ασφάλειας των δεδομένων, για την κυκλοφορία των προϊόντων και των υπηρεσιών με ΑΙ στην αγορά της Κίνας. Οι πάροχοι υπηρεσιών τεχνητής νοημοσύνης πρέπει να εφαρμόζουν ισχυρούς μηχανισμούς ελέγχου περιεχομένου για τον εντοπισμό και την πρόληψη ενδεχόμενων κινδύνων. Οι πάροχοι  υπηρεσιών είναι υπεύθυνοι για τη νομιμότητα των πηγών – δεδομένων των προϊόντων τους.

Σημαντικό ζήτημα αποτελεί η πιθανότητα διαρροής ψευδών πληροφοριών. Το περιεχόμενο που δημιουργείται από τα προϊόντα και τις  υπηρεσίες με AI, θα πρέπει να έχουν σαφήνεια, ακρίβεια και να λαμβάνονται κατάλληλα μέτρα πρόληψης. Επιπλέον, οι πάροχοι υπηρεσιών θα πρέπει να εφαρμόζουν συστήματα ταυτοποίησης του χρήστη για να διασφαλίζουν την αυθεντικότητα των λογαριασμών των χρηστών και να αποτρέπουν την κακή χρήση των υπηρεσιών τεχνητής νοημοσύνης.

Λογοδοσία και αναφορά παραβίασης

Οι πάροχοι πρέπει να δημιουργήσουν εσωτερικούς μηχανισμούς λογοδοσίας για την επίβλεψη της ανάπτυξης και της χρήσης των υπηρεσιών με ΑΙ. Οφείλουν  να αναφέρουν τυχόν σημαντικά περιστατικά, παραβιάσεις ασφαλείας ή άλλες σχετικές πληροφορίες στην CAC και να συνεργάζονται με τις ρυθμιστικές αρχές.

Εξαγωγές και Διεθνείς Συνεργασίες

Το νέο σχέδιο κανονισμού επισημαίνει τη σημασία της συμμόρφωσης με τους κανονισμούς ελέγχου των εξαγωγών σχετικά με την παροχή υπηρεσιών με ΑΙ. Οι πάροχοι αναμένεται να ακολουθούν τους σχετικούς νόμους και κανονισμούς όταν εξάγουν υπηρεσίες ή προϊόντα με ΑΙ.

Σύμφωνα με τις διακηρύξεις της η Κίνα υποστηρίζει τη διεθνή  συνεργασία και ενθαρρύνει τη χρήση ενός ασφαλούς και αξιόπιστου λογισμικού. Είναι απαραίτητο να διερευνηθούν τα μονοπάτια διεθνούς συνεργασίας,  ώστε να καταστεί παραγωγική η παροχή υπηρεσιών και προϊόντων με ΑΙ στη βιομηχανία της Κίνας.

Συμπερασματικά

Η εμφάνιση των υπηρεσιών και των προϊόντων με ΑΙ έχει δημιουργήσει σημαντικά ζητήματα, με αποτέλεσμα να πρέπει να λαμβάνονται τα απαραίτητα μέτρα από διάφορες ρυθμιστικές αρχές (π.χ. Κίνα και Ευρωπαϊκή Ένωση). Σύμφωνα με το ρυθμιστικό πλαίσιο που ακολουθούν, κύριο μέλημα είναι η προστασία, η συλλογή, η διατήρηση των δεδομένων των χρηστών, οι προϋποθέσεις, με τις οποίες θα παρέχονται οι υπηρεσίες και τα προϊόντα  με ΑΙ, η πρόληψη  κινδύνων, η διαφάνεια και η ακρίβεια των πληροφοριών καθώς και η ανάπτυξη διεθνών συνεργασιών.

 

Περισσότερα άρθρα μπορείτε να διαβάσετε στο BLOG της εταιρείας μας.

 

 

English version

New draft regulation and challenges in Chinese AIGC industry

 

The Cyberspace Administration of China (CAC) recently released a draft regulation of the “Measures for the Administration of Generative AI Services” for public comments. These measures aim to regulate the development and use of generative artificial intelligence (AI) services within China.

Generative Artificial Intelligence (AIGC) products have raised concerns about invasion of privacy and the possibility of false information leak, and the various ethical issues that are raised. Europe has already created a relevant framework, while China’s regulatory framework will be formed and implemented soon.

The new draft regulation

The draft regulation includes 21 articles, on the regulatory authorities and the specific requirements regarding AIGC products and services. The measures define AIGC services as those that can independently generate, modify, or synthesize text, audio, images, or videos using AI technology. However, it is expected that the time-to-market of domestic AIGC products and services will be impacted after the implementation of the official regulations.

Data Collection and Storage

According to the draft regulation, service providers must establish strict data collection and storage mechanisms. They are required to obtain user consent, clearly specify the purpose of data collection, and ensure the security and confidentiality of user data. The measures also emphasize the need to prevent the collection and use of personal data without proper authorization.

Conditions for the provision of AIGC services and products

The draft regulation strictly sets the data security assessment for the release of AIGC products and services in the Chinese market. AIGC service providers must implement robust content review mechanisms to identify and prevent risks. Providers are responsible for the legality of the data sources of their products.

An important issue is the possibility of false information leak. The content generated by AIGC products and services should be clear, accurate, and the appropriate preventative measures must be taken. In addition, service providers are required to implement user identity verification systems to ensure the authenticity of user accounts and prevent the misuse of generative AI services.

