Człowiek jako filar bezpieczeństwa – podsumowanie konferencji ZUS i UODO

22 maja odbyło się pierwsze z cyklu seminariów eksperckich organizowanych we współpracy UODO i ZUS pt. „Automatyzacja procesów administracyjnych z wykorzystaniem sztucznej inteligencji: jak zapewnić zgodność z ochroną danych osobowych?”.

Z ramienia UODO spotkanie otworzył rzecznik prasowy, Karol Witowski, który wskazał, że dynamiczny rozwój sztucznej inteligencji daje ogromne możliwości. Prawo niestety wciąż nie nadąża za technologią.

„Urząd stara się zmniejszyć tę lukę, wpływając na procesy tworzenia prawa przez opiniowanie licznych aktów prawnych pod kątem bezpieczeństwa i zgodności z przepisami o ochronie danych osobowych oraz organizowanie szkoleń dla legislatorów we współpracy z Rządowym Centrum Legislacji oraz Państwowym Centrum Legislacji. W analogiczny sposób UODO pragnie wspierać twórców technologii, tak aby na jak najwcześniejszych etapach powstawania danego rozwiązania dokonywać jego analizy pod kątem zgodności z przepisami o ochronie danych osobowych i prywatności” – mówił Karol Witowski.

Rzecznik UODO podkreślił też, że Urząd spełnia swoją rolę również poprzez działania edukacyjne skierowane do różnych środowisk.

„Nasza propozycja i apel to uwzględnienie troski o ochronę danych osobowych już na etapie projektowania rozwiązań” – podsumował swoje wystąpienie rzecznik prasowy UODO.

W oficjalnym powitaniu członek Zarządu ZUS, Sławomir Wasielewski, zaznaczył, iż ZUS dostrzega potencjał rozwiązań opartych na sztucznej inteligencji jako narzędzi wspierających obsługę procesów administracyjnych. Jako możliwe pola zastosowania sztucznej inteligencji wskazał obsługę zapytań klientów oraz orzecznictwa lekarskiego, przede wszystkim w obszarze analizy dokumentacji medycznej. Podkreślił również, że każde z tych rozwiązań może być wdrażane jedynie pod warunkiem poszanowania przepisów o ochronie danych osobowych i szerzej „etycznego zastosowania sztucznej inteligencji”.

Elastyczny parasol czy betonowy bunkier

W trakcie pierwszej części spotkania pt. „Od tradycyjnych procesów do automatyzacji: wyzwania technologiczne i prawne” uczestnicy próbowali odpowiedzieć na pytanie, jaka jest rola RODO w rozwoju sztucznej inteligencji, czy jest to „elastyczny parasol” wspierający takie rozwiązania, czy raczej „betonowy bunkier” blokujący ich wdrażanie.

Sławomir Wasielewski wyjaśnił, że rozwiązania technologiczne, nie tylko oparte na sztucznej inteligencji, powinny bazować na ich zgodności z przepisami chroniącymi dane użytkowników.

Z kolei Marcin Maruszczak, radca prawny, partner kancelarii YLS, zwrócił uwagę na problem z egzekucją praw przewidzianych w przepisach o ochronie danych osobowych.

Sławomir Wichrowski, wicedyrektor Biura Ochrony Danych Osobowych ZUS, zwrócił z kolei uwagę, że pewne trudności w stosowaniu przepisów RODO odnoszą się do zasady minimalizacji – ze swojej natury bowiem narzędzia sztucznej inteligencji rozwijają się na bazie gromadzenia jak największej ilości danych i dosłowne rozumienie tej zasady rzeczywiście nie współgra z technologią tych systemów. Podkreślił, że prawo do ochrony danych jest prawem równoważnym z innymi prawami, w tym z prawem do rozwoju cywilizacyjnego i gospodarczego, i powinny być one odpowiednio harmonizowane.

Weryfikacja działania algorytmów przy udziale człowieka

Uczestnicy poruszyli również temat wykorzystania sztucznej inteligencji do zapewnienia odpowiedniego poziomu cyberbezpieczeństwa w postaci pomiarów zachowań behawioralnych użytkownika oraz omówili przypadki błędnego wykorzystania sztucznej inteligencji i reagowania na nie.

Marcin Maruszczak zauważył, że podstawowym błędem w biznesowym wdrażaniu systemów sztucznej inteligencji jest pośpiech i brak odpowiedniej analizy systemów. Zwrócił również uwagę na przypadki związane z nierzetelnym trenowaniem danych, czego wynikiem były dyskryminujące skutki działania algorytmów, np. w postaci różnicowania cen produktów na platformach sprzedażowych. Wskazał też na niebezpieczeństwa związane z powierzaniem decydowania o sytuacji życiowej konkretnej osoby wyłącznie algorytmom.

Sławomir Wichrowski dodał, że decyzje podejmowane przez algorytmy, dotyczące odebrania praw, zawsze powinny być weryfikowane przez człowieka.

