Artificial intelligence and personal data : topical issues on the occasion of the EU AI ACT

Abstract

Στο κατώφλι της 5ης βιομηχανικής επανάστασης είναι ήδη εφικτή και εφαρμόσιμη η χρήση τεχνητής νοημοσύνης σε πλείστους τομείς. Χαρακτηριστικά παραδείγματα αποτελούν η βιομετρική ταυτοποίηση του ατόμου (μέσω δακτυλοσκόπησης, ιριδοσκόπησης ή ανθρωπομετρίας), η χρήση λογισμικού για την αναγνώριση της συναισθηματικής κατάστασης του ατόμου, η κατάρτιση προφίλ για την πιστοληπτική ικανότητα των οφειλετών, για την επιλεξιμότητα ωφελουμένων (π.χ. για κοινωνικές παροχές), για την πρόσληψη υποψηφίων εργαζομένων κ.α.. Σε όλες τις ανωτέρω περιπτώσεις ανακύπτουν σημαντικά ζητήματα προστασίας προσωπικών δεδομένων. Για τον λόγο αυτό απαιτείται η εφαρμογή ενός κατάλληλου νομικού πλαισίου, ώστε αφενός να προστατεύονται τα προσωπικά δεδομένα και αφετέρου να καλλιεργείται η εμπιστοσύνη των ατόμων σε καινοτόμες εφαρμογές της τεχνητής νοημοσύνης, που στόχο έχουν να διευκολύνουν την καθημερινότητα. Στην Ευρωπαϊκή Ένωση σήμερα, για την προστασία των προσωπικών δεδομένων εφαρμόζεται ο Κανονισμός (ΕΕ) 2016/619 (στο εξής «Γενικός Κανονισμός Προστασίας Δεδομένων» ή «ΓΚΠΔ»), ο οποίος πλαισιώνεται από έτερα νομοθετήματα, όπως η Οδηγία (ΕΕ) 2016/680 για την προστασία δεδομένων στο πλαίσιο πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή εκτέλεσης ποινικών κυρώσεων (στο εξής «Αστυνομική Οδηγία») κ.α. Τα συγκεκριμένα νομοθετήματα είναι τεχνολογικά ουδέτερα, με αποτέλεσμα να εφαρμόζονται τόσο σε μη αυτοματοποιημένες, όσο και σε αυτοματοποιημένες επεξεργασίες δεδομένων. Δεδομένου ότι η ανάπτυξη και η εφαρμογή της τεχνητής νοημοσύνης σήμερα είναι σημαντική, κρίθηκε από την Ευρωπαϊκή Ένωση, ότι απαιτείται να ρυθμιστούν συνολικά σε ένα νομοθέτημα ζητήματα που άπτονται της χρήσης συστημάτων τεχνητής νοημοσύνης. Για τον λόγο αυτό κατατέθηκε Πρόταση Κανονισμού για τη θέσπιση εναρμονισμένων κανόνων σχετικά με την τεχνητή νοημοσύνη (στο εξής «Πράξη για την Τεχνητή Νοημοσύνη» ή «Πράξη»). Μελετώντας το κείμενο της Πράξης παρατηρεί κανείς, ότι μεταξύ άλλων ρυθμίζονται και συναφή ζητήματα προστασίας προσωπικών δεδομένων. Σύμφωνα με την αιτιολογική έκθεση της Πράξης, αυτή θα είναι πλήρως εναρμονισμένη με το ισχύον νομικό πλαίσιο για τα προσωπικά δεδομένα και θα λειτουργεί συμπληρωματικά με αυτό. Ωστόσο, ανακύπτει το ερώτημα, γιατί κρίθηκε, ότι απαιτείται περαιτέρω ρύθμιση σχετικά με τα προσωπικά δεδομένα, εφόσον υπάρχει ήδη ένα εξειδικευμένο και σύγχρονο νομικό πλαίσιο γι’ αυτά. Συναφώς θα εξεταστεί, αν