Accountability and Breach Reporting

Providers must establish internal accountability mechanisms to supervise the development, deployment, and use of generative AI services. They are also required to report any significant incidents, security breaches, or other relevant information to the CAC and cooperate with regulatory investigations.

Exports and International Partnerships

The draft measures highlight the importance of complying with export control regulations regarding AI technologies. Providers are expected to follow relevant laws and regulations when exporting generative AI services or technologies.

China supports international cooperation and encourages the use of safe and reliable software. It is necessary to explore paths of international cooperation in order to make the provision of AIGC services productive in China’s industry.

Conclusion

The emergence of AIGC services and products has created significant issues, as a result of which serious measures must be taken by various regulatory authorities (e.g., China and European Union). Consequently, the relevant regulatory frameworks concentrate to the protection, collection, retention of user data, the conditions under which AIGC services and products are provided, risk prevention, transparency, and accuracy of information as well as the development of international collaborations.

 

 

AI ACT: ΜΙΑ ΕΠΕΞΗΓΗΜΑΤΙΚΗ ΜΑΤΙΑ ΣΤΙΣ ΕΞΕΛΙΞΕΙΣ

Όσο η τεχνολογία εξελίσσεται και οι ανάγκες του σύγχρονου κόσμου αυξάνονται, οι εφαρμογές τεχνητής νοημοσύνης αξιοποιούνται όλο και περισσότερο για τη λήψη σημαντικών αποφάσεων σχετικά με τη ζωή των ανθρώπων, με ελάχιστη έως καθόλου ανθρώπινη επίβλεψη. Η «κακή» χρήση, ωστόσο, της τεχνητής νοημοσύνης μπορεί να έχει σημαντικές συνέπειες, όπως η λήψη δυσμενών αποφάσεων με μεροληπτικά κριτήρια με βάση το φύλο, την εθνικότητα ή την ηλικία, που μπορεί να αφορούν την πρόσληψη ή την απόλυση εργαζομένων, τη βαθμολόγηση μαθητών ή υποψηφίων σε εξετάσεις, τη χορήγηση δανείων, ακόμη και την άσκηση ποινικών διώξεων.

Τον Απρίλιο του 2021, η Ευρωπαϊκή Επιτροπή υπέβαλε την πρότασή της για ένα ενιαίο ευρωπαϊκό κανονιστικό πλαίσιο για την τεχνητή νοημοσύνη, το λεγόμενο Artificial Intelligence Act ή αλλιώς AI Act. Η πρόταση αυτή αποτελεί την πρώτη προσπάθεια για μία οριζόντια ρύθμιση της ταχέως αναπτυσσόμενης τεχνητής νοημοσύνης, μέσω μίας προσέγγισης που βασίζεται στον κίνδυνο (risk-based approach), με στόχο να τονώσει και να ενθαρρύνει την καινοτομία, να διασφαλίσει ταυτόχρονα την αξιόπιστη χρήση της τεχνητής νοημοσύνης, θέτοντας ως επίκεντρο την προστασία των θεμελιωδών δικαιωμάτων των ανθρώπων.

Η εξωεδαφική εφαρμογή του AI Act και η προφανής επιρροή που θα ασκήσει σε παγκόσμιο επίπεδο για τους φορείς χάραξης πολιτικής (προκαλώντας το λεγόμενο “Brussels Effect”) καθιστούν σαφές ότι το νέο αυτό πλαίσιο θα παίξει καθοριστικό ρόλο στην ανάπτυξη της νομοθεσίας για την τεχνητή νοημοσύνη, καθώς και στην οικουμενική προσπάθεια για την επίτευξη διεθνούς συνεργασίας για την τεχνητή νοημοσύνη.

H Τεχνητή Νοημοσύνη στο AI Act

Πριν από την εξέταση των κύριων σημείων του νέου αυτού πλαισίου, χρειάζεται να γίνει σαφές το πεδίο εφαρμογής του. Είναι γνωστό πως δεν υπάρχει ένας ευρέως αποδεκτός ορισμός για την τεχνητή νοημοσύνη. Έτσι, το AI Act περιλαμβάνει ένα Παράρτημα που ορίζει τις τεχνικές και τις προσεγγίσεις που εμπίπτουν στο πεδίο εφαρμογής του.

Η Ευρωπαϊκή Επιτροπή επέλεξε έναν ευρύ και ουδέτερο ορισμό για τα συστήματα τεχνητής νοημοσύνης (εφεξής ως «συστήματα ΤΝ»), χαρακτηρίζοντάς τα ως «λογισμικό που αναπτύσσεται με μία ή περισσότερες από τις τεχνικές και προσεγγίσεις που παρατίθενται στο παράρτημα I και μπορεί, για ένα δεδομένο σύνολο στόχων που έχουν καθοριστεί από τον άνθρωπο, να παράγει στοιχεία εξόδου όπως περιεχόμενο, προβλέψεις, συστάσεις ή αποφάσεις που επηρεάζουν τα περιβάλλοντα με τα οποία αλληλεπιδρά» [άρθρο 3 στ. (1) AI Act]. Οι τεχνικές που αναφέρονται στο Παράρτημα της πρότασης καλύπτουν ένα ευρύ φάσμα τεχνολογιών, οι οποίες περιλαμβάνουν τόσο προσεγγίσεις μηχανικής μάθησης όσο και προσεγγίσεις που βασίζονται στη λογική και τη γνώση (logic-and knowledge-based).

