Innholdsfortegnelse:
- Dataeierskap og personvern
- Retten til å bli glemt
- Retten til forklaring
- Outsourcing av AI
- Vil GDPR hemme AI-innovasjon?
Video: Artificial Intelligence: GDPR and beyond - Dr. Sandra Wachter, University of Oxford (Oktober 2024)
I det som kan beskrives som et slags våpenløp, har teknologiselskaper samlet store mengder brukerdata for å finpusse de kunstige intelligensalgoritmene som driver deres applikasjoner og plattformer. Så langt har de stort sett vært i stand til å unngå ansvarlighet når deres praksis har presset dem inn i juridisk og etisk grå områder.
Det kan høres ut som dårlige nyheter for selskaper som bruker AI-algoritmer, som har hatt fordel av slappe forskrifter for datainnsamling (og lange, kjedelige og tvetydige vilkår for tjenestedokumenter). Noen frykter at strengere regler vil hemme innovasjon og distribusjon av kunstig intelligens i mange applikasjoner og domener. Andre mener det nye direktivet vil skape et fundament der AI-applikasjoner vil bli mer pålitelige og pålitelige.
Uansett er AI-næringen i et stort skifte i GDPR-tiden.
Dataeierskap og personvern
"GDPR er en stor avtale for AI, fordi det nødvendiggjør at vi tenker annerledes på hvordan vi samler inn og bruker data, " sier Tim Estes, grunnlegger og president for Digital Reasoning. "For lenge har teknologiselskaper insistert på at for å motta verdi fra deres produkter og tjenester, måtte du gi fra deg dataene dine."
Tidligere ble selskapene pålagt å motta et vagt samtykke fra brukere om å samle inn alle slags data. "AI har bidratt til å holde stor-data-hype levende - og gir enda en grunn til at bedrifter bør samle inn og gruve all tilgjengelig data, " sier Estes. "Mange selskaper har begynt å implementere AI for å analysere dataene sine bare fordi de mener at de burde - uten å tenke på innvirkningen på brukernes personvern eller dataeier."
Den mest grunnleggende forutsetningen for GDPR er at data tilhører brukere. Under GDPR må selskaper avsløre hele omfanget av informasjon de samler inn, samt hvordan de bruker den og hvordan de vil beskytte den og forhindre uautorisert tilgang. De nye reglene vil tvinge AI-selskaper til å være mer omhyggelige med dataene de samler inn i motsetning til å bli engasjert i mangelfullt hamardering, behandling og deling av brukerinformasjon.
Retten til å bli glemt
GDPR gir brukere makt til å kreve at et selskap sletter alle dataene fra serverne sine. Dette vil ikke stemme godt med AI-selskaper, som har en interesse av å beholde så mye brukerdata som mulig for å utføre oppgaver som forutsi trender og brukeratferd.
"På slutten av dagen handler GDPR om hvordan du samler inn og administrerer dataene, og ikke nødvendigvis om hvor mye data du har, " sier Maryna Burushkina, administrerende direktør i GrowthChannel. "Den største vanskeligheten som de fleste selskaper vil møte er ikke mye om å få opt-ins, men mer med å administrere dataene, kommunisere bruken av data til brukerne og gi brukerne muligheten til å slette dem."
AI-selskaper vil måtte gå ekstra skritt for å anonymisere dataene sine hvis de fremdeles vil ha tilgang til denne innsikten. Men andre utfordringer står overfor selskaper som allerede har store butikker med brukerdata.
"Under GDPR, hvis et selskap ønsker å slette en spesifikk PII, må de sørge for at den blir slettet overalt, " sier Amnon Drori, administrerende direktør i Octopai. Dette kan være en skremmende oppgave å utføre manuelt når dataene dine er spredt over forskjellige servere og lagret i forskjellige strukturerte og ustrukturerte formater.
Når du for eksempel sletter en brukers kredittkortnummer (absolutt en sensitiv informasjon), må selskaper undersøke hver rapport, database, databaseobjekt og ETL der informasjonen er lagret. "Noen ganger ser vi forskjellige metadatanavn for samme vare: for eksempel 'kredittkortnummer', 'cc-nummer', kreditt-c-nummer ', ' kortnummer ', ' kredittkortnummer. '… listen fortsetter og på, "sier Drori. Det er ofte umulig å vite hvor man skal se og prosessen kan ta uker eller til og med måneder, og i likhet med mange manuelle prosesser er den utsatt for menneskelig feil og unøyaktigheter, sier Drori.
GDPR vil også øke kostnadene for menneskelige feil ved håndtering av data. "Dette er grunnen til at så mange selskaper i dag søker en automatisert løsning for å håndtere metadataene sine nøyaktig, " sier Drori. Kanskje ironisk nok kan AI i seg selv være en løsning i denne forbindelse. AI-drevne metadatastyringsverktøy kan skanne alle datakilder i en organisasjon og konsolidere forhold mellom forskjellige verktøy og datakilder.
Retten til forklaring
En av de viktigste delene av GDPR angående AI er det som har blitt kjent som "retten til forklaring." Direktivet sier at selskaper må varsle brukere om "eksistensen av automatisert beslutningstaking" og gi dem "meningsfull informasjon om logikken som er involvert, samt betydningen og de planlagte konsekvensene av slik behandling for den registrerte."
Dette betyr i utgangspunktet at brukerne må vite når de direkte eller indirekte blir underlagt AI-algoritmer og skal kunne utfordre beslutningene disse algoritmene tar og be om bevis for hvordan konklusjonen ble avledet. Dette vil være en av de største utfordringene AI-industrien vil møte.