αυτό το νομικό πλαίσιο (εν. ΓΚΠΔ κλπ) είναι κατάλληλο και επαρκές για την επεξεργασία δεδομένων με αυτοματοποιημένα μέσα καθώς και αν σκοπός του νομοθέτη ήταν με την νέα Πράξη να εξοικειώσει τους Ευρωπαίους πολίτες με την χρήση της τεχνητής νοημοσύνης. Κατόπιν των ανωτέρω, ακολουθείται η εξής μεθοδολογία. Καταρχάς καταγράφονται ορισμένες επεξεργασίες προσωπικών δεδομένων οι οποίες λαμβάνουν χώρα με την χρήση συστημάτων τεχνητής νοημοσύνης. Στη συνέχεια κρίνεται η νομιμότητά τους με βάση το υπάρχον νομικό πλαίσιο (ΓΚΠΔ και Αστυνομική Οδηγία) και σχετική επίκαιρη νομολογία (συμπεριλαμβανομένων αποφάσεων των αρχών προστασίας προσωπικών δεδομένων). Για τους σκοπούς της παρούσας η νομολογία προέρχεται είτε από θεσμικά όργανα της Ευρωπαϊκής Ένωσης, είτε από την Ελλάδα και τη Γερμανία. Στη συνέχεια κρίνεται η νομιμότητα των συγκεκριμένων επεξεργασιών με βάση τις διατάξεις της Πράξης για την Τεχνητή Νοημοσύνη. Κατόπιν, γίνεται συγκριτική επισκόπηση του υφιστάμενου νομικού πλαισίου (εν. ΓΚΠΔ κλπ) σε σχέση με την Πράξη (με αρωγό και τη νομολογία), αναζητώντας ομοιότητες και διαφορές μεταξύ αυτών. Τέλος, παρατίθενται τα αποτελέσματα από τη διεξαγωγή έρευνας σε Έλληνες και Γερμανούς φοιτητές, προκειμένου να καταγραφεί η αντίληψη ενός δείγματος Ευρωπαίων πολιτών σε σχέση με ζητήματα προσωπικών δεδομένων και τεχνητής νοημοσύνης. Αναλυτικά, αρχικά εξετάζεται η έννοια της τεχνητής νοημοσύνης και η προϊστορία της. Για να γίνει κατανοητή η λειτουργία της τεχνητής νοημοσύνης είναι χρήσιμη η αναφορά στη μελέτη των εννοιών της νόησης, της λογικής και, κατ’ επέκταση, του συλλογισμού εκ μέρους της φιλοσοφίας και της επιστήμης από την αρχαιότητα μέχρι και σήμερα, καθώς ο συλλογισμός αποτελεί πρόκριμα της τεχνητής νοημοσύνης, η οποία αναπτύχθηκε μόλις στα μέσα του 20ου αιώνα. Επίσης, εξετάζονται δεοντολογικοί κανόνες για την τεχνητή νοημοσύνη τους οποίους έχουν καταγράψει τα θεσμικά όργανα της Ευρωπαϊκής Ένωσης και προοιωνίζονται τη νέα Πράξη. Κατόπιν αναλύονται καίριες διατάξεις του ΓΚΠΔ και της Αστυνομικής Οδηγίας. Στη συνέχεια, μελετώνται ορισμένες επιμέρους επεξεργασίες προσωπικών δεδομένων που λαμβάνουν χώρα με τη χρήση συστημάτων τεχνητής νοημοσύνης και συγκεκριμένα: η εξ αποστάσεως βιομετρική αναγνώριση προσώπων και η κατάρτιση προφίλ για λόγους αξιολόγησης της πιστοληπτικής ικανότητας και της κοινωνικής βαθμολόγησης των υποκειμένων. Αρχικά, εξετάζεται η εξ αποστάσεως βιομετρική ταυτοποίηση προσώπων σε δημόσια προσβάσιμους χώρους για σκοπούς επιβολής του νόμου. Για τον λόγο αυτό