Ρύθμιση συστημάτων τεχνητής νοημοσύνης

Στο ΑΙ Act, τα συστήματα TN ταξινομούνται σε 4 κατηγορίες ανάλογα με τον αντιληπτό κίνδυνο που ενέχουν:

  • Συστήματα μη αποδεκτού κινδύνου, τα οποία απαγορεύονται πλήρως (αν και ισχύουν ορισμένες εξαιρέσεις)
  • Συστήματα υψηλού κινδύνου, τα οποία ενέχουν απαιτήσεις τεκμηρίωσης και ιχνηλασιμότητας, διαφάνειας, ανθρώπινης εποπτείας, ακρίβειας και στιβαρότητας, αρχών απολύτως αναγκαίων για τον μετριασμό των κινδύνων που ενέχει η τεχνητή νοημοσύνη
  • Συστήματα χαμηλού κινδύνου, τα οποία απαιτούν διαφάνεια από την πλευρά του προμηθευτή ΤΝ
  • Συστήματα ελάχιστου κινδύνου για τα οποία δεν τίθενται καν απαιτήσεις.

Όσον αφορά τα συστήματα ΤΝ υψηλού κινδύνου, στον ΑΙ Act προσδιορίζονται δύο κύριες κατηγορίες:

  • συστήματα ΤΝ που προορίζονται να χρησιμοποιηθούν ως κατασκευαστικά στοιχεία ασφάλειας προϊόντων τα οποία υπόκεινται σε εκ των προτέρων αξιολόγηση της συμμόρφωσης από τρίτα μέρη, όπως παιχνίδια ή ιατρικές συσκευές,
  • άλλα αυτόνομα συστήματα ΤΝ με επιπτώσεις κυρίως στα θεμελιώδη δικαιώματα, όπως συστήματα τεχνητής νοημοσύνης που αξιολογούν την πιστοληπτική ικανότητα ατόμων ή χρησιμοποιούνται στο πλαίσιο της πρόσληψης.

Επιπλέον, το AI Act εισάγει ένα σύστημα διαχείρισης κινδύνου, το οποίο συνίσταται σε μια συνεχή, επαναληπτική διαδικασία καθ’ όλη τη διάρκεια του κύκλου ζωής ενός συστήματος ΤΝ υψηλού κινδύνου, η οποία απαιτεί τακτική συστηματική επικαιροποίηση. Για την επίτευξη της παραπάνω διαδικασίας απαιτούνται συγκεκριμένες ενέργειες, όπως:

  • ο προσδιορισμός και η ανάλυση των γνωστών και προβλέψιμων κινδύνων που συνδέονται με κάθε σύστημα ΤΝ υψηλού κινδύνου
  • η εκτίμηση και η αξιολόγηση των κινδύνων που ενδέχεται να προκύψουν όταν το σύστημα ΤΝ υψηλού κινδύνου χρησιμοποιείται σύμφωνα με τον επιδιωκόμενο σκοπό του και υπό συνθήκες ευλόγως προβλέψιμης κακής χρήσης
  • η αξιολόγηση άλλων πιθανών κινδύνων με βάση την ανάλυση των δεδομένων που συλλέγονται από το σύστημα παρακολούθησης μετά τη διάθεση στην αγορά
  • η θέσπιση κατάλληλων μέτρων διαχείρισης κινδύνου.

Επιπρόσθετα, η Επιτροπή με την πρότασή της επιδιώκει την «απόλυτη» απαγόρευση των συστημάτων ΤΝ που χειραγωγούν άτομα μέσω υποσυνείδητων τεχνικών ή εκμεταλλεύονται τα τρωτά σημεία συγκεκριμένων ευάλωτων ομάδων, όπως τα παιδιά ή τα άτομα με αναπηρίες, προκειμένου να στρεβλώσουν ουσιωδώς τη συμπεριφορά τους κατά τρόπο που ενδέχεται να προκαλέσει στα άτομα αυτά ή σε άλλο πρόσωπο ψυχολογική ή σωματική βλάβη. Το AI Act απαγορεύει επίσης την κοινωνική βαθμολόγηση με βάση την ΤΝ για γενικούς σκοπούς από τις δημόσιες αρχές. Τέλος, απαγορεύεται η χρήση συστημάτων εξ αποστάσεως βιομετρικής ταυτοποίησης σε «πραγματικό χρόνο» σε δημόσια προσβάσιμους χώρους για σκοπούς επιβολής του νόμου, εκτός ορισμένων εξαιρέσεων.

Από το πεδίο εφαρμογής της πρότασης εξαιρούνται τα συστήματα ΤΝ που έχουν αναπτυχθεί ή χρησιμοποιούνται αποκλειστικά για στρατιωτικούς σκοπούς. Εξαιρούνται επίσης από το AI Act οι δημόσιες αρχές τρίτων χωρών και οι διεθνείς οργανισμοί που χρησιμοποιούν συστήματα τεχνητής νοημοσύνης στο πλαίσιο διεθνών συμφωνιών επιβολής του νόμου και δικαστικής συνεργασίας με την Ε.Ε. ή με ένα ή περισσότερα από τα μέλη της.

