Francusko nadzorno tijelo (CNIL) objavilo je smjernice u vezi s primjenom legitimnog interesa kao pravne osnove prilikom obuke modela umjetne inteligencije, ali nekoliko drugih regulatornih pitanja vezanih uz umjetnu inteligenciju ostaje neriješeno.
Pitanja poput autorskih prava, rizika od sudskih sporova nakon obuke i obveza naknadne implementacije ostaju regulirana drugim okvirima, uključujući Direktivu EU o autorskim pravima, Akt o umjetnoj inteligenciji i nacionalne propise o zaštiti podataka.
Organizacije bi trebale suzdržati se od gledanja na usklađenost s GDPR-om u fazi obuke kao da je to riješeno pitanje jer nije. GDPR ostaje i dalje ključni alat za upravljanje usklađenošću s umjetnom inteligencijom kada govorimo o zaštiti osobnih podataka.
CNIL potvrđuje da obuka modela umjetne inteligencije na osobnim podacima dobivenim iz javnog sadržaja može biti zakonita na temelju legitimnog interesa GDPR-a, pod uvjetom da su ispunjeni određeni uvjeti. Ovi uvjeti zahtijevaju vjerodostojno uravnoteženje interesa, dokazive zaštitne mjere i jasnu dokumentaciju.
Neke ključne točke pojašnjenja uključuju:
Prikupljanje podataka s weba (scraping) može biti dopušteno, pod uvjetom da poštuje kontekstualna očekivanja privatnosti. Ne smije se događati tamo gdje ga web-mjesta aktivno zabranjuju (npr. putem robots.txt) ili s platformi namijenjenih maloljetnicima. CNIL također upozorava na korištenje legitimnog interesa za snimke sastanaka ili webinara na kojima se pojedinci pojavljuju ili govore, posebno ako sadržaj nije bio jasno namijenjen za ponovnu upotrebu ili sadrži osjetljive podatke. Osobni blogovi, forumi i web-mjesta povezana sa zdravljem također mogu imati veću zaštitu privatnosti.
Korištenje podataka na razini obuke nije samo po sebi nezakonito. CNIL priznaje da veliki skupovi podataka mogu biti nužni za učinkovit razvoj umjetne inteligencije - i stoga mogu biti „nužni“ za legitimne interese, pod uvjetom da se poštuju načela proporcionalnosti i minimizacije.
Korist za krajnjeg korisnika može ići u korist voditelja obrade pri procjeni legitimnog interesa (LIA). CNIL prihvaća da poboljšanja u točnosti, pouzdanosti ili funkcionalnosti mogu legitimno prevagnuti u korist obrade, uz uvjet uravnotežene i dobro dokumentirane procjene.
Rizik od otkrivanja osobnih podataka mora se riješiti, a ne eliminirati. CNIL ne očekuje savršenstvo, ali očekuje dokaze o ublažavanju - kao što su brzo filtriranje, isključivanje visokorizičnih ulaza (npr. korisnička imena, objave na forumu) i interno testiranje. Ako podaci ili rezultati obuke otkriju osjetljive karakteristike, kao što su politički stavovi, etnička pripadnost ili zdravlje, očekuje se pojačano opravdanje i ublažavanje.
Prava ispitanika mogu se neizravno poštovati. Tamo gdje postavke modela otežavaju provedbu pojedinačnog brisanja ili prigovora, smjernice CNIL-a dopuštaju alternative, poput filtriranja izlaza za blokiranje imena, dizajna revizijskog traga ili dokumentirane logike suzbijanja - pod uvjetom da je obrazloženje zabilježeno.
Dokumentacija se mora pripremiti u vrijeme obuke. LIA i planiranje ublažavanja trebaju biti dovršeni i dostupni prije početka obuke modela umjetne inteligencije, a ne retroaktivno u slučaju regulatornog izazova.
Moguće provođenje DPIA-e. CNIL preporučuje provođenje procjene utjecaja na zaštitu podataka (DPIA) kada obuka modela uključuje veliko prikupljanje podataka s interneta (scraping), nove vrste sadržaja ili podatke posebne kategorije, čak i ako je legitimni interes pravna osnova.