μελετάται η έννοια της βιομετρικής ταυτοποίησης και στη συνέχεια σχετικές αποφάσεις των αρχών προστασίας προσωπικών δεδομένων και νομολογία που τυχόν υπάρχει και σχετίζεται με το συγκεκριμένο θέμα άμεσα ή έμμεσα. Επίσης, μελετώνται και εφαρμόζονται οι σχετικές διατάξεις της Πράξης και λαμβάνει χώρα συγκριτική επισκόπηση με την Αστυνομική Οδηγία. Αντίστοιχη διαδικασία ακολουθείται και στις επόμενες επεξεργασίες, δηλαδή την κατάρτιση προφίλ για λόγους πιστοληπτικής ικανότητας και κοινωνικής βαθμολόγησης, όπου συναφώς, συγκρίνεται η Πράξη με την κείμενη νομοθεσία. Τέλος, παρατίθεται η μεθοδολογία και τα αποτελέσματα έρευνας που διεξήχθη, προκειμένου να αναδειχθεί κατά πόσον οι Ευρωπαίοι πολίτες είναι εξοικειωμένοι με τις έννοιες των προσωπικών δεδομένων και της τεχνητής νοημοσύνης και εν τέλει με την επεξεργασία προσωπικών δεδομένων με χρήση συστημάτων τεχνητής νοημοσύνης. Συμπερασματικά, η παραπάνω συγκριτική μελέτη της Πράξης για την Τεχνητή Νοημοσύνη σε σχέση με το υφιστάμενο νομικό πλαίσιο για τα προσωπικά δεδομένα αναδεικνύει, ότι το πλαίσιο αυτό (εν. ΓΚΠΔ κλπ) δύναται να ανταποκριθεί πλήρως στις ανάγκες της επεξεργασίας με αυτοματοποιημένα μέσα. Το γεγονός ότι είναι τεχνολογικά ουδέτερο το καθιστά προσαρμοστικό στην πάροδο των ετών και την αλματώδη εξέλιξη της τεχνολογίας. Ωστόσο, η επάρκεια του υφιστάμενου πλαισίου δεν αναιρεί τη σημασία της Πράξης. Παρά των όποιων επιμέρους τροποποιήσεων χρήζει το κείμενο της Πράξης, η συμβολή της στο υφιστάμενο νομικό πλαίσιο για την προστασία των προσωπικών δεδομένων είναι ιδιαιτέρως σημαντική. Η Πράξη προβλέπει την εφαρμογή εξειδικευμένων τεχνικών και οργανωτικών μέτρων κατά τη χρήση συστημάτων τεχνητής νοημοσύνης και, ως εκ τούτου, δύναται να συμβάλει στην τήρηση της αρχής της λογοδοσίας εκ μέρους των υπευθύνων εξεργασίας. Η λογοδοσία αποτελεί μία εκ των θεμελιωδών αρχών του ΓΚΠΔ και συνίσταται στην ευθύνη του υπευθύνου επεξεργασίας να συμμορφωθεί με τον ΓΚΠΔ και να αποδείξει αυτή του τη συμμόρφωση. Η λεπτομερής αναφορά, επομένως, τεχνικών και οργανωτικών μέτρων στο κείμενο της Πράξης υποβοηθά τον υπεύθυνο επεξεργασίας μεταξύ άλλων στην συμμόρφωσή του με το δίκαιο των προσωπικών δεδομένων και την ευχερή απόδειξη αυτής. Περαιτέρω, η Πράξη είναι ιδιαιτέρως σημαντική για την Ευρώπη και τους πολίτες της, καθώς η εξοικείωση των Ευρωπαίων με την τεχνητή νοημοσύνη και κατ’ επέκταση η καλλιέργεια κλίματος εμπιστοσύνης σε νόμιμες επεξεργασίες που λαμβάνουν χώρα με αυτοματοποιημένα μέσα αποτελεί έναν στόχο που δεν έχει ακόμα επιτευχθεί.