Γιατί είναι σημαντικό;

Μετά την προφανή επιτυχία του GDPR και του ισχυρού αντικτύπου που είχε στην Ευρώπη αλλά και παγκοσμίως αναφορικά με την προστασία των προσωπικών δεδομένων και τη συμμόρφωση των οργανισμών με τις απαιτήσεις του κανονιστικού πλαισίου, η Ε.Ε. επιδιώκει να αφήσει το στίγμα της και στον τομέα της τεχνητής νοημοσύνης ρυθμίζοντάς τη με το AI Act, πλαίσιο εξαιρετικά φιλόδοξο. Το AI Act θα απαιτεί από τους οργανισμούς να ελέγχουν με μεγαλύτερη επιμέλεια τα συστήματα ΤΝ που αξιοποιούν ή αναπτύσσουν, τα οποία μπορούν να χαρακτηριστούν «υψηλού κινδύνου» και είναι πιθανότερο να βλάψουν τους ανθρώπους. Εκεί θα μπορούσαν να υπάγονται -όπως αναφέρθηκε παραπάνω- συστήματα βαθμολόγησης εξετάσεων, αξιολόγησης επίδοσης εργαζομένων, καθώς και συστήματα που βοηθούν τους δικαστές να λάβουν αποφάσεις.

Αξίζει επίσης να επισημανθεί ότι το AI Act δεν θα ισχύει μόνο για οργανισμούς ή πολίτες που εδρεύουν στην Ε.Ε., αλλά η επιρροή του μπορεί να γίνει αισθητή σε όλο τον κόσμο με παρόμοιο τρόπο με αυτόν του GDPR. Το AI Act αφορά τους χρήστες και τους παρόχους συστημάτων ΤΝ (providers) που βρίσκονται εντός Ε.Ε., «εισαγωγείς» που διαθέτουν στην αγορά ή θέτουν σε λειτουργία σύστημα ΤΝ το οποίο φέρει την επωνυμία ή το εμπορικό σήμα φυσικού ή νομικού προσώπου εγκατεστημένου εκτός της Ένωσης, καθώς και σε παρόχους και χρήστες συστημάτων TN εγκατεστημένους εκτός ΕΕ, όταν τα αποτελέσματα που παράγονται από το σύστημα χρησιμοποιούνται στην Ε.Ε. Εδώ γίνεται φανερή η ομοιότητα με το ουσιαστικό πεδίο εφαρμογής του GDPR. Αυτό σημαίνει ότι οι οργανισμοί που αναπτύσσουν συστήματα ΤΝ θα πρέπει είτε να συμμορφωθούν με το AI Act ή να αποσύρουν πλήρως τα συστήματα και τις υπηρεσίες τους από την Ε.Ε.

Η προσέγγιση που έχει υιοθετήσει η Ε.Ε. με την πρότασή της για την τεχνητή νοημοσύνη, η οποία μάλιστα στοχεύει στη ρύθμιση ακόμη και των πιο επικίνδυνων μορφών ΤΝ, είναι αυτή στην οποία συμφωνούν οι περισσότερες ανεπτυγμένες χώρες. Εάν η Ευρωπαϊκή Επιτροπή καταφέρει να δημιουργήσει έναν συνεκτικό τρόπο ρύθμισης της ραγδαία εξελισσόμενης τεχνολογίας, αυτός θα μπορούσε να λειτουργήσει ως πρότυπο και για άλλες χώρες που ελπίζουν να προχωρήσουν σε ρύθμιση.

«Οι αμερικανικές εταιρείες, εάν συμμορφωθούν με τις απαιτήσεις του AI Act, θα καταλήξουν επίσης να αυξήσουν τα πρότυπά τους για τους Αμερικανούς καταναλωτές όσον αφορά τη διαφάνεια και τη λογοδοσία», λέει ο Marc Rotenberg, επικεφαλής του Centre for AI and Digital Policy, ενός μη κερδοσκοπικού οργανισμού που παρακολουθεί την εξέλιξη της πολιτικής που ακολουθείται σχετικά με την τεχνητή νοημοσύνη.

Οι προκλήσεις

Πέρα από τις καινοτόμες διατάξεις και την προσέγγιση που βασίζεται στον κίνδυνο, το AI Act παρουσιάζει ορισμένα σημεία που αμφισβητούνται έντονα. Πιο αναλυτικά, ορισμένες από τις απαιτήσεις της πρότασης είναι τεχνικά αδύνατο να συμμορφωθούν με την παρούσα κατάσταση. Κατ’ αρχάς, το πρώτο προσχέδιο του AI Act απαιτεί τα σύνολα δεδομένων να είναι απαλλαγμένα από σφάλματα -κάτι που είναι τεχνικά και στατιστικά αδύνατο-, καθώς και ότι οι άνθρωποι απαιτείται να μπορούν να «κατανοήσουν πλήρως» πώς λειτουργούν τα συστήματα τεχνητής νοημοσύνης. Ο τεχνολογικός αναλφαβητισμός που χαρακτηρίζει μεγάλο μέρος του πληθυσμού αποτελεί παράμετρο που χρειάζεται αναντίρρητα να ληφθεί υπόψιν στο τελικό κείμενο του Κανονισμού.