Iako smjernice CNIL-a pružaju jasnoću o tome kako legitimni interes može podržati usklađenost s GDPR-om tijekom obuke o umjetnoj inteligenciji, one ne pokušavaju riješiti povezana pravna ili strateška pitanja (niti su to bile namjere).
Pitanja poput autorskih prava, prava na bazu podataka, rizika od sudskih sporova nakon obuke i obveza naknadne implementacije ostaju regulirana drugim okvirima, uključujući Direktivu EU o autorskim pravima, Akt o umjetnoj inteligenciji i nacionalne propise o zaštiti podataka. CNIL također priznaje da njegov stav nije usklađen u cijeloj EU. Usklađivanje na razini Europskog odbora za zaštitu podataka (EDPB) ostaje aktualno i problematično pitanje.
Iako su smjernice CNIL-a do sada najstrukturiranije, druga tijela za zaštitu podataka djeluju s različitim razinama jasnoće i naglaska:
Ured povjerenika za informiranje Ujedinjenog Kraljevstva (ICO) priznao je da postojeća pravila GDPR-a - uključujući legitimni interes - mogu biti dovoljna za opravdanje obuke za umjetnu inteligenciju u nekim situacijama. U svojim generativnim konzultacijama o umjetnoj inteligenciji iz 2023. godine, istaknuta je mogućnost oslanjanja na legitimni interes, ali ne postoje detaljne smjernice za provedbu o tome kada bi to bilo prihvatljivo, a kada ne.
Irska Komisija za zaštitu podataka (DPC) i talijanski Garante prvenstveno su se usredotočili na provedbu u fazi implementacije - posebno na neuspjehe u provođenju DPIA-a ili pružanju dovoljne transparentnosti u vezi s profiliranjem. Nekoliko implementacija umjetne inteligencije u Europi već je pauzirano ili odgođeno zbog neriješenih problema s GDPR-om, uključujući rukovanje pravima ispitanika i pojašnjenje pravne osnove.
Dosljedan pristup na razini cijele EU i dalje nedostaje.
Vodeća pozicija CNIL-a može utjecati na nadolazeći rad na razini EDPB-a, ali zasad se tvrtke moraju snalaziti u višestrukim očekivanjima ovisno o tome gdje se njihovi modeli obučavaju ili primjenjuju. Uloga CNIL-a posebno je utjecajna s obzirom na istaknutost Francuske u istraživanju i razvoju umjetne inteligencije - uključujući tvrtke poput Mistrala i Hugging Facea, koje se suočavaju s izravnim nadzorom CNIL-a kao njihovog vodećeg tijela prema GDPR-u.
Zakon o autorskim pravima i bazama podataka ostaje obvezujući. Javno dostupan sadržaj i dalje može biti zaštićen autorskim pravima ili sui generis pravima na bazu podataka. U EU se iznimka komercijalnog rudarenja teksta i podataka (TDM) može nadjačati putem mehanizama za isključivanje.
U Ujedinjenom Kraljevstvu trenutno ne postoji ekvivalentna iznimka za komercijalnu upotrebu (a planovi u ranoj fazi izdani u konzultacijama privukli su značajne kritike nositelja intelektualnog vlasništva). Dakle, čak i tamo gdje se uspostavi pravna osnova GDPR-a, korištenje skupa podataka i dalje može predstavljati neko drugo kršenje.
Ugovorni uvjeti ograničavaju pristup i ponovnu upotrebu. Mnoge platforme zabranjuju prikupljanje s weba ili komercijalnu ponovnu upotrebu sadržaja putem svojih uvjeta pružanja usluge. Ta se ograničenja mogu provoditi odvojeno od regulative o zaštiti podataka.
Slojevi primjenjivih regulativa. Akt o umjetnoj inteligenciji (klasifikacija rizika, dužnosti pružatelja usluga i implementatora), Akt o digitalnim uslugama (sustavi preporuka, transparentnost), Zakon o online sigurnosti Ujedinjenog Kraljevstva (profiliranje na temelju sadržaja) i sektorska pravila (npr. zdravlje, financije, zapošljavanje) nose obveze usklađenosti koje nisu riješene usklađivanjem faze obuke za GDPR.