Przygotowanie pracowników administracji do stosowania AI

Uczestnicy spotkania zastanawiali się także, czy administracja publiczna jest mentalnie gotowa na rozwiązania sztucznej inteligencji. Zdaniem Marioli Wiatrowskiej, radcy w Ministerstwie Finansów, wszystko zależy od zasobów danej organizacji. Zwróciła w tym kontekście uwagę na różnicę pomiędzy centralnymi organami administracji publicznej, dysponującymi zazwyczaj szerokim zapleczem informatyczno-prawnym, a mniejszymi podmiotami, w których tego rodzaju zasoby mogą być skromniejsze. Wskazała na potrzebę przygotowania pracowników, w formie szkoleń czy innych działań edukacyjnych, do przyjęcia w organizacji rozwiązań w postaci sztucznej inteligencji. Zaznaczyła, że mogą one służyć m.in. poprawie jakości usług w administracji czy odciążeniu pracowników, w rutynowych czynnościach.

W podsumowaniu tej części panelu uczestnicy zgodzili się, że automatyzacja procesów administracyjnych z zastosowaniem sztucznej inteligencji może być wsparciem w działalności instytucji. Przyjęte rozwiązania nie mogą mieć jednak charakteru wyłącznego i musi im towarzyszyć alternatywa w postaci wykonania danej czynności przez człowieka.

Kto jest odpowiedzialny za sztuczną inteligencję

Druga część panelu pt. „Ryzyka i zabezpieczenia: jak zminimalizować zagrożenia związane z automatyzacją?” została zainicjowana pytaniem, kto jest odpowiedzialny za wdrażanie systemów AI w organizacjach.

Tomasz Ochmiński, zastępca dyrektora Departamentu Prawa i Nowych Technologii UODO, zaznaczył, że każdy system informatyczny przetwarzający dane osobowe musi być zabezpieczony, to znaczy zapewniać środki organizacyjne i techniczne, i odpowiedzialność ta leży po stronie administratora.

Tomasz Izydorczyk, członek Społecznego Zespołu Ekspertów przy Prezesie UODO, zwrócił zaś uwagę, że sprawowanie pieczy nad narzędziami sztucznej inteligencji nie może się ograniczać do zespołów IT, ale powinno obejmować również samych „właścicieli procesów”, którzy ustalili cele, dla jakich te narzędzia mają być wdrażane.

Z kolei Monika Sobczyk, inspektor ochrony danych, członkini zarządu SABI, wspomniała o potrzebie współpracy różnych pionów organizacji:

• biznesowego – zgłaszającego zapotrzebowanie na dane rozwiązanie,
• informatycznego – dostarczającego to narzędzie,
• prawnego –poddającego je weryfikacji, i w końcu użytkownika końcowego, który również poprzez odpowiednie szkolenia powinien być wdrożony do jego stosowania.

Transparentność działania algorytmów

Uczestnicy analizowali też transparentność działania algorytmów. Tomasz Ochmiński stwierdził, iż eksplikacja ich działania zależy od rodzaju danego systemu – czy jest to algorytm oparty na uczeniu maszynowym, czy też na uczeniu głębokim, który jest bardziej skomplikowany.

Jak wskazali pozostali uczestnicy, dużo zależy od jakości wprowadzonych danych, przykładowo: czy są to dane prawdziwe i czy pochodzą z określonego źródła.

Człowiek jako filar bezpieczeństwa

Prelegenci dużo uwagi poświęcili edukacji użytkowników narzędzi bazujących na sztucznej inteligencji.

Paweł Kulpa, Cybersecurity Architect w Safesqr, zwrócił uwagę, że chociaż oficjalnie w administracji publicznej mogą nie działać rozwiązania bazujące na sztucznej inteligencji, to wielu pracowników w swoich obowiązkach korzysta z nich na własną rękę, chociażby z popularnych chatbotów. Dlatego tak ważne jest edukowanie pracowników i informowanie, z czym może się wiązać wprowadzanie rzeczywistych danych do aplikacji kontrolowanych przez zewnętrznych dostawców.

Prelegenci uznali to również za argument na rzecz wprowadzania przez administrację publiczną własnych narzędzi opartych na sztucznej inteligencji.

Dyrektor Biura Ochrony Danych Osobowych ZUS, Agnieszka Gębicka, moderatorka drugiej części panelu, w podsumowaniu dyskusji skupiła się na odpowiedzialności, która powinna się rozciągać zarówno na najwyższe kierownictwa, jak i każdego pracownika organizacji. Dodała, że odpowiedzialności powinna towarzyszyć komunikacja między pracownikami różnych pionów.

„Człowiek pozostaje najważniejszym elementem, który pełni rolę filaru bezpieczeństwa” – podsumował z kolei rzecznik prasowy UODO, zaznaczając, że technologia sztucznej inteligencji wciąż opiera się, i w najbliższej przyszłości będzie się opierać, na umiejętności jej rozważnego stosowania przez człowieka.