Φόβος και δισταγμός παρατηρείται, ωστόσο, στους κόλπους των εταιρειών πληροφορικής, καθώς φαίνεται να μην είναι έτοιμες, αλλά ούτε και να επιθυμούν να παρέχουν πρόσβαση σε ρυθμιστικές αρχές ή σε εξωτερικούς ελεγκτές στον πηγαίο τους κώδικα ή σε αλγορίθμους που έχουν αναπτύξει, προκειμένου να συμμορφωθούν με το νομικό πλαίσιο. Άλλωστε, το άρθρο 64 της πρότασης προβλέπει ότι οι αρχές εποπτείας της αγοράς μπορούν να αποκτήσουν «πλήρη πρόσβαση στα σύνολα δεδομένων εκπαίδευσης, επικύρωσης και δοκιμής που χρησιμοποιούνται από τον πάροχο, μεταξύ άλλων μέσω διεπαφών προγραμματισμού εφαρμογών (στο εξής: API) ή άλλων κατάλληλων τεχνικών μέσων και εργαλείων που επιτρέπουν την εξ αποστάσεως πρόσβαση». Και ειδικότερα, στην παράγραφο 2 του ίδιου άρθρου προβλέπεται ότι όταν χρειάζεται να πραγματοποιηθεί αξιολόγηση της συμμόρφωσης συστημάτων ΤΝ υψηλού κινδύνου, μετά από αιτιολογημένο αίτημά τους, στις αρχές εποπτείας της αγοράς «παρέχεται πρόσβαση στον πηγαίο κώδικα του συστήματος ΤΝ». Φυσικά, οι υποστηρικτές του ανοικτού λογισμικού έχουν διαφορετική άποψη, θεωρώντας ότι οποιοδήποτε λογισμικό θα πρέπει να είναι διαθέσιμο χωρίς κόστος κτήσης και χρήσης, με σκοπό την απρόσκοπτη εξέλιξη και βελτίωση των συστημάτων, πολύ περισσότερο όταν πρόκειται για συστήματα ΤΝ που μπορεί να λάβουν αποφάσεις για τη ζωή των ανθρώπων.

Μία άτυπη διαφωνία μεταξύ δύο αντικρουόμενων απόψεων έχει επίσης αναπτυχθεί τον τελευταίο καιρό αναφορικά με τα είδη συστημάτων ΤΝ που ταξινομούνται ως «υψηλού κινδύνου». Το ΑΙ Act παρέχει μια λίστα που κυμαίνεται από τεστ ανίχνευσης ψεύδους έως συστήματα που χρησιμοποιούνται για την κατανομή των επιδομάτων πρόνοιας. Έτσι, η μία πλευρά φοβάται ότι το ευρύτατο αυτό πεδίο εφαρμογής του AI Act θα επιβραδύνει την καινοτομία και την εξέλιξη της τεχνολογίας, ενώ το άλλο υποστηρίζει ότι η πρόταση στην παρούσα μορφή της δεν μπορεί να προστατεύσει αρκετά τους ανθρώπους από πιθανές, βλαπτικές συνέπειες.

Φυσικά, διαφαίνεται και το ζήτημα της λήψης αποφάσεων με βάση αποκλειστικά αυτοματοποιημένα μέσα, συμπεριλαμβανομένης της κατάρτισης προφίλ, όπως τα συστήματα ΤΝ, χωρίς να υπάρχει καμία ανθρώπινη παρέμβαση. Εδώ θα πρέπει σε κάθε περίπτωση το ΑΙ Act να συμπλεύσει προσεκτικά με τον GDPR, προκειμένου να διασφαλιστεί όσο το δυνατόν περισσότερο η προστασία των δικαιωμάτων και ελευθεριών των υποκειμένων των δεδομένων, ώστε αυτά να έχουν πραγματικά ελεύθερα την επιλογή να μην υπόκεινται σε κατάρτιση προφίλ ή σε άλλες πρακτικές που ενδέχεται να επηρεάσουν τη συμπεριφορά τους. Οι αρχές της νομιμότητας της επεξεργασίας και της λογοδοσίας των οργανισμών θα πρέπει να αποτυπωθούν ρητά.

Σε κάθε περίπτωση, υπάρχει ανάγκη αποσαφήνισης και ευθυγράμμισης της ορολογίας του AI Act με τις νομικές κατηγορίες και έννοιες της υφιστάμενης νομοθεσίας της Ε.Ε. σχετικά με την τεχνητή νοημοσύνη.

Τα επόμενα βήματα

Τους τελευταίους μήνες το AI Act βρίσκεται ψηλά στην ατζέντα των ευρωπαϊκών οργάνων. Η Γαλλία, που ασκούσε την εκ περιτροπής Προεδρία του Συμβουλίου της Ε.Ε. το πρώτο εξάμηνο του 2022, παρά τις προσπάθειές της για έναν συμβιβασμό σε ένα τελικό κείμενο μέχρι το τέλος της θητείας της, δεν κατάφερε τελικά να καταλήξει σε μία κοινή προσέγγιση ή συμφωνία για το AI Act. Ωστόσο, οι Γάλλοι συνέταξαν έκθεση προόδου σχετικά με τις διαπραγματεύσεις, συνοψίζοντας τα κύρια σημεία διαμάχης μεταξύ των κρατών μελών, επικεντρωμένοι στους κανόνες τεχνητής νοημοσύνης για την επιβολή του νόμου και στην έκταση του ρυθμιστικού πλαισίου για συστήματα τεχνητής νοημοσύνης γενικού σκοπού.

Επί του παρόντος, η Τσέχικη Προεδρία του Συμβουλίου της Ε.Ε. ξεκίνησε δυναμικά τις διαπραγματεύσεις για το AI Act, προτείνοντας αλλαγές στην αρχική πρόταση (με ένα “Second Presidency compromise text”). Με το κείμενό της αυτό θέτει έναν στενότερο ορισμό για την τεχνητή νοημοσύνη, προτείνει μια αναθεωρημένη και πιο σύντομη λίστα συστημάτων ΤΝ υψηλού κινδύνου, παρέχει ισχυρότερο ρόλο στο Ευρωπαϊκό Συμβούλιο Τεχνητής Νοημοσύνης, ενώ αναδιατυπώνει τους κανόνες για τις εξαιρέσεις που αφορούν την εθνική ασφάλεια. Εν προκειμένω, τα κράτη μέλη μπορούν να προβούν σε παρατηρήσεις του κειμένου έως το τέλος του Σεπτεμβρίου.