Globalna regulatorna nesigurnost se razvija. Akt o umjetnoj inteligenciji je usvojen, ali provedba je postupna tijekom 2025. – 2027. U SAD-u su se napori za savezno zakonodavstvo o umjetnoj inteligenciji usporili. U Ujedinjenom Kraljevstvu, strategija usmjerena na inovacije, vođena regulatorima, još nije proizvela obvezujuće zahtjeve, ostavljajući provedbu ICO-u, Agenciji za tržišno natjecanje (CMA) i sektorskim tijelima.
Smjernice CNIL-a odražavaju praktičnu primjenu onoga što postoji, a ne čekanje onoga što će biti sljedeće. U tom smislu, nude i pravnu jasnoću i signal kako bi politički trajan nadzor nad umjetnom inteligencijom mogao izgledati: vođen dokumentacijom, utemeljen na riziku i interoperabilan.
Za pravne, privatne i proizvodne timove koji se snalaze u ovim preklapajućim režimima, prioriteti nisu ponovno osmišljavanje upravljanja. Radi se o primjeni strukturirane prosudbe u ključnim trenucima. To znači:
Koristite smjernice CNIL-a za jačanje postojećeg upravljanja privatnošću. Pomažu timovima da dokumentiraju i opravdaju legitimni interes za obuku o umjetnoj inteligenciji, ali bi ih trebalo integrirati u postojeće tijekove rada tvrtke za procjenu dostupnosti informacija (LIA), procjenu utjecaja na zaštitu podataka (DPIA) i procjenu rizika, a ne tretirati kao samostalni model upravljanja.
Usklađenost u fazi obuke ne omogućuje komercijalnu upotrebu. Čak i tamo gdje GDPR dopušta obradu osobnih podataka, autorska prava, prava na bazu podataka, isključivanja rudarenja teksta i podataka (TDM) i uvjeti platforme i dalje mogu zabraniti ili ograničiti obuku modela.
Novo postavljanje ostaje zaseban sloj usklađenosti. Ako se model tvrtke koristi za profiliranje, automatizirano donošenje odluka ili targetiranje, i dalje će se morati pozabaviti GDPR-om, transparentnošću Akta o digitalnim uslugama (DSA) i potencijalno obvezama Akta o umjetnoj inteligenciji. Timovi za privatnost, pravni, proizvodni i inženjerski timovi trebali bi se povezati na ključnim točkama prekretnice modela - npr. pri uvođenju novih vrsta podataka, implementaciji značajki usmjerenih na korisnike. Cilj bi trebale biti brže, praktične odluke, a ne dodani proces.
Dodijelite internu odgovornost. Tvrtke bi trebale osigurati jasno vlasništvo za povezivanje odluka o obuci modela s temeljnom dokumentacijom o privatnosti, posebno tamo gdje se podaci o obuci mijenjaju tijekom vremena ili se novi modeli uvode iterativno.
Planirajte da će biti nedosljednosti – i sve dokumentirajte. Dok EDPB ne usvoji usklađen stav, nacionalni regulatori mogu očekivati različite standarde. Tamo gdje usklađivanje nije moguće, tvrtke bi trebale stvoriti interni narativ o usklađenosti utemeljen na ovim smjernicama i trebale bi biti spremne braniti ga.
Čak i s ovom jasnoćom, usklađenost s GDPR-om u fazi obuke nije kraj procesa usklađenosti s regulativom. Tumačenje će se razlikovati među državama članicama, a provedba će se vjerojatno usredotočiti na ishode od početka do kraja – posebno kada su u pitanju osjetljivi slučajevi upotrebe.
Kako se regulatori okreću postojećim okvirima, dobro dokumentiran stav o GDPR-u – utemeljen na smjernicama CNIL-a – ostaje ključni alat.
Obratite nam se za harmonizaciju internih akata, za izradu potrebne dokumentacije kako biste mitigirali rizike korištenja AI tehnologije.