Dype nevrale nettverk, den viktigste teknologien bak moderne AI-algoritmer, er komplekse programvarestrukturer som lager sine egne funksjonsregler ved å analysere store datasett og finne korrelasjoner og mønstre. Når nevrale nettverk blir mer komplekse, blir deres oppførsel stadig vanskeligere å dekomponere. Ofte kan ikke engang ingeniører forklare årsakene bak beslutningene deres AI-algoritmer tar.
Kalles "black box" -problemet, og uforklarbarheten til AI-algoritmer har gjort det vanskelig å implementere dem i rettssalenes avgjørelser, rettshåndhevelse, lån- og kredittapplikasjoner, rekruttering, helsevesen og andre kritiske domener. Men uten noen juridisk innflytelse hadde AI-selskaper lite insentiver til å gjøre AI-algoritmene mer transparente, spesielt når de var tett knyttet til deres forretningshemmeligheter.
Nå vil GDPR holde AI-selskaper til å redegjøre for beslutningene deres algoritmer tar.
"Som en del av GDPR er organisasjoner ansvarlige for å tydelig beskrive behandlingsmetoden på menneskelig språk mens de ber om samtykke fra emnet, " sier Pascal Geenens, sikkerhetsforsker ved Radware. "Når dyp læring utvikler seg, og dataforskere ikke er i stand til å karakterisere en deterministisk karakter bak nevrale nettverkets resonnement, kan denne beskrivelsen bli mer kompleks og vanskelig å forklare."
I utgangspunktet handler GDPR om å gjøre menneskene som behandler dataene ansvarlige, sier Geenens. Så hvis du bruker maskinlæringsalgoritmer for å utføre behandlingen, må du designe dem på en måte som gjør at du kan forklare beslutningene de tar på dine vegne.
En håndfull organisasjoner prøver å utvikle teknologier for å gjøre AI mer oversiktlig. Fremtredende blant dem er DARPAs Explainable AI (XAI), et forskningsprosjekt som tar sikte på å gjøre AI-baserte beslutninger forståelige.
Outsourcing av AI
GDPR vil også påvirke organisasjoner som gjør deres data tilgjengelig for tredjepart. Et fremtredende eksempel på et slikt selskap er Facebook; i sin Cambridge Analytica-skandale klarte ikke sosiale medier-giganten å forhindre datagruveselskapet i å samle inn og misbruke dataene til 87 millioner brukere. Men GDPR vil også ha implikasjoner for selskaper som outsource sine AI-funksjoner og gjør deres data tilgjengelig for AI-leverandører.
"Mens mange antar at AI-leverandører er som andre tjenesteleverandører - ganske enkelt å tilby teknologien sin i bytte mot monetær kompensasjon - er sannheten, at AI-leverandører også inngår forretningssamarbeid som en måte å bygge videre på og utvikle teknologien på, " sier Estes, sjefen direktør fra Digital Reasoning. Dette betyr at en AI-leverandør kanskje vil holde på en klients data for å trene sine egne algoritmer videre og bruke dem i andre domener.
For eksempel kan en AI-leverandør som hjelper en helseorganisasjon med å finne mønstre i symptomer og forbedre diagnosene komme over et datasett som forbedrer de proprietære algoritmene. AI-selskapet vil da kanskje ønske å utnytte dataene for å forbedre algoritmene for andre typer pasientbehandling, for å utvikle sine evner til å hjelpe andre helsepersonell. Under GDPR vil helseorganisasjonen som har ansvaret for dataene bli holdt ansvarlig for all uetisk bruk av AI-leverandøren. Nøkkelen, mener Estes, er at bedrifter skal oppsøke AI-leverandører som tror på å eie algoritmene, ikke dataene.
"GDPR vil tvinge virksomheter til å følge nærmere på hvordan og når dataene deres blir brukt, hvor de er lagret, og hva som skjer med det etter at et prosjekt er fullført, " sier Estes. "Dette betyr å samarbeide med AI-leverandører som hjelper deg med å definere linjene for dataeierskap og implementere strategier som beskytter brukerinformasjon, samtidig som de ikke hindrer måtene den er i stand til å utvikle suksessen til AI-algoritmer."
Vil GDPR hemme AI-innovasjon?
Eksperter vi snakket med, mener at selv om det nye regelverket vil utfordre dagens praksis og vaner AI-selskaper har tatt i bruk, vil det også tvinge dem til å finne nye måter å innovere på, og også å opprettholde respekten for personvern og etiske standarder.
"Når GDPR-regulering trer i kraft, iverksetter alle de store programvareselskapene nødvendige tiltak for ikke bare å sikre etterlevelse, men også for å innovere og tenke ut av boksen for å finne nye muligheter i markedet, " sier Burushkina fra GrowthChannel.
"Innovasjon vil ikke bli hemmet - men regissert og motivert - av GDPR, " sier Octopais Drori. I mellomtiden vil GDPR også gi opphav til nye virksomheter og teknologier som vil hjelpe organisasjoner å oppnå og opprettholde GDPR-samsvar.
Standardene satt av GDPR kan faktisk bidra til å bygge bro over den økende tilliten mellom leverandørene og brukerne av AI-drevne tjenester. Estes tror GDPR vil gjøre både AI-leverandører og de som implementerer teknologien deres mer ansvarlige for hvordan og hvor de bruker dataressurser og presser dem til å sette brukere før fortjeneste. "På slutten av dagen, " sier han, "skal AI-leverandører bare trenge å eie algoritmene - ikke dataene - for å innovere deres evner og løsninger."