Επομένως, δεν μπορεί να προβλεφθεί με σαφήνεια το πότε τα κράτη μέλη θα συμφωνήσουν σε ένα ενιαίο κείμενο Κανονισμού. Το σίγουρο, ωστόσο, είναι ότι όσο η τεχνολογία της τεχνητής νοημοσύνης εξελίσσεται, τόσο περισσότερο θα πρέπει η νομοθεσία να εκσυγχρονίζεται, να προσαρμόζεται και να αφουγκράζεται τις ανάγκες της εποχής, με σκοπό να επιτευχθεί η αποτελεσματική προστασία των προσώπων, με σεβασμό στα δικαιώματα και τις θεμελιώδεις ελευθερίες τους.

Eleni Kalpia
Lawyer, Data Privacy Specialist
on behalf of
Privacy Advocate

Η ΠΡΟΣΤΑΣΙΑ ΤΗΣ ΙΔΙΩΤΙΚΟΤΗΤΑΣ ΣΤΟΝ ΝΕΟ ΚΟΣΜΟ ΤΟΥ METAVERSE

Από τη δεκαετία του 1990 όταν και διαδόθηκε ευρέως το Internet, ο κυβερνοχώρος συνεχίζει να εξελίσσεται με εκπληκτικούς ρυθμούς. Έχουν δημιουργηθεί πλείστα εικονικά περιβάλλοντα που απαιτούν τη διαμεσολάβηση υπολογιστή για να λειτουργήσουν, όπως για παράδειγμα τα μέσα κοινωνικής δικτύωσης, τα λεγόμενα NFTs, αλλά και οι τεχνολογίες εκτεταμένης πραγματικότητας (extended reality), οι οποίες περιλαμβάνουν την εικονική πραγματικότητα (VR) και την επαυξημένη πραγματικότητα (AR). Όλα αυτά τα ψηφιακά περιβάλλοντα, αν και ασύνδετα συνήθως μεταξύ τους, έχουν οδηγήσει σε ραγδαίο ψηφιακό μετασχηματισμό, μέρος του οποίου αποτελεί πλέον και το “Metaverse”, ένας όρος που επινοήθηκε για να διευκολύνει περαιτέρω την ψηφιακή αλλαγή σε κάθε πτυχή της καθημερινότητας των ανθρώπων.

Αλλά, τι είναι το Metaverse;

Το Metaverse είναι ένα δίκτυο τρισδιάστατων, εικονικών κόσμων που στοχεύουν στην κοινωνική σύνδεση των ανθρώπων. Αποτελεί το επόμενο στάδιο ανάπτυξης του διαδικτύου, αφού λογίζεται ως μία τρισδιάστατη έκδοσή του, η αξιοποίηση του οποίου διευκολύνεται από τη χρήση γυαλιών και ακουστικών (headsets) εικονικής και επαυξημένης πραγματικότητας ή κατάλληλα τοποθετημένων αισθητήρων στον χώρο.

Μολονότι ο όρος έχει γίνει ευρέως γνωστός τα τελευταία χρόνια, η λέξη “metaverse” επινοήθηκε στην πραγματικότητα από τον συγγραφέα Neal Stephenson στο μυθιστόρημα επιστημονικής φαντασίας “Snow Crash” του 1992. Στο βιβλίο του, ο Stephenson αναφέρεται στο metaverse ως ένα ολοκληρωμένο ψηφιακό κόσμο που υπάρχει παράλληλα με τον πραγματικό κόσμο. Στο Metaverse του σήμερα, η φυσική πραγματικότητα συγχωνεύεται με τον ψηφιακό κόσμο, όπου τεχνολογίες που επιτρέπουν πολυαισθητηριακές αλληλεπιδράσεις συγκλίνουν με τα εικονικά περιβάλλοντα και τα αντικείμενα, δημιουργώντας εξατομικευμένους ψηφιακούς χαρακτήρες, τα «άβαταρ». Μέσω αυτών των άβαταρ οι χρήστες έχουν τη δυνατότητα να γνωρίζουν φίλους, να συνεργάζονται με συναδέλφους, να παίξουν παιχνίδια, ακόμη και να πάνε για ψώνια.

Αν και το metaverse βρίσκεται ακόμη στα πρώτα στάδια ανάπτυξής τους, πολλοί είναι αυτοί που ισχυρίζονται ότι το Metaverse θα είναι το μέλλον του διαδικτύου και επομένως της καθημερινότητας των ανθρώπων. Με τις Big Tech Εταιρείες να έχουν ήδη επενδύσει σε μεγάλο βαθμό σε αυτές τις τεχνολογίες, ο ρυθμός ανάπτυξής τους αυξάνεται συνεχώς. Το headset εικονικής πραγματικότητας “Oculus Quest” της Meta (πρώην Facebook) αποτέλεσε ήδη ένα από τα πιο δημοφιλή χριστουγεννιάτικα δώρα στις ΗΠΑ το 2021. Δημοφιλείς εταιρείες, όπως η Nike, έχουν ήδη αγοράσει ακίνητα σε πλατφόρμες εικονικής πραγματικότητας, ενώ καλλιτέχνες, όπως η Ariana Grande, πραγματοποιούν συναυλίες μέσα στο metaverse ως άβαταρ, που αλληλοεπιδρούν με άλλα σε πραγματικό χρόνο.

Εκτός όμως από τα παραπάνω, το Metaverse περιλαμβάνει επίσης μια έκρηξη πληροφοριών. Ο όγκος των προσωπικών δεδομένων που συλλέγονται από τους χρήστες είναι τεράστιος, κι έτσι, αναπόφευκτα εμφανίζονται σημαντικά ζητήματα προστασίας της ιδιωτικότητας και των δικαιωμάτων των χρηστών.

Προστασία προσωπικών δεδομένων σε περιβάλλον εικονικής πραγματικότητας

Τα συστήματα εικονικής πραγματικότητας λειτουργούν καταγράφοντας εκτεταμένα βιομετρικά δεδομένα για το σώμα ενός χρήστη, συμπεριλαμβανομένων βιολογικών δεδομένων όπως η ταχύτητα της κίνησης των ματιών, η θερμοκρασία του σώματός του, αλλά και οι αυθόρμητες αντιδράσεις του σε ερεθίσματα. Μάλιστα, σύμφωνα με μία έρευνα,  περνώντας μόλις 20 λεπτά σε έναν προσομοιωτή εικονικής πραγματικότητας, καταγράφονται σχεδόν δύο εκατομμύρια μοναδικές εγγραφές της γλώσσας του σώματος. Επιπλέον, μία άλλη έρευνα συμπεραίνει πως μόλις πέντε λεπτά σε έναν τέτοιο προσομοιωτή, έχοντας αποκρύψει πλήρως όλα τα προσωπικά αναγνωριστικά του χρήστη, αρκούν για να ταυτοποιηθεί με ακρίβεια 95%, με την αξιοποίηση αλγορίθμων μηχανικής μάθησης.

Η συλλογή τέτοιου όγκου δεδομένων ίσως μπορεί να οδηγήσει σε βιομετρική καταγραφή των ανθρώπων με επακόλουθη συνέπεια την αποκάλυψη πληροφοριών για τις προτιμήσεις τους και τα ενδιαφέροντά τους. Κι αυτό διότι στις εμπειρίες της εικονικής πραγματικότητας δεν αποτυπώνονται μόνο οι εξωτερικές συμπεριφορές του χρήστη, αλλά και οι συναισθηματικές του διακυμάνσεις ή αντιδράσεις σε συγκεκριμένες καταστάσεις, με την καταγραφή για παράδειγμα της διαστολής της κόρης των ματιών ή της αλλαγής στις εκφράσεις του προσώπου του. Εάν για παράδειγμα ένας χρήστης αντικρίσει σε ένα περιβάλλον εικονικής πραγματικότητας ένα λαμπερό κόκκινο αυτοκίνητο, η συναισθηματική απόκρισή του μπορεί εύκολα να αναλυθεί, να καταγραφεί και να παρακολουθηθεί, ακόμα και σε πραγματικό χρόνο. Η διαστολή της κόρης του θα μπορούσε να αποτυπώσει τον ενθουσιασμό που νιώθει ο χρήστης βλέποντας το αυτοκίνητο και οι γαλβανικές αποκρίσεις του δέρματος θα μπορούσαν να αποτυπώσουν την ένταση των συναισθημάτων του. Στο βαθμό μάλιστα που αυτά τα προσωπικά δεδομένα χρησιμοποιούνται από τους παράγοντες του Metaverse για να αξιολογήσουν τον χρήστη ή για να λάβουν αποφάσεις σχετικά με αυτόν, τότε θεωρούνται προσωπικά δεδομένα ειδικών κατηγοριών σύμφωνα με τον GDPR και οι εγγυήσεις για την προστασία τους θα πρέπει να είναι αυξημένες.

Η πρόσβαση σε τέτοια δεδομένα μπορεί να οδηγήσει σε εξαιρετικά αδιαφανείς και παρεμβατικούς τρόπους κατάρτισης προφίλ των φυσικών προσώπων, σε εκτεταμένη κατηγοριοποίησή τους, ακόμη και σε στόχευση προσώπων με βάση τα καταγεγραμμένα χαρακτηριστικά τους. Υπάρχουν ήδη αρκετές περιπτώσεις λήψης αποφάσεων βάσει τέτοιων πρακτικών και αλγοριθμικών συστημάτων.

Επιπρόσθετα, στο Metaverse, ο καθορισμός της οντότητας ή των οντοτήτων που θα έχουν την ευθύνη για τον προσδιορισμό των προσωπικών δεδομένων που θα υποβληθούν σε επεξεργασία και τον σκοπό επεξεργασίας (Υπεύθυνος Επεξεργασίας των δεδομένων), σίγουρα είναι μία δύσκολη απόφαση, αφού πιθανώς να περιλαμβάνει τον καθορισμό συγκεκριμένων ρόλων μέσω σε έναν περίπλοκο ιστό σχέσεων χωρίς προφανείς αρμοδιότητες.

Η δημιουργία των άβαταρ

Κάθε φορά που ένας χρήστης εισέρχεται στο metaverse, δημιουργεί το άβαταρ του. Για να «ζήσει» όμως και να «συνυπάρξει» αυτό με τα υπόλοιπα στοιχεία του metaverse, αλλά και για να εκτελέσει τις επιθυμητές δραστηριότητες, απαιτείται η κοινή χρήση και η έκθεση όλο και περισσότερων δεδομένων του χρήστη με τις εταιρείες τεχνολογίας που έχουν δημιουργήσει το εκάστοτε εικονικό περιβάλλον. Οι εταιρείες αυτές είναι σε θέση να αξιοποιήσουν εύκολα αυτά τα δεδομένα για να εξορθολογήσουν και να προσαρμόσουν κατάλληλα τα προϊόντα και τις υπηρεσίες τους, σύμφωνα με τις ατομικές προσδοκίες των χρηστών. Μία τέτοια ωστόσο πρακτική θα μπορούσε να οδηγήσει σε μεγαλύτερη εποπτεία των δραστηριοτήτων του χρήστη, με χαρακτηριστικό και αναμενόμενο απότοκο ακόμη και την πώληση των δεδομένων αυτών σε διαφημιστές.

Φυσικά, καθώς οι χρήστες θα παράγουν ασταμάτητα περισσότερα δεδομένα μέσα στο Metaverse, ο κίνδυνος κλοπής τους είναι αυξημένος. Καθώς οι χρήστες αυξάνουν το ψηφιακό τους αποτύπωμα στον νέο ψηφιακό κόσμο και βιώνουν μια συνεχώς πιο καθηλωτική εμπειρία, δημιουργούν μεγάλο όγκο προσωπικών δεδομένων, γεγονός που εγείρει ερωτήματα σχετικά με το ποιος είναι υπεύθυνος για την αποθήκευσή τους, την εν γένει επεξεργασία τους, αλλά και τη διασφάλισή τους από τυχόν κακόβουλες, μη εξουσιοδοτημένες προσπάθειες πρόσβασης και εν τέλει παραβίασης της ιδιωτικότητάς τους. Μία παραβίαση του κυβερνοχώρου θα μπορούσε να επιφέρει άμεσο οικονομικό πλήγμα στην εταιρεία/δημιουργό του ψηφιακού περιβάλλοντος, με ακόμη μεγαλύτερες συνέπειες για τους χρήστες του.

Τελικά σχόλια

Οι παραπάνω είναι μόνο κάποιοι από τους κινδύνους που φαίνεται να εγκυμονεί η εξάπλωση του Metaverse για τα δικαιώματα και τις ελευθερίες των χρηστών του ως φυσικών προσώπων. Άλλα ζητήματα που προκύπτουν αφορούν ένα ευρύ φάσμα του εμπορικού και οικονομικού νομικού πλαισίου, όπως η νομιμοποίηση των εσόδων από παράνομες δραστηριότητες εντός του Metaverse, η ρύθμιση των χρηματοπιστωτικών υπηρεσιών, τα ζητήματα των NFTs, αλλά και πλήθος θεμάτων πνευματικής ιδιοκτησίας. Όσον αφορά τον τομέα της πνευματικής ιδιοκτησίας (copyright) ένα περίπλοκο ερώτημα θα ήταν εάν ένας χρήστης που δημιούργησε κάτι στο Metaverse, όπως το άβαταρ του, το σπίτι του ή το περιβάλλον δραστηριοποίησής του, θα κατέχει ο ίδιος τα δικαιώματα για τα δημιουργήματά του ή αυτά θα ανήκουν αποκλειστικά στην Εταιρεία στην οποία ανήκει το εικονικό περιβάλλον.

Εναπόκειται επομένως στις εταιρείες τεχνολογίας να προσαρμόσουν τις πολιτικές τους κατάλληλα, ώστε να μπορούν να ανταποκριθούν στις απαιτήσεις της επανάστασης που φέρνει σταδιακά ο κόσμος της εικονικής πραγματικότητας, ελαχιστοποιώντας τα ρίσκα για την παραβίαση της ιδιωτικότητας. Η Εταιρεία Meta έχει ήδη ανακοινώσει ότι πρόκειται να συνεργαστεί στενά με τους οργανισμούς για την προστασία των πολιτικών δικαιωμάτων προκειμένου να διασφαλίσει ότι το Metaverse αξιοποιεί μόνο τεχνολογίες που «έχουν κατασκευαστεί με τρόπο που να είναι περιεκτικός και ενδυναμωτικός για τα δικαιώματα και τις ελευθερίες των ατόμων.»

Μεγάλο μέρος του νομοθετικού πλαισίου για την προστασία της ιδιωτικότητας στο Metaverse αναμένεται να βρει εφαρμογή, όπως ο Γενικός Κανονισμός για την Προστασία των Δεδομένων (GDPR), ενώ σε άλλες περιπτώσεις οι υφιστάμενοι νόμοι μπορεί να αποδειχθούν ανεπαρκείς για την αντιμετώπιση των συμπεριφορών στα εικονικά περιβάλλοντα, γεγονός που θα προκαλέσει την ψήφιση νέων νόμων και κανονισμών. Κάποιοι από αυτούς μπορεί να περιλαμβάνουν την ψήφιση του Digital Services Act, του Digital Markets Act, και του προτεινόμενου AI Regulation.

Καθώς το Metaverse γίνεται σταδιακά πραγματικότητα, αναμένεται να ανακύψουν και άλλα νομικά ζητήματα σχετικά με την προστασία των προσωπικών δεδομένων, που σίγουρα στην παρούσα φάση είναι αδύνατο να προβλεφθούν. Το καίριο ζήτημα που θα παραμείνει αφορά την αέναη παραγωγή πλήθους προσωπικών πληροφοριών για τους χρήστες του Metaverse, σε συνδυασμό με τη συνεχόμενη απαίτηση για νέο εξοπλισμό, τεχνικό υλικό και νέας γενιάς λογισμικό, τα οποία χρειάζεται εξ ορισμού και από τον σχεδιασμό τους να συνάδουν με τις θεμελιώδεις αρχές για την προστασία των προσωπικών δεδομένων.

 

Ελένη Καλπία

Δικηγόρος, Data Privacy Consultant

Top